然而，無論是新興還是傳統(tǒng)企業(yè)，向移動性轉(zhuǎn)型都并非易事。Gartner報告指出，企業(yè)面臨的最大挑戰(zhàn)不是創(chuàng)建移動應用，而是在部署移動解決方案時會花費85%的成本和時間在企業(yè)后端應用的集成和安全性上。同樣其他調(diào)研機構(gòu)也拿出數(shù)據(jù)證明：超過80%的安全主管認為，企業(yè)面臨的外部威脅正與日俱增，近60%的安全主管認為所在企業(yè)遇到網(wǎng)絡安全大戰(zhàn)將難以幸免。該調(diào)研報告針對這些調(diào)研結(jié)果給出結(jié)論：技術(shù)是解決安全問題和威脅的關鍵，當前的企業(yè)應該重點關注大數(shù)據(jù)、云計算和移動等技術(shù)。

 

先了解變化

在移動技術(shù)的強力影響下，中國企業(yè)作為全球市場中不可或缺的力量也在經(jīng)歷著一場重大轉(zhuǎn)型。在前不久落幕的2014年亞太區(qū)企業(yè)移動高峰論壇上，IDC發(fā)布一項調(diào)查數(shù)據(jù)表明，中國企業(yè)級移動應用市場在2014年已經(jīng)進入快速發(fā)展階段，移動應用成為很多企業(yè)IT建設必不可少的組成部分。預計2017 年中國企業(yè)移動應用市場將形成具備一定規(guī)模的產(chǎn)業(yè)，企業(yè)移動解決方案市場將達到46.7億美元。除此之外，政策的導向以及運營商的不斷發(fā)力，讓國內(nèi)的移動應用不斷涌現(xiàn)出向好的趨勢。

借助這些力量，利用移動技術(shù)的員工及企業(yè)數(shù)量在不斷增長，但只有不到半數(shù)的安全主管表示他們采用了高效的移動設備管理方法。事實上，移動和設備安全在當前已經(jīng)成熟部署的技術(shù)列表上的排名極為靠后。這也造就了移動性為企業(yè)傳統(tǒng)的安全問題帶來了更多挑戰(zhàn)的事實。以往企業(yè)的安全基本依靠傳統(tǒng)的防火墻，今天移動應用將安全問題延伸至設備之外，直至數(shù)據(jù)消費發(fā)生的終端。想要應對移動帶來的風險，企業(yè)首先需要了解這種變化，才能克服移動性產(chǎn)生的不斷變化和日益復雜的安全問題。

新的安全問題之所以如此復雜，是因為受到了人、設備和數(shù)據(jù)訪問網(wǎng)絡的影響，這些數(shù)據(jù)包括結(jié)構(gòu)化的企業(yè)信息以及如訪問證書、文件和內(nèi)部網(wǎng)本地副本在內(nèi)的非結(jié)構(gòu)化數(shù)據(jù)。此外，市場上的設備不斷推陳出新，新設備、操作系統(tǒng)升級和軟件升級等層出不窮，它們不斷影響企業(yè)訪問或者查看數(shù)據(jù)的方式。隨著產(chǎn)品越來越容易受到惡意軟件和其它攻擊，應用生態(tài)系統(tǒng)也日益豐富。技術(shù)的復雜程度讓企業(yè)的安全管理成本不斷提高，于是不少保守的企業(yè)開始試圖通過控制產(chǎn)品設備種類，降低移動辦公帶來的管理成本及風險。他們認為控制能夠讓企業(yè)有效地計劃和管理風險，更重要的是，控制為企業(yè)高管和IT部門提供了保護企業(yè)最為直接的方式。而另一方的觀點則認為：這無異于盲目的忽視變化的本質(zhì)，而僅僅尋求了表面上的安穩(wěn)。如果企業(yè)想更好地控制IT，更好地保護數(shù)據(jù)，就應該鼓勵使用如BYOD等模式的新應用，并為其搭建一個安全的架構(gòu)。通過把實踐放到開放環(huán)境令其發(fā)揮作用，IT部門能夠看到在企業(yè)內(nèi)部真正發(fā)生了什么，并采取合適的方式來保護它。

積極的來看，在全面的BYOD情景下，IT部門不僅需要使用并監(jiān)測被用來訪問企業(yè)網(wǎng)絡的設備，也需要實施強大的安全措施。這可能會大大提升移動管理成本，但由于設備屬于員工，用戶體驗十分重要，個人服務和應用的性能需要不受安全措施的影響。因此從生產(chǎn)力角度來看，這一方面能夠強化企業(yè)IT部門提升安全防范的意識，構(gòu)建全新的適于發(fā)展的企業(yè)移動安全架構(gòu)，另一方面用戶體驗的確被提高了。同時，在法律層面BYOD也不容忽視。在BYOD環(huán)境中，安全并不是單向的，如果企業(yè)不經(jīng)意地訪問了員工的個人數(shù)據(jù)，他們就要面臨被這些員工起訴的風險。因此在BYOD情景中，安全性既包括實施控制以保護員工的隱私，也要保障企業(yè)數(shù)據(jù)。

所以，從發(fā)展的角度來看，企業(yè)不應該以“保證安全”為名對員工使用BYOD設置障礙，而應該更好的借助現(xiàn)代安全的方式與技術(shù)，在全面保障企業(yè)數(shù)據(jù)安全性的基礎上為員工使用設備提供全面的自由。

 

數(shù)據(jù)永遠是重頭戲

上述情況在國內(nèi)更為明顯，一方面是因為國內(nèi)企業(yè)管理者相對保守；另一方面則是因為從國內(nèi)的情況來看，中國早已成為數(shù)據(jù)大國。中國有超過6 億的互聯(lián)網(wǎng)人口，遍布各行業(yè)的互聯(lián)網(wǎng)經(jīng)濟，不斷優(yōu)化中的政府及企業(yè)IT系統(tǒng)，和爆發(fā)增長的物聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)，這都為開展數(shù)據(jù)應用奠定了基礎。而在移動技術(shù)普及的當下，如何用好并保護好數(shù)據(jù)資源，對中國的“互聯(lián)網(wǎng)+”，以及工業(yè) 4.0 的發(fā)展意義重大。因此，對于今天的中國來說，無論企業(yè)是否已經(jīng)做好了迎接挑戰(zhàn)的準備，移動的趨勢都不會改變，安全問題也永遠不容忽視，其中最為重要的一環(huán)就是數(shù)據(jù)。

對企業(yè)來說，數(shù)據(jù)的重要性不亞于每一次戰(zhàn)略調(diào)整，在移動的背景下員工的個人設備及其隱私數(shù)據(jù)的安全性也會被放大。于是企業(yè)的IT和信息安全部門還需關注兩個重要問題：誰擁有這些數(shù)據(jù)和數(shù)據(jù)去向哪里？ 

不同的移動辦公模式中，設備管理的思路和企業(yè)移動安全的整體策略是不同的。簡單來說，智能手機、平板和移動應用讓員工在其設備上可以輕松地使用和分享數(shù)據(jù)，而這些設備能夠存儲多種類型的數(shù)據(jù)，包括電子郵件、專有材料、大量圖形和視頻文件等。因此，在不屬于企業(yè)的設備或基礎架構(gòu)上運行企業(yè)數(shù)據(jù)，例如BYOD模式，或者以基于員工身份的企業(yè)證書訪問企業(yè)數(shù)據(jù)，但數(shù)據(jù)卻被企業(yè)所控制時，將會出現(xiàn)數(shù)據(jù)的所有權(quán)問題。這會導致企業(yè)不能準確知道他們的數(shù)據(jù)在哪里以及誰在使用數(shù)據(jù)。

有技術(shù)專家建議，在這種情況下企業(yè)首先要認識到數(shù)據(jù)消費發(fā)生的終點，不管其在哪個部門、企業(yè)、系統(tǒng)，甚至其它什么地方。其次，企業(yè)必須允許這些數(shù)據(jù)消費能夠發(fā)生并得以實現(xiàn)。同時，還要知道每一個數(shù)據(jù)消費發(fā)生的終點是否在安全可控的范圍內(nèi)。為此，企業(yè)需要采用不同的方式。

例如，一個把身份作為核心的集成化平臺將會為企業(yè)提供強大的新功能來應對短期的移動安全性挑戰(zhàn)，同時可以充分滿足未來的移動安全需要。更值得一提的是，這種平臺合并了移動應用管理和多種工具，并基于身份的安全模式，將會為企業(yè)提供嚴格和全面的框架來解決關鍵的漏洞，應對傳統(tǒng)上以設備為中心的策略所造成諸多挑戰(zhàn)及碎片化問題。

隨著企業(yè)需要支持、管理和維護的工具越來越多，散亂的解決方案只會增加企業(yè)成本和復雜性。例如現(xiàn)在許多企業(yè)已經(jīng)轉(zhuǎn)向使用移動設備管理（MDM）、移動應用管理（MAM）和其它更專業(yè)的技術(shù)，如身份管理、安全容器、安全訪問和單一登陸工具，這些工具會在企業(yè)內(nèi)部形成牽引，也會讓數(shù)據(jù)管理難度越來越大。但回歸到是否需要控制設備的爭論中，如果安全方式為員工使用移動應用和工具設置了障礙，那么這些策略對于企業(yè)來說也將適得其反。

不少分析機構(gòu)也提出了移動安全性和業(yè)務增長之間的必然聯(lián)系。例如，普華永道認為，如果能夠及時解決手機的安全漏洞，那么企業(yè)能夠提高25% 的業(yè)務業(yè)績。也就是說，面對復雜的安全及IT管理形式，企業(yè)能做的只有不斷提升自己的安全技術(shù)， 而無法繞過或限制其發(fā)展，畢竟數(shù)據(jù)的安全是企業(yè)信息安全的第一要務。

技術(shù)專家建議，下一代移動安全戰(zhàn)略應該保證企業(yè)擁有一個全面的框架。隨著業(yè)界不斷開發(fā)創(chuàng)新的基礎架構(gòu)來解決新出現(xiàn)的安全性問題，現(xiàn)在的企業(yè)能夠采取多種步驟來降低安全性風險：例如將身份與企業(yè)擁有或涉及的所有數(shù)據(jù)相關物進行關聯(lián)；在企業(yè)和個人數(shù)據(jù)間建立更加清晰的疆界，以防止混淆企業(yè)和個人數(shù)據(jù)； 確保實現(xiàn)安全控制同時又對用戶體驗不造成影響；確保硬件能夠?qū)崟r訪問網(wǎng)絡，并遵從安全政策等。

從發(fā)展的角度來看，企業(yè)必須鼓勵順應時代發(fā)展的應用和設備的使用，同時企業(yè)信息安全部門需要做好隨時迎接更難的數(shù)據(jù)及設備工具安全性挑戰(zhàn)的準備。

 

 

本文刊載于《中國信息化》雜志2015年第5期(2015年5月10日)，敬請關注！