【信息安全】移动安全的限制与开放

然而，无论是新兴还是传统企业，向移动性转型都并非易事。Gartner报告指出，企业面临的最大挑战不是创建移动应用，而是在部署移动解决方案时会花费85%的成本和时间在企业后端应用的集成和安全性上。同样其他调研机构也拿出数据证明：超过80%的安全主管认为，企业面临的外部威胁正与日俱增，近60%的安全主管认为所在企业遇到网络安全大战将难以幸免。该调研报告针对这些调研结果给出结论：技术是解决安全问题和威胁的关键，当前的企业应该重点关注大数据、云计算和移动等技术。

 

先了解变化

在移动技术的强力影响下，中国企业作为全球市场中不可或缺的力量也在经历着一场重大转型。在前不久落幕的2014年亚太区企业移动高峰论坛上，IDC发布一项调查数据表明，中国企业级移动应用市场在2014年已经进入快速发展阶段，移动应用成为很多企业IT建设必不可少的组成部分。预计2017 年中国企业移动应用市场将形成具备一定规模的产业，企业移动解决方案市场将达到46.7亿美元。除此之外，政策的导向以及运营商的不断发力，让国内的移动应用不断涌现出向好的趋势。

借助这些力量，利用移动技术的员工及企业数量在不断增长，但只有不到半数的安全主管表示他们采用了高效的移动设备管理方法。事实上，移动和设备安全在当前已经成熟部署的技术列表上的排名极为靠后。这也造就了移动性为企业传统的安全问题带来了更多挑战的事实。以往企业的安全基本依靠传统的防火墙，今天移动应用将安全问题延伸至设备之外，直至数据消费发生的终端。想要应对移动带来的风险，企业首先需要了解这种变化，才能克服移动性产生的不断变化和日益复杂的安全问题。

新的安全问题之所以如此复杂，是因为受到了人、设备和数据访问网络的影响，这些数据包括结构化的企业信息以及如访问证书、文件和内部网本地副本在内的非结构化数据。此外，市场上的设备不断推陈出新，新设备、操作系统升级和软件升级等层出不穷，它们不断影响企业访问或者查看数据的方式。随着产品越来越容易受到恶意软件和其它攻击，应用生态系统也日益丰富。技术的复杂程度让企业的安全管理成本不断提高，于是不少保守的企业开始试图通过控制产品设备种类，降低移动办公带来的管理成本及风险。他们认为控制能够让企业有效地计划和管理风险，更重要的是，控制为企业高管和IT部门提供了保护企业最为直接的方式。而另一方的观点则认为：这无异于盲目的忽视变化的本质，而仅仅寻求了表面上的安稳。如果企业想更好地控制IT，更好地保护数据，就应该鼓励使用如BYOD等模式的新应用，并为其搭建一个安全的架构。通过把实践放到开放环境令其发挥作用，IT部门能够看到在企业内部真正发生了什么，并采取合适的方式来保护它。

积极的来看，在全面的BYOD情景下，IT部门不仅需要使用并监测被用来访问企业网络的设备，也需要实施强大的安全措施。这可能会大大提升移动管理成本，但由于设备属于员工，用户体验十分重要，个人服务和应用的性能需要不受安全措施的影响。因此从生产力角度来看，这一方面能够强化企业IT部门提升安全防范的意识，构建全新的适于发展的企业移动安全架构，另一方面用户体验的确被提高了。同时，在法律层面BYOD也不容忽视。在BYOD环境中，安全并不是单向的，如果企业不经意地访问了员工的个人数据，他们就要面临被这些员工起诉的风险。因此在BYOD情景中，安全性既包括实施控制以保护员工的隐私，也要保障企业数据。

所以，从发展的角度来看，企业不应该以“保证安全”为名对员工使用BYOD设置障碍，而应该更好的借助现代安全的方式与技术，在全面保障企业数据安全性的基础上为员工使用设备提供全面的自由。

 

数据永远是重头戏

上述情况在国内更为明显，一方面是因为国内企业管理者相对保守；另一方面则是因为从国内的情况来看，中国早已成为数据大国。中国有超过6 亿的互联网人口，遍布各行业的互联网经济，不断优化中的政府及企业IT系统，和爆发增长的物联网和工业互联网，这都为开展数据应用奠定了基础。而在移动技术普及的当下，如何用好并保护好数据资源，对中国的“互联网+”，以及工业 4.0 的发展意义重大。因此，对于今天的中国来说，无论企业是否已经做好了迎接挑战的准备，移动的趋势都不会改变，安全问题也永远不容忽视，其中最为重要的一环就是数据。

对企业来说，数据的重要性不亚于每一次战略调整，在移动的背景下员工的个人设备及其隐私数据的安全性也会被放大。于是企业的IT和信息安全部门还需关注两个重要问题：谁拥有这些数据和数据去向哪里？ 

不同的移动办公模式中，设备管理的思路和企业移动安全的整体策略是不同的。简单来说，智能手机、平板和移动应用让员工在其设备上可以轻松地使用和分享数据，而这些设备能够存储多种类型的数据，包括电子邮件、专有材料、大量图形和视频文件等。因此，在不属于企业的设备或基础架构上运行企业数据，例如BYOD模式，或者以基于员工身份的企业证书访问企业数据，但数据却被企业所控制时，将会出现数据的所有权问题。这会导致企业不能准确知道他们的数据在哪里以及谁在使用数据。

有技术专家建议，在这种情况下企业首先要认识到数据消费发生的终点，不管其在哪个部门、企业、系统，甚至其它什么地方。其次，企业必须允许这些数据消费能够发生并得以实现。同时，还要知道每一个数据消费发生的终点是否在安全可控的范围内。为此，企业需要采用不同的方式。

例如，一个把身份作为核心的集成化平台将会为企业提供强大的新功能来应对短期的移动安全性挑战，同时可以充分满足未来的移动安全需要。更值得一提的是，这种平台合并了移动应用管理和多种工具，并基于身份的安全模式，将会为企业提供严格和全面的框架来解决关键的漏洞，应对传统上以设备为中心的策略所造成诸多挑战及碎片化问题。

随着企业需要支持、管理和维护的工具越来越多，散乱的解决方案只会增加企业成本和复杂性。例如现在许多企业已经转向使用移动设备管理（MDM）、移动应用管理（MAM）和其它更专业的技术，如身份管理、安全容器、安全访问和单一登陆工具，这些工具会在企业内部形成牵引，也会让数据管理难度越来越大。但回归到是否需要控制设备的争论中，如果安全方式为员工使用移动应用和工具设置了障碍，那么这些策略对于企业来说也将适得其反。

不少分析机构也提出了移动安全性和业务增长之间的必然联系。例如，普华永道认为，如果能够及时解决手机的安全漏洞，那么企业能够提高25% 的业务业绩。也就是说，面对复杂的安全及IT管理形式，企业能做的只有不断提升自己的安全技术， 而无法绕过或限制其发展，毕竟数据的安全是企业信息安全的第一要务。

技术专家建议，下一代移动安全战略应该保证企业拥有一个全面的框架。随着业界不断开发创新的基础架构来解决新出现的安全性问题，现在的企业能够采取多种步骤来降低安全性风险：例如将身份与企业拥有或涉及的所有数据相关物进行关联；在企业和个人数据间建立更加清晰的疆界，以防止混淆企业和个人数据； 确保实现安全控制同时又对用户体验不造成影响；确保硬件能够实时访问网络，并遵从安全政策等。

从发展的角度来看，企业必须鼓励顺应时代发展的应用和设备的使用，同时企业信息安全部门需要做好随时迎接更难的数据及设备工具安全性挑战的准备。

 

 

本文刊载于《中国信息化》杂志2015年第5期(2015年5月10日)，敬请关注！