科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道无线专家探讨:BYOD领域真实的安全事件

专家探讨:BYOD领域真实的安全事件

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

自带设备办公现象,简称BYOD,凭借着便捷的生产力提升效果与大量潜在威胁,在企业尤其是CIO群体中一石激起千层浪。有些CIO选择了极端方案,以强制性用户服务条款为武器要求员工停止BYOD行为,甚至将此上升到侵犯隐私权的法律高度。

来源:CIOAGE 2012年7月11日

关键字: BYOD CIO 安全 移动终端 信息化 无线网络

  • 评论
  • 分享微博
  • 分享邮件

  自带设备办公现象,简称BYOD,凭借着便捷的生产力提升效果与大量潜在威胁,在企业尤其是CIO群体中一石激起千层浪。IT管理者们担心BYOD趋势为普通员工赋予了太多权限,这一方面会引发各种安全问题,另一方面也对IT部门的地位提出了不容忽视的挑战。

  在这种局势下,有些CIO选择了极端方案,以强制性用户服务条款为武器要求员工停止BYOD行为,甚至将此上升到侵犯隐私权的法律高度。更有不少企业IT专家明确表示,由于BYOD缺乏充分的安保措施,因此很可能令企业敏感数据陷入泄露的危机当中。

  就在众说纷纭、莫衷一是的混乱之下,来自已创立十年的中型企业IT咨询服务公司Concept Technology的John Mensel站了出来。以工作经历来看,他似乎应该倾向于大多数IT管理者,将BYOD视为导致管理政策混乱的罪魁祸首。然而恰恰相反,他希望争论的双方保持冷静,以乐于聆听的心态尝试理解彼此的坚持理由。

  CIO网站与Mensel共同探讨了BYOD领域发生过的真实安全事件,并展望BYOD对IT未来所将造成的深远影响。

  在BYOD与隐私保护方面,有哪些重大事件或趋势令你印象深刻?

  Mensel: 虽然BYOD在过去的几年中已经逐渐成为客户比较关心的话题,但真正让人们以严谨的态度认真对待甚至忧心忡忡还是六个月之前的事。在这里,我主要谈谈平板设备与智能手机。

  在这方面,影响最大的其实是电话号码。我的业务电话号码与个人电话号码都很宝贵,而且客户在过去十年中一直通过业务号码跟我联系。一旦号码发生变更,我个人很可能会面临一大堆麻烦。

  举个典型的例子,某位刚刚入职的销售人员决定使用自己的设备处理业务。他(或她)的潜在客户以及亲朋好友都会通过个人号码与他联系,而一旦这位员工离开企业,电话号码自然也就不再是业务工具的一部分。显然,这种情况是企业不想看到的,因为这很可能意味着客户无法顺利与公司联络,甚至愤而转寻其它合作伙伴。正是出于这种考虑,很多管理者才宁愿通过批量采购为员工配备业务手机,也不希望他们仍然使用自己的号码。这很正常,我也非常理解。

  谷歌Voice、电话转接以及其它多种机制都能够让BYOD智能手机接到打往不同号码的电话,我们能不能利用这类变通的办法解决上述难题呢?

  Mensel: 当然可以,不过前提是企业管理者愿意承担由此带来的额外管理压力以及行政开销。因此当我们的客户遭遇这类困扰时,我们一般都会做出这样的决策:给员工配备新的设备,这样一切尽在企业的掌握之中,同时也不会产生任何执行上的误解或妥协。

  对于一家已经决心大规模推广BYOD策略的企业而言,所面临的问题则不尽相同。他们所要谈论的,是在采用BYOD的前提下尽可能降低成本。

  再来说说智能手机与平板设备上的虚拟化话题吧,基本上移动虚拟技术能够将同一台设备中的业务应用及数据与个人信息相隔离,您认为这会成为BYOD未来的发展方向吗?

  Mensel: 我个人非常欣赏这种思路,而且大家可以借此解决很多令人头痛的现实难题。不过除非虚拟化技术能完美应用于iOS设备,否则一切都毫无意义。BYOD的核心在于人们能够在工作中使用任何自己想要的设备,这也是一切相关管理策略的价值所在。相信在未来的很长一段时间内,iOS设备仍然会是人气最高、需求最旺的主角。

  所以要谈论虚拟化技术在BYOD领域的应用,首先要让移动管理程序正确作用于iOS。但目前来看这方面还有很长的路要走,可以说仅仅是理论上成立吧。

  目前有一套备选方案能够在一定程度上替代虚拟化技术,同时提供许多效果类似的优势。我们的做法是这样的:客户机上的某款应用程序对业务而言至关重要,因此我们必须为其配备很多极其严格的安全协议。但同时有少数几位主要用户需要从移动设备对应用加以访问,在这种情况下我们会通过以SSL为基础的VPN终端服务满足需求。

  这种解决方案还是值得一试的,用户能够调用远程桌面并访问特权类数据。最重要的是,由于使用的是远程桌面协议,因此iOS设备也完全能够胜任这一流程。99.9%的企业都能够在不添加任何额外技术及基础设施的前提下,成功实现这种处理方式,而且大多数IT工作人员对这套方案掌握得非常透彻。

  总之,这是一种廉价、快速且安全的应对措施,值得一试。

  每当谈论起BYOD,安全方面的话题总会接踵而至。我常常听到许多技术人员将远程清除当成标准化要素,但其实这算不上是真正意义上的安全管理内容,对吗?

  Mensel: 我们也会建议自己的企业客户在面对设备遗落或失窃情况时,通知员工进行远程数据清除。不过我承认这种做法仍然饱受争议,甚至蕴藏着一些潜在法律问题。

  不过在实际市场当中,我们的大多数客户都无法承担由移动设备及其严格控制需求所带来的高昂前期投入。设备清除政策是一种简单粗暴的解决方式,虽然不尽人情但却收效甚佳。有了它的协助,我们会更加放心大胆地部署其它BYOD策略,因此大家不妨将其看成一种两害相权取其轻的方案。

  也就是说,暴力清除绝不是我们推荐的最佳方法,实际上就算是大家及时把失窃设备中的信息清除一空,损失也已经造成。相信最终我们会找到解决这类问题的更好办法。

  一般说来,利用最基本的网络安全及数据保护措施,已经能够缓解绝大多数移动设备所面临的严重安全威胁。至于像客户的信用卡号码这类最关键的信息,需要的则是全方位安全协议的重重保护与严密锁定。

  如果各位是因为失窃设备的使用者原先曾以远程方式下载过客户社保号码数据库等敏感数据才不得不选择进行远程清除,那么真正的问题就不在于移动设备本身了。这种糟糕的安全管理政策才是最不靠谱、最值得反思的对象。

  在移动BYOD管理中采取远程清除的另一大弊端在于,员工的个人数据也会被一同清空,对吧?很多员工为了避免数据被清除、或是抱有设备还能找到的侥幸心理,不会在第一时间将失窃情况上报给IT部门。

  Mensel: 对于这个问题我倒是有不同的看法,至少不太认同员工不希望自己的个人信息也被清空的说法。可以从我们企业的软件工程团队中随机收缴四十台移动设备,并直接把它们扔河沟里去,我敢保证企业不会因此而损失哪怕一丁点关键业务数据。

  当然,这类事态肯定会造成一些不便。我们可以必须要购买新的手机、设置原先使用的密码并将新设备与iTunes资料库同步。不过智能手机及平板设备最大的价值正是在于帮助我们随时浏览并保留来自别处的数据。

  如果员工把智能设备当作保存个人数据的惟一平台,并将一切希望寄托在这部小小的机器上,那我只能认为他们还没学会如何正确使用这些设备。

  我还听说过有些公司会制定专门的BYOD用户政策,严禁员工使用iCloud。

  Mensel: 制定比较严苛的管理政策并不是不行,但前提是这些设备应该由企业提供。我认为企业绝不应该说什么“员工有责任自己准备业务需要的移动设备,但一切控制权限都在企业这边。”

  现实总是残酷的,我就听说过不少企业会一边让员工自己出钱买设备,一边制定严苛到近乎虐待的管理策略。就我个人而言,绝对不会到这些地方工作。

  还有很多企业希望能鱼与熊掌兼得——他们既希望能够获得BYOD带来的各种优势,又不必在购买移动设备、制定并维护安全管理机制方面投入巨额资金,这种贪得无厌的观念当然无法实现。

  在这里我要抱歉地告知这类管理者,你只能从两个选项中做出选择。要么放宽政策、给员工以自由;要么拿出真金白银,把企业分配给员工的设备管理好。

  BYOD中潜伏的移动安全威胁一直被炒得沸沸扬扬,但直到今天我也没遇上过什么真正的大事件。这种“威胁论”是不是存在一些夸大和炒作的成分呢?

  Mensel: 在这个问题上,我跟身边许多志同道合的朋友们也经常争论不休。我个人的意见是,没错,其中确实有夸大和炒作的成分。

  多年以来,我们已经在笔记本电脑上遭遇了类似的问题:不断努力、不断维护,但安全状况却越来越糟。因此在我看来,真正值得担心的威胁反倒是来自已经成熟的笔记本电脑,因为大家根本无法找到有效的途径,能够预防笔记本通过VPN接入企业内网,并窃取数据或注入病毒。

  要给企业带来风险压力和经济损失,一台笔记本电脑在灵活性和攻击力方面几乎将永远强于平板设备或者智能手机。

  听起来BYOD移动安全威胁似乎是IT行业抛出来转移人们注意力的烟雾弹。为什么IT领域会对BYOD如此忌惮呢?

  Mensel: 最近我常听人们问起,“IT消费化趋势是不是标志着我们所熟知的IT部门从此走向没落?”

  我有一位朋友在Rackspace公司负责云技术工作,我们曾在喝酒的时候谈到这个话题。他半开玩笑地说,像我这样的家伙再有两、三年就会失业,到时候一切技术都将以云环境为依托。

  是啊,也许到时台式机技术支持之类的工作真会消失,而企业也将不再需要我们这帮每天忙这些事情的人。不过我想,将来技术人员可以转型为其他员工提供接口,让他们能够将自己的设备与业务流程顺利对接。相信这会成为IT部门今后一段时间的主要工作。

  在传统模式中,安装大量应用程序的台式机是技术部门的主要服务对象,而配置工作又是服务内容中的重点。这种环境规范严谨,技术人员对设备拥有高度控制权。

  如今工作的阵地正在向消费化环境倾斜,在这一领域用户才是接口的实际拥有者。从这个角度出发,IT部门所能做的只是提供数据源及对接接口。在过去几年中,我们团队所要处理的绝大多数应用程序已经不再与Exchange或者SQL服务器打交道,Web特性才是真正需要考虑的核心问题。

  IT工作者的角色正从为台式机应用程序提供技术支持向打造服务接口转移,无论这些应用是基于Web、Java、Flash还是来自app软件商店,这种趋势都已经不可逆转。我们所能做的只有尽量充实自己,并在未来的挑战中以坚强的心态面对一切。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章