孫杰賢

為了解大型企業(yè)在企業(yè)移動化方面的舉措，CA Technologies委托著名的市場研究公司Vanson Bourne對來自21個國家、5個不同行業(yè)的共1300名高級IT決策者進行了一項調(diào)查，其中包括450名亞太及日本地區(qū)高級IT決策者。

安全，還是安全

調(diào)查發(fā)現(xiàn)，95%已經(jīng)部署或計劃部署企業(yè)移動化戰(zhàn)略，受訪者普遍認為，IT正逐漸成為富有創(chuàng)新性、功能性和企業(yè)級的移動應(yīng)用創(chuàng)造者，為客戶賦予更多能力，提高員工生產(chǎn)力，而不是被動地為終端用戶私自使用的應(yīng)用提供技術(shù)支持。同時，基于“32%將同時跨越不同平臺開發(fā)應(yīng)用視為部署移動化的主要挑戰(zhàn)”以及“48%計劃重新調(diào)整預(yù)算，將更多資金用于移動化舉措”這兩個調(diào)查結(jié)論，Vanson Bourne預(yù)測，移動化支出作為IT整體預(yù)算的一部分，在未來三年內(nèi)將增長33%。

但是調(diào)查同時也發(fā)現(xiàn)，對移動化而言，安全性既是最大的障礙，也是第一個需要改變的問題；而且與亞太及日本地區(qū)的其他國家相比，中國企業(yè)對移動化措施的安全性和隱私性持的擔(dān)憂更高。49%的中國公司十分關(guān)注安全性和隱私性，并且普遍認為這是一個亟待解決的問題。相比而言，亞太及日本地區(qū)和美國的相關(guān)數(shù)據(jù)分別為30%和28%。

雖然存在對安全和隱私的顧慮，中國企業(yè)對移動化戰(zhàn)略的推進速度仍然高于除美國以外的其他國家，95%的被調(diào)查企業(yè)已經(jīng)部署或在一年內(nèi)有計劃部署企業(yè)移動化。印度企業(yè)的這一比例為85%，日本為49%，新加坡為60%。

移動技術(shù)經(jīng)過多年的快速發(fā)展和廣泛應(yīng)用，已經(jīng)從消費類向企業(yè)級全面滲透，企業(yè)業(yè)務(wù)的各個層面都在釋放移動的需求；與此同時，中國企業(yè)的移動平臺建設(shè)日趨成熟，移動在企業(yè)中的角色也演變?yōu)樘嵘龢I(yè)務(wù)價值的生產(chǎn)力工具。其中，提升生產(chǎn)力與加速決策制定是企業(yè)將應(yīng)用轉(zhuǎn)移到移動平臺最重要的兩大驅(qū)動力。

企業(yè)的移動化按時間順利先后經(jīng)歷了三個平臺，分別是以PC代表的第一平臺、以互聯(lián)網(wǎng)代表的第二平臺，現(xiàn)在正式以移動、社會化和大數(shù)據(jù)代表的第三平臺時代正在到來，也可以稱之為“BYOD時代”。據(jù)樂觀預(yù)計，到2020年第三平臺的總產(chǎn)值將占整個ICT產(chǎn)業(yè)的40%，達到2萬億美元。

技術(shù)當(dāng)然重要

我們知道，BYOD模式是IT消費化的一個戲劇性結(jié)果。這一模式的原動力來自于員工而非企業(yè)，員工對于新科技的喜好反過來驅(qū)動企業(yè)變更適應(yīng)新技術(shù)的變化。十年前，我們上班的時候就用公司的電腦，不安裝其它軟件，很安全。BYOD則意味著我們可以在辦公室使用自己的電腦設(shè)備辦公，可以任意安裝自己需要或者喜歡的軟件，打開自己感興趣的鏈接。與此同時，企業(yè)的安全策略并沒有考慮這樣的應(yīng)用環(huán)境和要求，自然帶來安全和支持的風(fēng)險。

在企業(yè)移動化安全問題的防控中，多數(shù)企業(yè)采用的是傳統(tǒng)的技術(shù)手段。比如實施最新的移動VPN，安全接入控制，防病毒，以及部署移動設(shè)備管理系統(tǒng)。一些芯片廠商也開始從底層架構(gòu)設(shè)計來解決移動化的安全問題。

傳統(tǒng)的二進制靜態(tài)企業(yè)信任模式，用戶通常要么能夠獲得所有資源的訪問資格，要么無法訪問任何資源。而且，一旦獲得訪問許可，訪問級別將始終保持不變。為了能夠為全新的技術(shù)和應(yīng)用提供支持，英特爾公司重新設(shè)計了自己的信息安全架構(gòu)以適用BYOD等新技術(shù)應(yīng)用所帶來的安全挑戰(zhàn)。新架構(gòu)不再采用傳統(tǒng)信任模式，而是采用動態(tài)的多層信任模式，可以對特定的資源訪問提供更精細的控制。新架構(gòu)基于四大要素：信任計算、安全區(qū)域、平衡的控制以及用戶和數(shù)據(jù)邊界。信任計算能夠動態(tài)決定是否應(yīng)授予用戶特定資源的訪問權(quán)限以及訪問類型；安全區(qū)域包含重要數(shù)據(jù)和訪問收到嚴格控制的信任區(qū)域，也包含不太重要的數(shù)據(jù)和允許廣泛訪問的不信任區(qū)域，各區(qū)域的通信處于監(jiān)視和控制之下；平衡的控制則突出強調(diào)了在預(yù)防式控制和糾正式控制之間達成平衡的需求；用戶和數(shù)據(jù)邊界則是將用戶和數(shù)據(jù)視作額外的安全邊界并提供相應(yīng)保護。

被忽略的真相

然而，即使有所謂最佳的保護和加密措施，也可能因為員工從外部站點登錄訪問公司數(shù)據(jù)，或者使用不安全設(shè)備而使其安全度降低，以及一些強度弱的密碼和不正確的在線工作行為也會使安全度降低?？梢哉f，技術(shù)防范手段治標(biāo)難治本。

CA Technologies中國區(qū)總經(jīng)理孫志偉表示：“根據(jù)過往經(jīng)驗，已經(jīng)成功采用移動化措施的中國企業(yè)在提高收入、縮短產(chǎn)品上市時間、提升競爭力、改善客戶體驗、提高員工生產(chǎn)力和降低成本等方面均提高了12到18個百分點。但是不可否認的是，移動化提升了內(nèi)部用戶系統(tǒng)和面向客戶系統(tǒng)的復(fù)雜性。其中，移動安全至關(guān)重要，沒有制定移動化戰(zhàn)略的企業(yè)將面臨許多潛在風(fēng)險，例如：不遵守重要法規(guī)、無意中泄漏企業(yè)信息、或由于糟糕的移動應(yīng)用購物體驗對品牌聲譽造成負面影響等?！?/p>

記得著名安全專家S t e p h e n Hopkins在接受采訪時有這樣一段讓記者印象深刻的話：“我們中許多人無論是專業(yè)的還是非專業(yè)都會滔滔不絕地談?wù)摷夹g(shù)手段在應(yīng)對信息安全挑戰(zhàn)方面所扮演的關(guān)鍵角色。然而，這樣做的結(jié)果是真相被忽略了。什么真相呢？那就是安全始于人，而非技術(shù)。你能夠擁有最好的基于技術(shù)的安全解決方案——防火墻，數(shù)據(jù)加密，入侵檢測等等 ——但如果這些技術(shù)沒有適當(dāng)?shù)牧鞒讨С忠沧⒍〞〉?。所以，企業(yè)在面對安全問題時，將技術(shù)從爭論中分離出來是個好的開始和嘗試，技術(shù)競賽只會讓企業(yè)搬起石頭砸自己的腳，而管理、流程、教育、體制和文化才是最好的防御之道”。這與孫志偉的“企業(yè)移動化戰(zhàn)略”不謀而合。的確應(yīng)該從企業(yè)戰(zhàn)略的層面來面對移動化以及相應(yīng)的安全問題，而不僅僅包括技術(shù)防范手段，企業(yè)的安全文化、安全體制和安全意識遠遠重要于技術(shù)手段。因此，企業(yè)移動安全的關(guān)鍵在于“人”。企業(yè)應(yīng)該倡導(dǎo)鼓勵安全文化讓安全觀念成為企業(yè)有機整體的一部分，這需要進行文化轉(zhuǎn)變。安全觀念必須成為一個能動器并嵌入到企業(yè)運行的各個方面，融入員工的血液，不能將安全意識看作企業(yè)創(chuàng)造精神的障礙。

根據(jù)最新消息，2014年索契冬奧會將成為歷史上規(guī)模最大的BYOD（自備終端）奧運會，將有12萬部移動設(shè)備同時在線。移動化是大勢所趨，讓我們熱情地去擁抱它吧。