2013年的BYOD趋势编辑本段回目录
Amtel创始人兼CEO Pankaj “PJ”Gupta总结了2012年BYOD(自带设备)的成果并预测了2013年的发展趋势,认为MDM(移动设备管理)解决方案可以进一步管控员工自带设备的行为与活动。
2012年,对BYOD(自带设备)仅有的质疑已经烟消云散,“自带设备”工作已被企业广泛接受。
大多数公司均(至少一开始)认为BYOD是一项双赢的政策。员工既可自由使用喜欢的设备,又能将他们的工作和个人数字世界无缝集成。而公司则既省了钱,又能提升生产力(用自己的设备时员工倾向于保持更多的工作联系)。
皆大欢喜。不过,事情真的就这么简单吗?
一波刚平一波又起
仔细审视2012年的BYOD趋势可以发现,企业之所以开始享受到BYOD的好处,是因为其IT部门克服了BYOD的某些最大的挑战,包括:
落实了MDM(移动设备管理)解决方案的预算,可以对员工自带设备及公司所有设备进行管理
可让员工通过自己的智能设备安全访问电子邮箱
对安全进行加固,确保种类繁多的移动设备不会给公司敏感信息带来风险。
不过2013年BYOD面临的新挑战是:“如何阻止员工利用自带设备从事与工作无关的事情”。
这种担忧跟企业早期对互联网的恐惧类似,那时候的害怕是网络游戏、视频网站、Facebook等会导致员工浪费时间、影响业绩。而现在,由于移动应用的庞大规模,智能手机等移动设备会对工作造成更大的干扰。
还有就是流量控制的问题。IT部门必须考虑如何限制音视频下载等导致网络变慢的问题。此外,如果员工通过内部WiFi网络将企业的知识产权内容泄露出去又该怎么办?
因此,员工在自带设备上的活动监控成为IT部门的下一项事宜。
现在一些好的MDM解决方案可以让IT部门根据业务环境和文化对监控进行定制和自动化。用一个解决方案就可以实现安全、应用监控、基本设备管理等功能,让IT部门可以集中监控设备及活动。
这些解决方案解放了IT部门,让他们摆脱了应对设备、系统以及应用不断升级变化之苦。企业因而也可以更加全面地运用BYOD,既能提高安全,又能提高生产力。
比方说,利用地理围栏技术来限制某些降低生产力、影响公司安全或令企业成本上升的行为。如在公司大楼内MDM可以限制玩《愤怒的小鸟》。为了保护商业秘密,MDM可以屏蔽手机摄像头。对于一些耗费流量的应用,为了节约数据成本,MDM可以限制为在WiFi状态下使用。
Pankaj 最后认为,这些MDM新技术的运用会促进新的办公室行为规范的形成。不过我却不敢苟同。如果BYOD的限制那么多,员工又何必自带设备用于工作呢?大不了他们就用公司的设备工作,用自己的手机娱乐,这个BYOD可管不了吧。
没有安全保证 BYOD只能是空谈编辑本段回目录
目前为止, 大多数移动应用用户无从知晓他们的应用是否安全, 他们只能信任开发者,但糟糕的是,安全是开发者最后考虑的事情。在Android智能手机的应用中,由于糟糕的SSL实施, 大量的应用存在着被“中间人攻击“的风险。 几千万用户的个人信息可能会被泄露。
当我们在电脑用浏览器上网的时候, 我们会注意到地址栏上的一个小的锁型图标。 不少人都知道, 这就是SSL的图标。 这是一种基本的网络安全措施用以保证我们的数据流不被截获或篡改。 当我们使用网上银行, 发送电子邮件, 或者网上购物时, 我们不希望别人能够看到我们的联系人地址, 信用卡信息等等。 经过长期的教育, 现在很多用户都知道了, 看到那个SSL的黄色锁型标志, 就代表我们在使用Internet安全链接HTTPS而不是普通的HTTP访问网络。
智能手机的安全“黑箱”
不过, 到了智能手机平台上, 情况有很大的不同。 在移动浏览器里面, SSL标志还是可见的, 而且很多移动浏览器的厂商也会提醒用户是否在采用安全的SSL方式链接。 可是, 移动应用APP呢? 在我们使用移动APP时, 绝大多数应用并不显示SSL的标志甚至访问的URL。 而我们采用移动应用进行网上银行, 通信, 网上购物等种种行为。 而且, 我们的智能手机本身, 就存储了很多我们的个人信息, 如通讯录,日程安排, GPS位置信息等等。 我们如何能够保证移动APP在与它们的服务器链接的通路也是安全的呢? 如果是个人用户, 可能会因此产生个人隐私的泄露。 而如果是企业用户,这样的安全缺陷可能会导致企业信息或者客户信息的泄露。
目前为止, 大多数移动应用的用户无从知晓他们的应用是否安全的, 他们只能信任开发者,但糟糕的是,安全是开发者最后考虑的事情。 为了了解开发者开发的应用的安全性, 首先必须了解开发者采用的安全模式, 然后可以有一些工具来监测应用的安全性。 去年10月份, 德国汉诺威的Leibniz大学的研究团队, 深入Android的内核研究了它的SSL的实施细节, 以及在Android平台上开发者确保应用安全的难易程度。
他们的研究发现, 对普通用户来说, 无法了解某个应用提供的安全性。 安装应用是的提示框基本没用, 因为很多应用使用的权限都会超过提示框提示的权限。 几乎每个应用都会申请网络连接, 但是并不会告诉用户会发送什么内容, 是否采取了安全链接。
此外, 在对从Google Play下载的13500中免费应用进行静态代码分析时, 他们发现, 有1074中(8%)的应用错误使用了SSL。 在SSL链接中, 它们允许任何主机或者允许任何证书的链接。 这样就有可能导致“中间人攻击”, 而进一步的分析则证明了, 这其中的41%的应用, 确实可以被实施“中间人攻击”。 这也就意味着, 由于糟糕的SSL实施, 几千万用户的个人信息有可能被泄露。 这个德国团队在实验中, 就通过中间人攻击截获了银行账户信息, Paypal帐号信息, Google, Facebook, Twitter的账户信息, 他们甚至能够在一个防病毒应用里植入病毒特征码,从而使该防病毒应该彻底失效。
移动应用开发者所犯的主要错误包括对Android的TrustManager在界面的配置时, 对所有证书都选为可信任, 或者在建立安全链接时忘记选定主机名, 以及使用混合模式, 让加密信息和非加密信息在同一页面上显示等。 此外, 值得注意的是, Android 4.0默认信任134种根CA。 这个默认范围也有点大。
自查与补救措施
作为用户, 如何能够判断应用是否安全呢? 德国的研究团队使用的是一个叫做Androguard的工具, 这是一个静态的代码分析工具。 通过分析代码, 可以知道某个应用在哪些地方存在漏洞。
对一般用户来说, 代码分析还是太难了。 其实还可以有一些简单的办法来检查应用是否安全。 比如可以去ZAP的站点。 这个站点提供一个Web界面可以检查Android或者是iOS应用的安全性。 用户可以通过它们的扫描网关进行应用扫描, 也可以上传应用。 它会报告给用户是否应用的认证和传输是安全的, 是否存在数据泄露或者内容是否被暴露给广告网络或者分析工具等等。
对企业移动应用开发者来说, 在开发过程中, 如果你采用了SSL, 你一定要确保SSL加密措施的正确实施。 Android和iOS 都有很全面的如何实施SSL并避免遭受“中间人攻击”的开发指南。 开发者需要认真阅读。
此外, 在移动应用方面, 一些公司也在进行其他的尝试。 如富士通公司最近就宣布在开发一个基于HTML5的系统。 这个系统, 可以根据员工是否处于安全网络内, 决定是否允许员工访问公司数据。 这套系统可以利用员工的手机, 判断员工是否处于Wi-Fi网络里, 还是在刷了公司的近场接触(NFC)卡从而判断用户的网络环境的安全状况。
作为企业CIO或者CTO来说, 在拥抱BYOD的同时, 也必须清楚地了解移动应用的安全问题。 这样才能够保证企业网络和企业数据的安全性。
揭秘BYOD五大隐藏成本编辑本段回目录
越来越多的员工想要通过自己的iPhone、iPad或是Android设备来完成工作,CIO们可能会以为这样节省了公司开支,但事实并非如此。调研机构Aberdeen Group的调查结果显示,公司每一千台的BYOD设备每年额外花费170000美元。
移动私人设备可以帮助CIO跳出定期购买硬件的周期,至少可以抵消一部分成本。
思科从BYOD中节省了17%-22%的成本。Lance Perry,思科的IT部门负责人,表示“我们不用支付费用,员工工作也更快乐,这不是一件美好的事吗?”
事实是思科只是例外,而不是规律。CIO们常常看到的不是BYOD节省成本,而是花费更多,以下是BYOD背后的五大隐藏成本。
隐藏成本一:每月固定费用
传统上,CIO的工作职责不包含很多移动设备,但随着BYOD的发展,CIO们不得不把这些纳入自己的工作范围,这意味着CIO们很可能不熟悉无线费用管理费用结构。Park表示,CIO们并没有看到BYOD的全部。
一家公司可以引入大量的智能手机,并获得最好的售后服务,但BYOD下,公司并没有这样的服务,当然这并不是最重要的,关键在于无线服务。公司如果选择自己购入移动设备,除了优质的服务外,还会有高速度的无线服务。
Aberdeen研究表明,公司采用自主购入移动设备方案在手机话费和数据服务上的花费约每人每月60美元,而BYOD是70美元。
隐藏成本二:报销费用
看了上面的描述,许多CIO可能并不觉得BYOD费钱,因为就之前的调查结果而言,比起员工自带私人设备,相当于公司在自主购入移动设备上只花了每人每月10美元。由此,CIO们可以得出结论,BYOD反而省钱,然而并非如此。
Aberdeen显示,员工每月都将报销无线服务账单,一单大约18美元,由此计算,公司在BYOD下的花费变成了每人每月90美元。
值得注意的是,员工报销的可能不止无线服务账单,还有别的费用,这意味着公司为此付出的不仅是18美元。
隐藏成本三:安全、管理、数据丢失支出
公司如果引入大量移动设备,可设计程序来自动化部署和管理移动设备,而在BYOD模式下,员工仅将一些私人设备的编号、手机号等输入公司系统。
Aberdeen并没有准确算出这中间的成本,然而,Park表示,管理这些私人设备让企业非常头痛。
管理这些私人设备意味着CIO们要引入更多的动设备管理解决方案和其他软件,甚至是一个虚拟(虚拟专用网络)层,“管理成本和安全成本都将大大增加”,Park说。技术服务公司Avanade的报告显示,因为BYOD,过半的公司报告遇到安全漏洞。
隐藏成本四:谁为技术支持买单
在BYOD模式下,使用移动设备的是员工,故障问题也由自己解决,公司无法掌控,而当问题出现时需要追究责任,而当员工放弃使用私人设备后,他还需要大量时间把资料调整到公司的设备。
隐藏成本五:多平台
BYOD意味着更多的平台开发应用程序和支持,由此产生更多的应用开发费用。
总结:
由此我们可以得出BYOD模式部署起来并不便宜。
如何应对BYOD五大风险?编辑本段回目录
除移动设备管理(MDM)之外,企业也可借助其它方法来实现BYOD风险最小化。面对BYOD, 一些企业选择选择接受,一些选择畏缩。无论哪种方式,BYOD策略仍会得以普及。通常,企业支持BYOD无非两个主要原因,一是可提高生产力,二是可节约企业成本。企业普遍认为员工若使用自选设备,或者自选应用时,工作效率会更高。此外,企业也认为若由员工自带设备(员工升级自带设备的速度也快于企业在企业范围内实现设备升级的速度),可节省企业成本。
但是将企业数据与信息置于员工自有设备(多为移动设备),无疑会产生风险。一些风险可通过日益普及的MDM来管理,这种集中式软件可对企业或员工所有的设备进行约束与管理。就个人设备得到允许访问企业网络而言,除了员工可能浪费一整天时间玩《愤怒的小鸟》外,另有五大常见问题不容忽视。
1. 用户安装未经审查的应用
当企业员工自带移动设备含有商业数据,或仅仅是含访问商业数据的认证信息时,员工所安装的应用可能会带来风险。
就Andriod设备而言,安装应用带来恶意软件的风险有所增加。若用户是从非官方网站下载相对容易运行于大多数Andriod设备上的软件时,风险会高得多。
而iOS用户通常是从App Store上下载应用,但是即便是App官网上的合法应用也会泄露企业可能想要保护的信息 ,如:地址。未经审查的应用,如未认证的邮件应用,若用来访问企业资源,则会增加风险,因为用户将提交登录认证信息,而该信息可能会存储在应用提供商的服务器上,而服务器本身可能具备未知的安全问题。
大多数MDM平台可使企业向设备发布受认证的应用列表,限制用户任意安装应用。那引发的问题是?可能会激怒一些员工,他们会认为如此严格的控管会降低BYOD的吸引力。
2. “先点击后烦恼“的草率用户
仅凭一个简单的 Web浏览器,用户便可在不经意间泄露敏感信息。比如:网络钓鱼可引诱“先点击后发问”的用户将商业认证信息送入恶意网站。
当然,许多MDM平台支持白名单过滤受认证网站或者执行更先进的反钓鱼过滤功能。在一些情况下,企业或许并不需要一整套MDM方案。例如,若移动设备必须连接至企业VPN,企业网络安全方案(如 Web 应用防火墙)便可完成过滤工作。
3. 员工私人采购,企业买单
谁来为BYOD买单?若员工是移动设备与合同买单者, 则可能因为付费应用或使用应用加购/程序内购买(in-app purchase)功能而累积大量额外账单; 若企业是买单者,那么由员工产生的费用可能会让财务人员头痛。
MDM产品具备禁止应用加购功能,但自己买单的员工可能不想受到购买限制。即使企业使用MDM来限制员工使用移动设备进行采购,也要当心一些漏洞。例如:一些产品只限制部分采购类型(如:应用加购),而对另一些采购类型(如:电子书或报刊杂志)则无法限制。
4. 用户丢失设备
天啊!当用户意识到智能手机或平板电脑丢失时,企业的反应可能会“不太得体”而不适合用铅字来呈现。无论是丢失或是遭窃的移动设备都会引发严重的安全风险。MDM方案的一大吸引力是可以实现全球远程锁定或清除丢失设备上的数据。
但要解除丢失设备的危险性,企业不需要MDM也可以做到。Apple iOS可对在Apple iCloud上注册的iPhone及iPad进行远程数据锁定与清除。而Andriod用户则没有统一的的解决方案,但一些免费的应用如Avast Mobile 及Android Lost也可实现数据远程锁定与清除。而无MDM方案的企业,要求BYOD用户安装远程数据清除方案是必要的做法。
5. 用户分享设备
有些用户对待移动设备的态度会有一些散漫。其平板电脑很容易成为家人或者朋友的玩伴。除非生物识别安全功能植入移动硬件中,则根本不可能有完美的防御方案。但是一些智能网络设计可降低风险。
要保障企业资源安全应避免猜测联网用户身份——这意味着在一段合理时间段后或发现设备没有动态后,应要求用户重新输入认证信息否则之前的信息应失效。除此之外,也应避免仅基于MAC地址等识别元素来自动授权设备,设备用户必须出示一定的认证信息才能访问敏感数据。
未来有望实现一机多重身份同存
未来的移动虚拟化技术或许可在几年内便消除上述所有或许多BYOD风险。在未来,移动虚拟技术植入移动设备后,用户将轻松实现一机多重身份的独立操作。在此愿景之下,企业可使用MDM来管理自带设备上的企业身份,而同时,用户也可使用个人身份在自带设备上任意操作。当然,前提是同样的移动虚拟化技术被企业采纳。
参考文献编辑本段回目录
http://www.yidonghua.com/post/15409.html
