新變革

賽門鐵克 卜憲錄

從移動設備市場看挑戰(zhàn)：

在移動設備市場，BYOD趨勢對企業(yè)用戶、個人用戶、運營商均提出了新的挑戰(zhàn)。

對于企業(yè)用戶：個人用戶正在推動移動設備的創(chuàng)新，并將它們帶入企業(yè)組織。許多企業(yè)缺乏一個全面的解決方案來應對“攜帶自有設備”（BYOD）趨勢，以及隨之而來的多種移動操作系統(tǒng)，而全面的解決方案既可以保證企業(yè)數據的安全，又允許用戶使用個人設備。

對于個人用戶：個人用戶缺乏充分保護個人信息免遭威脅，和避免設備被盜或丟失的能力。

對于運營商：運營商在企業(yè)移動網絡連接產品上不具備差異化安全措施，導致來自每位用戶的平均收益下降，而網絡基礎設施成本增加。

另外，BYOD涉及到放棄對接入企業(yè)網絡、資源和數據設備的一些控制。通常，放棄此類控制會引發(fā)一些潛在的風險和顧慮。BYOD所引發(fā)的顧慮與在高速路上駕駛汽車非常相似。兩者都存在潛在的危險。但是，這些危險可以通過采取恰當的防護和工具而減輕。正規(guī)的培訓、合格的輪胎、車頭燈和安全帶是安全駕駛的一些必要準備。而移動應用管理和移動設備管理是預防BYOD潛在危險的必要解決方案。

建言：打一個“全算盤”

用戶在應對BYOD趨勢時，要做通盤考慮。第一，做好移動設備本身管理的基礎安全工作，一個管理良好的設備才有可能是一個安全的設備，在此基礎之上才能做安全的管理；第二，用戶需要了解其需要保護的不僅是移動設備本身，更重要的是里面信息的內容，要注意對一些敏感內容的識別和保存；第三，要注意移動終端應用本身的安全性，包括對它的管理，例如怎么進行安全的分裝，甚至是員工離職以后，區(qū)別哪些應用、信息屬于個人或公司，屬于公司的數據企業(yè)需要將之擦除掉，屬于個人的信息企業(yè)不加以變動；第四，如果當移動終端跟云結合的時，既要保證信息的訪問，又要保證信息的安全性。這些都需要用戶有很深的認識。

山石網科 譚儀

從企業(yè)環(huán)境看挑戰(zhàn)：

網絡方面：由于Wi-Fi網絡的鋪設，員工及訪客很容易就接入相關的網絡進行上網，同時網絡濫用的情況也會伴隨著出現；（因而BYOD網絡面臨的問題，主要有接入的認證及權限的分配）

數據方面：由于BYOD中的設備大部分是如平板電腦、3G手機等智能終端，其應用中的用戶名密碼在選擇了自動登錄后回選擇記住密碼，同時一些訪問公司內部敏感業(yè)務部門的數據也會在Wi-Fi網絡中傳輸，因而也面臨賬號密碼等敏感數據傳輸被竊聽的威脅。

設備方面：BYOD設備可以通過AP接入Wi-Fi網絡，也可以通過3G無線卡接入到3G網絡中，設備完全脫離企業(yè)的管控；同時由于設備是員工所屬，在不能控制設備的外攜的情況下，也就不能控制設備上存儲數據的外攜；對平板和手機而言，監(jiān)控程序在系統(tǒng)上也受到很大限制——例如iOS是非公開源代碼，其上的應用也全是沙箱隔離，無法做到對應用的監(jiān)控。

華為 陳鳴

從IT管理看挑戰(zhàn)：

BYOD所帶來企業(yè)移動的訴求，給現有的IT管理人員帶來全新的挑戰(zhàn)，因為移動設備的特性和企業(yè)管理需求相左。當越來越多的員工主動地使用了移動終端來進行辦公的延展，如何進行有效的管理成為移動辦公必須面對的問題。多平臺多樣式的移動設備、不同的網絡接入類型、企業(yè)數據的效率和安全之間的平衡，成為重要考量的要素。

首先，IT部門會發(fā)現公司的IT策略和配置規(guī)則與消費級的應用和設置產生沖突，基于傳統(tǒng)PC的安全策略和管理技術很難移植到移動設備，特別是非公司所擁有和管理的員工個人設備。企業(yè)必須建立針對BYOD的戰(zhàn)略，包括策略的定義和新的管理方法。第一步需要決定的是，你將允許什么樣的移動設備接入，以及可以訪問什么樣的資源，這是在入口處設置好安全管控的第一道門。

其次，這些BYOD設備通過網頁瀏覽、下載應用、收發(fā)郵件等方式訪問公司信息時，完全處于無保護狀態(tài)。移動設備智能化，集成PC的特性和功能，可使同樣的應用程序，更容易遭受惡意攻擊。今天，移動惡意軟件的數量已超過兩萬，其中近三成的惡意軟件為遠程控制木馬，以竊取個人隱私和敏感數據為重要目的。由于Root權限濫用和黑客技術的應用，移動設備成為新的孕育安全風險的溫床，71%的企業(yè)都認為移動設備是引起安全事件的重要因素，尤其是Android設備。

同時，將企業(yè)的應用移植到千差萬別的移動設備上，是IT部門的另一個惡夢。如何簡單、快捷地實現企業(yè)業(yè)務往移動環(huán)境的遷移和部署，避免復雜的自開發(fā)帶來的高成本，快速實現價值，以及幫助企業(yè)IT 部門應對復雜的移動環(huán)境已成為一大挑戰(zhàn)。另外，現在的移動應用開發(fā)和使用正處于繁盛時期，企業(yè)缺少針對應用的管理手段，員工在設備上任意下載和安裝消費類應用，會降低系統(tǒng)的可靠性，引入安全風險，造成企業(yè)數據丟失或設備功能失效。

最后，由于移動設備體積小，極易丟失或被盜竊。據統(tǒng)計，47%的受訪企業(yè)表明有大量客戶數據存儲在移動設備上，包括敏感的客戶信息或企業(yè)郵件中的敏感數據。設備丟失不但意味著敏感商業(yè)信息的泄漏和丟失，而且可能給企業(yè)帶來法規(guī)遵從的風險。

建言：重在平衡

通過提供一個有效的平衡方案，使得員工在設備選擇上擁有更大的個性化自由，在任何時候、任何場所，使用任何設備便捷的訪問公司內網，運行內部應用，并確保安全策略不妥協。從移動終端安全、網絡傳輸安全、應用安全、敏感數據安全以及安全管理五個維度對移動辦公進行全方位防護，幫助企業(yè)在BYOD的高效率與信息安全之間找到最佳平衡點。

建言：多手段控制

BYOD面臨的主要安全挑戰(zhàn)可以通過以下多種方式進行解決。如在移動設備接入企業(yè)網絡時的接入層進行控制，對設備名稱和類型進行識別，對用戶身份進行認證和控制，并能夠檢查移動設備的健康狀況等；對用戶的訪問行為進行控制，定義個人移動設備可以訪問敏感數據的權限，但要在用戶日常訪問需求與整體的業(yè)務安全策略之間，做一個限制的平衡；對于移動設備在企業(yè)網絡中的應用進行控制，并使用入侵防御、防間諜軟件等技術對威脅進行防范，保證核心數據安全；在BYOD環(huán)境中，終端安全非常重要，所以在線的病毒防護是必不可少的；可使用虛擬桌面基礎架構（VDI）來對BYOD設備的安全接入進行管理，保證接入業(yè)務服務器的設備不會被惡意代碼交叉感染；考慮使用私有云對BYOD用戶進行保護，并且為IT管理員提供獨立的管理控制平臺；移動設備管理（MDM）也可以看作是一個安全解決方案。

總之，BYOD的應用已經成為不可逆轉的潮流，但許多IT管理者依然沒有足夠重視對BYOD的安全防護。一般的企業(yè)安全策略往往針對于傳統(tǒng)的桌面式部署，或者使用VPN為員工遠程接入提供可靠的安全保障。然而，BYOD的快速擴張又帶來了全新的安全挑戰(zhàn)，一方面企業(yè)要遵循數據安全準則，防止業(yè)務中斷；另一方面要保持員工使用移動設備的易用性，達到這兩者的平衡并非易事。所以，企業(yè)的IT管理者們需要及時地考慮如何將BYOD融合進整體的安全系統(tǒng)中，從接入安全、行為安全、數據安全等方面對BYOD做出有針對性的策略調整，以應對BYOD不斷發(fā)展的安全挑戰(zhàn)。