破解BYOD难题
- 来源:中国计算机报 smarty:if $article.tag?>
- 关键字:BYOD,移动办公,办公设备 smarty:/if?>
- 发布时间:2015-02-03 15:00
随着智能终端快速融入人们的生活,BYOD(Bring Your Own Device,携带自己的设备办公)成为了很多白领的选择。虽然公司领导支持这种个性化的办公方式,但是个人设备的多样化,给公司内部的网络安全带来了新的威胁。如何在增效节支与网络安全可控之间找到平衡点,成为很多公司要解决的问题。
Gartner日前发布的一项针对CIO人群的调查显示,到2016年,将有38%的企业不再提供任何个人办公设备给员工使用;到2017年,将有50%的企业要求员工自带办公设备上班。将BYOD和移动办公拒之门外,对于企业来说显然是十分不明智的。如洪水般的移动办公和BYOD潮流,对于企业来说,堵不如疏。更新自己的安全架构以适应移动办公和BYOD时代,是企业最好的应对措施。这样既保证了企业可以为用工提供高效、灵活的办公环境,又保证了企业的信息安全。
BYOD势不可当
Gartner副总裁兼特聘分析师大卫·威尔斯(David Wills)在Gartner发布的报告中表示,BYOD不仅带动企业内部使用移动App的人数大幅增加,而且还推动企业IT部门开发有别于传统邮件或即时通信的移动App,例如时间表、代办清单、员工自我服务的人事程序等。Gartner预计,到2016年,随着企业内部移动App需求的增加和云计算的发展,将有40%的移动App放置到云端。
不过,大卫·威尔斯在其对CIO的调查中发现,大部分企业的CIO对BYOD可以给企业带来的效益不甚了解,只有22%的CIO认为,他们已成功通过BYOD为企业创造效益。大卫·威尔斯建议,就像其他IT趋势一样,虽然BYOD还没有清楚定义或可量化的标准,但是CIO还是要把握机会,展现BYOD业务带来的效益。
BYOD所带来的安全隐患是企业最关心的问题。根据大卫·威尔斯的调查,大部分企业认为它们有能力应对企业内部的移动设备。
大卫·威尔斯表示,面对BYOD,企业应该做的是定义要支持哪个平台、如何提供服务来支持、员工会获得哪些服务、员工对自己的装置管理职责与风险是什么,以及员工自带设备的类别限制等。
虽然推行BYOD的困难不少,但是Gartner的报告显示,到2017年,90%的企业将在一定程度上支持BYOD。到2018年,员工自有办公设备将是企业提供办公设备的两倍多。
BYOD可以为企业节省开支
说到BYOD可以为企业节省开支,最直观的理解就是企业无需再为员工购置办公设备,剩下的预算可以用来维护IT设备或者添置新的IT设备。
“对于一般公司而言,它们需要花费50万美元来购买和支持1000台企业自购的平板电脑,而对于相同的预算,它们可以支持2745台用户持有的平板电脑。” Gartner研究主管费德里卡·特罗尼(Federica Troni)表示,“因为不需要支付津贴,所以员工的平板电脑的直接成本要比公司购买的低64%。当企业有些用户想要使用平板电脑来方便工作时,提供BYOD选项是控制成本的最好选择。”
Gartner的调查显示,企业对IT设备增加的投资数与对BYOD的支持度成正比。移动设备管理(MDM,Mobile Device Management)、总体基础设施扩展、文件共享和同步是支持BYOD需要的三个主要技术投资,如果企业需要更高水平的安全性和可管理性,还需要在桌面虚拟化和安全隔离方面进行投资。
虽然目前已经有不少厂商开始提供BYOD的管理解决方案,但是因为网络、操作系统、应用程序和安全问题等因素的限制,目前BYOD还没有能够全面实现安全性和便利性的解决方案,当然这也是厂商的努力方向。
BYOD的安全问题可以解决
具体来说,需要解决BYOD所带来的问题,首先要明确有哪些问题是因为BYOD所产生的。开放BYOD后员工的设备能否与现有工作环境有效融为一体?是否能确保公司数据的安全性?移动设备一旦丢失,如何防止公司的数据不泄露?公司是否要投入大量的IT维护费用?
上述几个问题是大多数IT部门主管在讨论是否开放BYOD时最先考虑的问题。
不受管理的移动设备可能会导致企业数据和服务遭到外部入侵。离职人员或者入侵者可能会把某位员工丢失的办公设备带入办公区域,通过WLAN访问敏感企业数据。当然这不仅是BYOD的问题,使用公司设备同样也存在这样的风险。
目前来看,这个问题已经可以很好地解决。现在已经有公司可以提供一种能够分辨使用个人iPad的员工和使用公司提供的PC机的员工的网络系统。它允许使用标准方法进行身份验证,如果客户端是一台个人移动设备,网络会对其采用不同的安全策略。借助这种识别功能,IT管理员可以看到网络中所有用户的自有设备和它们的类型和所有者。通过验证的设备可以在任何地方连接到公司的系统,即便是在外地出差时。
值得一提的是,这套系统还可以将员工丢失或者被盗的设备添加到黑名单中,这样这些设备就无法在WLAN中通过身份认证,从而防止因为办公设备丢失或者被盗产生的安全风险。
在BYOD刚刚兴起的时候,公司为了控制员工的自有的办公设备都会在其中按照相应的管理软件,让公司具有远程管理用户设备的能力,比如当员工智能设备丢失或者被盗时,可以远程删除智能设备内的数据。但是这样做带来了侵犯个人隐私的风险,因为用户自己的智能设备之中不仅存有公司的资料,还有大量的个人信息。
在解决如何在保障用户个人设备上公司信息安全的同时,保障用户个人隐私不受侵犯是公司在推行BYOD时要考虑的问题。
也许采用虚拟化是解决问题的手段之一,虚拟化能隔离企业敏感信息,具有与生俱来的安全特性,其所有系统和数据都存储在后台,前端设备与虚拟机之间传输的只是键盘、鼠标动作和显示界面的刷新部分,而非完整的数据包,再加上多种加密技术,可有效保障企业信息安全。
SEMCO能源公司IT经理马特·科斯特(Matt Kosht)的做法可能值得很多公司借鉴。“大多数IT主管都倾向于对BYOD采取控制措施。他们通常认为如果我控制了BYOD,我就能保证它的安全。我比用户有更多的权限,这样就能保证安全。”但事实上并不是这样的。控制并不意味着一定安全。
“我不得不承认大多数IT部门都会在某种意义上喜欢惩罚用户。用户选择了BYOD,那么很抱歉,用户的设备将被锁定,以防止访问一些不该访问的服务。可如果用户不喜欢IT部门的所作所为,那么他们很可能会不断地替换设备,这样可能会导致其他更多的问题。对用户控制得越多,他们越可能制造问题。”马特·科斯特强调。
“并不是说不重视终端的安全。终端的安全也有很多事情需要IT管理人员去做,比如数据加密、PIN码锁定等。但是最重要的还是关注数据安全,数据才是重中之重。终端不过是数据处理的一种方式。”马特·科斯特这样认为。
事实上,数据加密或屏蔽设备并不难,真正难的是如何对数据进行分类,识别哪些是需要保护数据,为不同设备制定不同的安全策略,以及如何高度自动化地实现这一目标,而不至于大幅度增加IT维护的成本和员工负担。
马特·科斯特认为,虽然用户并不喜欢MDM,但是对于公司来说MDM是必要的,所以需要IT管理人员将其打包安装到移动设备里。而且需要教会员工在不同地方使用数据时该如何保护数据。
MDM保障BYOD
硬件安全问题
MDM可以提供全生命周期的移动设备管理。从设备注册、激活、使用、淘汰各个环节进行全面管理。MDM能实现用户和设备管理、配置管理、安全管理、资产管理等功能。MDM还能提供全方位安全体系防护,同时在移动设备、移动App、移动文档三方面进行管理和防护。
MDM确保企业移动安全通常涉及以下四个阶段。
第一阶段,MDM配置设备。由负责企业移动的移动IT部门和安全工程师决定哪种设备会被保留。这个阶段包括利用所有现有的公司网络设施以此帮助避免资源复杂化和重复化。
第二阶段,MDM管理所有的设备。包括笔记本电脑、智能手机、平板电脑等用户自带的办公设备。员工被允许访问企业特定的资源,包括应用程序、电子邮件,确保目录安全和基于云的文件存储IT部门可以向使用移动设备的员工发布公告,告知他们什么是被允许的和什么是不允许的,明确使用规则非常重要。
第三阶段,MDM管理使用者的移动应用程序。在这个阶段,必须解决几乎无限的应用程序管理问题。设备、人员和操作系统平台都是有限、相对可控的,但是应用程序数量、种类却是时刻都在发生变化。MDM可以帮助企业解决一系列相关的问题,包括提供一个私人的、公司特定的应用程序商店等。一个这样的公司应用程序库对于整个公司的部门,以及应用程序的保存和发布都是方便有效的,并且提供最严格的安全和最佳的最终用户体验。
第四阶段,移动设备管理控制成本。由于MDM设计的应用程序接口可以监测用户的情况,这样企业就可以有效地减少非必要的电话和数据流量开支。
IDC的数据显示,智能移动终端将超过电脑成为访问互联网时使用最多的终端,企业用户对移动应用程序的需求也从最初的收发电子邮件、办公自动化,拓展到业务类应用程序的移动化。企业面临着大量内部和外部移动应用程序的管理和分发。因此,移动应用管理(MAM,Mobile Application Management)应运而生。
MAM解决BYOD
应用程序安全问题
MAM可以制定针对员工移动设备应用程序的安全保护、分发、访问、配置、更新、删除等策略和流程。通过企业应用商店控制和推送应用程序,MAM能集中监控应用程序的使用情况,对应用程序设置相应策略以满足企业的要求。
MAM的大原则是不能干扰员工个人的应用程序,不触犯其个人隐私权,这也是员工最在乎的。当然MAM要在保障员工个人隐私的同时,保证用户在存取公司的系统或档案时严格控管。这种情况下的管理复杂度相当高,员工的移动设备有各式各样的平台,有各式各样的应用程序,MAM平台要有办法应对各种平台,而不只是管理或限制设备本身的功能。
MAM能够防止恶意软件攻击,并在企业内部建立一个可信的应用商店,对企业内部的应用程序进行管理和分发。要知道,木马应用程序是公共移动应用商店存在的一个大问题,企业移动应用商店同样可能受到这些恶意软件的攻击,例如来自心怀不满的员工的内部攻击,或者来自内部企业应用程序捆绑的第三方软件和服务包。IT部门要在企业内部搭建一个应用商店,对企业应用程序进行管理和分发。
为防止企业移动应用商店含有恶意软件,MAM能够提供对上架前的应用软件进行安全扫描服务功能。企业移动应用商店通过恶意软件检测平台对应用程序进行快速安全检测,对于返回有安全隐患的应用程序由管理员决定是否上架。
移动打印 BYOD的突破口
说到BYOD的应用程序,移动打印可以说是走在了所有的应用程序之前。柯尼卡美能达已经向市场推出了云打印解决方案以满足基于移动设备的输出需求,如:向客户免费提供的PageScope Mobile Utility,它很好地解决了移动办公文印的输出需求。在解决打印输出需求的同时,柯尼卡美能达也会在近期上市一些能满足基于云端应用程序的解决方案,该解决方案能够帮助客户将文档更为快速方便地上传到云端,并可以直接与目前在企业流行的如DropBox、Evernote、SkyDrive和SharePoint等云应用文档扫描解决方案进行整合,便于企业更为便捷地分享文档。
理光也早已开始以云打印和云存储为核心的解决方案的开发,目前理光利用自己开发的Smart Device Print等软件帮助一些具有基础需求的BYOD用户实现iPad、iPhone等移动设备与数码复合机的无缝连接。未来随着相关的应用程序的增多和成熟,理光将推出更多云复合机解决方案。
惠普提供了相应的惠普云打印解决方案来服务客户。惠普企业级云打印解决方案(HP ePrint Enterprise 2.1)是一种基于私有云的服务。私有云保证了企业内部的分享,不用担心信息安全的风险,这个物理隔断阻止了外部入侵,支持员工在外出途中也能安全打印重要的业务文档。借助与企业网络的无缝集成,随时随地进行打印。借助嵌入式AirPrint,也可以轻松使用iPad、iPhone和iPod Touch进行无线打印,从而大幅提高文印效率。
链接 BYOD需要注意的五大安全隐患
网络带宽浪费,工作效率不高。目前,移动设备监管手段,远远落后于移动设备的联网能力。3G/4G网络、便携无线路由器,让网络失去边界。各种员工行为管理被移动设备轻松绕过。
移动设备感染恶意软件机会增加。BYOD安全投入较少,防护能力不强。同时,BYOD存在访问范围广泛的问题,现在针对移动平台的威胁呈现指数级别的高速增长,BYOD受到威胁。
移动设备丢失更加频繁,威胁公司数据安全。作为一种便携设备,员工可以随身携带,发生丢失、被盗的概率更高,而作为企业的接入终端,BYOD上有企业的重要数据,设备丢失威胁企业数据安全。
针对移动设备的网络攻击常态化。移动设备不同于PC的一个很重要的方面,就是移动设备大都是直接和用户的金钱、利益相关,比如:支付、移动银行等,这直接导致了对移动网络攻击激增。
众多移动设备安全策略不一致。移动时代,无线终端多种多样,更新换代更加频繁。企业很难做到实时更新设备安全策略这可能会导致安全手段失效,同时,也会给员工带来工作障碍。
本报记者 张楠