“互联网+”时代 卫道企业移动应用安全

佚名

移动互联时代，智能终端已成为人手标配，看视频，刷朋友圈，下应用，几乎成为全民化行为，相应的，无线上网成为最热的需求。据2014年Aruba Networks的一项调查显示，高达68%的受访者更喜欢Wi-Fi，而非其他连接方式（4G、3G或有线），这样一类随时随地都希望保持在线的群体，被称为“Wi-Fi控”。

而对于企业来说，自从以太网端口消失在iPad这样的个人电脑上时，WiFi网络的需求就开始从“可选”转向“必选”。2014年公布的一项调查报告显示，大部分Wi-Fi控员工倾向于非传统的工作时间和灵活的工作地点，59%拥有至少三台连接设备，逾三分之一（34%）一直处于在线状态，无论是否在工作。Wi-Fi控与他们的移动设备如胶似漆，与通过电视或报纸等传统渠道获取信息相比，87%的Wi-Fi控会通过他们的连接设备直接从数字渠道核实信息。

报告显示，Wi-Fi控正在围绕连接设备计划工作生活，并且将工作模式聚焦在移动化上。为了具备在任何时间、地点和设备上有效工作的能力，Wi-Fi控期待雇主能够实施必要的政策，进行结构化的改造，以适应他们喜欢的工作方式。

由此，员工自带设备（BYOD）带来的网络复杂性让企业IT部门面临挑战。同时，BYOD随着人来的“麻烦”也不断显现。

“邮件门”背后的安全隐患

事件起源于2014年3月。据美国媒体报道，希拉里在担任美国国务卿的4年时间里，没有使用政府提供的黑莓手机，而是在一部手机一个邮箱里实现个人生活和工作的切换。

而这种做法却可能导致严重问题。经安全专家测试，希拉里的邮箱在面临黑客攻击时比较脆弱，即使加密了，也不意味着百分百安全。根据美国相关规定，除一些极为敏感的文件或机密文件，所有由政府官员发送及接收的书信、邮件都需要被记录在案，私人账号只能在非常紧急的事件时才可使用，比如机构的计算机服务器无法正常运行，但事后也应当将通信内容及时上传至美国国务院服务器。美国信息安全监督办公室前主任J·威廉姆·莱昂纳德认为，如果希拉里用私人邮箱处理了机密信息，是很大的麻烦，她可能违反政府机密信息的基本规则，甚至将会损害美国国家利益。

正如希拉里更习惯使用个人手机工作，而非政府提供的黑莓手机一样，用户已经基于自身移动终端形成惯有的移动工作方式。当需要用户在企业和第三方服务器之间进行数据移动和切换时，企业必须通过一种可行架构来监控并规范移动安全管理，防范数据安全风险。

重新审视BYOD策略

虽然很多企业正在努力消除移动化带来的数据风险，传统的防火墙、IDS/IPS、AV、反垃圾邮件、网页过滤等安全手段可以很好抵制外部风险，但事实证明，当前更多风险隐患来自企业内部，而移动性对企业传统安全架构的挑战，进一步增加了风险系数。由于各移动设备可能带来不同的安全威胁，同时很多企业对网络安全方面的投资集中在短时防御，而缺乏长期规划等问题，员工随处使用这些移动设备将带来更多潜在的安全和数据丢失隐患。

而没有密码保护的移动设备丢失导致企业重要信息遗失，也是企业IT管理部门面临的头等难题。在现在的企业网络环境中，BYOD已成为一项严峻的考验。其中，企业数据安全、员工身份管理位列前两大要素。

传统的安全手段只限于保护固定的端点和定义好的数据路径，这已经不足以应对今天的移动性安全管理，企业需要重新审视和制定内部的BYOD策略，一致性的安全和自适应的可信管理策略成为当仁不让的重中之重，这种策略可以保护企业和客户的利益，那些试图打破或者跨越这些策略准则的员工将会冒很大的风险，在银行等一些行业，对于安全合规化的管理要求前所未有的增强，一个好的安全策略应该能够基于角色设置严格的企业网络接入规则。

自适可信的安全策略

众所周知，在传统网络架构下，防火墙策略多是基于设备并设置在端口上的。在WLAN、有线网络等组成的复杂网络环境中，固定网络和无线网络是不同的端口，会出现防火墙策略不一致的情况。例如，当用户接入到公司的固定网络时，可以访问并存取服务器上的资源。这样的功能在无线网络环境以及办公室以外的场景实现？不同终端接入企业网络时，其权限是否要有所区别？员工常常会疑惑，为什么有时候可以读取服务器资源，有时候却不能的疑惑。但对于IT部门而言，传统的置于端口上的防火墙策略让他们叫苦不迭。

因此企业真正需要的是一种可信任的安全策略模型，这种信任不是假设存在的，而是必须赋予员工正确的网络接入权利和权限。一些安全企业目前提出了较好的解决方案，其核心是通过基于用户角色控制，能够确保移动设备的合规性管理和构建安全的工作流程，可以帮助企业了解“Wi-Fi控”员工的上网行为，更好地履行整体安全策略。同时，企业也可以根据员工与设备交互的情况，授予不同的认证接入权限。企业部署安全策略，除了确保法规遵从性和简化网络操作之外，最大的目的是旨在通过技术手段帮助员工增强移动安全意识，让员工通过全方位的身份管理解决方案，随时随地安全地访问他们所需要的内容和应用程序，通过这样一个统一的、安全的登录体验，方便员工在自己的移动设备上更有创造力、更高效地工作，真正打造安全和值得信赖的移动体验。