企業(yè)移動安全：被忽略的真相

本刊記者｜孫杰賢

企業(yè)移動安全的關鍵在于“人”，企業(yè)應該倡導鼓勵安全文化讓安全觀念成為企業(yè)有機整體的一部分。

為了解大型企業(yè)在企業(yè)移動化方面的舉措，CA Technologies委托著名的市場研究公司Vanson Bourne對來自21個國家、5個不同行業(yè)的共1300名高級IT決策者進行了一項調查，其中包括450名亞太及日本地區(qū)高級IT決策者。

安全，還是安全

調查發(fā)現(xiàn)，95%已經部署或計劃部署企業(yè)移動化戰(zhàn)略，受訪者普遍認為，IT正逐漸成為富有創(chuàng)新性、功能性和企業(yè)級的移動應用創(chuàng)造者，為客戶賦予更多能力，提高員工生產力，而不是被動地為終端用戶私自使用的應用提供技術支持。同時，基于“32%將同時跨越不同平臺開發(fā)應用視為部署移動化的主要挑戰(zhàn)”以及“48%計劃重新調整預算，將更多資金用于移動化舉措”這兩個調查結論，Vanson Bourne預測，移動化支出作為IT整體預算的一部分，在未來三年內將增長33%。

但是調查同時也發(fā)現(xiàn)，對移動化而言，安全性既是最大的障礙，也是第一個需要改變的問題；而且與亞太及日本地區(qū)的其他國家相比，中國企業(yè)對移動化措施的安全性和隱私性持的擔憂更高。49%的中國公司十分關注安全性和隱私性，并且普遍認為這是一個亟待解決的問題。相比而言，亞太及日本地區(qū)和美國的相關數(shù)據(jù)分別為30%和28%。

雖然存在對安全和隱私的顧慮，中國企業(yè)對移動化戰(zhàn)略的推進速度仍然高于除美國以外的其他國家，95%的被調查企業(yè)已經部署或在一年內有計劃部署企業(yè)移動化。印度企業(yè)的這一比例為85%，日本為49%，新加坡為60%。

移動技術經過多年的快速發(fā)展和廣泛應用，已經從消費類向企業(yè)級全面滲透，企業(yè)業(yè)務的各個層面都在釋放移動的需求；與此同時，中國企業(yè)的移動平臺建設日趨成熟，移動在企業(yè)中的角色也演變?yōu)樘嵘龢I(yè)務價值的生產力工具。其中，提升生產力與加速決策制定是企業(yè)將應用轉移到移動平臺最重要的兩大驅動力。

企業(yè)的移動化按時間順利先后經歷了三個平臺，分別是以PC代表的第一平臺、以互聯(lián)網(wǎng)代表的第二平臺，現(xiàn)在正式以移動、社會化和大數(shù)據(jù)代表的第三平臺時代正在到來，也可以稱之為“BYOD時代”。據(jù)樂觀預計，到2020年第三平臺的總產值將占整個ICT產業(yè)的40%，達到2萬億美元。

技術當然重要

我們知道，BYOD模式是IT消費化的一個戲劇性結果。這一模式的原動力來自于員工而非企業(yè)，員工對于新科技的喜好反過來驅動企業(yè)變更適應新技術的變化。十年前，我們上班的時候就用公司的電腦，不安裝其它軟件，很安全。BYOD則意味著我們可以在辦公室使用自己的電腦設備辦公，可以任意安裝自己需要或者喜歡的軟件，打開自己感興趣的鏈接。與此同時，企業(yè)的安全策略并沒有考慮這樣的應用環(huán)境和要求，自然帶來安全和支持的風險。

在企業(yè)移動化安全問題的防控中，多數(shù)企業(yè)采用的是傳統(tǒng)的技術手段。比如實施最新的移動VPN，安全接入控制，防病毒，以及部署移動設備管理系統(tǒng)。一些芯片廠商也開始從底層架構設計來解決移動化的安全問題。

傳統(tǒng)的二進制靜態(tài)企業(yè)信任模式，用戶通常要么能夠獲得所有資源的訪問資格，要么無法訪問任何資源。而且，一旦獲得訪問許可，訪問級別將始終保持不變。為了能夠為全新的技術和應用提供支持，英特爾公司重新設計了自己的信息安全架構以適用BYOD等新

技術應用所帶來的安全挑戰(zhàn)。新架構不再采用傳統(tǒng)信任模式，而是采用動態(tài)的多層信任模式，可以對特定的資源訪問提供更精細的控制。新架構基于四大要素：信任計算、安全區(qū)域、平衡的控制以及用戶和數(shù)據(jù)邊界。信任計算能夠動態(tài)決定是否應授予用戶特定資源的訪問權限以及訪問類型；安全區(qū)域包含重要數(shù)據(jù)和訪問收到嚴格控制的信任區(qū)域，也包含不太重要的數(shù)據(jù)和允許廣泛訪問的不信任區(qū)域，各區(qū)域的通信處于監(jiān)視和控制之下；平衡的控制則突出強調了在預防式控制和糾正式控制之間達成平衡的需求；用戶和數(shù)據(jù)邊界則是將用戶和數(shù)據(jù)視作額外的安全邊界并提供相應保護。

被忽略的真相

然而，即使有所謂最佳的保護和加密措施，也可能因為員工從外部站點登錄訪問公司數(shù)據(jù)，或者使用不安全設備而使其安全度降低，以及一些強度弱的密碼和不正確的在線工作行為也會使安全度降低。可以說，技術防范手段治標難治本。

CA Technologies中國區(qū)總經理孫志偉表示：“根據(jù)過往經驗，已經成功采用移動化措施的中國企業(yè)在提高收入、縮短產品上市時間、提升競爭力、改善客戶體驗、提高員工生產力和降低成本等方面均提高了12到18個百分點。但是不可否認的是，移動化提升了內部用戶系統(tǒng)和面向客戶系統(tǒng)的復雜性。其中，移動安全至關重要，沒有制定移動化戰(zhàn)略的企業(yè)將面臨許多潛在風險，例如：不遵守重要法規(guī)、無意中泄漏企業(yè)信息、或由于糟糕的移動應用購物體驗對品牌聲譽造成負面影響等?！?/p>

記得著名安全專家Stephen Hopkins在接受采訪時有這樣一段讓記者印象深刻的話：“我們中許多人無論是專業(yè)的還是非專業(yè)都會滔滔不絕地談論技術手段在應對信息安全挑戰(zhàn)方面所扮演的關鍵角色。然而，這樣做的結果是真相被忽略了。什么真相呢？那就是安全始于人，而非技術。你能夠擁有最好的基于技術的安全解決方案——防火墻，數(shù)據(jù)加密，入侵檢測等等 ——但如果這些技術沒有適當?shù)牧鞒讨С忠沧⒍〞〉?。所以，企業(yè)在面對安全問題時，將技術從爭論中分離出來是個好的開始和嘗試，技術競賽只會讓企業(yè)搬起石頭砸自己的腳，而管理、流程、教育、體制和文化才是最好的防御之道”。這與孫志偉的“企業(yè)移動化戰(zhàn)略”不謀而合。的確應該從企業(yè)戰(zhàn)略的層面來面對移動化以及相應的安全問題，而不僅僅包括技術防范手段，企業(yè)的安全文化、安全體制和安全意識遠遠重要于技術手段。因此，企業(yè)移動安全的關鍵在于“人”。企業(yè)應該倡導鼓勵安全文化讓安全觀念成為企業(yè)有機整體的一部分，這需要進行文化轉變。安全觀念必須成為一個能動器并嵌入到企業(yè)運行的各個方面，融入員工的血液，不能將安全意識看作企業(yè)創(chuàng)造精神的障礙。

根據(jù)最新消息，2014年索契冬奧會將成為歷史上規(guī)模最大的BYOD（自備終端）奧運會，將有12萬部移動設備同時在線。移動化是大勢所趨，讓我們熱情地去擁抱它吧。