随着信息技术的不断发展,移动终端已成为生活工作中与人们关系最密切的电子设备。从最初的手机,到PDA手持终端,再到如今4G时代的智能手机、平板电脑、电子书和车载导航设备等,移动智能终端越来越普及,而随着5G网络的建设,万物互联的愿景展开,将会有越来越多的移动终端接入,与此同时,越来越多的业务办公将迁移到移动端,移动办公成为一个必然趋势。
根据移动信息化研究中心今年2月份发布的《2017年移动办公实践研究报告》显示,97%的银行都已经在应用移动办公,94%的制造业企业在不同程度上部署了移动办公应用,此外,金融、房地产、能源、航空等行业的移动办公渗透率也比较高,BYOD、CYOD(自选设备办公)、COPE(企业统一配发移动设备办公)等模式已经获得了企业用户的青睐。报告显示,63.5%被调查的企业认为在积累移动办公经验的同时,企业在以下这些方面取得了突飞猛进的效果:
- 提高企业决策速度;
- 提高企业事件响应效率;
- 规避安全风险,变堵为疏;
- 提高员工对于碎片化时间的使用率;
- 重构更高效的业务流程和作业方式。
然而,企业业务办公场景移动化虽然保证了办公流程的高效性和便捷性,移动安全的问题也日益突出。根据CISO发展中心近日发布的《2017年度企业级安全摸底调研报告》,34%的企业最担心商业核心机密数据被盗取,25%的企业面临的***安全挑战则是员工安全意识薄弱。据波耐蒙研究所(Ponemon Institute)的报告显示,67%的受访企业称曾因员工使用手机访问公司的敏感和机密信息而导致数据泄露(无意泄露手机感染恶意病毒木马),28%曾因员工通过手机有意泄露敏感数据造成巨大经济损失。
而在Gartner报告中,大部分企业的安全负责人对“移动设备与企业网络之间如何交互”还处于基础认知阶段,有些甚至毫无安全知识储备,这说明企业在移动数据保护方面仍然有很大的提升空间。根据企业性质和业务的不同,面临的安全挑战也各有不同。
通过下面这10个对比分析,我们可以看出移动终端安全比PC安全面临的挑战更多、场景更复杂:
1. 时间
PC使用一般集中在工作时段;移动终端是全时段使用。
2. 地点
PC大部分比较固定,工作环境可控;移动终端需要考虑所有可控与不可控地点,设备环境复杂。
3. 用户
PC一般由企业统一配发,限定于固定人员使用该设备;移动终端更多地是用户自己购买使用,也容易被非授权用户使用。
4. 设备类型
PC以Windows为主,标准统一;移动终端往往有上千种不同型号的设备,为统一落实安全策略制造了很大的障碍。
5. 设备功能
PC一般用来处理工作事务;移动端尤其是BYOD,会混合处理工作与私人事务,比PC端有更多便捷的能力,如截屏、拍照、分享位置、快传、各类传感器等,潜在的风险更大。
6. 系统迭代
PC安全保护的对象迭代周期较长,环境更稳定。移动办公的设备、系统或应用的迭代周期更短,环境变化比较快。
7. 网络边界
PC安全的边界相对明确;移动终端的安全基本无明确的边界。
8. 网络连接
PC基本无需过多考虑网络切换带来的安全变化风险;移动终端需要充分考虑4G/WiFi/intranet等不同网络环境的切换。
9. 安全风险入口
PC只需要控制少数的边界入口即可实现较高的封闭性;移动终端涉及的风险入口数目远远多于传统PC,也无法强制要求用户实现全封闭性。
10. 用户体验
PC的系统相对统一并成熟,安全产品不存在复杂的体验障碍;移动终端对体验要求较高,安全能力的落实一定不能影响用户的设备体验。
综上,移动办公面临着比PC端办公更严峻的安全形势。在业务办公的移动化浪潮不可逆的情况下,企业应该将更多的关注点放在如何保障移动办公的安全问题上来,如移动终端安全、移动业务安全、移动应用安全。
从目前市场产品供需关系来看,传统PC的安全建设有章可循——大多企业已经部署或计划部署如防火墙、IPS、IDS、WAF、防渗透、态势感知等安全产品,基本满足了企业PC端的安全防护需求。而移动办公安全的厂商则才崭露头角,技术优势和数据分析能力等已经具备了帮助企业保护移动端重要数据的能力。因此,企业用户需要能真正理解移动办公安全体系建设的专业厂商,为企业提供一套完整的、适应企业业务发展的移动安全解决方案。