現(xiàn)在��,大屏智能手機、平板電腦����,以及逐漸熱賣的超級本等移動類IT產(chǎn)品,在中國消費者中的普及度越來越高�����。隨著移動設(shè)備性能的不斷提升和其自身優(yōu)良的便攜特性�����,消費者對它們的依賴也從純粹的娛樂��、影音和游戲等自用范圍擴展到了日常的辦公生活中�。
全球范圍內(nèi)�����,BYOD( Bring Your Own Device )也已成為大勢所趨���,越來越多的員工希望使用自己的設(shè)備在任何地方辦公���。SOHO(Small Office Home Office�����,家居辦公)和移動辦公的確可以提升工作效率����,但同時也對企業(yè)的IT安全管理提出了新的挑戰(zhàn):不同的設(shè)備�,運行在不同的平臺上,并同時獲取不同的資訊���,而所有的流量又都蜂擁到公司統(tǒng)一的出口上�����,網(wǎng)絡(luò)性能及安全該如何保證����?
在移動類IT產(chǎn)品在中國的消費普及化的背景下����,僅對移動設(shè)備提供保護是遠遠不夠的。我們需要更重視敏感數(shù)據(jù)的問題�,因為一旦公司的可訪問數(shù)據(jù)被下載到員工的設(shè)備上,這些數(shù)據(jù)也將成為保護的重點對象。
考慮到國內(nèi)外的企業(yè)文化及網(wǎng)絡(luò)環(huán)境差異�,Websense的安全專家就BYOD的發(fā)展趨勢,給中國IT人員如下建議:
實施移動設(shè)備管理(MDM)
MDM是保護數(shù)據(jù)安全中最基本的步驟�。無論員工的移動設(shè)備屬于蘋果、安卓�、塞班或其他平臺,一般都可以從設(shè)備供應(yīng)商處尋得對應(yīng)的管理方案�����,但所引入的MDM方案需要滿足如下要求:
應(yīng)用程序管理--在必要時候限制設(shè)備所下載或者運行的內(nèi)容��;
配置管理和資源控制--可以控制設(shè)備所連接的硬件資源及獲取的內(nèi)容���,如防止手機攝像頭拍攝密碼;
檢測越獄的或其他非法刷機的設(shè)備--這些設(shè)備自身更加危險��;
設(shè)備恢復(fù)及減低損失--可以跟蹤�����、鎖定和清除非法入侵��;
支持與服務(wù)管理--所采用技術(shù)手段可以在長期內(nèi)保持優(yōu)勢�����。
但僅僅依靠MDM本身是不夠的,用戶也是關(guān)鍵的環(huán)節(jié)�。尤其是在中國的企業(yè)環(huán)境中,制定及貫徹相關(guān)政策�����,并通過簽訂協(xié)議讓員工明確自己的權(quán)利�、責任和義務(wù)是非常重要的。然而這些仍不能防止所有的威脅��,我們還需要完善附加的安全保障�����。
完善附加安全保障
即使員工在移動設(shè)備上除了查看郵件外啥也不干�����,這些設(shè)備還是很可能成為網(wǎng)絡(luò)攻擊的突破口���,我們需要為手持設(shè)備提供附加的數(shù)據(jù)保護���。最有效的方法就是在第一時間監(jiān)控進入移動設(shè)備的數(shù)據(jù)���,如使用統(tǒng)一實施的監(jiān)控防護軟件。
另外�,不斷爆出的移動網(wǎng)絡(luò)及應(yīng)用程序本身的漏洞也應(yīng)當引起注意,隨著時代發(fā)展����,在移動設(shè)備的數(shù)量已超過手提電腦的今天,這些潛在的威脅都將成為網(wǎng)絡(luò)犯罪中的下一批目標��,作為IT安全人員�����,我們也需要實時了解最新的漏洞資訊���,以免應(yīng)對不及。
關(guān)注新的安全技術(shù)
當然��,最新的尖端技術(shù)都支持BYOD�����,它們大都經(jīng)過苛刻環(huán)境的檢驗����,可以應(yīng)對敏感數(shù)據(jù)的安全問題�����,以下例舉的技術(shù)都是我們考慮的范圍:
應(yīng)用程序及桌面的虛擬化--虛擬化通常只允許僅限查看的訪問方式����,可以防止敏感數(shù)據(jù)在最初的位置泄露出去���,這樣可以提升安全防護等級����;
開發(fā)自我防護的應(yīng)用程序--在預(yù)算充足的情況下�,在各類應(yīng)用程序最初的設(shè)計階段,就可以把加密及密鑰管理考慮在內(nèi)�,使得這些應(yīng)用程序本身就具備更高的安全性。這類應(yīng)用不怎么依賴本地平臺����,也不會因安全等級而犧牲過多的本地存儲資源。
數(shù)據(jù)代理或云服務(wù)--通過高信賴度的托管服務(wù)�,提升額外的威脅防護和提供數(shù)據(jù)保護能力;
沙箱技術(shù)--殺毒軟件常提到的一個概念���,也可以用到BYOD領(lǐng)域����,即部署一個獨立的空間,供移動設(shè)備有效利用企業(yè)資源�����;
VPN技術(shù)--可以創(chuàng)建一個始終開放的通道將所有流量返回總部或者通過一個加密的通道將流量傳送到云端�。
其實,我們完全沒有必要禁止員工使用自己的移動設(shè)備���,這也難以做到?,F(xiàn)階段最關(guān)鍵的任務(wù)是提高行業(yè)對BYOD安全問題的警覺度��,然后再去考慮移動設(shè)備與原有架構(gòu)的融合問題�����,中國的IT安全人員應(yīng)當保持對BYOD的持續(xù)關(guān)注�,了解各設(shè)備供應(yīng)商所能提供的方案及最新的技術(shù)方法�,只有這樣,才能在必要的時候用較低的成本為企業(yè)打造較高的安全等級����。
