论文部分内容阅读
美国政治家和科学家本杰明·富兰克林说过这样一句话:“放弃基本的自由以换取苟安的人,终归会失去自由,也得不到安全。”
来自250多年前的这一警句可能还会适用于当前业界所热议的BYOD(Bring Your Own Device,自带设备)趋势:一方面BYOD思想所倡导的是“让移动终端在办公室里更自由”,另一方面企业需要尽可能消除由此带来的安全威胁,IT部门是否能够“鱼与熊掌兼得”?
当前IT消费化的潮流越来越明显,这意味着,没有受到企业管理的设备正在被员工带入到企业环境,用于访问业务数据。IT消费化是一种新的模式;而且与大多数新模式一样,无论我们喜不喜欢,这股潮流已不可逆转。
这种认可来自于一些不同因素的推动作用。首先,企业需要提高生产效率,加速客户、部署以及销售流程之间的衔接;其次,越来越多的企业开始在海外开展业务,全球化的趋势使得企业需要更加简便、快捷的沟通方式;最后,企业在移动应用方面的努力也会改善其与客户之间的关系。ZK Research 2012年所进行的一项调查显示,有82%的受访企业已经允许员工自带设备上班,并允许员工将消费级的产品应用于工作之中。其中有23%的企业不会为员工的自带设备提供技术支持,有39%的企业会提供有限的技术支持,而会为员工自带的设备提供技术支持的企业占据了整个调查的39%。在这一报告所调查的所有样本中,只有18%的企业表示在办公室中不允许自带消费类设备。
无独有偶,来自思科的调研报告同样反映了这种趋势。这一调查显示,大多数企业目前正在采用BYOD模式,其中95%的受访者表示他们的企业允许在工作场所中以某种方式使用员工自有的设备。调查还得出结论称,截至2014年,每名员工的连接设备数量将有望从2012年的平均值 2.8台增长到3.3台。调查同时表示,BYOD趋势很可能带来显著的成本和生产效益。超过3/4(76%)的受访IT主管认为:BYOD虽然给IT部门带来了巨大挑战,但是对他们的公司却产生了比较积极甚至是非常积极的影响。这些调查结果彰显了BYOD存在的意义。IT主管们认为,我们需要一个更加全面的方案,这种方案具有伸缩性,可用于解决移动性、安全性、虚拟化以及网络政策管理,进而在提供最佳体验的同时有效控制管理成本,实现最大程度的节约。同事,IT主管们也表示,企业需要解决BYOD所带来的安全和系统支持方面的隐患,并在企业效益和安全之间进行平衡。
企业业务正在开始对移动应用产生一些依赖。由于业务的需要,使得企业员工也可以更加“光明正大”地将自己的设备带入办公室,获得更多的“自由”。同样是在业务的推动下,企业也不得不需要解决更多BYOD所带来的安全问题。
尽管都是自由与安全的话题,不过实际上,BYOD如今所面临的挑战要比富兰克林当初面临的挑战来得更加直接。对我们来说,重要的不是道德层面的自由与否,而是如何最大限度地使企业及其员工提高效率。然而,要知道,加强BYOD安全方面的任何工作一定要掌握一个“度”,过犹不及只会适得其反。
BYOD的前提不容忽视
要想实施BYOD,我们首先要对系统访问密码的使用订下规则。这并不是个老生常谈的问题。首先,提高密码安全性的措施之一是将其设计得长而复杂,而且含有组合使用的大小写字母外加数字和标点符号。
此外,在企业应用中,我们还应该保证内部系统实施了单点登录策略,也就是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。否则,要合理确保安全,用户就必须为使用密码的每个系统和每个网站设置不同的密码。这是很繁琐的一项工程。
从信息安全的角度来看,第三条常识性的小贴士是,不要把密码写在纸上,以免安全信息遭到泄露。
为什么我们要在这里重新拿出“做好密码保护”这个谈了多年的问题进行讨论呢?因为很多公司限制员工使用新技术的理由就是:安全和合规考虑。其实,这并不是一个理由,做好密码保护就已经在很大程度上确保了安全。
因此,如果企业对BYOD感兴趣并打算向公司内部推广的话,先向员工普及一些密码知识吧。
信息安全
不能因噎废食
BYOD概念的热议引申出了这样一个观点:尽管IT部门百般不情愿,但BYOD潮流还是在不断“水涨船高”,我们应该积极支持BYOD潮流。其实,实施BYOD对大多数公司来说并非难事。
另有一种观点认为,BYOD会加大数据盗窃以及泄漏的风险,而且有可能会触动“合规”这个敏感的神经。
然而,我们不能为了实现信息安全和法规遵从就“因噎废食”。实际上,想完美地保护数据,最省事的办法就是断开互联网,禁用USB端口,以及采取其他各种可能的措施,禁止数据从一台计算机传输到另一台计算机,显然如今这是不可能的。
说到数据,IT部门要明白,员工所接触的每一个数据字节都有可能包含恶意代码,而且很难筛选剔除出来。
因此,IT部门更需要打起十二万分的注意力。特别是,针对内网信息系统的访问请求,开始越来越多地来自身处企业外部的远程工作人员、业务合作伙伴和客户,因此,我们必须要知道,保护资产方面的重心绝不仅限于加固企业网络边界就可以了,这一点极其重要。也就是说,企业加密数据库和笔记本电脑硬盘所获得的安全性比升级防火墙要强得多。
离线VDI:
兼顾自由和安全
BYOD的大潮将其同另一种技术紧密结合在了一起。这项技术现已很成熟,迎来了黄金时期,那就是:Virtual Desktop Infrastructure(VDI,虚拟桌面基础架构),与BYOD关系尤其“亲近”的是其中一个分支——离线VDI。
离线VDI正如其名,用户可以离线使用远程数据。同普通VDI一样,离线VDI同样在服务器上保管着每个用户虚拟机的中央镜像(central image),但该镜像可以下载到用户的个人计算机上,并在本地运行。当用户重新连接到企业网络时,用户计算机会与服务器重新同步数据,上传用户所做的任何变更,同时下载任何集中管理的改动内容,如软件补丁和反恶意软件更新版。 就算没有出现BYOD潮流,大多数打算部署VDI的企业也应该把离线VDI作为默认方法,原因很简单:我们使用服务器只是为了管理虚拟机镜像,而不是运行镜像。离线VDI所需的服务器容量只是普通VDI的一小部分。这意味着用户可以购买容量更小的服务器和存储,同时耗用比较少的电力。
即使你不在乎数据中心是否绿色节能这个话题,离线VDI也可以实实在在地节省费用,又几乎没有什么缺点,这不正是每个CIO想要的吗?
如果我们再将BYOD加入讨论话题,离线VDI就会变得更加诱人了,因为其消除了信息安全部门最担心的问题:员工将个人设备用于工作,由此带来安全威胁。这样一来,你可以竖起一堵干净的围墙,将直接在硬件上运行的个人环境与在虚拟机上运行的企业环境隔离开来。
同时,这使得员工能够在自己的环境中随心所欲地进行创新和实验,而IT部门能够控制员工使用企业信息资产的程度。当员工外出时,他们只需带上一个计算设备,就可以用来回复个人邮件和工作邮件,而且不会将二者的使用环境混淆。如果员工一心忙于工作或者赶着完工,甚至可以在坐飞机时办公,而且不必支付飞机上无线网络高昂的服务费。
数据安全要以人为本
笼统地说,安全风险有两种形式。有些风险可能导致成本增加,有些风险可能导致收入减少。前一种风险最受关注,因为这种风险一旦发生,损失将会很大,而且其更为直观。
不过,导致收入减少的风险更应该引起人们的注意。这类风险可能具体表现为:顾客不满意、创新能力减退、员工之间的合作以及企业与业务合作伙伴和客户的合作不畅,以及员工工作热情减退。
总的来说,IT部门之前把注意力过于集中在数据安全方面,由此而忽视了收入来源风险。也就是说,为了能够保证数据安全,IT部门有时会忽略人的体验。我们不得不说,像那种对设备严加看管的方式实在太过于死板了。
这里要传达的观点是,在施行BYOD策略时,IT部门要做的是,在兼顾自由和安全时至少要多考虑一点自由。正如本杰明·富兰克林早在250多年前认识到的那样,这是一场艰苦卓绝的战斗,必须每天为之努力。
链接
让BYOD搭上虚拟化的快车
在BYOD的浪潮下,企业如何保护数据?首先,CIO们需要问自己一个问题:企业是否在意没有受到管控的设备连入公司网络?如果答案是肯定的话,IT部门就要利用企业的资源来保护数据安全,降低业务数据被恶意访问的风险。
一部安全的设备需要拥有以下这些特征:加固的安全设置、安全登录方法、强验证协议、合适的访问控制、开启基于主机的防火墙、版本最新的反恶意软件软件、安全配置软件、打上最新补丁的软件、合适的本地和网络安全权限,以及经过配置并且启用的审计策略。
我们之所以要管理设备,是因为我们想要减小发生恶意事件的可能性。BYOD看上去却阻挠了这些美好的想法。在大多数情况下,未受到管理的设备要比受到集中管理的设备泄漏数据的风险更高。那么,在不进行设备管理的情况下,又该如何确保数据安全?
最简单的解决办法就是拒绝未受到管理的设备访问受保护的数据,这也是近几年来最常见的对策。但是在很多企业环境中,就算落实了“拒绝未受到管理的设备访问受保护的数据”这条规则,未受到管理的设备照样在访问公司数据。这很明显是一个数据保护方面的漏洞。
如果未受到管理的设备无论如何都要访问企业数据,那么怎样才能最有效地保护数据呢?简单的办法就是,禁止在未受到管理的设备上存储数据,无论是暂时存储还是长期存储。那样一来,攻击者想窃取远程数据的难度会大得多。
我们可以采取的一个办法是,使用传统的客户机/服务器模式。所有数据都保留在服务器端,只有结果才发送到用户端——如今通常使用浏览器。这是个好办法。唯一的问题是,其仍然让未受到管理的计算机直接访问前端系统,而前端系统一般都会连接中间件和后端服务器。一旦未受到管理的设备被攻击者控制,攻击者就可以钻这个安全漏洞的空子,访问并且危及整个内网的所有计算机。
面对未受到管理的设备,一种更好的解决办法是,只将数据返回结果呈现给用户,这样设备几乎无法访问内网中的任何计算机。市面上已经有众多这样的解决方案,比如VDI(虚拟桌面基础架构)、终端服务(Terminal Services)和虚拟网络计算(VNC)等。
如果通过未受到管理的设备只能访问最终呈现的画面,那么攻击者基本上搞不了多大破坏。攻击者也许能获取一些直接显示出来的数据,但他们无法访问字符串、HTML代码或者其他能够畅行无阻访问后端数据的宝贵信息。(文/沈建苗)
来自250多年前的这一警句可能还会适用于当前业界所热议的BYOD(Bring Your Own Device,自带设备)趋势:一方面BYOD思想所倡导的是“让移动终端在办公室里更自由”,另一方面企业需要尽可能消除由此带来的安全威胁,IT部门是否能够“鱼与熊掌兼得”?
当前IT消费化的潮流越来越明显,这意味着,没有受到企业管理的设备正在被员工带入到企业环境,用于访问业务数据。IT消费化是一种新的模式;而且与大多数新模式一样,无论我们喜不喜欢,这股潮流已不可逆转。
这种认可来自于一些不同因素的推动作用。首先,企业需要提高生产效率,加速客户、部署以及销售流程之间的衔接;其次,越来越多的企业开始在海外开展业务,全球化的趋势使得企业需要更加简便、快捷的沟通方式;最后,企业在移动应用方面的努力也会改善其与客户之间的关系。ZK Research 2012年所进行的一项调查显示,有82%的受访企业已经允许员工自带设备上班,并允许员工将消费级的产品应用于工作之中。其中有23%的企业不会为员工的自带设备提供技术支持,有39%的企业会提供有限的技术支持,而会为员工自带的设备提供技术支持的企业占据了整个调查的39%。在这一报告所调查的所有样本中,只有18%的企业表示在办公室中不允许自带消费类设备。
无独有偶,来自思科的调研报告同样反映了这种趋势。这一调查显示,大多数企业目前正在采用BYOD模式,其中95%的受访者表示他们的企业允许在工作场所中以某种方式使用员工自有的设备。调查还得出结论称,截至2014年,每名员工的连接设备数量将有望从2012年的平均值 2.8台增长到3.3台。调查同时表示,BYOD趋势很可能带来显著的成本和生产效益。超过3/4(76%)的受访IT主管认为:BYOD虽然给IT部门带来了巨大挑战,但是对他们的公司却产生了比较积极甚至是非常积极的影响。这些调查结果彰显了BYOD存在的意义。IT主管们认为,我们需要一个更加全面的方案,这种方案具有伸缩性,可用于解决移动性、安全性、虚拟化以及网络政策管理,进而在提供最佳体验的同时有效控制管理成本,实现最大程度的节约。同事,IT主管们也表示,企业需要解决BYOD所带来的安全和系统支持方面的隐患,并在企业效益和安全之间进行平衡。
企业业务正在开始对移动应用产生一些依赖。由于业务的需要,使得企业员工也可以更加“光明正大”地将自己的设备带入办公室,获得更多的“自由”。同样是在业务的推动下,企业也不得不需要解决更多BYOD所带来的安全问题。
尽管都是自由与安全的话题,不过实际上,BYOD如今所面临的挑战要比富兰克林当初面临的挑战来得更加直接。对我们来说,重要的不是道德层面的自由与否,而是如何最大限度地使企业及其员工提高效率。然而,要知道,加强BYOD安全方面的任何工作一定要掌握一个“度”,过犹不及只会适得其反。
BYOD的前提不容忽视
要想实施BYOD,我们首先要对系统访问密码的使用订下规则。这并不是个老生常谈的问题。首先,提高密码安全性的措施之一是将其设计得长而复杂,而且含有组合使用的大小写字母外加数字和标点符号。
此外,在企业应用中,我们还应该保证内部系统实施了单点登录策略,也就是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。否则,要合理确保安全,用户就必须为使用密码的每个系统和每个网站设置不同的密码。这是很繁琐的一项工程。
从信息安全的角度来看,第三条常识性的小贴士是,不要把密码写在纸上,以免安全信息遭到泄露。
为什么我们要在这里重新拿出“做好密码保护”这个谈了多年的问题进行讨论呢?因为很多公司限制员工使用新技术的理由就是:安全和合规考虑。其实,这并不是一个理由,做好密码保护就已经在很大程度上确保了安全。
因此,如果企业对BYOD感兴趣并打算向公司内部推广的话,先向员工普及一些密码知识吧。
信息安全
不能因噎废食
BYOD概念的热议引申出了这样一个观点:尽管IT部门百般不情愿,但BYOD潮流还是在不断“水涨船高”,我们应该积极支持BYOD潮流。其实,实施BYOD对大多数公司来说并非难事。
另有一种观点认为,BYOD会加大数据盗窃以及泄漏的风险,而且有可能会触动“合规”这个敏感的神经。
然而,我们不能为了实现信息安全和法规遵从就“因噎废食”。实际上,想完美地保护数据,最省事的办法就是断开互联网,禁用USB端口,以及采取其他各种可能的措施,禁止数据从一台计算机传输到另一台计算机,显然如今这是不可能的。
说到数据,IT部门要明白,员工所接触的每一个数据字节都有可能包含恶意代码,而且很难筛选剔除出来。
因此,IT部门更需要打起十二万分的注意力。特别是,针对内网信息系统的访问请求,开始越来越多地来自身处企业外部的远程工作人员、业务合作伙伴和客户,因此,我们必须要知道,保护资产方面的重心绝不仅限于加固企业网络边界就可以了,这一点极其重要。也就是说,企业加密数据库和笔记本电脑硬盘所获得的安全性比升级防火墙要强得多。
离线VDI:
兼顾自由和安全
BYOD的大潮将其同另一种技术紧密结合在了一起。这项技术现已很成熟,迎来了黄金时期,那就是:Virtual Desktop Infrastructure(VDI,虚拟桌面基础架构),与BYOD关系尤其“亲近”的是其中一个分支——离线VDI。
离线VDI正如其名,用户可以离线使用远程数据。同普通VDI一样,离线VDI同样在服务器上保管着每个用户虚拟机的中央镜像(central image),但该镜像可以下载到用户的个人计算机上,并在本地运行。当用户重新连接到企业网络时,用户计算机会与服务器重新同步数据,上传用户所做的任何变更,同时下载任何集中管理的改动内容,如软件补丁和反恶意软件更新版。 就算没有出现BYOD潮流,大多数打算部署VDI的企业也应该把离线VDI作为默认方法,原因很简单:我们使用服务器只是为了管理虚拟机镜像,而不是运行镜像。离线VDI所需的服务器容量只是普通VDI的一小部分。这意味着用户可以购买容量更小的服务器和存储,同时耗用比较少的电力。
即使你不在乎数据中心是否绿色节能这个话题,离线VDI也可以实实在在地节省费用,又几乎没有什么缺点,这不正是每个CIO想要的吗?
如果我们再将BYOD加入讨论话题,离线VDI就会变得更加诱人了,因为其消除了信息安全部门最担心的问题:员工将个人设备用于工作,由此带来安全威胁。这样一来,你可以竖起一堵干净的围墙,将直接在硬件上运行的个人环境与在虚拟机上运行的企业环境隔离开来。
同时,这使得员工能够在自己的环境中随心所欲地进行创新和实验,而IT部门能够控制员工使用企业信息资产的程度。当员工外出时,他们只需带上一个计算设备,就可以用来回复个人邮件和工作邮件,而且不会将二者的使用环境混淆。如果员工一心忙于工作或者赶着完工,甚至可以在坐飞机时办公,而且不必支付飞机上无线网络高昂的服务费。
数据安全要以人为本
笼统地说,安全风险有两种形式。有些风险可能导致成本增加,有些风险可能导致收入减少。前一种风险最受关注,因为这种风险一旦发生,损失将会很大,而且其更为直观。
不过,导致收入减少的风险更应该引起人们的注意。这类风险可能具体表现为:顾客不满意、创新能力减退、员工之间的合作以及企业与业务合作伙伴和客户的合作不畅,以及员工工作热情减退。
总的来说,IT部门之前把注意力过于集中在数据安全方面,由此而忽视了收入来源风险。也就是说,为了能够保证数据安全,IT部门有时会忽略人的体验。我们不得不说,像那种对设备严加看管的方式实在太过于死板了。
这里要传达的观点是,在施行BYOD策略时,IT部门要做的是,在兼顾自由和安全时至少要多考虑一点自由。正如本杰明·富兰克林早在250多年前认识到的那样,这是一场艰苦卓绝的战斗,必须每天为之努力。
链接
让BYOD搭上虚拟化的快车
在BYOD的浪潮下,企业如何保护数据?首先,CIO们需要问自己一个问题:企业是否在意没有受到管控的设备连入公司网络?如果答案是肯定的话,IT部门就要利用企业的资源来保护数据安全,降低业务数据被恶意访问的风险。
一部安全的设备需要拥有以下这些特征:加固的安全设置、安全登录方法、强验证协议、合适的访问控制、开启基于主机的防火墙、版本最新的反恶意软件软件、安全配置软件、打上最新补丁的软件、合适的本地和网络安全权限,以及经过配置并且启用的审计策略。
我们之所以要管理设备,是因为我们想要减小发生恶意事件的可能性。BYOD看上去却阻挠了这些美好的想法。在大多数情况下,未受到管理的设备要比受到集中管理的设备泄漏数据的风险更高。那么,在不进行设备管理的情况下,又该如何确保数据安全?
最简单的解决办法就是拒绝未受到管理的设备访问受保护的数据,这也是近几年来最常见的对策。但是在很多企业环境中,就算落实了“拒绝未受到管理的设备访问受保护的数据”这条规则,未受到管理的设备照样在访问公司数据。这很明显是一个数据保护方面的漏洞。
如果未受到管理的设备无论如何都要访问企业数据,那么怎样才能最有效地保护数据呢?简单的办法就是,禁止在未受到管理的设备上存储数据,无论是暂时存储还是长期存储。那样一来,攻击者想窃取远程数据的难度会大得多。
我们可以采取的一个办法是,使用传统的客户机/服务器模式。所有数据都保留在服务器端,只有结果才发送到用户端——如今通常使用浏览器。这是个好办法。唯一的问题是,其仍然让未受到管理的计算机直接访问前端系统,而前端系统一般都会连接中间件和后端服务器。一旦未受到管理的设备被攻击者控制,攻击者就可以钻这个安全漏洞的空子,访问并且危及整个内网的所有计算机。
面对未受到管理的设备,一种更好的解决办法是,只将数据返回结果呈现给用户,这样设备几乎无法访问内网中的任何计算机。市面上已经有众多这样的解决方案,比如VDI(虚拟桌面基础架构)、终端服务(Terminal Services)和虚拟网络计算(VNC)等。
如果通过未受到管理的设备只能访问最终呈现的画面,那么攻击者基本上搞不了多大破坏。攻击者也许能获取一些直接显示出来的数据,但他们无法访问字符串、HTML代码或者其他能够畅行无阻访问后端数据的宝贵信息。(文/沈建苗)