為幫助企業解答BYOD的安全困惑,并走上高效、安全的移動信息化之路,IT專家網記者近日采訪了知名移動信息化安全專家、北京明朝萬達科技有限公司(以下簡稱“明朝萬達”)董事長兼總裁王志海,探討了在BYOD時代企業信息安全存在的安全隱患,以及企業應當如何來防范這些新的安全威脅。
從BYOD工作模式的特點出發,王志海分析了傳統應對方式存在的一些不足之處。并表示:BYOD是移動信息化一個重要的部分,不能將BYOD安全與移動信息安全割裂,還要把移動安全置于整個企業的移動信息化策略之中考慮。
換言之,傳統的企業信息安全范式必須被打破,企業要從實際的移動業務系統建設需要出發,構建一個技術平臺,從數據、應用、網絡和設備等多個層面來整體管理BYOD時代的信息安全。
移動信息化安全專家、明朝萬達董事長兼總裁 王志海
BYOD:三大安全隱患待解決
我國BYOD的安全形勢不容樂觀。根據產業情報研究所(MIC)針對國內企業移動資安投資需求的調查結果顯示,85%以上的企業認為,有必要鎖定BYOD行為,再加強企業內部的移動資安防護。但目前只有12%的大型企業建置移動安全解決方案,60%以上的大型企業表示,將在考量BYOD的資安問題下增加對移動資安的投資。
BYOD究竟如何不安全?王志海指出,相比傳統信息化的模式,BYOD環境主要存在三個方面的安全隱患:首先是通過移動網絡鏈路接入,天然處在一個開放的網絡,而傳統重要的信息系統都是通過企業內網接入;其次,使用的環境與傳統信息化模式不一樣,傳統的大部分時間都在固定的辦公場所,設備丟失可能性很小,BYOD通常使用移動智能終端,更加容易丟失;第三,BYOD使用的個人設備上往往同時安裝很多個人的APP,而個人APP市場上的惡意軟件多如牛毛,這就將企業數據置于安全隱患之中。
他進一步解釋說,鏈路接入方面,除了傳統的防火墻,還要防止VPN、鏈路加密、接入認證等方面的安全,畢竟通過運營商網絡,還有通過公用WIFI接入,如果沒有加密技術的保護,任何人都可能無障礙地訪問到企業的數據。而在終端方面,因為有很多企業數據如包含企業重要信息的電子郵件,落到個人手機上,這樣不管是惡意軟件或者設備丟失,都有可能發生信息泄密的問題。
MIC的調查佐證了王志海的觀點。調查發現,將近4%的大型企業曾經遭遇過移動資安事件,主要是受到“設備失竊(42.1%)、員工將機密資料存于手機設備后外泄(36.8%)、以拍照方式外泄(31.6%)”等因素所引起。
傳統局限:未關注數據安全
雖然上述調查數據顯示移動安全事件的比例并不大,但斯諾登的陰影讓我們難以安心:若BYOD的應用真正普及之后,傳統的防護措施將會捉襟見肘,大抵算是開門揖盜了。
對于傳統安防措施的不足之處,王志海從技術角度分析了其不足之處。首先,他認為,傳統的安全防護軟件通常聚焦于防病毒、防火墻、IDS、鏈路加密等,并沒有真正關注到數據,當數據落地到BYOD設備上,就再也無法進行管理。另一方面,現在的惡意軟件很難用傳統被動防護的方式來防御,一些看似合理讀取數據,往往會侵害到企業的信息安全,卻不能被傳統防毒措施所查殺。再者,比如IPsec VPN甚至一些SSL VPN,也難以兼容復雜多樣的移動終端操作系統。
而從設備管理角度來說,BYOD最大的特色是使用個人的設備,而目前比較受到關注的是MDM(移動設備管理)的管理方式。但王志海指出,MDM用傳統的企業管理PC的模式來管控這些個人的設備,在個人設備上安裝和企業設備一樣的監控系統,由于涉及到個人設備大量的個人隱私,會導致最終用戶的反感,從而影響BYOD的設備實際使用量,這就違反了BYOD部署的初衷。
也就是說,這種方式只是把個人設備當成一個整體來管,沒有真正關注BYOD時代企業最關心的應用和企業的數據。
避免誤區:純MDM本質上傷害BYOD
從實踐來說,王志海認為,國內的企業做得還并不完善,由于缺乏整體規劃,終端安全方面的實踐固然還存在不足,數據安全方面也處于開始反思、整理、上升的階段。
由于BYOD時代接入企業業務系統的移動設備的情況相當復雜,企業也感受到,不論在設備的管理和維護還是企業的信息安全方面,都給企業IT部門帶來了相當大的挑戰。在此背景下,許多供應商提供了移動設備管理的MDM解決方案,有一些部署MDM解決方案的企業也自認為具有應對BYOD的遠見。
然而,王志海強調,沒有關注到企業數據的MDM,是治標不治本的,不能作為移動安全防護的主力軍。“單純的MDM本質上對BYOD是一種傷害,并不是一種助力。”王志海表示,“要慎重采用。”他認為,對MDM的一些公開的宣傳與用戶的需求有些脫節。
另外一個誤區就是跨平臺性。例如,一些企業做移動信息化,出于各種各樣的原因,往往會找開發移動應用廠商順便做安全的東西,或者是找終端硬件供應商同時提供一些安全的產品。王志海指出,這樣的做法在初期可能會節省成本并縮短部署時間,但由于設備和移動應用的更新很快,這種安全產品往往會很快就跟不上企業更新換代之后的實際需求。
王志海強調,明智的策略是明確目標,進行總體規劃,關注企業應用和應用中的數據安全,把邊界給明確。另外,企業移動信息安全是一個整體,安全同時包括了BYOD設備和企業的設備、還包括一些企業的物聯網設備,都是通過移動互聯網接入,因此,企業應當從整體來規劃。
明智策略:整體規劃構建安全平臺
如何進行整體規劃呢?王志海指出,移動安全有和企業的整個移動信息化分不開,因此企業首先需要明確哪些業務將要放在移動信息化的范疇之中,先把業務整理清楚,然后不管在移動安全,還是整個移動APP應用平臺上,都要以平臺的方式來建設。
他認為,技術平臺更重要的含義是把一些安全管理的規范落實到平臺上,要求所有的移動應用按照規范接入到企業內部的信息系統中來。
企業移動安全平臺應當包括哪些內容?王志海說,首先是MAM(Mobile Application Management,移動應用管理)。企業級的移動應用發布,如果通過公共的App Store或者安卓商店,很容易中木馬,員工要獲取可信可控的APP,可以通過結合企業內部App Store的MAM技術。
其次是鏈路和網絡安全。除了新技術,包括傳統的防火墻、VPN等方式也要升級。VPN在沒有入口、跨平臺、跨設備的情況下如何使用?王志海說,VPN要作為應用級的安全鏈路,這就打破了傳統簡單的IP層鏈路跨設備能力弱的瓶頸。
對于一些有更高級的要求的企業,王志海建議,可以要求一旦接入企業內部網絡時斷開其他的網絡,以防止木馬擺渡。
第三,數據安全方面,包括數據在本地落地的保護,防止木馬,防止第三人拿到設備看到企業的數據,王志海之處,一旦設備丟失,應當可以遠程銷毀。
最后,輔助性的終端管理,即MDM。比如有些企業可能需要禁止不安全的WIFI,王志海認為,可以做到當企業級應用開始運行的時候,才會啟用該策略,當企業級應用關閉時,就是個人設備作為滿足個人的需求使用,無須干涉。
基本原則:勿忘獨立性與合規性
建設移動安全平臺需要注意的事項,王志海指出,應當堅持兩個基本的原則,首先是移動安全管理的獨立性,即獨立于軟硬件的廠商,對各種應用和各種終端平臺,都可以支撐。其次,要考慮合規性,尤其是一些大型的國企,必須選擇符合安全法規的產品,以確保安全并避免投資浪費。
專家簡介
王志海先生是中國領先的內網安全、數據安全與移動安全產品廠商北京明朝萬達公司主要創始人,現任北京明朝萬達董事長兼總裁。王志海先生畢業于清華大學和中國科學院,曾由清華大學出版專著《OpenSSL與網絡信息安全》。此外,王志海先生還擔任中國計算機學會計算機安全專業委員會常務委員、《信息安全技術》編委會委員的職務。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.guhuozai8.cn/
本文標題:BYOD時代移動信息安全:必須關注數據
本文網址:http://m.guhuozai8.cn/html/consultation/10839618250.html
相關文章
