当今的企业职工时时处处都处在移动状态,他们此时此刻正在星巴克、机场贵宾室或酒店房间里工作。在过去五年间,我们的商业和工作环境发生了明显的转变。移动设备的功能更加强大、更易于使用,并已成为不可缺少的工具和玩具。然而,达到移动性的同时需要付出一定代价,其中之一就是,IT经理们如何才能在避免移动混乱状态的同时提供可靠、安全的移动接入呢?
统计结果令人震惊:据一份2011年的InfoTrends报告估计,目前在巴西、德国、印度和日本,移动知识工作者占员工总数超过60%,在美国则是超过70%。这些数字将来还会增加。更加引人注目的是员工在工作期间所使用的各种移动设备的数量和种类在不断增加。研究公司Canalys的最新数据显示,2011年标志着有史以来第一次全球智能手机的年度总出货量超过了客户端台式电脑、笔记本电脑、上网本和平板电脑出货量的总和。虽然许多智能手机和平板电脑是个人自用物品,但是,它们正越来越多地在企业防火墙的内外被使用。在“BYOD”——自带设备这个概念流行之前,这种现象就已经成为IT部门的现实。
体现在移动设备和操作系统激增的资讯技术消费化,足以让任何IT经理或企管人员渴望获得更多的控制,并承担更少的风险。IT经理和企管人员在移动安全方面必须考虑到两方面的风险:与网络攻击相联系的硬性成本风险,以及由于移动安全太严格而丢失生产力和效率的软性成本风险。这两种成本风险是实实在在的:研究表明,通过对美国最大的50家跨国公司调查发现,网络攻击给每家公司每年平均造成590万美元的损失。
在移动接入的另一方面,我们又如何衡量由于移动设备的接入受到阻碍而使用户失去积极性,以及生产力受到限制的成本呢?当然,现实的情况是,用户只是在丢失数据或者被阻止接入时才会想到安全问题。典型的移动知识工作者对于通过平板电脑、智能手机、或家用电脑登录到企业网络的能力并不关心。他只是想访问企业的应用程序和他所需要的数据以完成自己的工作,并希望立刻进行。
那么,企业如何才能在应付汹涌的BYOD浪潮的同时,又能保证企业及其数据免于大规模或灾难性的风险呢?我们认为IT的问题不在于控制,而在于其脆弱性。很多时候,企业部署的安全解决方案,其重点是为了获得控制权和阻止访问。这种方法不适合存在于防火墙内外的移动设备世界......这种方法就如同用大锤钉一枚小钉一样。太多的控制会让网络的利用率和效率降低,延缓商业活动。更糟的是,它将会使大多数员工感到沮丧和愤怒,因为他们都要求获得他们所需要的应用程序和数据。
在安全性和性能之间获得平衡的这种需求是由移动知识工作的本质所驱动的,这些设备(及其使用者)处于防火墙外面的时间等同甚至长于其处于里面的时间。一旦位于防火墙之外,移动设备必须支持VPN连接,包括无线热点和3G/4G公共网络,以确保公司专有信息数据的保密性和安全性。因为平板电脑和智能手机是信息流的载体,它们的使用者可能会无意或有意地将恶意软件传递到安全网络上。未来发生这种情况的机会只会有增无减,因为黑客们越来越多地认识到这些设备在访问、信息和易受攻击性方面的潜力。因此,IT部门需要有能力对入站信息流进行扫描过滤,以确保网络的完整性和数据安全。另一方面,移动设备用户希望能够充分利用领先应用程序所能提供的安全保护,因为对于商业基础设施来说,移动设备正变得愈加重要。无论是在防火墙内部还是外部:IT经理必须在任何时候都能够确保关键应用的带宽,同时限制可疑或危险的信息流。
这样来说,对于IT部门的底线就是:如何让你的VPN保持干净?IT部门如何才能确保接入畅通以及数据的完整性?
虽然对于这个问题并没有万全的答案,但有一点是明确的:IT 部门必须部署安全工具,以应对IT消费化的运作现实以及新兴的移动工作者群体。通过部署新的安全技术,可以大规模和全方位地实时监控是什么人、什么设备在访问网络,这样 IT经理们就可以避免数据和访问的混乱状态。而智能网络管理员则可以让他们的企业有能力评估威胁、对威胁立即做出反应、并根据漏洞的大小来决定是否允许访问。然而要做到真正有效,不仅需要通过防火墙提供安全保护,还必须在设备级别上控制应用程序:
- 下一代防火墙需要能够在数据流进入网络之前,解密并删除移动设备通过SSL VPN导入的威胁。
- 访问企业网络时,IT部门需要能够验证移动设备是否具有合法的访问请求。他们还需要能够确定是否设备已被破解,从而使其内置的安全机制失效,增加感染病毒的风险。
- 在应用层面,IT经理们也应该有能力制定和执行如何使用应用程序和带宽资产的政策。
- 在设备层面,IT管理员需要能够制定有关设备具体特性的政策,并确保在这些设备被允许访问企业网络前,政策得到强制执行。
这种360度的安全方法不仅仅用于防火墙阻止恶意软件,它还可以动态增加移动设备关键业务应用所需的带宽,同时限制不太重要甚至是不受欢迎的信息流的带宽。这些新兴的安全和接入技术增加了业务的灵活性,提升了公司的业绩,且无论是什么设备,也无论这个设备在业务流程中是在何时/何地使用。通常情况下,移动知识工作者仍然可以从他最喜爱的设备访问网络,但所有恶意软件以及不需要的数据或应用程序就没有这个机会。有了正确的安全部署,全球移动混乱状态将转化成全球移动生产力。(王晨杰,SonicWALL中国区总经理)
