BYOD時代移動信息安全:必須關注數據
當前移動智能終端的能力日進千里,企業移動解決方案隨著移動互聯網的發展漸漸成熟,BYOD(攜帶自己的設備辦公)也趁勢走俏。BYOD模式對于提升企業工作效率和滿足員工個性化需求方面具有莫大的優勢,但也不可避免地帶來新的安全威脅。
為幫助企業解答BYOD的安全困惑,并走上高效、安全的移動信息化之路,近日記者采訪了知名移動信息化安全專家、北京明朝萬達科技有限公司(以下簡稱“明朝萬達”)董事長兼總裁王志海,探討了在BYOD時代企業信息安全存在的安全隱患,以及企業應當如何來防范這些新的安全威脅。
從BYOD工作模式的特點出發,王志海分析了傳統應對方式存在的一些不足之處。并表示:BYOD是移動信息化一個重要的部分,不能將BYOD安全與移動信息安全割裂,還要把移動安全置于整個企業的移動信息化策略之中考慮。
換言之,傳統的企業信息安全范式必須被打破,企業要從實際的移動業務系統建設需要出發,構建一個技術平臺,從數據、應用、網絡和設備等多個層面來整體管理BYOD時代的信息安全。
BYOD:三大安全隱患待解
我國BYOD的安全形勢不容樂觀。根據產業情報研究所(MIC)針對國內企業移動資安投資需求的調查結果顯示,85%以上的企業認為,有必要鎖定BYOD行為,再加強企業內部的移動資安防護。但目前只有12%的大型企業建置移動安全解決方案,60%以上的大型企業表示,將在考量BYOD的資安問題下增加對移動資安的投資。
BYOD究竟如何不安全?王志海指出,相比傳統信息化的模式,BYOD環境主要存在三個方面的安全隱患:首先是通過移動網絡鏈路接入,天然處在一個開放的網絡,而傳統重要的信息系統都是通過企業內網接入;其次,使用的環境與傳統信息化模式不一樣,傳統的大部分時間都在固定的辦公場所,設備丟失可能性很小,BYOD通常使用移動智能終端,更加容易丟失;第三,BYOD使用的個人設備上往往同時安裝很多個人的APP,而個人APP市場上的惡意軟件多如牛毛,這就將企業數據置于安全隱患之中。
他進一步解釋說,鏈路接入方面,除了傳統的防火墻,還要防止VPN、鏈路加密、接入認證等方面的安全,畢竟通過運營商網絡,還有通過公用WIFI接入,如果沒有加密技術的保護,任何人都可能無障礙地訪問到企業的數據。而在終端方面,因為有很多企業數據如包含企業重要信息的電子郵件,落到個人手機上,這樣不管是惡意軟件或者設備丟失,都有可能發生信息泄密的問題。
MIC的調查佐證了王志海的觀點。調查發現,將近4%的大型企業曾經遭遇過移動資安事件,主要是受到“設備失竊(42.1%)、員工將機密資料存于手機設備后外泄(36.8%)、以拍照方式外泄(31.6%)”等因素所引起。
傳統局限:未關注數據安全
雖然上述調查數據顯示移動安全事件的比例并不大,但斯諾登的陰影讓我們難以安心:若BYOD的應用真正普及之后,傳統的防護措施將會捉襟見肘,大抵算是開門揖盜了。
對于傳統安防措施的不足之處,王志海從技術角度分析了其不足之處。首先,他認為,傳統的安全防護軟件通常聚焦于防病毒、防火墻、IDS、鏈路加密等,并沒有真正關注到數據,當數據落地到BYOD設備上,就再也無法進行管理。另一方面,現在的惡意軟件很難用傳統被動防護的方式來防御,一些看似合理讀取數據,往往會侵害到企業的信息安全,卻不能被傳統防毒措施所查殺。再者,比如IPsecVPN甚至一些SSLVPN,也難以兼容復雜多樣的移動終端操作系統。
而從設備管理角度來說,BYOD最大的特色是使用個人的設備,而目前比較受到關注的是MDM(移動設備管理)的管理方式。但王志海指出,MDM用傳統的企業管理PC的模式來管控這些個人的設備,在個人設備上安裝和企業設備一樣的監控系統,由于涉及到個人設備大量的個人隱私,會導致最終用戶的反感,從而影響BYOD的設備實際使用量,這就違反了BYOD部署的初衷。
也就是說,這種方式只是把個人設備當成一個整體來管,沒有真正關注BYOD時代企業最關心的應用和企業的數據。
避免誤區:純MDM本質上傷害BYOD
從實踐來說,王志海認為,國內的企業做得還并不完善,由于缺乏整體規劃,終端安全方面的實踐固然還存在不足,數據安全方面也處于開始反思、整理、上升的階段。
由于BYOD時代接入企業業務系統的移動設備的情況相當復雜,企業也感受到,不論在設備的管理和維護還是企業的信息安全方面,都給企業IT部門帶來了相當大的挑戰。在此背景下,許多供應商提供了移動設備管理的MDM解決方案,有一些部署MDM解決方案的企業也自認為具有應對BYOD的遠見。
然而,王志海強調,沒有關注到企業數據的MDM,是治標不治本的,不能作為移動安全防護的主力軍。“單純的MDM本質上對BYOD是一種傷害,并不是一種助力。”王志海表示,“要慎重采用。”他認為,對MDM的一些公開的宣傳與用戶的需求有些脫節。
另外一個誤區就是跨平臺性。例如,一些企業做移動信息化,出于各種各樣的原因,往往會找開發移動應用廠商順便做安全的東西,或者是找終端硬件供應商同時提供一些安全的產品。王志海指出,這樣的做法在初期可能會節省成本并縮短部署時間,但由于設備和移動應用的更新很快,這種安全產品往往會很快就跟不上企業更新換代之后的實際需求。
王志海強調,明智的策略是明確目標,進行總體規劃,關注企業應用和應用中的數據安全,把邊界給明確。另外,企業移動信息安全是一個整體,安全同時包括了BYOD設備和企業的設備、還包括一些企業的物聯網設備,都是通過移動互聯網接入,因此,企業應當從整體來規劃。
明智策略:整體規劃構建安全平臺
如何進行整體規劃呢?王志海指出,移動安全有和企業的整個移動信息化分不開,因此企業首先需要明確哪些業務將要放在移動信息化的范疇之中,先把業務整理清楚,然后不管在移動安全,還是整個移動APP應用平臺上,都要以平臺的方式來建設。
他認為,技術平臺更重要的含義是把一些安全管理的規范落實到平臺上,要求所有的移動應用按照規范接入到企業內部的信息系統中來。
企業移動安全平臺應當包括哪些內容?王志海說,首先是MAM(Mobile Application Management,移動應用管理)。企業級的移動應用發布,如果通過公共的AppStore或者安卓商店,很容易中木馬,員工要獲取可信可控的APP,可以通過結合企業內部App Store的MAM技術。
其次是鏈路和網絡安全。除了新技術,包括傳統的防火墻、VPN等方式也要升級。VPN在沒有入口、跨平臺、跨設備的情況下如何使用?王志海說,VPN要作為應用級的安全鏈路,這就打破了傳統簡單的IP層鏈路跨設備能力弱的瓶頸。
對于一些有更高級的要求的企業,王志海建議,可以要求一旦接入企業內部網絡時斷開其他的網絡,以防止木馬擺渡。
第三,數據安全方面,包括數據在本地落地的保護,防止木馬,防止第三人拿到設備看到企業的數據,王志海之處,一旦設備丟失,應當可以遠程銷毀。
最后,輔助性的終端管理,即MDM。比如有些企業可能需要禁止不安全的WIFI,王志海認為,可以做到當企業級應用開始運行的時候,才會啟用該策略,當企業級應用關閉時,就是個人設備作為滿足個人的需求使用,無須干涉。
基本原則:勿忘獨立性與合規性
建設移動安全平臺需要注意的事項,王志海指出,應當堅持兩個基本的原則,首先是移動安全管理的獨立性,即獨立于軟硬件的廠商,對各種應用和各種終端平臺,都可以支撐。其次,要考慮合規性,尤其是一些大型的國企,必須選擇符合安全法規的產品,以確保安全并避免投資浪費
