破解企业移动应用安全困局
开篇:润墨网以专业的文秘视角,为您筛选了一篇破解企业移动应用安全困局范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
移动设备和移动应用的普及,虽然给企业的业务和办公带来更多的便利和效率的提升,但同时也带来了大量的安全隐患和风险。
随着移动智能设备的普及,移动应用已经成为企业信息化不可分割的一部分。特别是在2012年,BYOD(自带设备)已经成为很多企业办公的一种常态。事实上,为了让核心业务能够随时随地进行,BYOD措施对于很多企业而言,已经不再是一个‘好主意’,而变成一个‘必需品’了。最近IBM所做的一项调查就显示,到2015年为止,将有超过2000万的员工被要求在工作场所使用他们自己的智能设备。
移动设备和移动应用的普及,虽然给企业的业务和办公带来更多的便利和效率的提升,但同时也带来了大量的安全隐患和风险。特别是随着一些移动应用进入到企业的核心业务中后,这种安全风险有可能会给企业带来巨大的伤害和损失。
而与传统的互联网安全防护技术相比,目前企业移动安全防护技术仍处于起步阶段,在很多方面尚不成熟。这也给很多企业用户带来了一个十分棘手的难题:想选择移动应用系统,但又担心移动应用所带来的安全风险。这种进退两难的困局,使得企业在面对移动信息化建设时显得有些无奈和彷徨。一些企业在不得已的情况下,只能采用折中之法:将移动应用布置在一些非关键的业务上,而与生产、业务直接相关的系统,则与移动应用保持距离。
但这显然不是长久之计。随着移动互联网的发展和普及,移动互联技术势必要应用于企业的核心业务之中,这已经成为不可阻挡的趋势。因此,对于IT服务商而言,目前急需考虑的是:如何来帮助企业用户化解这一移动应用的安全困局?
美国中央情报局(CIA)应该是世界上最顶尖的情报、间谍和反间谍组织了。神秘、强大、无所不能,这是在文学、影视作品中,CIA给很多人留下的印象。
不过,很少有人能够想到,CIA能够与移动安全有什么直接的联系?
2012年年底,美国中央情报局下属的风险基金In-Q-Tel,针对移动安全公司Tyfone签订了一个战略投资和技术合作协议。Tyfone主要提供移动交易和身份识别的解决方案。它的产品包括移动银行平台、移动钱包、身份管理、无接触式近场通信等的软件和硬件产品。此外,Tyfone还拥有大约50项已批准或者正在批准的专利。
那么,作为一个情报机构,CIA为什么收购一家移动安全企业呢?就此,CIA发言人表示:通过这样的投资,可以使美国政府的云移动和基于NFC的交易更有安全保障。
可以看到,移动安全防护已经被美国政府上升到国家安全战略层面,移动安全的重要性由此可见一斑。事实上,不仅是政府层面,对于很多企业而言,移动安全也是最近一两年内,他们最为关心或者是头疼的问题之一。
移动应用普及催生安全问题
2012年,国内信息安全服务商明朝万达的《2012中国企业级移动信息化与移动安全发展报告》中显示,他们所调查的对象中,高达96%的用户都十分关注移动安全问题。企业非常担心由于移动智能终端的接入,使得企业机密数据“获得”新的泄密途径。或者由于某些重要数据在移动智能终端上的存储,随着移动智能终端的不慎遗失而外泄。“实际上,超过半数的用户都会在移动智能终端保存数据,所以数据安全问题已经成为企业部署移动应用系统的首要考虑因素。另外,BYOD所引起的设备管理问题、移动办公所涉及的身份安全问题、政策合规性问题,也是企业所重视的安全问题。”北京明朝万达科技有限公司董事长王志海介绍说。
实际上,移动安全问题最近一两年的凸显,很大程度上是因为移动设备、移动应用在企业内的快速普及。埃森哲2013年CIO移动性调查显示,绝大多数受访CIO(79%)表示,移动性是收入助推器,并认为它能明显提升客户互动(84%)和显著影响业务发展(83%)。调查还显示,超过1/3(34%)的CIO认为,移动性将成为其未来一年的头等要务;42%的CIO则将移动性列入五大重点任务。采访数据显示,很多CIO在处理新的IT(信息技术)项目时都秉承“移动性优先”的考虑。而就未来一年的发展,近一半(46%)的CIO表示,他们计划变革工作流程,从而更好地将移动性融入业务中。
纵观国内企业移动应用的发展过程,可以看到,在2011年之前,移动设备更多的应用于OA等非核心业务环节,因此企业对于移动安全问题并不是十分重视,即便出现了问题,对于企业所带来的影响也并不大。但从2011年起,一些行业已经将移动应用与企业的核心业务结合在一起,这使得移动安全的风险被迅速放大,因为一旦出现安全问题,企业的核心业务将受到直接的影响。
对于这一点,王志海有着很直接的感受。虽然早在2006年,明朝万达就为公安行业用户开发了移动警务安全防护系统,但由于2G时期,数据业务不多,整个企业移动安全市场需求并没有显现。王志海表示,需求相对较少,安全厂商过早投入企业级移动安全市场将入不敷出。所以,直到2010年,明朝万达也只是专注个别行业。
而2009年3G的上马让整个国内移动产业发生了巨大变化:智能终端大规模普及,新应用新业务事物不断涌现,移动应用爆炸式涌现。“我们看到了这个市场的机遇,开始走出‘围墙’,将移动安全产品推向金融、政府、电信等不同领域。”王志海说。
确实,可以看到,目前在金融、政府、电信以及一些企业中,移动应用已经和企业的核心业务紧密相连,例如在保险行业,很多保险业务员已经采用移动设备进行现场开单;在快消品行业,农夫山泉公司的销售代表每天都通过移动设备将销售数据和市场信息传输给总公司。
移动应用和用户核心业务的结合,使得移动应用的重要性得到大大的提升,试想一下:如果农夫山泉销售人员的手机丢失,被竞争对手捡到后,里面的销售数据、甚至市场计划一旦被竞争对手所获取,那么会给企业的业务带来怎样的影响就可想而知了。
因此,对于那些移动应用已经十分深入的用户而言,移动应用安全问题其实已经迫在眉睫。
信息安全边界被放大
但与此形成反差的是,对于企业移动应用信息安全,国内大多数企业IT管理者的认识仍有很大误区:更多的是停留在PC时代。记者在对几位企业CIO进行采访时,有CIO表示:移动应用安全?专门做这个似乎没什么必要,我们企业原来的安全防护体系已经十分完善,用的是最领先的安全软件和防火墙。
温州港集团有限公司信息技术分公司常务副总经理陈序在谈及企业移动应用时表示,今年准备建设移动OA系统,不过,当记者问及是否考虑到移动应用的安全问题时,陈序说目前并没有在这方面有太多的考虑。“我觉得企业原有的信息安全手段应该可以满足移动应用安全防护的需求吧。”
但实际上,在移动互联网时代,传统的互联网安全防护措施还不够。“传统的企业网络是内部网络,无论是设备还是应用,都是可控的。但移动互联网则不同,它是开放的,而且是移动的,所以会带来很多新的安全问题。”王志海说。
事实上,与互联网应用的漏洞相比,移动应用受到攻击的风险更大,因此,移动应用程序无疑是一个新的攻击目标。由于很多企业并未意识到最基础的移动应用也会带来安全风险,移动应用日益成为了攻击者的重点攻击对象。举例来说,除了传统的攻击外,黑客还可能对应用程序发起SQL注入(SQL injection)攻击或脚本攻击。移动应用程序也会受到恶意软件和网络钓鱼的攻击,或在扫描带有恶意脚本的QR码时受到攻击。
此外,移动应用还会带来移动设备特有的安全漏洞,因为这些应用会保存一些可能泄露给恶意程序的敏感数据。一旦存储在本地,此类数据通常就无法受到企业安全项目的保护。
“以往企业的信息安全边界,是出于企业内部的。而移动互联网,则使企业的信息安全边界被无限地放大,这使得企业无论是在信息防护还是设备的管理等方面,都面临更多的挑战。”迈克菲(北京)安全软件有限公司华北区资深安全顾问程智力分析道。
企业移动安全将迎来“井喷期”
对于IT服务商和厂商而言,挑战同时也意味着更大的市场机会,这也是最近一两年企业移动安全市场急剧升温的重要原因之一。在王志海看来,2012年是国内企业移动安全市场的起步期,而2013年国内企业移动安全市场则很有可能出现井喷的状况。”
对此,程智力与王志海的判断基本相同,他认为目前企业移动安全市场的年增长率在30%~40%左右,而井喷期将在2013年年底或2014年年初出现。中国的企业还没有完全将核心业务迁移到移动平台上,现在仍以应用为主,因此在未来一两年内,企业移动安全市场肯定会迎来高速增长的井喷期。
IT厂商各有侧重
面对企业移动安全市场的巨大潜力,IT厂商也在近期纷纷推出了有针对性的产品和安全防护策略。
在2012年,IBM就了一款移动安全软件Security AppScan。据IBM相关负责人介绍,有了该软件,客户可以在最初设计移动应用时就将安全问题考虑在内,以便在开发的早期发现漏洞。使客户能够自己进行移动应用测试。“过去,如果想对移动应用进行安全测试,客户必须将其应用和软件IP发给外部供应商以测试漏洞。由于移动应用要经历不断的修正与更新,这种做法不具备可扩展性,而且反应时间太长。企业需要的是在软件开发生命周期的早期就在内部完成移动应用的安全测试。”该负责人分析道。
对于这一观点,王志海也十分认同。“企业在部署移动应用的同时就应考虑并部署移动安全解决方案,我甚至希望移动安全先于移动应用进行部署。”在他看来,移动安全,首先是接入安全,其次是数据和应用的安全。“其中,与应用相关的数据安全是明朝万达非常侧重的,这方面不是木马查杀和设备管理就可以解决的。用户实际关心的是敏感数据是否能够安全落地,而不只是用非数据关联的形式去保护这些核心数据,因此用户需要更精准,更细致的移动安全保护方式。”
对于企业移动安全防护,迈克菲公司则更多地从移动设备管理入手。在2010年时,迈克菲就通过收购Trust Digital ,推出了企业移动管理平台EMM(McAfee? Enterprise Mobility Management)。程智力介绍说,McAfee EMM解决方案提供了端到端的安全性,可最大限度地降低企业和个人的责任风险。
“如今,访问企业网络的移动设备呈现爆炸式增长,与PC和笔记本电脑不同,移动设备用户可以对设备进行强制启动和手动配置以访问企业网络。为保护企业应用程序服务器的安全,McAfee EMM 会首先自动对移动设备进行合规检查,然后决定是否允许设备访问企业网络,确保策略和配置描述文件始终保持最新且持续有效。另外,装有 McAfee EMM 的移动设备丢失后也不会对企业的业务或商誉构成威胁,企业无需修改设备的本机功能,也不用改变用户体验,即可获得全面的保护。”
程智力表示,借助 McAfee EMM,IT人员还可以通过实施加强的安全策略,确保企业数据以及对企业设备使用的保护。
举例来说,企业管理人员可能需要较灵活的安全策略,而现场销售代表则可能需要较为严格的安全策略,因为他们更容易丢失设备。IT管理者可以通过 McAfee EMM 控制台访问策略编辑器,从而根据所用的移动设备类型以及用户工作相关的安全需求来创建基于角色的策略。用户还可以根据企业目录服务中存储的用户组关联来分配策略。这些策略用于指定用户电子邮件、联系人、日历和文档的加密和密码数据保护。
从目前市场上提供企业移动安全产品和服务的厂商的格局来看,大致可以分为三类:一类是以MDM产品为主,这类厂商基本是国际企业,主要发力点是终端设备的管理和控制;一类是一些传统的通讯和网络产品厂商,主要关注接入安全。如思科、华为、中兴等;还有一类是一些防病毒、木马软件厂商,如网秦、手机360等。
不过,各个厂商的产品和方案相对而言还呈现分散的状态,大多关注企业移动安全的一两个点,缺乏统一的解决方案和策略。
“企业需要统一和综合的移动安全管理平台,能够涵盖身份认证、安全接入、终端管理和数据加密四个部分,并与内网的数据安全体系实现统一管理和互联互通。”王志海说道。
根据需求选择合适切入点
事实上,如果对企业移动安全进行细致的分类,大致可以分为以下几个方面:
恶意软件防护。由于提供下载的位置很广泛,因此阻止和删除恶意应用程序是保护移动设备远离危险下载的关键措施。
数据保护。用户及其 IT 团队应当了解应用程序正在访问的数据、应用程序使用数据的目的,以及应用程序可能会把数据发送给企业以外的哪些人。为此企业必须部署合适的解决方案,才能确保企业有效监控和限制此类活动。
身份认证和安全。有效、安全的身份认证能够使企业的移动安全隐患大幅度地降低。
设备保护。锁定和擦拭之类的功能可以减少从丢失或被盗设备中采集到重要信息的风险。这样就可以解决丢失的手机和平板电脑引起的安全与合规问题。
自动化和简化。理想情况下,企业应该让用户能够实现自助配置,并提供可供用户轻松下载批准和推荐应用程序的企业应用程序店。
策略执行。执行适当的企业安全策略,允许 IT 部门阻止未经授权、未受保护和已修改的设备,从而满足审核和报告要求。
政策合规性。应采用经过国家认证的产品、使用国密算法及遵循管理机构提出的建设规范进行建设。
一个完整的移动安全应该包含以上几个方面,不过对于企业而言,很难一步到位,那么企业在移动安全建设之初,应该从哪里入手呢?
程智力认为,每个企业对移动应用的要求不同,因此对于移动安全的要求也会有所差别。“从哪里入手取决于企业自身对安全需求的设定。”
例如,如果是一家销售企业,那么最关心的无疑是数据保护和设备保护;而政府和央企用户,更关心的则是政策合规性。
王志海则建议,无论从哪一点切入,企业在做移动应用建设前,都应该先做好移动安全防护体系建设的总体规划,企业在不同的移动应用发展阶段,对于移动安全防护需要有提前的预估和判断,这样才能做到有备无患。
可以预见,随着移动互联网和移动终端的发展,企业的移动信息化建设将会越来越普及。而在移动信息化建设的整个过程中,移动信息的安全问题要比传统信息化建设更为敏感并受到普遍关注,并且已被很多企业认为是移动信息系统建设的关键影响因素。
未来,企业在选择构架技术以及方案的时候,都会首先考虑移动安全建设。反之,移动安全系统的建设也促进移动信息系统建设的发展。从目前来看,企业移动安全市场仍属于一片蓝海,虽然有很多的参与者,但并没有形成明显的市场格局,无论是国际厂商,还是国内IT企业,都处于同一起跑线。
而对于已经或准备实施移动应用的企业用户而言,从现阶段起,也应开始建立完备的移动安全管理政策、实施必要的控管措施以及向员工提供充分的移动设备安全意识培训。