破解企业移动信息化安全困局

标签:技术前沿安全

访客:22455  发表于:2012-05-15 11:06:05

   

      在过去的一年时间里,移动互联网发生了翻天覆地的变化,智能终端的普及改变了互联网的格局。近日,中国的互联网大佬们在2012年移动互联网大会上纷纷表示对移动互联网、手机安全的关注。腾讯公司CEO马化腾把未来移动互联网比作 “空中楼阁”,他强调安全的防护对手机的重要性,华为终端公司董事长余承东也表示将与奇虎360合作,推出安全手机。

      随着移动终端设备的大量涌现,移动互联网大众时代即将到来。对于企业来讲,企业通过移动终端对信息进行采集和实时处理,使得企业的信息流通高效,安全畅通。移动互联网用户的增多,如何抓住机遇,准确卡位市场成为诸多厂商竞争的焦点。那么部署企业移动应用到底存在哪些风险?仅仅靠技术能否实现对企业数据的安全管理?如果企业部署企业移动应用,如何打破不同系统之间的顺畅访问?

     目前市场上趋势科技、赛门铁克,迈克菲、F5 Networks等国际安全厂商以及明朝万达、瑞星等国内安全厂商都推出关于企业级移动安全的解决方案或者产品,而企业移动安全一直在安全争议中发展。究其原因,在于企业级移动应用落地缓慢。

      移动信息化孕育新商机

     我国在制定“十一五”规划时,信息产业部曾经定过一个目标,即2010年中国移动用户突破1.3亿,我国目前已有逾3亿的移动互联网用户,未来这个数字将扩展到8亿。如今整个世界在信息产业的发展天翻地覆。

     伴随着移动互联网的普及,企业在生产、销售、管理等环境既面临着机遇,又面临着挑战。企业不仅要信息化,还有移动信息化。企业移动信息化可以帮助管理者在任何地点,任何时间,及时掌控企业的各个环节的运作和经营情况,可以帮助企业提高现代化信息技术应用能力,提升企业整合管理水平。目前企业移动信息化应用还不成熟,但是有分析机构预测,智能终端即将引发整个行业的大裂变,整个产业链上的上层应用,即企业级的移动应用,将迸发巨大的商业价值。

     安全问题成为移动信息化焦点

     与传统的企业信息化相比,企业在部署移动信息化将会遇到什么问题?IT架构需要做哪些转变?企业部署应该做哪些准备?如何选择适合自己的安全产品?近日,畅享网采访了数家国内外网络安全领域的厂商,看看他们是如何全方位的诠释自己对企业移动信息化的安全理解。

     不管是网络安全的软件厂商,还是硬件厂商都在筹划进入这一领域。F5  Networks中国区技术总监吴静涛表示,在部署移动应用时,除了正常的应用迁移和重构外,首要关注的应该是安全问题。随着访问载体无线化暴露在公众环境中,企业应用和数据将面对的安全风险会大大增加, 企业需要解决移动终端的自身安全,身份认证,访问准入,业务连续性保护,例如DDOS防护,非法入侵,企业数据保密性等诸多安全问题。

     趋势科技中国区产品经理刘政平认为,目前许多的企业级移动应用基本上都有自己的应用场景。比如说对内有OA,可以有业务应用环境,财务应用环境等。我们知道,传统的企业信息化相对标准化,而移动信息化化需要相应的技术,并结合用户安全的环境和场景,做到安全管理。与此同时,在外部来讲,移动金融作为交易客户端,比如说银行,还有包括券商、保险,他们现在开发了一系列的交易客户端,推向整个市场。已经有很多的客户在采用。对于内部和外部,安全威胁是有差别性的。

      谈到企业移动办公带来的风险,北京明朝万达董事长王志海给出了这样的答案,一方面是移动智能终端自身安全机制和接入网络技术引发的高风险,另一方面移动用户在公共网络中传递的信息容易被窃听和篡改。王志海特别指出,目前黑客技术的千变万化,无孔不入。存储有价值数据的设备一旦被感染,后果将非常严重。此外因设备丢失、被盗等衍生的数据泄密风险也不可小觑。

     企业级杀毒软件的厂商瑞星也说出了自己的理解,瑞星市场总监唐威称,企业级移动应用在某种意义上说都是个人的移动设备接入到企业的网络中去处理业务,而移动设备本身和企业的数据安全都存在安全隐患。最常见的模式就是企业员工拷贝公司文件,或者通过手机短信指令下达非法指令等。
技术不是瓶颈,安全也可以靠谱

    对于客户而言,难免会出现因为存在安全风险而放弃企业移动应用的状况。客户一方面因为业务的需要,有必须部署企业移动信息化的必要,另一方面,安全问题成为摆在客户面前的一座大山。是超越还是守旧?一步之遥,难以跨越。

     实际上,国内很多大中型企业和政府机构已经开始了企业移动应用体系的建设工作,并已经取得了相当的进展。F5 Networks中国区技术总监吴静涛表示,“企业应用移动化,这是不可阻挡的趋势,有新的风险就会有新的风险应对措施,没必要因噎废食。事实上,解决安全问题,应对安全风险,技术并不是瓶颈,安全管理和技术体系的持续改进,员工安全意识的不断增加,才是解决问题的关键。”

     关于企业移动信息化的部署问题,海比研究副总裁许卫国曾经在一次媒体采访中讲到,从整个市场现状来看,我国企业级移动应用的生态系统基本上已经形成,并且相对完整,其中重要的一环就是移动安全。于此同时,有调查显示,93%的管理者希望实现移动办公。如果移动安全问题得到解决,企业会十分愿意考虑使用移动系统和移动应用的。总体来说,企业对移动信息化的认可度偏高,普遍看好移动信息化建设带来了的效益。

     抓住云端优势,寻找信息化亮点

    国内移动终端应用已经呈现出迅猛增长趋势,IT、物流、能源、金融等行业受益良多。随着云计算技术的日益成熟,云计算+智能终端的产业链也将逐步完善。企业移动信息化“触云”已经不是趋势,而是必然要求。

     云计算和虚拟化的普及,对传统安全厂商提出了新的挑战,吴静涛表示,“云计算对传统安全防护的最大的挑战是安全边界动态化和虚拟化,传统结构安全产品例如防火墙,IDS/IPS,WAF面临找不到防护边界,无法部署的的窘境。”F5通过基于七层全代理模式,实现用户在应用交付的控制,同时在不影响用户应用和网络结构的基础上,实现动态应用边界安全防护,企业用户只需要填补过去在移动应用方面管理及技术体系的欠缺,采用安全治理的方式,就能解决诸如数据加密,身份认证,数据防泄漏等问题。

     云安全的问题也是数据安全的问题。王志海表示,当个人或企业将数据存到云中心时,因技术问题也比较难解决,所以最担心的是无法确认数据只有自身能够控制。如果是单纯的非结构化的数据,文本式还好说一些,如果是数据库,因为需要匹配,查询效率很低。

     云端优势已经凸显。刘政平从技术角度为客户诠释了云计算技术带来的好处。他介绍说,趋势科技对移动终端的安全防护与云端相连。把移动终端数据的安全问题交付到云端,即存储在终端的数据同步到云端,如果移动设备丢失,数据擦除功能能够保证企业数据安全,同时云端管理把数据同步到另外一台新设备上,方便用户操作。在云端做联动,目前是企业移动信息化的一大亮点。

     智能设备管理,保障数据信息安全

    这里说的管理是指对移动设备的管理。说到对移动设备的管理,一定会牵扯到企业系统平台的安全。目前移动设备上会安装许多应用,个人应用和企业应用必须做到应用本身的权限管控。刘政平说道,“总体上说,不管是设备层面,系统层面还是应用层面,安全的功能去集中化管理客户的安全,才能尽量减少数据外泄的风险。”王志海在谈到手机终端管理是表示,“移动设备接入企业级应用,诸如企业集团通信录,机密信息有可能外露,同时存在恶意人士通过盗取手机进入企业网内部盗取机密的可能。”只有通过身份安全、传输安全、数据安全以及设备安全的层层管理,才能有效解决企业级应用的安全问题。

     有人会问,移动终端安装企业级应用,限制较多,有时需要员工卸载手机中的部分应用,这样会不会引起员工的反感?趋势科技刘振平表示,情况各不相同。对于员工来讲,如果使用员工的自有设备,但公司没有补贴或者奖励的机制,抵触情绪在所难免。对于CIO来讲, CIO当然希望系统中少些插件。目前因为员工个人设备系统不统一,企业信息化部署难道较高,一些金融机构、公安系统一般采用定制手机的形式部署企业移动信息化,但是对于中小企业来说,成本相对较高,CIO们需要评估定制手机的成本和必要性。由此可见,用户是需要为安全所付出,但是也考虑付出的成本是不是他能够承受的,所以这也是安全厂商在提供解决方案时需要为用户考虑的问题。

     移动信息化安全百花齐放

     在企业移动安全领域,一方面国外的厂商已经有相对成熟的解决方案,趋势科技很早就专门推出了企业版移动终端管理企业版(TMMS)解决方案,这个产品能够保护企业大量智能终端和移动设备,并拥有完全的可视性和控制管理,允许员工可以自由地在跨物理、虚拟、移动和云环境自由共享数据及网络资源。不仅能够降低企业部署成本和减少管理移动设备的复杂度,避免机密数据外泄,同时确保移动设备能够安全的存取访问企业网络资源 。据悉,TMMS 8.0也即将推出。赛门铁克的SES解决方案,可以针对独特的企业用户的计算机运行环境而推出的具有适应性和综合性的互联网安全;F5作为全球领先的应用交付厂商,在移动终端到数据中心这一层面,其访问策略管理(APM)解决方案,可以实现用户认证,资源授权,移动终端安全性检查,信息传输SSL加密,用户操作行为审计等防护。

     反观国内厂商,目前国内的安全厂商很少聚焦企业移动安全,只有少数的几家网络安全厂商致力于企业移动信息化安全。目前明朝万达的软件开发工具包CMS  SDK可提供日志审计、设备管理、二次开发接口等功能,为用户构筑完整的移动数据安全解决方案,让企业数据安全的移动;在企业移动安全防病毒体系中,瑞星、网秦、360也做了相应的努力。目前瑞星正在加大企业级领域的研发和市场投入,在去年底,瑞星共计发布了四大系列16款针对高端市场的企业级软、硬件新品,其中瑞星的防毒墙转型为专注网关防毒的专业产品。据悉,不久后瑞星还将推出私有云安全产品。

     总之,随着移动互联网终端的普及,我们即将迎来一个移动计算的时代,由此催生出一系列移动企业应用必将成爆炸式增长,企业移动信息化趋势势不可挡。只要解决掉企业安全管理的痛点,企业移动信息化大潮就会马上到来。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");