新變革

賽門鐵克 卜憲錄

從移動設(shè)備市場看挑戰(zhàn)：

在移動設(shè)備市場，BYOD趨勢對企業(yè)用戶、個人用戶、運營商均提出了新的挑戰(zhàn)。

對于企業(yè)用戶：個人用戶正在推動移動設(shè)備的創(chuàng)新，并將它們帶入企業(yè)組織。許多企業(yè)缺乏一個全面的解決方案來應(yīng)對“攜帶自有設(shè)備”（BYOD）趨勢，以及隨之而來的多種移動操作系統(tǒng)，而全面的解決方案既可以保證企業(yè)數(shù)據(jù)的安全，又允許用戶使用個人設(shè)備。

對于個人用戶：個人用戶缺乏充分保護個人信息免遭威脅，和避免設(shè)備被盜或丟失的能力。

對于運營商：運營商在企業(yè)移動網(wǎng)絡(luò)連接產(chǎn)品上不具備差異化安全措施，導(dǎo)致來自每位用戶的平均收益下降，而網(wǎng)絡(luò)基礎(chǔ)設(shè)施成本增加。

另外，BYOD涉及到放棄對接入企業(yè)網(wǎng)絡(luò)、資源和數(shù)據(jù)設(shè)備的一些控制。通常，放棄此類控制會引發(fā)一些潛在的風(fēng)險和顧慮。BYOD所引發(fā)的顧慮與在高速路上駕駛汽車非常相似。兩者都存在潛在的危險。但是，這些危險可以通過采取恰當(dāng)?shù)姆雷o和工具而減輕。正規(guī)的培訓(xùn)、合格的輪胎、車頭燈和安全帶是安全駕駛的一些必要準備。而移動應(yīng)用管理和移動設(shè)備管理是預(yù)防BYOD潛在危險的必要解決方案。

建言：打一個“全算盤”

用戶在應(yīng)對BYOD趨勢時，要做通盤考慮。第一，做好移動設(shè)備本身管理的基礎(chǔ)安全工作，一個管理良好的設(shè)備才有可能是一個安全的設(shè)備，在此基礎(chǔ)之上才能做安全的管理；第二，用戶需要了解其需要保護的不僅是移動設(shè)備本身，更重要的是里面信息的內(nèi)容，要注意對一些敏感內(nèi)容的識別和保存；第三，要注意移動終端應(yīng)用本身的安全性，包括對它的管理，例如怎么進行安全的分裝，甚至是員工離職以后，區(qū)別哪些應(yīng)用、信息屬于個人或公司，屬于公司的數(shù)據(jù)企業(yè)需要將之擦除掉，屬于個人的信息企業(yè)不加以變動；第四，如果當(dāng)移動終端跟云結(jié)合的時，既要保證信息的訪問，又要保證信息的安全性。這些都需要用戶有很深的認識。

山石網(wǎng)科 譚儀

從企業(yè)環(huán)境看挑戰(zhàn)：

網(wǎng)絡(luò)方面：由于Wi-Fi網(wǎng)絡(luò)的鋪設(shè)，員工及訪客很容易就接入相關(guān)的網(wǎng)絡(luò)進行上網(wǎng)，同時網(wǎng)絡(luò)濫用的情況也會伴隨著出現(xiàn)；（因而BYOD網(wǎng)絡(luò)面臨的問題，主要有接入的認證及權(quán)限的分配）

數(shù)據(jù)方面：由于BYOD中的設(shè)備大部分是如平板電腦、3G手機等智能終端，其應(yīng)用中的用戶名密碼在選擇了自動登錄后回選擇記住密碼，同時一些訪問公司內(nèi)部敏感業(yè)務(wù)部門的數(shù)據(jù)也會在Wi-Fi網(wǎng)絡(luò)中傳輸，因而也面臨賬號密碼等敏感數(shù)據(jù)傳輸被竊聽的威脅。

設(shè)備方面：BYOD設(shè)備可以通過AP接入Wi-Fi網(wǎng)絡(luò)，也可以通過3G無線卡接入到3G網(wǎng)絡(luò)中，設(shè)備完全脫離企業(yè)的管控；同時由于設(shè)備是員工所屬，在不能控制設(shè)備的外攜的情況下，也就不能控制設(shè)備上存儲數(shù)據(jù)的外攜；對平板和手機而言，監(jiān)控程序在系統(tǒng)上也受到很大限制——例如iOS是非公開源代碼，其上的應(yīng)用也全是沙箱隔離，無法做到對應(yīng)用的監(jiān)控。

華為 陳鳴

從IT管理看挑戰(zhàn)：

BYOD所帶來企業(yè)移動的訴求，給現(xiàn)有的IT管理人員帶來全新的挑戰(zhàn)，因為移動設(shè)備的特性和企業(yè)管理需求相左。當(dāng)越來越多的員工主動地使用了移動終端來進行辦公的延展，如何進行有效的管理成為移動辦公必須面對的問題。多平臺多樣式的移動設(shè)備、不同的網(wǎng)絡(luò)接入類型、企業(yè)數(shù)據(jù)的效率和安全之間的平衡，成為重要考量的要素。

首先，IT部門會發(fā)現(xiàn)公司的IT策略和配置規(guī)則與消費級的應(yīng)用和設(shè)置產(chǎn)生沖突，基于傳統(tǒng)PC的安全策略和管理技術(shù)很難移植到移動設(shè)備，特別是非公司所擁有和管理的員工個人設(shè)備。企業(yè)必須建立針對BYOD的戰(zhàn)略，包括策略的定義和新的管理方法。第一步需要決定的是，你將允許什么樣的移動設(shè)備接入，以及可以訪問什么樣的資源，這是在入口處設(shè)置好安全管控的第一道門。

其次，這些BYOD設(shè)備通過網(wǎng)頁瀏覽、下載應(yīng)用、收發(fā)郵件等方式訪問公司信息時，完全處于無保護狀態(tài)。移動設(shè)備智能化，集成PC的特性和功能，可使同樣的應(yīng)用程序，更容易遭受惡意攻擊。今天，移動惡意軟件的數(shù)量已超過兩萬，其中近三成的惡意軟件為遠程控制木馬，以竊取個人隱私和敏感數(shù)據(jù)為重要目的。由于Root權(quán)限濫用和黑客技術(shù)的應(yīng)用，移動設(shè)備成為新的孕育安全風(fēng)險的溫床，71%的企業(yè)都認為移動設(shè)備是引起安全事件的重要因素，尤其是Android設(shè)備。

同時，將企業(yè)的應(yīng)用移植到千差萬別的移動設(shè)備上，是IT部門的另一個惡夢。如何簡單、快捷地實現(xiàn)企業(yè)業(yè)務(wù)往移動環(huán)境的遷移和部署，避免復(fù)雜的自開發(fā)帶來的高成本，快速實現(xiàn)價值，以及幫助企業(yè)IT 部門應(yīng)對復(fù)雜的移動環(huán)境已成為一大挑戰(zhàn)。另外，現(xiàn)在的移動應(yīng)用開發(fā)和使用正處于繁盛時期，企業(yè)缺少針對應(yīng)用的管理手段，員工在設(shè)備上任意下載和安裝消費類應(yīng)用，會降低系統(tǒng)的可靠性，引入安全風(fēng)險，造成企業(yè)數(shù)據(jù)丟失或設(shè)備功能失效。

最后，由于移動設(shè)備體積小，極易丟失或被盜竊。據(jù)統(tǒng)計，47%的受訪企業(yè)表明有大量客戶數(shù)據(jù)存儲在移動設(shè)備上，包括敏感的客戶信息或企業(yè)郵件中的敏感數(shù)據(jù)。設(shè)備丟失不但意味著敏感商業(yè)信息的泄漏和丟失，而且可能給企業(yè)帶來法規(guī)遵從的風(fēng)險。

建言：重在平衡

通過提供一個有效的平衡方案，使得員工在設(shè)備選擇上擁有更大的個性化自由，在任何時候、任何場所，使用任何設(shè)備便捷的訪問公司內(nèi)網(wǎng)，運行內(nèi)部應(yīng)用，并確保安全策略不妥協(xié)。從移動終端安全、網(wǎng)絡(luò)傳輸安全、應(yīng)用安全、敏感數(shù)據(jù)安全以及安全管理五個維度對移動辦公進行全方位防護，幫助企業(yè)在BYOD的高效率與信息安全之間找到最佳平衡點。

建言：多手段控制

BYOD面臨的主要安全挑戰(zhàn)可以通過以下多種方式進行解決。如在移動設(shè)備接入企業(yè)網(wǎng)絡(luò)時的接入層進行控制，對設(shè)備名稱和類型進行識別，對用戶身份進行認證和控制，并能夠檢查移動設(shè)備的健康狀況等；對用戶的訪問行為進行控制，定義個人移動設(shè)備可以訪問敏感數(shù)據(jù)的權(quán)限，但要在用戶日常訪問需求與整體的業(yè)務(wù)安全策略之間，做一個限制的平衡；對于移動設(shè)備在企業(yè)網(wǎng)絡(luò)中的應(yīng)用進行控制，并使用入侵防御、防間諜軟件等技術(shù)對威脅進行防范，保證核心數(shù)據(jù)安全；在BYOD環(huán)境中，終端安全非常重要，所以在線的病毒防護是必不可少的；可使用虛擬桌面基礎(chǔ)架構(gòu)（VDI）來對BYOD設(shè)備的安全接入進行管理，保證接入業(yè)務(wù)服務(wù)器的設(shè)備不會被惡意代碼交叉感染；考慮使用私有云對BYOD用戶進行保護，并且為IT管理員提供獨立的管理控制平臺；移動設(shè)備管理（MDM）也可以看作是一個安全解決方案。

總之，BYOD的應(yīng)用已經(jīng)成為不可逆轉(zhuǎn)的潮流，但許多IT管理者依然沒有足夠重視對BYOD的安全防護。一般的企業(yè)安全策略往往針對于傳統(tǒng)的桌面式部署，或者使用VPN為員工遠程接入提供可靠的安全保障。然而，BYOD的快速擴張又帶來了全新的安全挑戰(zhàn)，一方面企業(yè)要遵循數(shù)據(jù)安全準則，防止業(yè)務(wù)中斷；另一方面要保持員工使用移動設(shè)備的易用性，達到這兩者的平衡并非易事。所以，企業(yè)的IT管理者們需要及時地考慮如何將BYOD融合進整體的安全系統(tǒng)中，從接入安全、行為安全、數(shù)據(jù)安全等方面對BYOD做出有針對性的策略調(diào)整，以應(yīng)對BYOD不斷發(fā)展的安全挑戰(zhàn)。