然而，無論是新興還是傳統(tǒng)企業(yè)，向移動性轉(zhuǎn)型都并非易事。Gartner報(bào)告指出，企業(yè)面臨的最大挑戰(zhàn)不是創(chuàng)建移動應(yīng)用，而是在部署移動解決方案時會花費(fèi)85%的成本和時間在企業(yè)后端應(yīng)用的集成和安全性上。同樣其他調(diào)研機(jī)構(gòu)也拿出數(shù)據(jù)證明：超過80%的安全主管認(rèn)為，企業(yè)面臨的外部威脅正與日俱增，近60%的安全主管認(rèn)為所在企業(yè)遇到網(wǎng)絡(luò)安全大戰(zhàn)將難以幸免。該調(diào)研報(bào)告針對這些調(diào)研結(jié)果給出結(jié)論：技術(shù)是解決安全問題和威脅的關(guān)鍵，當(dāng)前的企業(yè)應(yīng)該重點(diǎn)關(guān)注大數(shù)據(jù)、云計(jì)算和移動等技術(shù)。

 

先了解變化

在移動技術(shù)的強(qiáng)力影響下，中國企業(yè)作為全球市場中不可或缺的力量也在經(jīng)歷著一場重大轉(zhuǎn)型。在前不久落幕的2014年亞太區(qū)企業(yè)移動高峰論壇上，IDC發(fā)布一項(xiàng)調(diào)查數(shù)據(jù)表明，中國企業(yè)級移動應(yīng)用市場在2014年已經(jīng)進(jìn)入快速發(fā)展階段，移動應(yīng)用成為很多企業(yè)IT建設(shè)必不可少的組成部分。預(yù)計(jì)2017 年中國企業(yè)移動應(yīng)用市場將形成具備一定規(guī)模的產(chǎn)業(yè)，企業(yè)移動解決方案市場將達(dá)到46.7億美元。除此之外，政策的導(dǎo)向以及運(yùn)營商的不斷發(fā)力，讓國內(nèi)的移動應(yīng)用不斷涌現(xiàn)出向好的趨勢。

借助這些力量，利用移動技術(shù)的員工及企業(yè)數(shù)量在不斷增長，但只有不到半數(shù)的安全主管表示他們采用了高效的移動設(shè)備管理方法。事實(shí)上，移動和設(shè)備安全在當(dāng)前已經(jīng)成熟部署的技術(shù)列表上的排名極為靠后。這也造就了移動性為企業(yè)傳統(tǒng)的安全問題帶來了更多挑戰(zhàn)的事實(shí)。以往企業(yè)的安全基本依靠傳統(tǒng)的防火墻，今天移動應(yīng)用將安全問題延伸至設(shè)備之外，直至數(shù)據(jù)消費(fèi)發(fā)生的終端。想要應(yīng)對移動帶來的風(fēng)險(xiǎn)，企業(yè)首先需要了解這種變化，才能克服移動性產(chǎn)生的不斷變化和日益復(fù)雜的安全問題。

新的安全問題之所以如此復(fù)雜，是因?yàn)槭艿搅巳恕⒃O(shè)備和數(shù)據(jù)訪問網(wǎng)絡(luò)的影響，這些數(shù)據(jù)包括結(jié)構(gòu)化的企業(yè)信息以及如訪問證書、文件和內(nèi)部網(wǎng)本地副本在內(nèi)的非結(jié)構(gòu)化數(shù)據(jù)。此外，市場上的設(shè)備不斷推陳出新，新設(shè)備、操作系統(tǒng)升級和軟件升級等層出不窮，它們不斷影響企業(yè)訪問或者查看數(shù)據(jù)的方式。隨著產(chǎn)品越來越容易受到惡意軟件和其它攻擊，應(yīng)用生態(tài)系統(tǒng)也日益豐富。技術(shù)的復(fù)雜程度讓企業(yè)的安全管理成本不斷提高，于是不少保守的企業(yè)開始試圖通過控制產(chǎn)品設(shè)備種類，降低移動辦公帶來的管理成本及風(fēng)險(xiǎn)。他們認(rèn)為控制能夠讓企業(yè)有效地計(jì)劃和管理風(fēng)險(xiǎn)，更重要的是，控制為企業(yè)高管和IT部門提供了保護(hù)企業(yè)最為直接的方式。而另一方的觀點(diǎn)則認(rèn)為：這無異于盲目的忽視變化的本質(zhì)，而僅僅尋求了表面上的安穩(wěn)。如果企業(yè)想更好地控制IT，更好地保護(hù)數(shù)據(jù)，就應(yīng)該鼓勵使用如BYOD等模式的新應(yīng)用，并為其搭建一個安全的架構(gòu)。通過把實(shí)踐放到開放環(huán)境令其發(fā)揮作用，IT部門能夠看到在企業(yè)內(nèi)部真正發(fā)生了什么，并采取合適的方式來保護(hù)它。

積極的來看，在全面的BYOD情景下，IT部門不僅需要使用并監(jiān)測被用來訪問企業(yè)網(wǎng)絡(luò)的設(shè)備，也需要實(shí)施強(qiáng)大的安全措施。這可能會大大提升移動管理成本，但由于設(shè)備屬于員工，用戶體驗(yàn)十分重要，個人服務(wù)和應(yīng)用的性能需要不受安全措施的影響。因此從生產(chǎn)力角度來看，這一方面能夠強(qiáng)化企業(yè)IT部門提升安全防范的意識，構(gòu)建全新的適于發(fā)展的企業(yè)移動安全架構(gòu)，另一方面用戶體驗(yàn)的確被提高了。同時，在法律層面BYOD也不容忽視。在BYOD環(huán)境中，安全并不是單向的，如果企業(yè)不經(jīng)意地訪問了員工的個人數(shù)據(jù)，他們就要面臨被這些員工起訴的風(fēng)險(xiǎn)。因此在BYOD情景中，安全性既包括實(shí)施控制以保護(hù)員工的隱私，也要保障企業(yè)數(shù)據(jù)。

所以，從發(fā)展的角度來看，企業(yè)不應(yīng)該以“保證安全”為名對員工使用BYOD設(shè)置障礙，而應(yīng)該更好的借助現(xiàn)代安全的方式與技術(shù)，在全面保障企業(yè)數(shù)據(jù)安全性的基礎(chǔ)上為員工使用設(shè)備提供全面的自由。

 

數(shù)據(jù)永遠(yuǎn)是重頭戲

上述情況在國內(nèi)更為明顯，一方面是因?yàn)閲鴥?nèi)企業(yè)管理者相對保守；另一方面則是因?yàn)閺膰鴥?nèi)的情況來看，中國早已成為數(shù)據(jù)大國。中國有超過6 億的互聯(lián)網(wǎng)人口，遍布各行業(yè)的互聯(lián)網(wǎng)經(jīng)濟(jì)，不斷優(yōu)化中的政府及企業(yè)IT系統(tǒng)，和爆發(fā)增長的物聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)，這都為開展數(shù)據(jù)應(yīng)用奠定了基礎(chǔ)。而在移動技術(shù)普及的當(dāng)下，如何用好并保護(hù)好數(shù)據(jù)資源，對中國的“互聯(lián)網(wǎng)+”，以及工業(yè) 4.0 的發(fā)展意義重大。因此，對于今天的中國來說，無論企業(yè)是否已經(jīng)做好了迎接挑戰(zhàn)的準(zhǔn)備，移動的趨勢都不會改變，安全問題也永遠(yuǎn)不容忽視，其中最為重要的一環(huán)就是數(shù)據(jù)。

對企業(yè)來說，數(shù)據(jù)的重要性不亞于每一次戰(zhàn)略調(diào)整，在移動的背景下員工的個人設(shè)備及其隱私數(shù)據(jù)的安全性也會被放大。于是企業(yè)的IT和信息安全部門還需關(guān)注兩個重要問題：誰擁有這些數(shù)據(jù)和數(shù)據(jù)去向哪里？ 

不同的移動辦公模式中，設(shè)備管理的思路和企業(yè)移動安全的整體策略是不同的。簡單來說，智能手機(jī)、平板和移動應(yīng)用讓員工在其設(shè)備上可以輕松地使用和分享數(shù)據(jù)，而這些設(shè)備能夠存儲多種類型的數(shù)據(jù)，包括電子郵件、專有材料、大量圖形和視頻文件等。因此，在不屬于企業(yè)的設(shè)備或基礎(chǔ)架構(gòu)上運(yùn)行企業(yè)數(shù)據(jù)，例如BYOD模式，或者以基于員工身份的企業(yè)證書訪問企業(yè)數(shù)據(jù)，但數(shù)據(jù)卻被企業(yè)所控制時，將會出現(xiàn)數(shù)據(jù)的所有權(quán)問題。這會導(dǎo)致企業(yè)不能準(zhǔn)確知道他們的數(shù)據(jù)在哪里以及誰在使用數(shù)據(jù)。

有技術(shù)專家建議，在這種情況下企業(yè)首先要認(rèn)識到數(shù)據(jù)消費(fèi)發(fā)生的終點(diǎn)，不管其在哪個部門、企業(yè)、系統(tǒng)，甚至其它什么地方。其次，企業(yè)必須允許這些數(shù)據(jù)消費(fèi)能夠發(fā)生并得以實(shí)現(xiàn)。同時，還要知道每一個數(shù)據(jù)消費(fèi)發(fā)生的終點(diǎn)是否在安全可控的范圍內(nèi)。為此，企業(yè)需要采用不同的方式。

例如，一個把身份作為核心的集成化平臺將會為企業(yè)提供強(qiáng)大的新功能來應(yīng)對短期的移動安全性挑戰(zhàn)，同時可以充分滿足未來的移動安全需要。更值得一提的是，這種平臺合并了移動應(yīng)用管理和多種工具，并基于身份的安全模式，將會為企業(yè)提供嚴(yán)格和全面的框架來解決關(guān)鍵的漏洞，應(yīng)對傳統(tǒng)上以設(shè)備為中心的策略所造成諸多挑戰(zhàn)及碎片化問題。

隨著企業(yè)需要支持、管理和維護(hù)的工具越來越多，散亂的解決方案只會增加企業(yè)成本和復(fù)雜性。例如現(xiàn)在許多企業(yè)已經(jīng)轉(zhuǎn)向使用移動設(shè)備管理（MDM）、移動應(yīng)用管理（MAM）和其它更專業(yè)的技術(shù)，如身份管理、安全容器、安全訪問和單一登陸工具，這些工具會在企業(yè)內(nèi)部形成牽引，也會讓數(shù)據(jù)管理難度越來越大。但回歸到是否需要控制設(shè)備的爭論中，如果安全方式為員工使用移動應(yīng)用和工具設(shè)置了障礙，那么這些策略對于企業(yè)來說也將適得其反。

不少分析機(jī)構(gòu)也提出了移動安全性和業(yè)務(wù)增長之間的必然聯(lián)系。例如，普華永道認(rèn)為，如果能夠及時解決手機(jī)的安全漏洞，那么企業(yè)能夠提高25% 的業(yè)務(wù)業(yè)績。也就是說，面對復(fù)雜的安全及IT管理形式，企業(yè)能做的只有不斷提升自己的安全技術(shù)， 而無法繞過或限制其發(fā)展，畢竟數(shù)據(jù)的安全是企業(yè)信息安全的第一要務(wù)。

技術(shù)專家建議，下一代移動安全戰(zhàn)略應(yīng)該保證企業(yè)擁有一個全面的框架。隨著業(yè)界不斷開發(fā)創(chuàng)新的基礎(chǔ)架構(gòu)來解決新出現(xiàn)的安全性問題，現(xiàn)在的企業(yè)能夠采取多種步驟來降低安全性風(fēng)險(xiǎn)：例如將身份與企業(yè)擁有或涉及的所有數(shù)據(jù)相關(guān)物進(jìn)行關(guān)聯(lián)；在企業(yè)和個人數(shù)據(jù)間建立更加清晰的疆界，以防止混淆企業(yè)和個人數(shù)據(jù)； 確保實(shí)現(xiàn)安全控制同時又對用戶體驗(yàn)不造成影響；確保硬件能夠?qū)崟r訪問網(wǎng)絡(luò)，并遵從安全政策等。

從發(fā)展的角度來看，企業(yè)必須鼓勵順應(yīng)時代發(fā)展的應(yīng)用和設(shè)備的使用，同時企業(yè)信息安全部門需要做好隨時迎接更難的數(shù)據(jù)及設(shè)備工具安全性挑戰(zhàn)的準(zhǔn)備。

 

 

本文刊載于《中國信息化》雜志2015年第5期(2015年5月10日)，敬請關(guān)注！