隨著智能終端快速融入人們的生活,
BYOD(Bring Your Own Device,攜帶自己的設(shè)備辦公)成為了很多白領(lǐng)的選擇。
雖然公司領(lǐng)導(dǎo)支持這種個(gè)性化的辦公方式,
但是個(gè)人設(shè)備的多樣化,給公司內(nèi)部的網(wǎng)絡(luò)安全帶來了新的威脅。
如何在增效節(jié)支與網(wǎng)絡(luò)安全可控之間找到平衡點(diǎn),
成為很多公司要解決的問題。
Gartner日前發(fā)布的一項(xiàng)針對CIO人群的調(diào)查顯示,到2016年,將有38%的企業(yè)不再提供任何個(gè)人辦公設(shè)備給員工使用;到2017年,將有50%的企業(yè)要求員工自帶辦公設(shè)備上班。將BYOD和移動(dòng)辦公拒之門外,對于企業(yè)來說顯然是十分不明智的。如洪水般的移動(dòng)辦公和BYOD潮流,對于 企業(yè)來說,堵不如疏。更新自己的安全架構(gòu)以適應(yīng)移動(dòng)辦公和BYOD時(shí)代,是企業(yè)最好的應(yīng)對措施。這樣既保證了企業(yè)可以為用工提供高效、靈活的辦公環(huán)境,又保證了企業(yè)的信息安全。
BYOD勢不可當(dāng)
Gartner副總裁兼特聘分析師大衛(wèi)·威爾斯(David Wills)在Gartner發(fā)布的報(bào)告中表示,BYOD不僅帶動(dòng)企業(yè)內(nèi)部使用移動(dòng)App的人數(shù)大幅增加,而且還推動(dòng)企業(yè)IT部門開發(fā)有別于傳統(tǒng)郵件或即時(shí)通信的移動(dòng)App,例如時(shí)間表、代辦清單、員工自我服務(wù)的人事程序等。Gartner預(yù)計(jì),到2016年,隨著企業(yè)內(nèi)部移動(dòng)App需求的增加和云計(jì)算的發(fā)展,將有40%的移動(dòng)App放置到云端。
不過,大衛(wèi)·威爾斯在其對CIO的調(diào)查中發(fā)現(xiàn),大部分企業(yè)的CIO對BYOD可以給企業(yè)帶來的效益不甚了解,只有22%的CIO認(rèn)為,他們已成功通過BYOD為企業(yè)創(chuàng)造效益。大衛(wèi)·威爾斯建議,就像其他IT趨勢一樣,雖然BYOD還沒有清楚定義或可量化的標(biāo)準(zhǔn),但是CIO還是要把握機(jī)會(huì),展現(xiàn)BYOD業(yè)務(wù)帶來的效益。
BYOD所帶來的安全隱患是企業(yè)最關(guān)心的問題。根據(jù)大衛(wèi)·威爾斯的調(diào)查,大部分企業(yè)認(rèn)為它們有能力應(yīng)對企業(yè)內(nèi)部的移動(dòng)設(shè)備。
大衛(wèi)·威爾斯表示,面對BYOD,企業(yè)應(yīng)該做的是定義要支持哪個(gè)平臺(tái)、如何提供服務(wù)來支持、員工會(huì)獲得哪些服務(wù)、員工對自己的裝置管理職責(zé)與風(fēng)險(xiǎn)是什么,以及員工自帶設(shè)備的類別限制等。
雖然推行BYOD的困難不少,但是Gartner的報(bào)告顯示,到2017年,90%的企業(yè)將在一定程度上支持BYOD。到2018年,員工自有辦公設(shè)備將是企業(yè)提供辦公設(shè)備的兩倍多。
BYOD可以為企業(yè)節(jié)省開支
說到BYOD可以為企業(yè)節(jié)省開支,最直觀的理解就是企業(yè)無需再為員工購置辦公設(shè)備,剩下的預(yù)算可以用來維護(hù)IT設(shè)備或者添置新的IT設(shè)備。
“對于一般公司而言,它們需要花費(fèi)50萬美元來購買和支持1000臺(tái)企業(yè)自購的平板電腦,而對于相同的預(yù)算,它們可以支持2745臺(tái)用戶持有的平板電腦。” Gartner研究主管費(fèi)德里卡·特羅尼(Federica Troni)表示,“因?yàn)椴恍枰Ц督蛸N,所以員工的平板電腦的直接成本要比公司購買的低64%。當(dāng)企業(yè)有些用戶想要使用平板電腦來方便工作時(shí),提供BYOD選項(xiàng)是控制成本的最好選擇。”
Gartner的調(diào)查顯示,企業(yè)對IT設(shè)備增加的投資數(shù)與對BYOD的支持度成正比。移動(dòng)設(shè)備管理(MDM,Mobile Device Management)、總體基礎(chǔ)設(shè)施擴(kuò)展、文件共享和同步是支持BYOD需要的三個(gè)主要技術(shù)投資,如果企業(yè)需要更高水平的安全性和可管理性,還需要在桌面虛擬化和安全隔離方面進(jìn)行投資。
雖然目前已經(jīng)有不少廠商開始提供BYOD的管理解決方案,但是因?yàn)榫W(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用程序和安全問題等因素的限制,目前BYOD還沒有能夠全面實(shí)現(xiàn)安全性和便利性的解決方案,當(dāng)然這也是廠商的努力方向。
BYOD的安全問題可以解決
具體來說,需要解決BYOD所帶來的問題,首先要明確有哪些問題是因?yàn)锽YOD所產(chǎn)生的。開放BYOD后員工的設(shè)備能否與現(xiàn)有工作環(huán)境有效融為一體?是否能確保公司數(shù)據(jù)的安全性?移動(dòng)設(shè)備一旦丟失,如何防止公司的數(shù)據(jù)不泄露?公司是否要投入大量的IT維護(hù)費(fèi)用?
上述幾個(gè)問題是大多數(shù)IT部門主管在討論是否開放BYOD時(shí)最先考慮的問題。
不受管理的移動(dòng)設(shè)備可能會(huì)導(dǎo)致企業(yè)數(shù)據(jù)和服務(wù)遭到外部入侵。離職人員或者入侵者可能會(huì)把某位員工丟失的辦公設(shè)備帶入辦公區(qū)域,通過WLAN訪問敏感企業(yè)數(shù)據(jù)。當(dāng)然這不僅是BYOD的問題,使用公司設(shè)備同樣也存在這樣的風(fēng)險(xiǎn)。
目前來看,這個(gè)問題已經(jīng)可以很好地解決?,F(xiàn)在已經(jīng)有公司可以提供一種能夠分辨使用個(gè)人iPad的員工和使用公司提供的PC機(jī)的員工的網(wǎng)絡(luò)系統(tǒng)。它允許使用標(biāo)準(zhǔn)方法進(jìn)行身份驗(yàn)證,如果客戶端是一臺(tái)個(gè)人移動(dòng)設(shè)備,網(wǎng)絡(luò)會(huì)對其采用不同的安全策略。借助這種識(shí)別功能,IT管理員可以看到網(wǎng)絡(luò)中所有用戶的自有設(shè)備和它們的類型和所有者。通過驗(yàn)證的設(shè)備可以在任何地方連接到公司的系統(tǒng),即便是在外地出差時(shí)。
值得一提的是,這套系統(tǒng)還可以將員工丟失或者被盜的設(shè)備添加到黑名單中,這樣這些設(shè)備就無法在WLAN中通過身份認(rèn)證,從而防止因?yàn)檗k公設(shè)備丟失或者被盜產(chǎn)生的安全風(fēng)險(xiǎn)。
在BYOD剛剛興起的時(shí)候,公司為了控制員工的自有的辦公設(shè)備都會(huì)在其中按照相應(yīng)的管理軟件,讓公司具有遠(yuǎn)程管理用戶設(shè)備的能力,比如當(dāng)員工智能設(shè)備丟失或者被盜時(shí),可以遠(yuǎn)程刪除智能設(shè)備內(nèi)的數(shù)據(jù)。但是這樣做帶來了侵犯個(gè)人隱私的風(fēng)險(xiǎn),因?yàn)橛脩糇约旱闹悄茉O(shè)備之中不僅存有公司的資料,還有大量的個(gè)人信息。
在解決如何在保障用戶個(gè)人設(shè)備上公司信息安全的同時(shí),保障用戶個(gè)人隱私不受侵犯是公司在推行BYOD時(shí)要考慮的問題。
也許采用虛擬化是解決問題的手段之一,虛擬化能隔離企業(yè)敏感信息,具有與生俱來的安全特性,其所有系統(tǒng)和數(shù)據(jù)都存儲(chǔ)在后臺(tái),前端設(shè)備與虛擬機(jī)之間傳輸?shù)闹皇擎I盤、鼠標(biāo)動(dòng)作和顯示界面的刷新部分,而非完整的數(shù)據(jù)包,再加上多種加密技術(shù),可有效保障企業(yè)信息安全。
SEMCO能源公司IT經(jīng)理馬特·科斯特(Matt Kosht)的做法可能值得很多公司借鑒。“大多數(shù)IT主管都傾向于對BYOD采取控制措施。他們通常認(rèn)為如果我控制了BYOD,我就能保證它的安全。我比用戶有更多的權(quán)限,這樣就能保證安全。”但事實(shí)上并不是這樣的??刂撇⒉灰馕吨欢ò踩?/p>
“我不得不承認(rèn)大多數(shù)IT部門都會(huì)在某種意義上喜歡懲罰用戶。用戶選擇了BYOD,那么很抱歉,用戶的設(shè)備將被鎖定,以防止訪問一些不該訪問的服務(wù)??扇绻脩舨幌矚gIT部門的所作所為,那么他們很可能會(huì)不斷地替換設(shè)備,這樣可能會(huì)導(dǎo)致其他更多的問題。對用戶控制得越多,他們越可能制造問題。” 馬特·科斯特強(qiáng)調(diào)。
“并不是說不重視終端的安全。終端的安全也有很多事情需要IT管理人員去做,比如數(shù)據(jù)加密、PIN碼鎖定等。但是最重要的還是關(guān)注數(shù)據(jù)安全,數(shù)據(jù)才是重中之重。終端不過是數(shù)據(jù)處理的一種方式。” 馬特·科斯特這樣認(rèn)為。
事實(shí)上,數(shù)據(jù)加密或屏蔽設(shè)備并不難,真正難的是如何對數(shù)據(jù)進(jìn)行分類,識(shí)別哪些是需要保護(hù)數(shù)據(jù),為不同設(shè)備制定不同的安全策略,以及如何高度自動(dòng)化地實(shí)現(xiàn)這一目標(biāo),而不至于大幅度增加IT維護(hù)的成本和員工負(fù)擔(dān)。
馬特·科斯特認(rèn)為,雖然用戶并不喜歡MDM,但是對于公司來說MDM是必要的,所以需要IT管理人員將其打包安裝到移動(dòng)設(shè)備里。而且需要教會(huì)員工在不同地方使用數(shù)據(jù)時(shí)該如何保護(hù)數(shù)據(jù)。
硬件安全問題
MDM可以提供全生命周期的移動(dòng)設(shè)備管理。從設(shè)備注冊、激活、使用、淘汰各個(gè)環(huán)節(jié)進(jìn)行全面管理。MDM能實(shí)現(xiàn)用戶和設(shè)備管理、配置管理、安全管理、資產(chǎn)管理等功能。MDM還能提供全方位安全體系防護(hù),同時(shí)在移動(dòng)設(shè)備、移動(dòng)App、移動(dòng)文檔三方面進(jìn)行管理和防護(hù)。
MDM確保企業(yè)移動(dòng)安全通常涉及以下四個(gè)階段。
第一階段,MDM配置設(shè)備。由負(fù)責(zé)企業(yè)移動(dòng)的移動(dòng)IT部門和安全工程師決定哪種設(shè)備會(huì)被保留。這個(gè)階段包括利用所有現(xiàn)有的公司網(wǎng)絡(luò)設(shè)施以此幫助避免資源復(fù)雜化和重復(fù)化。
第二階段,MDM管理所有的設(shè)備。包括筆記本電腦、智能手機(jī)、平板電腦等用戶自帶的辦公設(shè)備。員工被允許訪問企業(yè)特定的資源,包括應(yīng)用程序、電子郵件,確保目錄安全和基于云的文件存儲(chǔ)IT部門可以向使用移動(dòng)設(shè)備的員工發(fā)布公告,告知他們什么是被允許的和什么是不允許的,明確使用規(guī)則非常重要。
第三階段,MDM管理使用者的移動(dòng)應(yīng)用程序。在這個(gè)階段,必須解決幾乎無限的應(yīng)用程序管理問題。設(shè)備、人員和操作系統(tǒng)平臺(tái)都是有限、相對可控的,但是應(yīng)用程序數(shù)量、種類卻是時(shí)刻都在發(fā)生變化。MDM可以幫助企業(yè)解決一系列相關(guān)的問題,包括提供一個(gè)私人的、公司特定的應(yīng)用程序商店等。一個(gè)這樣的公司應(yīng)用程序庫對于整個(gè)公司的部門,以及應(yīng)用程序的保存和發(fā)布都是方便有效的,并且提供最嚴(yán)格的安全和最佳的最終用戶體驗(yàn)。
第四階段,移動(dòng)設(shè)備管理控制成本。由于MDM設(shè)計(jì)的應(yīng)用程序接口可以監(jiān)測用戶的情況,這樣企業(yè)就可以有效地減少非必要的電話和數(shù)據(jù)流量開支。
IDC的數(shù)據(jù)顯示,智能移動(dòng)終端將超過電腦成為訪問互聯(lián)網(wǎng)時(shí)使用最多的終端,企業(yè)用戶對移動(dòng)應(yīng)用程序的需求也從最初的收發(fā)電子郵件、辦公自動(dòng)化,拓展到業(yè)務(wù)類應(yīng)用程序的移動(dòng)化。企業(yè)面臨著大量內(nèi)部和外部移動(dòng)應(yīng)用程序的管理和分發(fā)。因此,移動(dòng)應(yīng)用管理(MAM,Mobile Application Management)應(yīng)運(yùn)而生。
應(yīng)用程序安全問題
MAM可以制定針對員工移動(dòng)設(shè)備應(yīng)用程序的安全保護(hù)、分發(fā)、訪問、配置、更新、刪除等策略和流程。通過企業(yè)應(yīng)用商店控制和推送應(yīng)用程序,MAM能集中監(jiān)控應(yīng)用程序的使用情況,對應(yīng)用程序設(shè)置相應(yīng)策略以滿足企業(yè)的要求。
MAM的大原則是不能干擾員工個(gè)人的應(yīng)用程序,不觸犯其個(gè)人隱私權(quán),這也是員工最在乎的。當(dāng)然MAM要在保障員工個(gè)人隱私的同時(shí),保證用戶在存取公司的系統(tǒng)或檔案時(shí)嚴(yán)格控管。這種情況下的管理復(fù)雜度相當(dāng)高,員工的移動(dòng)設(shè)備有各式各樣的平臺(tái),有各式各樣的應(yīng)用程序,MAM平臺(tái)要有辦法應(yīng)對各種平臺(tái),而不只是管理或限制設(shè)備本身的功能。
MAM能夠防止惡意軟件攻擊,并在企業(yè)內(nèi)部建立一個(gè)可信的應(yīng)用商店,對企業(yè)內(nèi)部的應(yīng)用程序進(jìn)行管理和分發(fā)。要知道,木馬應(yīng)用程序是公共移動(dòng)應(yīng)用商店存在的一個(gè)大問題,企業(yè)移動(dòng)應(yīng)用商店同樣可能受到這些惡意軟件的攻擊,例如來自心懷不滿的員工的內(nèi)部攻擊,或者來自內(nèi)部企業(yè)應(yīng)用程序捆綁的第三方軟件和服務(wù)包。IT部門要在企業(yè)內(nèi)部搭建一個(gè)應(yīng)用商店,對企業(yè)應(yīng)用程序進(jìn)行管理和分發(fā)。
為防止企業(yè)移動(dòng)應(yīng)用商店含有惡意軟件,MAM能夠提供對上架前的應(yīng)用軟件進(jìn)行安全掃描服務(wù)功能。企業(yè)移動(dòng)應(yīng)用商店通過惡意軟件檢測平臺(tái)對應(yīng)用程序進(jìn)行快速安全檢測,對于返回有安全隱患的應(yīng)用程序由管理員決定是否上架。
移動(dòng)打印 BYOD的突破口
說到BYOD的應(yīng)用程序,移動(dòng)打印可以說是走在了所有的應(yīng)用程序之前??履峥滥苓_(dá)已經(jīng)向市場推出了云打印解決方案以滿足基于移動(dòng)設(shè)備的輸出需求,如:向客戶免費(fèi)提供的PageScope Mobile Utility,它很好地解決了移動(dòng)辦公文印的輸出需求。在解決打印輸出需求的同時(shí),柯尼卡美能達(dá)也會(huì)在近期上市一些能滿足基于云端應(yīng)用程序的解決方案,該解決方案能夠幫助客戶將文檔更為快速方便地上傳到云端,并可以直接與目前在企業(yè)流行的如DropBox、Evernote、SkyDrive和SharePoint 等云應(yīng)用文檔掃描解決方案進(jìn)行整合,便于企業(yè)更為便捷地分享文檔。
理光也早已開始以云打印和云存儲(chǔ)為核心的解決方案的開發(fā),目前理光利用自己開發(fā)的Smart Device Print等軟件幫助一些具有基礎(chǔ)需求的BYOD用戶實(shí)現(xiàn)iPad、iPhone等移動(dòng)設(shè)備與數(shù)碼復(fù)合機(jī)的無縫連接。未來隨著相關(guān)的應(yīng)用程序的增多和成熟,理光將推出更多云復(fù)合機(jī)解決方案。
惠普提供了相應(yīng)的惠普云打印解決方案來服務(wù)客戶。惠普企業(yè)級(jí)云打印解決方案(HP ePrint Enterprise 2.1)是一種基于私有云的服務(wù)。私有云保證了企業(yè)內(nèi)部的分享,不用擔(dān)心信息安全的風(fēng)險(xiǎn),這個(gè)物理隔斷阻止了外部入侵,支持員工在外出途中也能安全打印重要的業(yè)務(wù)文檔。借助與企業(yè)網(wǎng)絡(luò)的無縫集成,隨時(shí)隨地進(jìn)行打印。借助嵌入式AirPrint,也可以輕松使用iPad、iPhone和iPod Touch進(jìn)行無線打印,從而大幅提高文印效率。