IT消费化理念已经深入人心。现在全球越来越多的企业已经开始允许员工带上自己的设备(BYOD)接入工作场所的网络进行个性化办公,这无疑能够使工作更加高效并富有创造力,与此同时,BYOD还为企业逐步转变旧有的刻板IT管理方式提供了很好的机会。
然而,安全性和可用性之间的战争永远不会停止,BYOD就是一个例子,它也带来了诸多挑战。BYOD使用户隐私和可访问性之间的界限日益模糊,于是网络、数据以及设备的安全问题随之暴露出来。今天,企业需要面对林林总总的BYOD安全陷阱,尤其以下5项最为突出。
带宽消耗,工作效率低下
许多企业已经发现,相比于企业自有的桌面终端,移动设备往往不具有同样严格的安全策略执行能力。这一差距诱使许多员工尝试使用其移动设备来访问视频流、在线游戏等许多被企业安全规则拒绝的应用程序,无形中也占据了企业的网络带宽,降低了工作效率。另外,让员工自有设备无序进入工作场合将必然会是安全管理的梦魇,错误的终端配置和恶意的无线接入会导致网络的不稳定,甚至间接在网络上造成拒绝服务攻击。
设备感染恶意软件(Malware)
员工自己的笔记本电脑比公司的电脑更容易被感染,因为大多数员工并没有足够的知识和资源来实现充分的自我保护。更棘手的情况是,针对移动终端操作系统和应用的Malware层出不穷,大部分基于零日漏洞攻击,设备尤其是智能终端一旦感染,Malware将通过空中接口或者蓝牙等通道,通过自动调用短信、邮件、文件共享或访问Web页面等手段扩散开来,令企业防不胜防。
数据和设备丢失
据业界权威调查,此项公认为是企业最大的BYOD安全挑战。员工的个人隐私或企业的关键业务数据可能被蓄意破坏。终端的数据偷偷地被感染的Malware发送到网络上,设备之间无意或恶意的数据共享,或者设备丢失或被盗,都可能给组织和个人造成经济损失。员工自有设备缺乏有效的安全保护,如自动化的配置管理或基于终端的安全软件,设备之间数据流的可见性和数据防丢失措施也无法实现。但是,反过来说,为了安全起见,企业应该收集和监测个人终端的哪些通信数据呢?例如GPS这样的数据是否应该纳入收集的范围,雇主这样做在法理上能否站得住脚?
针对移动设备的攻击
黑客们开始认识到,存在于移动设备的某些数据是潜在的巨大金矿,游荡在公共无线网络的黑客无时不在想法窃取未受保护的数据。而未经授权的应用程序商店也放大了这一风险,因为它们可以轻易地分发移动应用程序,其中一些是不合法的。黑客可以变得很世故,偏向用少量的代价去攻击高价值的目标,2011年某机构的安全分析报告统计了BYOD终端遭遇到的Malware,其中80% 以上可用来对付黑莓手机,这和黑莓手机显著的商务身份有很大的关系。
设备间安全策略的不一致
在一个不成熟的市场,行业标准或政策适用性的差异化案例乏善可陈。琳琅满目的移动操作系统的版本,再搭配各种各样的硬件平台,我们将很容易看到这当中衍生复杂问题将是如何地迅速。厂商会发现其将很难支持不同的配置管理文件,并很难针对不同的业务单元和不同的员工角色实施不同的安全等级控制。
需要指出的是,上述这些挑战并非前所未有。过去,企业能够通过一定的设备或软件/套件锁定装置,以确保用户遵守安全规定,但这种好日子已经一去不复返。在BYOD的世界,企业想要在惬意地享受BYOD带来的好处的同时,避免遭遇繁杂的安全事故并因此付出高昂代价,就必须在安全控制手段、安全策略和流程上有所革新。另外,从合规性的角度来看,企业除了考虑和部署安全风险管理,还应该明确员工的责任。比如,如果发现员工违反安全策略或损害业务数据,擦除员工终端上的数据在法律上是可以接受的。最后,真正巨大的挑战是,企业如何才能做完这一切而不会干扰到员工的使用。
