信息化 频道

应对BYOD:企业安全如何做到万无一失

  【IT168评论】过多半仅仅是打打电话、收收简讯。如今当红的智能型手机不仅提供基本的语音服务,同时可以透过3G或W-iFi无线网络上网浏览网页、下载程序。终端用户还可随时随地在社交网络上与朋友交谈,抑或上传照片与档案至Facebook或Flickr。过去只限在计算机上进行的网络活动,如今都可以在智能型手机上如法炮制。站在端点使用者的角度当然方便,但对公司安全难免会是一大挑战与威胁。

  这个挑战威胁,随着Apple iOS及Google Android掀起智能型手机乃至平板计算机热潮后变得更为严重。因为同时拥有智能型手机与平板计算机,并一齐带到公司的情形大增,移动装置的管理,乃至可能衍生而出的安全问题,已成为今后企业必须面对的棘手难题。

  BYOD声浪的逐渐发酵

  根据comScore的研究报告指出,当前智能型手机市场,在Apple iOS与Google Android的强力冲击下,使得原本占有率极高的黑莓机(Black Berry)呈现大幅下滑的趋势。同样市场占有率曲线逐渐呈下坠态势的还有Windows Mobile,而且在整个手机市场的席位最岌岌可危。虽然Apple iOS早已是Android却拥有最可观惊人的成长幅度。

  以上报告也说明了Apple iOS与Google Android移动装置在市场上受到热烈欢迎的可怕程度。也因为此一趋势的带动下,一股日渐强烈的带自己移动装置上班(BYOD;Bring Your Own Device)声浪逐渐在企业内与方案供货商间发酵成型。如今BYOD不仅仅是个普遍现象,同时是企业必须面对及思考的既定事实。

  不可讳言的,BYOD绝对会对企业现有IT管理、安全基础架构,乃至安全政策造成严重冲击。这使得企业在进行BYOD可行性评估时,必须在全面禁止与开放之间做抉择。如果全面禁止的话,当然就不需再为什么移动装置安全与否的问题大伤脑筋,而且只要在门禁控管上多下点功夫便可办到。但企业必须面对及承担员工反弹、商务沟通不便,甚至无法进一步提升工作效率及生产力的可能后果。

  如果企业允许开放,那么就必须审视当前智能型手机乃至平板计算机应用在企业内部的可管理性。如果想要提升可管理性,最直接的做法,莫过于所有可在公司内部使用的移动装置,全由公司统一采购及配发。如此一来,企业便可事先针对这些装置做好管理与安全的优化设定作业,例如事先安装好安全防护软件的代理程序或设好其他相关安全设定。不过,该做法虽然极具可管理性,但企业必须负担采购各类移动装置的成本。

  如果企业既要提升移动工作效益,又想省钱的话,BYOD会是唯一选择。但想要员工带自己的移动装置上班,以提升移动商务的工作效益与生产力,同时又想兼顾安全管理的要求,绝对是企业IT人员的一大挑战与考验。

  企业必须审视评估其可行性,并寻找出可行的搭配方案,否则势必会有层出不穷的安全疑虑及风险出现。「因应个人移动装置的快速成长,装置类型及应用的多样化,益使得当前移动装置上的安全、网络及法规遵循等需求大增,」ymantec中国区技术支持部首席解决方案顾问林育民即指出,「手机上最易遭致恶意攻击的地方,莫过于E-mail、服务及应用程序。」所以企业允许移动装置的开放(尤其是BYOD的开放),最起码得就邮件等服务与应用程序做好完善的安全控管措施,如此才能找到工作效率与安全兼顾的平衡点。

  无线网络与安全基础设施之必要

  面对人手一支/台(或多支/台)的智能型手机或平板计算机,企业难以否认这些移动装置绝对可以为工作生产力及商务沟通带来明显效益,但同样地也难以回避可能引发的安全疑虑。不论站在公司生产力提升的立场,或安全角度,有心导入的企业都必须准备好基本的无线网络基础架构才行。

  因为当前智能型手机或平板必须透过无线Wi-Fi或3G存取因特网,所以企业若允许员工携带自己的移动装置来公司办公的话,就必须提供无线网络,否则一方面用户将无法正常上网或存取公司资源,另一方面使用者可能改采企业不一定能控管的3G网络,徒增不必要的安全风险。或者,用户在外部想存取公司网络时,企业最后能提供安全性较佳的SSL VPN。

  进一步而言,企业必须分别在公司内部及外部提供具备安全管控能力的网络访问机制。但是当前仍有许多公司内部并没有导入无线网络,如此一来,移动装置将无法发挥既有的效益,同时企业也无法对这些装置进行管控。毕竟员工为了贪图方便,而私接无线AP,企业若没有任何无线安全防护机制,无异会成为防不胜防的一大安全及管理漏洞。

  换言之,企业若要将员工自身的移动装置转变成工作商务利器的话,基本的无线网络与SSL VPN等网络及安全基础架构势必免不了。但长久以来企业会对无线网络裹足不前的最主要顾虑即在于安全问题,为了确保企业无线网络安全,企业势必需要另外导入专门性的无线安全防护方案,像是Aruba、AirTight等无线入侵防护产品。如此一来,企业必须依据自身的实际需求,仔细评估是否有必要为了将移动装置纳入工作环境,而得花大钱购置相关安全防护设备与无线网络基础设施。当然,完全不考虑,并明令禁止在工作环境中采用移动装置会是最省钱且一劳永逸的做法。但面对移动装置带动下的移动商务及云端热潮,若不及时下决定,将可能让公司营运模式失去灵活性及绩效蜕变的可能契机,这一切都必须要企业做更仔细深入的评估才行。

0
相关文章