【信息安全】重構(gòu)企業(yè)移動(dòng)安全
消失的企業(yè)邊界
信息時(shí)代最顯著的變化便是云和移動(dòng)化的快速普及與深入應(yīng)用,不久的將來移動(dòng)智能終端的數(shù)量將超過全球人口的總和,萬物互聯(lián)的“長(zhǎng)尾效應(yīng)”會(huì)產(chǎn)生90%以上的未知威脅。它們將存在于生活的每個(gè)角落,在保持動(dòng)態(tài)運(yùn)作時(shí)產(chǎn)生無法預(yù)知的漏洞。
對(duì)于企業(yè)用戶來說, 早期企業(yè)移動(dòng)需求是以移動(dòng)辦公為代表的通用移動(dòng)應(yīng)用,而未來與日常業(yè)務(wù)緊密相關(guān)的行業(yè)應(yīng)用將成為趨勢(shì),如移動(dòng)巡檢、移動(dòng)醫(yī)療、移動(dòng)數(shù)據(jù)采集等,企業(yè)移動(dòng)管理需求進(jìn)一步提高企業(yè)移動(dòng)的建設(shè)重點(diǎn)也從員工移動(dòng)化逐步過渡到業(yè)務(wù)流程移動(dòng)化。在移動(dòng)建設(shè)的初期,企業(yè)員工可以通過智能終端處理一些簡(jiǎn)單工作事務(wù),擺脫對(duì)固定辦公場(chǎng)所的依賴,實(shí)現(xiàn)員工個(gè)人的移動(dòng)化。未來移動(dòng)應(yīng)用會(huì)進(jìn)一步與企業(yè)的核心業(yè)務(wù)進(jìn)行緊密集成,實(shí)現(xiàn)業(yè)務(wù)流程的移動(dòng)化,提高企業(yè)銷量、降低運(yùn)營(yíng)成本以及促進(jìn)企業(yè)內(nèi)部協(xié)同,給組織機(jī)構(gòu)帶來切實(shí)的商業(yè)價(jià)值回報(bào)。
據(jù)預(yù)測(cè),2016年將有50%的企業(yè)員工自帶設(shè)備上班進(jìn)行業(yè)務(wù)辦公,將有38%的企業(yè)預(yù)期停止提供計(jì)算設(shè)備。而到2018年,用戶所使用的信息終端將會(huì)全面移動(dòng)化,每個(gè)用戶平均擁有1.4臺(tái)接入網(wǎng)絡(luò)的移動(dòng)設(shè)備。在催生了海量的移動(dòng)應(yīng)用程序的同時(shí),也為黑客提供了全新的攻擊目標(biāo)與手段,隨著越來越多的終端接入網(wǎng)絡(luò),不良的開發(fā)習(xí)慣和數(shù)目龐大的終端會(huì)產(chǎn)生數(shù)量超乎想象的漏洞,這些漏洞將越來越多地被黑客利用,數(shù)據(jù)泄露將會(huì)隨時(shí)發(fā)生,用戶卻全然不知,企業(yè)的信息資產(chǎn)處于越來越危險(xiǎn)的境地。
從MDM到EMM
當(dāng)前大部分企業(yè)的移動(dòng)安全支出主要集中在移動(dòng)設(shè)備管理(MDM)中,這種工具提供的功能包括設(shè)備資產(chǎn)管理、安全瀏覽、應(yīng)用程序白名單、數(shù)據(jù)丟失防護(hù)、移動(dòng)VPN、應(yīng)用程序水平的VPN等。MDM通常情況下是一個(gè)底層解決方案,只關(guān)注于設(shè)備管理和操作系統(tǒng)層面的特性,所以一般來說MDM不能解決應(yīng)用程序?qū)用媾R的問題。
目前,業(yè)內(nèi)如Gartner等知名咨詢公司都認(rèn)為移動(dòng)管理市場(chǎng)已經(jīng)從MDM進(jìn)入了EMM(企業(yè)移動(dòng)化管理)時(shí)代。Gartner 2014年度移動(dòng)魔力象限報(bào)告的重點(diǎn)已經(jīng)從MDM轉(zhuǎn)移到了EMM,雖然Gartner仍然會(huì)發(fā)布關(guān)于MDM的研究指導(dǎo),但不再會(huì)有魔力象限,這曾經(jīng)引起了很多MDM供應(yīng)商的不滿。
根據(jù)Gartner的定義,EMM內(nèi)容管理包括一個(gè)“安全容器”,可以讓用戶安全地將內(nèi)容存儲(chǔ)在移動(dòng)設(shè)備上。“內(nèi)容推送”允許基于推送的交付,“內(nèi)容訪問”是連接并訪問后端存儲(chǔ)庫(kù),用戶可以傳輸內(nèi)容到其設(shè)備中。
EMM還包括移動(dòng)內(nèi)容管理、移動(dòng)配置管理、移動(dòng)應(yīng)用管理等。
移動(dòng)配置管理指的是針對(duì)WiFi、 Email、VPN等的配置和設(shè)置,也都通過平臺(tái)進(jìn)行下發(fā),移動(dòng)內(nèi)容管理則是保障分發(fā)和移動(dòng)訪問企業(yè)內(nèi)容的安全,提供數(shù)據(jù)加密等安全保護(hù)機(jī)制。而移動(dòng)應(yīng)用管理相當(dāng)于給企業(yè)構(gòu)建一個(gè)應(yīng)用商店,包括了應(yīng)用的上傳、遠(yuǎn)程安裝部署,以及版本更新等功能。
EMM轉(zhuǎn)移了IT的關(guān)注重點(diǎn),從保護(hù)設(shè)備轉(zhuǎn)移到保護(hù)數(shù)據(jù)以及控制企業(yè)數(shù)據(jù)如何在應(yīng)用間流動(dòng),從而保障數(shù)據(jù)處于靜止和移動(dòng)狀態(tài)的安全。EMM不僅能更好處理移動(dòng)威脅,也使得IT部門可以只管理每部智能手機(jī)或平板電腦的“業(yè)務(wù)部分”。在BYOD設(shè)備上,不僅僅要確保靜止內(nèi)容的安全性,還需要具備擦除(僅企業(yè))內(nèi)容以及控制容器間內(nèi)容流的能力。EMM能設(shè)置應(yīng)用白名單,確定數(shù)據(jù)被允許流向何處,包括第三方應(yīng)用、存儲(chǔ)以及云計(jì)算。EMM提供的策略控制可以簡(jiǎn)單到阻斷拷貝、粘貼、截屏或打印敏感內(nèi)容,也可以更高級(jí),如控制一個(gè)文件只被允許在企業(yè)版Box.net中打開而不能在iCloud或者Google Drive中打開。
根據(jù)計(jì)世資訊《2014~2015年中國(guó)企業(yè)級(jí)移動(dòng)應(yīng)用管理市場(chǎng)現(xiàn)狀與發(fā)展趨勢(shì)研究報(bào)告》的數(shù)據(jù)顯示,自2012~2014年,EMM市場(chǎng)保持了110%左右的高增長(zhǎng)。預(yù)計(jì)未來3年內(nèi),EMM的增長(zhǎng)率將進(jìn)一步提升,2016年有望達(dá)到16.6億元的市場(chǎng)規(guī)模。
但實(shí)際情況是,在面對(duì)大量涌入辦公領(lǐng)域的移動(dòng)設(shè)備,企業(yè)在安全方面的防范并不到位。大多數(shù)企業(yè)只是簡(jiǎn)單搭建一個(gè)防火墻或者進(jìn)行一些權(quán)限設(shè)置,肯花錢購(gòu)買MDM產(chǎn)品的企業(yè)本就不多,對(duì)于EMM的投入更是少之又少。
其實(shí)這也不難理解,很少有企業(yè)在筆記本時(shí)代就進(jìn)行嚴(yán)格的加密,甚至封存USB接口。在筆記本電腦普及過程以及最終涉及管理筆記本設(shè)備的產(chǎn)品及服務(wù)中,只會(huì)有很有限的特殊行業(yè)會(huì)對(duì)辦公用的筆記本電腦設(shè)備進(jìn)行管控。
因此,對(duì)于企業(yè)用戶來說,未知的移動(dòng)安全威脅聽上去很嚇人,但實(shí)際上大家將威脅消滅在萌芽中的愿望卻并不迫切。這可能與中國(guó)用戶的使用和購(gòu)買習(xí)慣有關(guān),也可能與企業(yè)安全預(yù)算有限有關(guān)。且并不是所有的企業(yè)都已經(jīng)進(jìn)入了可以推廣EMM的時(shí)期,對(duì)于還沒實(shí)施移動(dòng)應(yīng)用的中小型企業(yè),對(duì)此幾乎沒有需求。EMM的管理是需要建立在移動(dòng)業(yè)務(wù)已經(jīng)滿足了企業(yè)的業(yè)務(wù)需求,且企業(yè)還可能需要移動(dòng)業(yè)務(wù)以外的服務(wù)的大型企業(yè)。
移動(dòng)安全未到爆發(fā)期
與之相比,研究機(jī)構(gòu)發(fā)布的市場(chǎng)分析數(shù)字要樂觀的多。
IDC 2014年發(fā)布的研究報(bào)告《中國(guó)企業(yè)級(jí)移動(dòng)安全軟件市場(chǎng)2013~2017年預(yù)測(cè)與分析》顯示2013年中國(guó)企業(yè)級(jí)移動(dòng)安全軟件市場(chǎng)規(guī)模為1150萬美元,2017 年將達(dá)到5770萬美元,復(fù)合增長(zhǎng)率為49.5%。2013年是中國(guó)企業(yè)級(jí)移動(dòng)應(yīng)用快速發(fā)展的一年,根據(jù)IDC的研究,2013年該市場(chǎng)規(guī)模為9.3億美元,預(yù)計(jì)2017年該市場(chǎng)規(guī)模將達(dá)到41.5億美元,企業(yè)級(jí)移動(dòng)應(yīng)用市場(chǎng)2013年~2017年的復(fù)合增長(zhǎng)率為45.3%。IDC認(rèn)為與傳統(tǒng)的信息安全市場(chǎng)相比,企業(yè)級(jí)移動(dòng)安全軟件市場(chǎng)規(guī)模較小。但是,隨著企業(yè)級(jí)移動(dòng)應(yīng)用建設(shè)高峰期的到來,很多用戶已經(jīng)把移動(dòng)應(yīng)用納入自身的IT規(guī)劃中, 作為未來IT建設(shè)的戰(zhàn)略重點(diǎn)。企業(yè)級(jí)移動(dòng)安全軟件市場(chǎng)未來將保持快速增長(zhǎng),遠(yuǎn)遠(yuǎn)超過傳統(tǒng)信息安全市場(chǎng)12%的增長(zhǎng)率。
易觀智庫(kù)所發(fā)布的《中國(guó)企業(yè)級(jí)移動(dòng)管理市場(chǎng)研究報(bào)告2014》顯示,盡管2014年中國(guó)EMM市場(chǎng)仍處于市場(chǎng)探索期,但從宏觀環(huán)境看,隨著近年來移動(dòng)設(shè)備的廣泛普及、移動(dòng)辦公應(yīng)用、生活應(yīng)用的日益深入及4G的到來,將有利于EMM市場(chǎng)呈現(xiàn)快速發(fā)展勢(shì)頭。尤其是隨著國(guó)家最高層對(duì)于網(wǎng)絡(luò)安全和信息安全的高度重視,并將網(wǎng)絡(luò)信息安全上升到國(guó)家戰(zhàn)略高度,也給國(guó)內(nèi)專注于移動(dòng)安全領(lǐng)域的企業(yè)創(chuàng)造了更多的市場(chǎng)機(jī)遇。
而根據(jù)信息安全產(chǎn)業(yè)“十二五”規(guī)劃,到2015年我國(guó)信息安全產(chǎn)業(yè)規(guī)模將突破670億元,保持年均30% 以上的增速。隨著政府、企業(yè)對(duì)安全的不斷重視,究竟企業(yè)移動(dòng)安全市場(chǎng)能不能成為一塊誘人的蛋糕?
根據(jù)一些外資安全公司的數(shù)字顯示,與國(guó)外企業(yè)移動(dòng)安全市場(chǎng)相比,其在中國(guó)的企業(yè)移動(dòng)安全方面獲利甚少,甚至并沒有賺到錢。而對(duì)于國(guó)內(nèi)的安全廠商來說,日子也沒有好過多少。一大批追逐政策紅利的三產(chǎn)公司的成立將這個(gè)本就不大的市場(chǎng)利潤(rùn)攤得更薄。
同時(shí),在大家都一門心思扎入企業(yè)移動(dòng)安全這個(gè)藍(lán)海的時(shí)候,用戶的選擇仿佛變得更加艱難。IDC中國(guó)負(fù)責(zé)企業(yè)級(jí)移動(dòng)應(yīng)用的研究經(jīng)理王學(xué)亮認(rèn)為,目前企業(yè)移動(dòng)管理市場(chǎng)并無統(tǒng)一的規(guī)范,安全廠商、應(yīng)用開發(fā)商都按照各自的出發(fā)點(diǎn)來研發(fā)產(chǎn)品。工信部或國(guó)家信息中心等相關(guān)政府主管機(jī)構(gòu)未來會(huì)發(fā)布統(tǒng)一的移動(dòng)信息化安全標(biāo)準(zhǔn),引導(dǎo)廠商產(chǎn)品發(fā)展方向,切實(shí)滿足中國(guó)客戶,尤其是政府客戶的安全訴求。
當(dāng)前,多部門不斷出臺(tái)政策文件、聯(lián)合開展專項(xiàng)行動(dòng),推動(dòng)移動(dòng)互聯(lián)網(wǎng)應(yīng)用的防篡改和可溯源等安全能力提升。通過移動(dòng)互聯(lián)網(wǎng)應(yīng)用商店、智能終端生產(chǎn)廠商、CA認(rèn)證機(jī)構(gòu)、網(wǎng)絡(luò)安全企業(yè)等產(chǎn)業(yè)鏈各方的共同努力,未來移動(dòng)互聯(lián)網(wǎng)應(yīng)用全產(chǎn)業(yè)鏈的安全生態(tài)將會(huì)逐步構(gòu)建。且隨著政策法規(guī)的進(jìn)一步完善,移動(dòng)互聯(lián)網(wǎng)應(yīng)用全產(chǎn)業(yè)鏈會(huì)呈現(xiàn)一個(gè)全新的格局。
除了來自政策法規(guī)的正能量,隨著新技術(shù)的進(jìn)一步應(yīng)用,一些新技術(shù)也可能對(duì)移動(dòng)安全產(chǎn)生影響。
由于傳統(tǒng)的靜態(tài)防御手段已經(jīng)不能應(yīng)對(duì)新型的安全威脅,而大數(shù)據(jù)分析可以作為一個(gè)強(qiáng)有力的新武器來應(yīng)對(duì)它們。基于大數(shù)據(jù)的安全分析技術(shù),可以通過搜集來自多種數(shù)據(jù)源的信息安全數(shù)據(jù),深入分析挖掘有價(jià)值的信息,對(duì)未知安全威脅做到提前響應(yīng),降低風(fēng)險(xiǎn),實(shí)現(xiàn)最佳的安全防護(hù),基于大數(shù)據(jù)的智能安全分析會(huì)成為安全領(lǐng)域的發(fā)展趨勢(shì)。
而隨著企業(yè)對(duì)云計(jì)算的進(jìn)一步應(yīng)用,越來越多的智能終端將被納入云中,利用云計(jì)算的安全防護(hù)體系來應(yīng)對(duì)不好控制的移動(dòng)終端也成為應(yīng)用云業(yè)務(wù)的附加福利。
顯然,面對(duì)爆發(fā)的企業(yè)移動(dòng)應(yīng)用需求,企業(yè)移動(dòng)安全市場(chǎng)還遠(yuǎn)未到爆發(fā)期。對(duì)于企業(yè)用戶來說,先小規(guī)模投入移動(dòng)應(yīng)用管理領(lǐng)域,有助于建立完整的自身安全防護(hù)體系。對(duì)于安全企業(yè)來說,良好的市場(chǎng)機(jī)遇并不意味著一定能賺到錢,特別是面對(duì)還未迎來爆發(fā)期的移動(dòng)安全市場(chǎng),唯有認(rèn)真探求用戶需求,及時(shí)調(diào)整策略和技術(shù)才能立于不敗之地。
本文刊載于《中國(guó)信息化》雜志2015年第2期(2015年2月10日),敬請(qǐng)關(guān)注!
責(zé)任編輯:大云網(wǎng)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
繞過安卓SSL驗(yàn)證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò) -
計(jì)算機(jī)病毒常用分析方法
2016-05-13
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》