IT消費化理念已經(jīng)深入人心。現在全球越來(lái)越多的企業(yè)已經(jīng)開(kāi)始允許員工帶上自己的設備(BYOD)接入工作場(chǎng)所的網(wǎng)絡(luò )進(jìn)行個(gè)性化辦公,這無(wú)疑能夠使工作更加高效并富有創(chuàng )造力,與此同時(shí),BYOD還為企業(yè)逐步轉變舊有的刻板IT管理方式提供了很好的機會(huì )。
然而,安全性和可用性之間的戰爭永遠不會(huì )停止,BYOD就是一個(gè)例子,它也帶來(lái)了諸多挑戰。BYOD使用戶(hù)隱私和可訪(fǎng)問(wèn)性之間的界限日益模糊,于是網(wǎng)絡(luò )、數據以及設備的安全問(wèn)題隨之暴露出來(lái)。今天,企業(yè)需要面對林林總總的BYOD安全陷阱,尤其以下5項最為突出。
帶寬消耗,工作效率低下
許多企業(yè)已經(jīng)發(fā)現,相比于企業(yè)自有的桌面終端,移動(dòng)設備往往不具有同樣嚴格的安全策略執行能力。這一差距誘使許多員工嘗試使用其移動(dòng)設備來(lái)訪(fǎng)問(wèn)視頻流、在線(xiàn)游戲等許多被企業(yè)安全規則拒絕的應用程序,無(wú)形中也占據了企業(yè)的網(wǎng)絡(luò )帶寬,降低了工作效率。另外,讓員工自有設備無(wú)序進(jìn)入工作場(chǎng)合將必然會(huì )是安全管理的夢(mèng)魘,錯誤的終端配置和惡意的無(wú)線(xiàn)接入會(huì )導致網(wǎng)絡(luò )的不穩定,甚至間接在網(wǎng)絡(luò )上造成拒絕服務(wù)攻擊。
設備感染惡意軟件(Malware)
員工自己的筆記本電腦比公司的電腦更容易被感染,因為大多數員工并沒(méi)有足夠的知識和資源來(lái)實(shí)現充分的自我保護。更棘手的情況是,針對移動(dòng)終端操作系統和應用的Malware層出不窮,大部分基于零日漏洞攻擊,設備尤其是智能終端一旦感染,Malware將通過(guò)空中接口或者藍牙等通道,通過(guò)自動(dòng)調用短信、郵件、文件共享或訪(fǎng)問(wèn)Web頁(yè)面等手段擴散開(kāi)來(lái),令企業(yè)防不勝防。
數據和設備丟失
據業(yè)界權威調查,此項公認為是企業(yè)最大的BYOD安全挑戰。員工的個(gè)人隱私或企業(yè)的關(guān)鍵業(yè)務(wù)數據可能被蓄意破壞。終端的數據偷偷地被感染的Malware發(fā)送到網(wǎng)絡(luò )上,設備之間無(wú)意或惡意的數據共享,或者設備丟失或被盜,都可能給組織和個(gè)人造成經(jīng)濟損失。員工自有設備缺乏有效的安全保護,如自動(dòng)化的配置管理或基于終端的安全軟件,設備之間數據流的可見(jiàn)性和數據防丟失措施也無(wú)法實(shí)現。但是,反過(guò)來(lái)說(shuō),為了安全起見(jiàn),企業(yè)應該收集和監測個(gè)人終端的哪些通信數據呢?例如GPS這樣的數據是否應該納入收集的范圍,雇主這樣做在法理上能否站得住腳?
針對移動(dòng)設備的攻擊
黑客們開(kāi)始認識到,存在于移動(dòng)設備的某些數據是潛在的巨大金礦,游蕩在公共無(wú)線(xiàn)網(wǎng)絡(luò )的黑客無(wú)時(shí)不在想法竊取未受保護的數據。而未經(jīng)授權的應用程序商店也放大了這一風(fēng)險,因為它們可以輕易地分發(fā)移動(dòng)應用程序,其中一些是不合法的。黑客可以變得很世故,偏向用少量的代價(jià)去攻擊高價(jià)值的目標,2011年某機構的安全分析報告統計了BYOD終端遭遇到的Malware,其中80% 以上可用來(lái)對付黑莓手機,這和黑莓手機顯著(zhù)的商務(wù)身份有很大的關(guān)系。
設備間安全策略的不一致
在一個(gè)不成熟的市場(chǎng),行業(yè)標準或政策適用性的差異化案例乏善可陳。琳瑯滿(mǎn)目的移動(dòng)操作系統的版本,再搭配各種各樣的硬件平臺,我們將很容易看到這當中衍生復雜問(wèn)題將是如何地迅速。廠(chǎng)商會(huì )發(fā)現其將很難支持不同的配置管理文件,并很難針對不同的業(yè)務(wù)單元和不同的員工角色實(shí)施不同的安全等級控制。
需要指出的是,上述這些挑戰并非前所未有。過(guò)去,企業(yè)能夠通過(guò)一定的設備或軟件/套件鎖定裝置,以確保用戶(hù)遵守安全規定,但這種好日子已經(jīng)一去不復返。在BYOD的世界,企業(yè)想要在愜意地享受BYOD帶來(lái)的好處的同時(shí),避免遭遇繁雜的安全事故并因此付出高昂代價(jià),就必須在安全控制手段、安全策略和流程上有所革新。另外,從合規性的角度來(lái)看,企業(yè)除了考慮和部署安全風(fēng)險管理,還應該明確員工的責任。比如,如果發(fā)現員工違反安全策略或損害業(yè)務(wù)數據,擦除員工終端上的數據在法律上是可以接受的。最后,真正巨大的挑戰是,企業(yè)如何才能做完這一切而不會(huì )干擾到員工的使用。
