BYOD风潮渐起 企业安全管理的灰色地带不容小视

来自Gartner、IDC、iSupply等不同研究机构的预估,都确认智能型手机的销售量终将在未来数年内超越传统的个人计算机,智能型手持设备的热潮已经成为资通讯产业的发展重点之一。然而这种”携带自有设备(Bring Your Own Device,BYOD)”的风潮,同时也让企业的安全管理出现了灰色地带,进而提高企业可能遭受攻击或数据外泄的安全风险。

智能型手持设备的热潮,自从2007年iPhone问世以来,席卷全球,并成为过去5年来资通讯产业的发展重点之一。根据市场研究机构IDC的研究,智能型手机的出货量,在2010年第4季以1.009亿支首度超越了个人计算机的9210万台。

移动终端

尽管2010整年度的个人计算机销售量仍高于智能型手机,但根据来自Gartner、IDC、iSupply等不同研究机构的预估,都确认智能型手机的销售量终将在未来数年内超越传统的个人计算机,虽然各家分析机构预估发生的时间点从2012年到2014年不等,但此一大趋势已然受到业界普遍的肯定。

移动设备快速普及 增添企业安全风险

iPhone、iPad、Android、Windows Phone等智能型移动设备的快速普及,让过去仅能够透过个人计算机进行的许多工作,如上网、查询数据、收发电子邮件、玩游戏等,如今都可以直接透过这些移动设备完成,事实上,这也让许多企业内的一般员工,乐于把这些私人拥有的移动设备,带到公司的工作环境里。

这种”携带自有设备(Bring Your Own Device,BYOD)”的风潮,随着消费性电子设备的功能日益强大,正在全球各地的大小企业里蔓延,这让过去一向泾渭分明的企业用设备与消费性设备间的界线变得模糊,同时也让企业的安全管理出现了灰色地带,恐怕有损企业安全管理的完整性,也提高了企业可能遭受攻击或数据外泄的安全风险。

事实上,企业针对移动设备进行安全控管并非新鲜事,许多企业针对高阶主管配发黑莓机(BlackBerry),便是看上其加密通讯的特色,认为能够在增加移动化的好处之余,也不会牺牲企业信息的安全性。

经由企业配发的移动设备必须符合企业的安全政策,这其实是多数企业早就已经在做,甚至都做得很好的事。

但是在结合了BYOD、IT消费化(Consumerization of IT)等需求环境的移动设备浪潮中,基层员工携带使用自备设备的机会大幅增加,在未受到企业安全政策保护的状况下,自备的移动设备极可能被员工私下用来进行与工作相关的任务,或是储存了企业营运的公务、机密数据。因此,一旦员工遗失手机,或被有心人士取得,后果将不堪设想。

面对IT消费化热潮 企业应明定安全政策

面对来势汹汹的移动设备热潮,企业必须正视员工将自有设备带入企业环境的现况,并将过去鲜少考虑涉及到此问题的安全政策,因应现状而进行修正与变更,必须把这些个人的移动设备也一并纳入企业安全管辖的范围内。

首先,企业必须思考:本身的业务模式,员工是否真的需要采用这些移动设备?如果不需要,则应该在和员工的工作约定条款中,明确约定不应该在私人的设备上执行公务,以划清公司与私人之间的界线。

不过,在当今多数企业或多或少都得仰赖信息科技来维持营运的状况下,要完全禁止员工在自己的设备上进行与公务相关的事务,几乎是不可能的事。

因此企业应该回归到探讨其本身的安全政策对于数据安全要求层级、隐私数据的定义,再来决定如何针对这些私人移动设备进行管理。 举例来说,员工或许不会在智能型手机上存取带有大量营运或客户数据的电子表格档案,但手机通讯簿中却可能存有不特定往来用户的联络数据,如果企业的安全政策认定这些信息也需要保密,那么势必就得把员工的手机列入管理,或干脆直接统一采购,派发手机给员工。

但毕竟在成本控管当道的状况下,企业不大可能拨配大笔公费去购买所有的移动设备给员工,此外,也并非所有员工都需要利用移动设备来处理公务,因此如何在BYOD与安全防护间找到合理的平衡点,便十分重要且深具挑战。

开放与管理 必须相辅相成

首先,企业可以要求员工,一旦要把私人移动设备带进企业环境中,就必须要向企业预先申请登录,公司便可以依据本身在成本与管理精细度的需求,订定相应的管理政策。

例如要求员工必须在手机或平板计算机上安装防病毒软件,或是提供须使用移动设备的员工在链接回公司内网,透过虚拟私有网络(VPN)时,仍需要有原来公司无线网络的认证(如LEAP)等安全措施。并且,以技术强制员工必须设定足够强度的保护密码,以确保当手机遗失时,捡到手机的他人无法轻易地启动该设备。

此外,企业也应该确认,申请BYOD的员工是否真的在工作业务上,有使用移动设备来执行公务的需求。若需求不大,为了安全防护理由,企业未必要就需予以核准。

当自备设备进入企业环境,企业可考虑配备端点软硬件管理与防护,提供用户实时防护病毒、木马程序、间谍软件、rootkits等恶意软件攻击,还有网页信誉评Web Reputation、个人防火墙、行为监控等功能。

以IBM公司本身在内部移动安全的控管为例,便是以既有安全政策为核心(安全治理/风控/符规、人员、数据与讯息、系统与流程、服务器/端点/存储器/网络、实体安全),然后将安全政策延伸到移动设备上。

来自Gartner、IDC、iSupply等不同研究机构的预估,都确认智能型手机的销售量终将在未来数年内超越传统的个人计算机,智能型手持设备的热潮已经成为资通讯产业的发展重点之一。然而这种”携带自有设备(Bring Your Own Device,BYOD)”的风潮,同时也让企业的安全管理出现了灰色地带,进而提高企业可能遭受攻击或数据外泄的安全风险。

举例来说,员工使用智能型手机连入公司内网的应用系统时,便有许多限制,首先便是对员工的工作内容是否有此需求予以评估,除了少部分高阶主管是直接配给外,一般员工若要在自己的移动设备上使用公司邮件系统,必须经过主管审核确认在工作内容上有其需求,才够赋予适当权限。

公司可以透过管理工具限制此移动设备在公司内部或外部能做那些功能,不能做什么功能,譬如进到公司范围照相功能自动失效。如果遗失,也可远程销毁数据。

审核通过了以后,还必须有公司发给的密钥凭证以及账号密码,才能使用位于DMZ的Lotus Notes Traveler push mail服务器。甚至,在手机所采用的操作系统上面,也应该有特别的规范,例如目前台湾IBM内部尚未开放员工使用iPhone透过VPN联机进入内网的应用系统。

之所以会封锁iPhone的原因,是因为iPhone本身无法安装防病毒软件,因此可能会带来额外的风险,如此违背了IBM的安全政策,所以不予允许。

虽然IBM可以允许持有Android操作系统移动设备的同仁登入公司内网的应用系统,但前提是这些移动设备必须已安装防病毒软件,以及必须透过安全的联机方式。

此外,IBM也针对高阶主管直接配发符合公司安全管理政策的黑莓机,一方面满足高阶主管移动工作的需求,同时也兼顾安全性。

不过iPhone拥有广大的使用者,企业也不可能无视这些使用者的需求,因此IBM实验室内部也正在针对iOS平台的设备进行测试计划,iPhone手机上必须先安装公司发出的密钥凭证及VPN联机的相关软件,才可以连入内网应用系统,更重要的是,手机一旦进入待机模式,便得输入符合规定强度的密码后,才能重新取用。

专责安全官监督 确保安全风险管理融入流程

再好的安全政策或管理工具,一旦遇上了未能确实执行的员工,便很难避免人为所造成的漏洞。国内外许多数据外泄的新闻事件,都显示即便公司有良好的安全规范,却仍难逃大意的员工造成的漏洞。

换言之,企业除了制定安全政策、采购安全管理软硬件工具之外,最好确定能在公司内部设置安全长(Chief Security Officer)类似职务,配置专门的人力及资源以确保安全政策能够真正融入企业文化与工作流程之中。

在移动设备的快速成长下,固然会对企业安全管理带来挑战,企业在捉住移动商务的商机热潮之外,也应该同时将其纳入企业监控管理的范围,才能确保在享受便利的同时,不让黑客把便利用在攻击上。

移动信息化交流QQ群:一号群:211029692 二号群:344692795 CIO交流群:316076815(需认证)

移动化问答社区:wenda.yidonghua.com



1 星2 星3 星4 星5 星 (还没有打分,快来打分吧!)
Loading...
 
已有 0 条评论
返回顶部

无觅相关文章插件,快速提升流量