“互联网+”时代卫道企业移动应用安全

　　移动互联时代，智能终端已成为人手标配，看视频，刷朋友圈，下应用，几乎成为全民化行为，相应的，无线上网成为最热的需求。据2014年Aruba Networks的一项调查显示，高达68%的受访者更喜欢Wi-Fi，而非其他连接方式（4G、3G或有线），这样一类随时随地都希望保持在线的群体，被称为“Wi-Fi控”。

　　而对于企业来说，自从以太网端口消失在iPad这样的个人电脑上时，WiFi网络的需求就开始从“可选”转向“必选”。2014年公布的一项调查报告显示，大部分Wi-Fi控员工倾向于非传统的工作时间和灵活的工作地点，59%拥有至少三台连接设备，逾三分之一（34%）一直处于在线状态，无论是否在工作。Wi-Fi控与他们的移动设备如胶似漆，与通过电视或报纸等传统渠道获取信息相比，87%的Wi-Fi控会通过他们的连接设备直接从数字渠道核实信息。

　　报告显示，Wi-Fi控正在围绕连接设备计划工作生活，并且将工作模式聚焦在移动化上。为了具备在任何时间、地点和设备上有效工作的能力，Wi-Fi控期待雇主能够实施必要的政策，进行结构化的改造，以适应他们喜欢的工作方式。

　　由此，员工自带设备（BYOD）带来的网络复杂性让企业IT部门面临挑战。同时，BYOD随着人来的“麻烦”也不断显现。

　　“邮件门”背后的安全隐患

　　事件起源于2014年3月。据美国媒体报道，希拉里在担任美国国务卿的4年时间里，没有使用政府提供的黑莓手机，而是在一部手机一个邮箱里实现个人生活和工作的切换。

　　而这种做法却可能导致严重问题。经安全专家测试，希拉里的邮箱在面临黑客攻击时比较脆弱，即使加密了，也不意味着百分百安全。根据美国相关规定，除一些极为敏感的文件或机密文件，所有由政府官员发送及接收的书信、邮件都需要被记录在案，私人账号只能在非常紧急的事件时才可使用，比如机构的计算机服务器无法正常运行，但事后也应当将通信内容及时上传至美国国务院服务器。美国信息安全监督办公室前主任J·威廉姆·莱昂纳德认为，如果希拉里用私人邮箱处理了机密信息，是很大的麻烦，她可能违反政府机密信息的基本规则，甚至将会损害美国国家利益。

　　正如希拉里更习惯使用个人手机工作，而非政府提供的黑莓手机一样，用户已经基于自身移动终端形成惯有的移动工作方式。当需要用户在企业和第三方服务器之间进行数据移动和切换时，企业必须通过一种可行架构来监控并规范移动安全管理，防范数据安全风险。

　　重新审视BYOD策略

　　虽然很多企业正在努力消除移动化带来的数据风险，传统的防火墙、IDS/IPS、AV、反垃圾邮件、网页过滤等安全手段可以很好抵制外部风险，但事实证明，当前更多风险隐患来自企业内部，而移动性对企业传统安全架构的挑战，进一步增加了风险系数。由于各移动设备可能带来不同的安全威胁，同时很多企业对网络安全方面的投资集中在短时防御，而缺乏长期规划等问题，员工随处使用这些移动设备将带来更多潜在的安全和数据丢失隐患。

　　而没有密码保护的移动设备丢失导致企业重要信息遗失，也是企业IT管理部门面临的头等难题。在现在的企业网络环境中，BYOD已成为一项严峻的考验。其中，企业数据安全、员工身份管理位列前两大要素。

　　传统的安全手段只限于保护固定的端点和定义好的数据路径，这已经不足以应对今天的移动性安全管理，企业需要重新审视和制定内部的BYOD策略，一致性的安全和自适应的可信管理策略成为当仁不让的重中之重，这种策略可以保护企业和客户的利益，那些试图打破或者跨越这些策略准则的员工将会冒很大的风险，在银行等一些行业，对于安全合规化的管理要求前所未有的增强，一个好的安全策略应该能够基于角色设置严格的企业网络接入规则。

　　自适可信的安全策略

　　众所周知，在传统网络架构下，防火墙策略多是基于设备并设置在端口上的。在WLAN、有线网络等组成的复杂网络环境中，固定网络和无线网络是不同的端口，会出现防火墙策略不一致的情况。例如，当用户接入到公司的固定网络时，可以访问并存取服务器上的资源。这样的功能在无线网络环境以及办公室以外的场景实现？不同终端接入企业网络时，其权限是否要有所区别？员工常常会疑惑，为什么有时候可以读取服务器资源，有时候却不能的疑惑。但对于IT部门而言，传统的置于端口上的防火墙策略让他们叫苦不迭。

　　因此企业真正需要的是一种可信任的安全策略模型，这种信任不是假设存在的，而是必须赋予员工正确的网络接入权利和权限。一些安全企业目前提出了较好的解决方案，其核心是通过基于用户角色控制，能够确保移动设备的合规性管理和构建安全的工作流程，可以帮助企业了解“Wi-Fi控”员工的上网行为，更好地履行整体安全策略。同时，企业也可以根据员工与设备交互的情况，授予不同的认证接入权限。企业部署安全策略，除了确保法规遵从性和简化网络操作之外，最大的目的是旨在通过技术手段帮助员工增强移动安全意识，让员工通过全方位的身份管理解决方案，随时随地安全地访问他们所需要的内容和应用程序，通过这样一个统一的、安全的登录体验，方便员工在自己的移动设备上更有创造力、更高效地工作，真正打造安全和值得信赖的移动体验。

　　相关链接

　　构建全无线时代安全的WiFi网络

　　当前，企业部署WiFi网络已势在必然，安全问题首当其冲。IT管理者需要与时俱进，掌握移动化企业网络的管理问题。既要让企业网络动起来，又要保证企业网络安全。在移动办公日趋主流的形势下，架构全移动的办公环境，确保用户完美的移动办公体验，并兼顾安全性和管理上的便捷，Aruba的技术路线受到很多用户关注。

　　Aruba通过一系列的产品和技术，实现全移动的办公环境，为WiFi控一代提供完美的移动办公体验，同时确保安全性和管理上的简便。主要包括五个组成部分：

　　1、新一代移动防火墙。采用深度的包检测技术，可以依照角色精细地设置安全策略、服务质量和带宽限制，支持1500个移动应用。

　　2、交互式统一通信控制台。

　　Aruba AirWave是一个非常好的统一通信管理工具。它具有直观的可视化界面，可以在一个简单、综合的窗口管理统一通信和网络性能。

　　3、实现自动化的安全管理。Aruba

　　有一个叫ClearPass Exchange的软件，提供应用开发接口，可以支持第三方的IT和业务系统。

　　4、自动登录。

　　Aruba让员工只要通过了WiFi网络的身份验证，就可以自动登录SalesForce这样的应用。

　　5、多屏分享。

　　Aruba的Air鄄Group软件，可以让员工将屏幕和流媒体分享到Apple设备、DLNA设备和UPnP设备。

　　想象一下，具有以上功能的企业网络是什么样子呢？没有了电话线，员工可以通过WiFi设备，方便自如地访问各个企业应用，IT管理者根据员工的角色实施恰如其分的数据保护。

　　佚名