论文部分内容阅读
用手机上网、收发邮件,用平板电脑开展业务,对笔记本电脑个性化设置,BYOD的浪潮正在向我们袭来。但在节约成本和提升效率的同时,企业安全的边界却开始不断模糊。应对BYOD,企业安全防护该何去何从?
在美剧《实习医生格蕾》里,外科主任欧文抛弃了固定的办公室,用一个iPad在医院里随时随地移动办公,一时间成为医院里的一道风景。现实生活中,用自己的移动设备在单位办公,正在被越来越多的企业所接受。员工用自己的笔记本电脑到单位办公、用手机和平板电脑收发邮件,在企业中随处可见。与此同时,BYOD(Bring YourOwn Device,员工携带自己的设备办公)的经济性开始被更多的企业所认知,但在这种办公模式中隐藏的安全风险,已经远远超过了我们的想象。
BYOD正在普及
市场调研机构IDC发布的最新报告显示,2011年第四季度全球智能手机市场的总出货规模达到1.578亿部,比IDC之前的预期提升了40%。此外,智能手机出货量在2011年首次超过PC出货量。移动终端正在取代PC,成为人们在办公中最需要的工具之一。
随着智能终端的普及,IT消费化的趋势日益明显,BYOD已经在企业间悄然兴起,尤其是在欧美等发达国家和地区,BYOD已经形成一种文化。据统计,在欧洲26%的医生拥有iPad,他们在行医过程中超过25%的时间会利用iPad,还有40%的医生表示在接下来的6个月里会购买手持智能设备。
在支持BYOD的企业中,员工可以根据自己的喜好选择移动终端的品牌和类型,实现对IT设备的个性化需求,满足对时尚设备的追求。根据美国知名市场研究机构波耐蒙研究所的《全球移动风险研究报告》:77%的受访者认为移动设备是帮助他们高效完成工作的得力助手之一。提升效率也正是BYOD兴起的重要原因。
跟以往的移动办公不同,BYOD环境下,员工使用的是自己购买的设备,企业无需再为员工购买统一的电脑、定制手机或平板电脑等办公设备。因此,节约成本是BYOD之所以迅速普及的另一个重要原因,例如,思科公司从BYOD上节约了17%~22%的IT成本。
但是,并不是所有企业都能像思科一样,从BYOD环境中受益。由于没有被纳入企业原有的安全防护体系中,BYOD设备在提高工作效率和愉悦员工的同时,也让企业出现了难以掌控的安全风险。
不少企业已冷静下来,比如美国联邦政府部门的信息技术管理者们就在热烈争论,是否应该允许雇员将自己的智能手机和平板设备用于工作中,是否应该制定BYOD的相关政策。美国国家安全局移动委员会负责人Troy Lange就表示反对提供BYOD的办公模式。美国退伍军人事务部企业系统工程移动和安全保障服务部门的负责人Donald Kachman也表示了他的担心:“一旦设备出现问题,我们能管理好设备吗?我们能确保设备安全吗?”他指出最新一代智能手机和平板电脑依然被视为新事物,而“其安全隐患是未知的”。反对BYOD的情况也同样出现在香港,据飞天诚信副总经理郑相启介绍,在香港,引入办公的移动设备必须经过认证才行。
传统防护体系已失效
BYOD所带来的安全问题首先体现在数据泄漏的风险上。越来越多的企业资料在知情或不知情的情况下被存储在这些设备上,而这些设备又很难受控于企业原有的管理体系。但是,移动设备给企业带来的风险,恰恰是它们现有的安全管控方法和可执行策略所无法覆盖的。而且,员工往往还会刻意回避针对移动设备的安全管理,这也是一个非常严重的问题。
随着移动终端不断增长,企业用户本身无法完全有效地对移动平台和使用移动设备的用户进行统一管理,也导致企业敏感信息和数据泄漏的风险上升。“例如,苹果AppStore或者安卓市场中有许多应用,一些恶意软件会伪装成应用供用户下载,当这些恶意软件被下载到员工的移动设备并且进入了企业网络范围之内,企业的信息安全风险就会增加。”Websense中国区技术经理陈纲称,当BYOD成为一种趋势时候,这是企业管理者最担心的问题。
不仅如此,企业在接受BYOD的同时,传统的安全防护体系也在失效。互联网访问出现,无线网络应用更为频繁……很多过去企业没有意识到的安全环节,如今反而需要进行重点防护。企业的网络安全边界也延展到广域网,企业机密数据传输的路径不仅走出了企业网,还变得极度复杂,企业内部的安全防护手段已鞭长莫及。
以往,企业的安全防护策略主要针对内网安全,但随着移动终端的普及、虚拟化技术的广泛应用,企业网络边界的延展,也在改变安全防护体系的基础架构。在这种情况下,传统的防火墙、防病毒软件、IPS等企业安全防护的“老三样”,已不足以满足企业信息安全防护的需求。另外,由于移动终端和操作系统复杂多样,BYOD也为信息安全管理带来了新的挑战。
同时,员工在使用移动设备时,很难主动产生安全意识。当员工通过3G网络,利用自己的移动设备收发公司邮件,或者登录公司应用办公时,很少有人会意识到,自己的移动终端可能给企业带来数据泄漏的风险。黑客可能通过恶意软件或僵尸网络,对企业网络发起攻击,或者窃取企业的核心数据。
最新的“全球移动风险研究报告”显示:企业引入移动设备和员工携带个人设备上班的现象正在架空企业现行的安全体系和安全策略。来自12个国家的4000多名受访者中有76%的人认同在采用移动设备的同时也将风险带给了企业,只有36%的受访者表示已经配备了必要的安全控制手段来应对这一类风险。
需要新的防护策略
由于企业网的边界向操作系统和移动终端进行了延展,安全厂商提供的解决方案必须要覆盖这些设备,以满足企业的安全防护需求。这就要求安全厂商必须针对不同终端和操作系统的特点研发新技术,推出相关的解决方案。
《全球移动风险研究报告》指出:59%的调查对象表示,员工会绕行或者故意使安全防护策略失效。如何管理操作系统、硬件平台各异的BYOD设备,并规避BYOD带来的安全风险,如何保证业务和管理系统在多种设备上兼容运行等问题,对于大多数企业IT管理人员而言都是难以应对的挑战。
在绿盟科技副总裁吴云坤看来,BYOD虽然在中国才刚刚起步,但是由于国内企业还没有对BYOD带来的威胁建立合理的安全防护策略,它给中国企业带来的风险可能比其他国家更加严重。BYOD可能会造成企业核心业务系统受到攻击,企业邮件、通信录和在线业务系统中的企业和个人信息遭到窃取。这些威胁呼唤着以邮件防护和数据防护为中心的解决方案。
BYOD对企业的信息安全系统提出了新的需求,一个仅仅支持局域网访问的应用很难支撑BYOD环境下的信息安全防护需求。因此,整个IT业界正在试图寻找应对BYOD安全风险的不同思路和解决方案。
>桌面虚拟化:安全风险向后端转移
虚拟化技术是云计算时代的一项重要技术。它将数据和应用程序在数据中心上集中管控,被认为是降低企业IT基础设施安全风险的有效措施。以VMware、思杰和微软为代表的桌面虚拟化技术,为BYOD环境下的信息安全防护提供了新的思路。
桌面虚拟化技术的本质是将桌面的操作环境与机器运行环境分离,实现在任何地点,通过非特定设备(例如不同的PC、笔记本电脑、PDA、手机)都可以实现对桌面的访问与操作。通过该技术,所有的数据和应用程序将在数据中心进行托管并统一管理;用户可以通过任何设备、任何网络远程访问应用程序和数据,并且获得与传统PC一致的用户体验。
由于桌面虚拟化之后,用户和后台之间的通信只是简单的鼠标点击等操作,应用程序和数据并不存放在本地设备中,因此即便是恶意软件入侵了用户的设备,也无法获取企业数据或信息。这为BYOD环境下,防止数据泄漏和恶意软件威胁提供了一种行之有效的方法。
桌面虚拟化让企业的IT信息管理者获益匪浅,集中式桌面和应用管理能够有效降低企业IT设备和网络的安全威胁,而在整个企业范围内取消独立的标准化设备则有助于增加终端的灵活性,提高员工的工作效率,并简化设备管理。
正如思杰公司认为的那样,企业应采取“安全源于设计”的做法,将数据集中存放在数据中心、加密传送到终端设备以及在脱机工作时隔离端点上的数据这三大措施共同实现了“允许任何员工通过任何设备随时随地安全访问”的设想。而这些,都是通过细粒度访问控制政策加以管理。
尽管桌面虚拟化的理念得到IT业界的认同,但是当前桌面虚拟化的普及速度却比较缓慢。“由于跟便利性有冲突,放眼望去,虚拟化企业应用得比较好的是应用虚拟化和服务器虚拟化,终端虚拟化发展比较缓慢,这是因为员工希望个性化。如果一夜之间让所有人都使用同一种模式,让人非常难以接受。”Websense中国区技术经理陈纲称,尽管从技术角度看,桌面虚拟化的效果显而易见,但是其普及率不高,至少需要两三年的推广时间,因此难以在短期内有效解决问题。
此外,桌面虚拟化技术在降低终端安全风险的同时,增加了后端数据中心的安全管理压力。由于应用程序和数据都存储在后端的数据中心里,企业需要有效管理大量数据的安全性,进行数据保护和数据加密,保证虚拟化环境下数据中心的安全。此时,企业需要购买虚拟化安全解决方案或服务,造成安全成本上涨。
>>终端解决方案向移动领域拓展
在传统信息安全架构的基础上,延伸BYOD环境下的安全防护策略,拓展移动终端管理解决方案,对大多数企业而言,是比较容易接受的方案,因为企业无需彻底颠覆原有的信息安全防护架构,只要在原有的防火墙、防病毒软件和IPS的基础上,安装一个插件或者软件,就能与原有的安全体系融合起来,对BYOD设备,尤其是智能手机、平板电脑等移动终端进行统一管理和监控。例如,趋势科技通过企业移动终端管理方案(TMMS7.1)、企业无限网络接入管理方案(WSG)、个人移动终端安全方案(TMMS2.0),针对BYOD环境下的信息安全防护,推出了组合产品。
“不管是设备层面,还是系统层面或应用层面,都需要一些防护策略,集中化管理客户的终端安全,才能减少数据外泄的风险。”趋势科技中国区移动安全产品市场经理刘政平在接受本报记者采访时表示,趋势科技的移动安全产品设计也正是从这三个角度来考虑的。企业移动终端安全管理方案包含终端策略管理平台、移动网关防护、移动应用管理、移动终端防护等四个方面。移动终端策略管理平台统一管理所有移动终端,包括用户的各种移动智能终端;移动网关防护通过设备准入、流量控制、设备管理等方式,阻断外部威胁对内部应用的威胁;移动应用管理帮助企业建立起针对内部的企业级移动应用商店,在检测确保应用程序安全安全之后,将苹果AppStore或安卓市场中的应用程序上传到企业自建的移动应用商店中,供内部员工下载使用。此外,趋势科技移动应用管理还建立了黑白名单机制,过滤掉不允许安装的、存在威胁的应用程序。
“智能手机、平板电脑等移动终端属于消费产品,操作系统多种多样,有的基于安卓,有的基于iOS,还有的基于Windows Phone等平台。”刘政平建议企业用户“把这些离散的、不是统一标准的平台,集成到一个安全管控平台上,企业内部必须对设备进行统一的管控”。他向记者介绍,趋势科技已经为一些银行提供类似的解决方案,为银行提供应用程序的安全信誉评估服务,以使银行内部网络发布的应用程序中不包含恶意软件。
对移动终端进行集中管控的方式,能降低企业的部署成本,减少管理这些设备的复杂度,确保访问企业网络资源的设备的安全性。然而,调查显示,59%的员工会有意避开企业的这些终端管理措施,而建立企业内部的移动应用商店的方式的确能够让员工下载绿色的安全软件。不过,当前在企业内部建立应用商店的还比较少,应用数量不多,功能不够丰富,很难满足员工的需求。大多数员工仍然在苹果AppStore或者各类安卓市场中下载应用程序。
因此,从终端统一管控的角度出发构建企业的信息安全体系,需要在企业内部对员工进行不断循环往复的培训和教育,使其认同企业安全防护的理念,并且遵守相关安全管理规定。
>>>以数据为核心的数据防泄漏方案
在BYOD环境中,邮件访问和企业业务系统是员工访问最多的内容,也是最容易导致企业敏感数据泄漏的。而且,越是企业高管,使用移动设备办公的概率越大,这些设备中可能包含的企业核心信息和机密数据的概率也越大。无论是信息的转发、存储,还是设备遗失,都会让企业的安全风险增加。“在通过广域网访问企业应用的情况下,传统的基于防火墙、VPN、IPS的解决方案,已经不足以支撑当前的安全防护体系。员工通过广域网访问企业网的路径中,需要增加更多控制来保证企业网的数据和应用的安全。”Websense陈纲表示,针对移动终端访问的热门应用,新的解决方案也会应运而生。
围绕邮件安全,安全防护策略需要解决的问题是什么数据能够同步到BYOD设备上。Websene的解决方案是将DLP数据防护解决方案延伸到智能终端领域,通过关键词、语义分析、指纹控制等技术对内容进行识别,无论员工使用企业网络还是3G、家庭网络,只要访问企业邮件,DLP移动数据防护解决方案都能确保没有访问权限的BYOD设备无法访问或同步这些敏感数据。
“另一种更加严格的控制方法是,让所有访问企业网络的设备都必须通过VPN接入Websense云端进行敏感信息过滤。”陈纲介绍称,Websense移动云安全解决方案是Websense针对BYOD开发的云安全策略,主要针对邮件安全和设备离开网络之后的安全控制。
通过这种方式,当BYOD设备尝试上传或下载企业相关资料时,都必须接受Websense移动云的过滤和监控。无论员工使用的是哪种移动终端,通过哪种网络访问企业信息,都能被纳入企业的安全防范策略中,与传统的上网行为管理和终端解决方案相互补充,弥补了后两者的不足。
今年的RSA大会上,Websense发布了以数据安全为核心的全新的Websense TRITON移动安全解决方案。它具有四个关键特点。第一,提供基于内容感知的数据安全功能以阻止基于iPads、iPhones、Android系统和其他移动设备的数据泄露;第二,提供实时的Web和应用安全及策略管控,并提供相关报告让用户能够清楚地了解移动设备上敏感文件的风险状态;第三,能阻止用户下载恶意应用程序并阻拦恶意软件;最后,它还融入了一个移动设备管理(MDM)程序。
陈纲称,Websense TRITON移动安全解决方案包括Web安全、邮件安全、数据安全三部分,涵盖了Websense所有解决方案的核心,能够让用户通过统一的管理平台,同时对Web、邮件、数据的安全进行管理和控制,而且用户还可以选择任意的交付形式,软件、硬件和云的形式都可以。它支持在跨平台交付形式下对不同设备进行统一管理。
>>>>让数据安全地移动
在BYOD的浪潮中,企业员工在个性化需求得到满足的同时,也应该为企业的网络安全付出努力,增强相应的安全意识和防范措施。
对这些员工的BYOD设备,传统的防火墙、反病毒软件和VPN等工具依然必不可少。同时,检测移动应用的安全性,及时发现智能终端上的安全陷阱,也是必要的防护策略。
此外,平板电脑、智能手机等终端的一个很重要的问题是容易丢失。当设备遗失时,其同步的邮件信息、企业敏感数据也面临被泄露的风险。对此,各个安全厂商的移动终端安全解决方案,都将远程手机定位和数据擦除作为重点功能。
例如,趋势科技针对个人移动终端推出的个人移动终端安全方案(TMMS2.0),在智能手机丢失之后,在手机开机的状态下,可以对其进行远程定位,锁定设备所在位置,读取GPS的经纬度,然后通过谷歌地图或百度地图进行精确定位。
个人移动终端安全方案(TMMS2.0)的另一个功能是通过管理平台发指令给手机,进行远程数据擦除。在开机的状态下,手机可以通过网络或短信接收到指令,其中的敏感数据就会被自动擦除。用户也可以选择将这些数据同步到趋势科技提供的云端存储空间中,这样用户就可以将数据同步到另一台设备中,避免重要数据丢失。而针对员工离职等情况,管理员也可以设置只将跟公司工作相关的信息擦除,保留员工的个人信息。
类似功能的解决方案在Juniper推出的JUNOS Pulse套件中也同样具备,而在针对个人消费者的安全解决方案中例如360手机卫士,瑞星手机安全软件等,也非常普遍。
据统计,英国的BYOD普及率是31%,相比之下,美国是50%,而在中国,这个数字已经达到了53%。BYOD的浪潮已然来临,相应的安全防护策略,也必须尽快得到完善。
在美剧《实习医生格蕾》里,外科主任欧文抛弃了固定的办公室,用一个iPad在医院里随时随地移动办公,一时间成为医院里的一道风景。现实生活中,用自己的移动设备在单位办公,正在被越来越多的企业所接受。员工用自己的笔记本电脑到单位办公、用手机和平板电脑收发邮件,在企业中随处可见。与此同时,BYOD(Bring YourOwn Device,员工携带自己的设备办公)的经济性开始被更多的企业所认知,但在这种办公模式中隐藏的安全风险,已经远远超过了我们的想象。
BYOD正在普及
市场调研机构IDC发布的最新报告显示,2011年第四季度全球智能手机市场的总出货规模达到1.578亿部,比IDC之前的预期提升了40%。此外,智能手机出货量在2011年首次超过PC出货量。移动终端正在取代PC,成为人们在办公中最需要的工具之一。
随着智能终端的普及,IT消费化的趋势日益明显,BYOD已经在企业间悄然兴起,尤其是在欧美等发达国家和地区,BYOD已经形成一种文化。据统计,在欧洲26%的医生拥有iPad,他们在行医过程中超过25%的时间会利用iPad,还有40%的医生表示在接下来的6个月里会购买手持智能设备。
在支持BYOD的企业中,员工可以根据自己的喜好选择移动终端的品牌和类型,实现对IT设备的个性化需求,满足对时尚设备的追求。根据美国知名市场研究机构波耐蒙研究所的《全球移动风险研究报告》:77%的受访者认为移动设备是帮助他们高效完成工作的得力助手之一。提升效率也正是BYOD兴起的重要原因。
跟以往的移动办公不同,BYOD环境下,员工使用的是自己购买的设备,企业无需再为员工购买统一的电脑、定制手机或平板电脑等办公设备。因此,节约成本是BYOD之所以迅速普及的另一个重要原因,例如,思科公司从BYOD上节约了17%~22%的IT成本。
但是,并不是所有企业都能像思科一样,从BYOD环境中受益。由于没有被纳入企业原有的安全防护体系中,BYOD设备在提高工作效率和愉悦员工的同时,也让企业出现了难以掌控的安全风险。
不少企业已冷静下来,比如美国联邦政府部门的信息技术管理者们就在热烈争论,是否应该允许雇员将自己的智能手机和平板设备用于工作中,是否应该制定BYOD的相关政策。美国国家安全局移动委员会负责人Troy Lange就表示反对提供BYOD的办公模式。美国退伍军人事务部企业系统工程移动和安全保障服务部门的负责人Donald Kachman也表示了他的担心:“一旦设备出现问题,我们能管理好设备吗?我们能确保设备安全吗?”他指出最新一代智能手机和平板电脑依然被视为新事物,而“其安全隐患是未知的”。反对BYOD的情况也同样出现在香港,据飞天诚信副总经理郑相启介绍,在香港,引入办公的移动设备必须经过认证才行。
传统防护体系已失效
BYOD所带来的安全问题首先体现在数据泄漏的风险上。越来越多的企业资料在知情或不知情的情况下被存储在这些设备上,而这些设备又很难受控于企业原有的管理体系。但是,移动设备给企业带来的风险,恰恰是它们现有的安全管控方法和可执行策略所无法覆盖的。而且,员工往往还会刻意回避针对移动设备的安全管理,这也是一个非常严重的问题。
随着移动终端不断增长,企业用户本身无法完全有效地对移动平台和使用移动设备的用户进行统一管理,也导致企业敏感信息和数据泄漏的风险上升。“例如,苹果AppStore或者安卓市场中有许多应用,一些恶意软件会伪装成应用供用户下载,当这些恶意软件被下载到员工的移动设备并且进入了企业网络范围之内,企业的信息安全风险就会增加。”Websense中国区技术经理陈纲称,当BYOD成为一种趋势时候,这是企业管理者最担心的问题。
不仅如此,企业在接受BYOD的同时,传统的安全防护体系也在失效。互联网访问出现,无线网络应用更为频繁……很多过去企业没有意识到的安全环节,如今反而需要进行重点防护。企业的网络安全边界也延展到广域网,企业机密数据传输的路径不仅走出了企业网,还变得极度复杂,企业内部的安全防护手段已鞭长莫及。
以往,企业的安全防护策略主要针对内网安全,但随着移动终端的普及、虚拟化技术的广泛应用,企业网络边界的延展,也在改变安全防护体系的基础架构。在这种情况下,传统的防火墙、防病毒软件、IPS等企业安全防护的“老三样”,已不足以满足企业信息安全防护的需求。另外,由于移动终端和操作系统复杂多样,BYOD也为信息安全管理带来了新的挑战。
同时,员工在使用移动设备时,很难主动产生安全意识。当员工通过3G网络,利用自己的移动设备收发公司邮件,或者登录公司应用办公时,很少有人会意识到,自己的移动终端可能给企业带来数据泄漏的风险。黑客可能通过恶意软件或僵尸网络,对企业网络发起攻击,或者窃取企业的核心数据。
最新的“全球移动风险研究报告”显示:企业引入移动设备和员工携带个人设备上班的现象正在架空企业现行的安全体系和安全策略。来自12个国家的4000多名受访者中有76%的人认同在采用移动设备的同时也将风险带给了企业,只有36%的受访者表示已经配备了必要的安全控制手段来应对这一类风险。
需要新的防护策略
由于企业网的边界向操作系统和移动终端进行了延展,安全厂商提供的解决方案必须要覆盖这些设备,以满足企业的安全防护需求。这就要求安全厂商必须针对不同终端和操作系统的特点研发新技术,推出相关的解决方案。
《全球移动风险研究报告》指出:59%的调查对象表示,员工会绕行或者故意使安全防护策略失效。如何管理操作系统、硬件平台各异的BYOD设备,并规避BYOD带来的安全风险,如何保证业务和管理系统在多种设备上兼容运行等问题,对于大多数企业IT管理人员而言都是难以应对的挑战。
在绿盟科技副总裁吴云坤看来,BYOD虽然在中国才刚刚起步,但是由于国内企业还没有对BYOD带来的威胁建立合理的安全防护策略,它给中国企业带来的风险可能比其他国家更加严重。BYOD可能会造成企业核心业务系统受到攻击,企业邮件、通信录和在线业务系统中的企业和个人信息遭到窃取。这些威胁呼唤着以邮件防护和数据防护为中心的解决方案。
BYOD对企业的信息安全系统提出了新的需求,一个仅仅支持局域网访问的应用很难支撑BYOD环境下的信息安全防护需求。因此,整个IT业界正在试图寻找应对BYOD安全风险的不同思路和解决方案。
>桌面虚拟化:安全风险向后端转移
虚拟化技术是云计算时代的一项重要技术。它将数据和应用程序在数据中心上集中管控,被认为是降低企业IT基础设施安全风险的有效措施。以VMware、思杰和微软为代表的桌面虚拟化技术,为BYOD环境下的信息安全防护提供了新的思路。
桌面虚拟化技术的本质是将桌面的操作环境与机器运行环境分离,实现在任何地点,通过非特定设备(例如不同的PC、笔记本电脑、PDA、手机)都可以实现对桌面的访问与操作。通过该技术,所有的数据和应用程序将在数据中心进行托管并统一管理;用户可以通过任何设备、任何网络远程访问应用程序和数据,并且获得与传统PC一致的用户体验。
由于桌面虚拟化之后,用户和后台之间的通信只是简单的鼠标点击等操作,应用程序和数据并不存放在本地设备中,因此即便是恶意软件入侵了用户的设备,也无法获取企业数据或信息。这为BYOD环境下,防止数据泄漏和恶意软件威胁提供了一种行之有效的方法。
桌面虚拟化让企业的IT信息管理者获益匪浅,集中式桌面和应用管理能够有效降低企业IT设备和网络的安全威胁,而在整个企业范围内取消独立的标准化设备则有助于增加终端的灵活性,提高员工的工作效率,并简化设备管理。
正如思杰公司认为的那样,企业应采取“安全源于设计”的做法,将数据集中存放在数据中心、加密传送到终端设备以及在脱机工作时隔离端点上的数据这三大措施共同实现了“允许任何员工通过任何设备随时随地安全访问”的设想。而这些,都是通过细粒度访问控制政策加以管理。
尽管桌面虚拟化的理念得到IT业界的认同,但是当前桌面虚拟化的普及速度却比较缓慢。“由于跟便利性有冲突,放眼望去,虚拟化企业应用得比较好的是应用虚拟化和服务器虚拟化,终端虚拟化发展比较缓慢,这是因为员工希望个性化。如果一夜之间让所有人都使用同一种模式,让人非常难以接受。”Websense中国区技术经理陈纲称,尽管从技术角度看,桌面虚拟化的效果显而易见,但是其普及率不高,至少需要两三年的推广时间,因此难以在短期内有效解决问题。
此外,桌面虚拟化技术在降低终端安全风险的同时,增加了后端数据中心的安全管理压力。由于应用程序和数据都存储在后端的数据中心里,企业需要有效管理大量数据的安全性,进行数据保护和数据加密,保证虚拟化环境下数据中心的安全。此时,企业需要购买虚拟化安全解决方案或服务,造成安全成本上涨。
>>终端解决方案向移动领域拓展
在传统信息安全架构的基础上,延伸BYOD环境下的安全防护策略,拓展移动终端管理解决方案,对大多数企业而言,是比较容易接受的方案,因为企业无需彻底颠覆原有的信息安全防护架构,只要在原有的防火墙、防病毒软件和IPS的基础上,安装一个插件或者软件,就能与原有的安全体系融合起来,对BYOD设备,尤其是智能手机、平板电脑等移动终端进行统一管理和监控。例如,趋势科技通过企业移动终端管理方案(TMMS7.1)、企业无限网络接入管理方案(WSG)、个人移动终端安全方案(TMMS2.0),针对BYOD环境下的信息安全防护,推出了组合产品。
“不管是设备层面,还是系统层面或应用层面,都需要一些防护策略,集中化管理客户的终端安全,才能减少数据外泄的风险。”趋势科技中国区移动安全产品市场经理刘政平在接受本报记者采访时表示,趋势科技的移动安全产品设计也正是从这三个角度来考虑的。企业移动终端安全管理方案包含终端策略管理平台、移动网关防护、移动应用管理、移动终端防护等四个方面。移动终端策略管理平台统一管理所有移动终端,包括用户的各种移动智能终端;移动网关防护通过设备准入、流量控制、设备管理等方式,阻断外部威胁对内部应用的威胁;移动应用管理帮助企业建立起针对内部的企业级移动应用商店,在检测确保应用程序安全安全之后,将苹果AppStore或安卓市场中的应用程序上传到企业自建的移动应用商店中,供内部员工下载使用。此外,趋势科技移动应用管理还建立了黑白名单机制,过滤掉不允许安装的、存在威胁的应用程序。
“智能手机、平板电脑等移动终端属于消费产品,操作系统多种多样,有的基于安卓,有的基于iOS,还有的基于Windows Phone等平台。”刘政平建议企业用户“把这些离散的、不是统一标准的平台,集成到一个安全管控平台上,企业内部必须对设备进行统一的管控”。他向记者介绍,趋势科技已经为一些银行提供类似的解决方案,为银行提供应用程序的安全信誉评估服务,以使银行内部网络发布的应用程序中不包含恶意软件。
对移动终端进行集中管控的方式,能降低企业的部署成本,减少管理这些设备的复杂度,确保访问企业网络资源的设备的安全性。然而,调查显示,59%的员工会有意避开企业的这些终端管理措施,而建立企业内部的移动应用商店的方式的确能够让员工下载绿色的安全软件。不过,当前在企业内部建立应用商店的还比较少,应用数量不多,功能不够丰富,很难满足员工的需求。大多数员工仍然在苹果AppStore或者各类安卓市场中下载应用程序。
因此,从终端统一管控的角度出发构建企业的信息安全体系,需要在企业内部对员工进行不断循环往复的培训和教育,使其认同企业安全防护的理念,并且遵守相关安全管理规定。
>>>以数据为核心的数据防泄漏方案
在BYOD环境中,邮件访问和企业业务系统是员工访问最多的内容,也是最容易导致企业敏感数据泄漏的。而且,越是企业高管,使用移动设备办公的概率越大,这些设备中可能包含的企业核心信息和机密数据的概率也越大。无论是信息的转发、存储,还是设备遗失,都会让企业的安全风险增加。“在通过广域网访问企业应用的情况下,传统的基于防火墙、VPN、IPS的解决方案,已经不足以支撑当前的安全防护体系。员工通过广域网访问企业网的路径中,需要增加更多控制来保证企业网的数据和应用的安全。”Websense陈纲表示,针对移动终端访问的热门应用,新的解决方案也会应运而生。
围绕邮件安全,安全防护策略需要解决的问题是什么数据能够同步到BYOD设备上。Websene的解决方案是将DLP数据防护解决方案延伸到智能终端领域,通过关键词、语义分析、指纹控制等技术对内容进行识别,无论员工使用企业网络还是3G、家庭网络,只要访问企业邮件,DLP移动数据防护解决方案都能确保没有访问权限的BYOD设备无法访问或同步这些敏感数据。
“另一种更加严格的控制方法是,让所有访问企业网络的设备都必须通过VPN接入Websense云端进行敏感信息过滤。”陈纲介绍称,Websense移动云安全解决方案是Websense针对BYOD开发的云安全策略,主要针对邮件安全和设备离开网络之后的安全控制。
通过这种方式,当BYOD设备尝试上传或下载企业相关资料时,都必须接受Websense移动云的过滤和监控。无论员工使用的是哪种移动终端,通过哪种网络访问企业信息,都能被纳入企业的安全防范策略中,与传统的上网行为管理和终端解决方案相互补充,弥补了后两者的不足。
今年的RSA大会上,Websense发布了以数据安全为核心的全新的Websense TRITON移动安全解决方案。它具有四个关键特点。第一,提供基于内容感知的数据安全功能以阻止基于iPads、iPhones、Android系统和其他移动设备的数据泄露;第二,提供实时的Web和应用安全及策略管控,并提供相关报告让用户能够清楚地了解移动设备上敏感文件的风险状态;第三,能阻止用户下载恶意应用程序并阻拦恶意软件;最后,它还融入了一个移动设备管理(MDM)程序。
陈纲称,Websense TRITON移动安全解决方案包括Web安全、邮件安全、数据安全三部分,涵盖了Websense所有解决方案的核心,能够让用户通过统一的管理平台,同时对Web、邮件、数据的安全进行管理和控制,而且用户还可以选择任意的交付形式,软件、硬件和云的形式都可以。它支持在跨平台交付形式下对不同设备进行统一管理。
>>>>让数据安全地移动
在BYOD的浪潮中,企业员工在个性化需求得到满足的同时,也应该为企业的网络安全付出努力,增强相应的安全意识和防范措施。
对这些员工的BYOD设备,传统的防火墙、反病毒软件和VPN等工具依然必不可少。同时,检测移动应用的安全性,及时发现智能终端上的安全陷阱,也是必要的防护策略。
此外,平板电脑、智能手机等终端的一个很重要的问题是容易丢失。当设备遗失时,其同步的邮件信息、企业敏感数据也面临被泄露的风险。对此,各个安全厂商的移动终端安全解决方案,都将远程手机定位和数据擦除作为重点功能。
例如,趋势科技针对个人移动终端推出的个人移动终端安全方案(TMMS2.0),在智能手机丢失之后,在手机开机的状态下,可以对其进行远程定位,锁定设备所在位置,读取GPS的经纬度,然后通过谷歌地图或百度地图进行精确定位。
个人移动终端安全方案(TMMS2.0)的另一个功能是通过管理平台发指令给手机,进行远程数据擦除。在开机的状态下,手机可以通过网络或短信接收到指令,其中的敏感数据就会被自动擦除。用户也可以选择将这些数据同步到趋势科技提供的云端存储空间中,这样用户就可以将数据同步到另一台设备中,避免重要数据丢失。而针对员工离职等情况,管理员也可以设置只将跟公司工作相关的信息擦除,保留员工的个人信息。
类似功能的解决方案在Juniper推出的JUNOS Pulse套件中也同样具备,而在针对个人消费者的安全解决方案中例如360手机卫士,瑞星手机安全软件等,也非常普遍。
据统计,英国的BYOD普及率是31%,相比之下,美国是50%,而在中国,这个数字已经达到了53%。BYOD的浪潮已然来临,相应的安全防护策略,也必须尽快得到完善。