Created: 2013-03-15 09:07:36
作者:RIGHARD ZWIENENBERG 發布時間:大西洋時間2012年2月19日上午11:24時
談起IT潮流,如今公司裏最流行的做法,非BYOD莫屬:即員工自帶設備上班。很多職員都認為,使用自帶設備閱讀私人電子郵件更加方便,也不影響上班時瀏覽網頁(與工作無關的網頁),此外因為更熟悉自己的設備,為老板工作起來效率也更高。職員自帶辦公設備上班,受到很多雇主的歡迎,不但可以節約軟硬件開支,還可以省去培訓時間和花費,實屬一舉多得。現在就連校園裏也刮起了這股旋風:學生們自帶設備入校,校園網允許接入,輕松兌現了教師們更新硬件的倡導。但自帶設備在提供更佳的便利性與經濟性、降低成本支出的同時,也帶來了一系列安全困擾,很值得人們的反思。
自帶設施究竟是好是壞
根據英國電訊公司2012年的一項調查報告顯示,有60%的雇主表示已經允許員工自帶設備接入公司網絡,在未來兩年內這一比例有望達到82%。ESET公司Harris去年曾就美國成年就業者組織過一項調查,結果顯示80%受訪者表示已經將某種私人設備用於與工作相關目的。雖然這股潮流的弄潮兒多是高端用戶與IT部門員工,但企業高管與董事們似乎也不甘落伍,也將私人設備接入公司網絡。令人擔憂的是,英國電訊公司的調查結果發現,他們之中真正了解自帶設備存在重大安全隱患的人數,僅僅占比25%。相關調查數據如下:
英國 法國 德國 西班牙 意大利 比荷盧 美國 巴西 中國 印度 新加坡
- 您的老板允許您將私人設備接入公司網絡並用於工作嗎?
- 在您看來,工作環境中使用私人設備,對公司網絡安全所帶來的風險有多大?
當然自帶設備也具備不少固有的優勢。一般來說,這類設備體積小、重量輕、便於攜帶,電池續航能力可以滿足一整天的工作需求,價格也比筆記本便宜很多 – 說起購置成本,自然是員工自己掏腰包,不用花公司的錢。員工們因為熟悉自己的私人設備,使用起來更熟練、工作效率更高,相較全新設備與應用環境而言,基本無需學習和掌握操作。
另一方面,自帶設備也凸顯很多劣勢:存儲管理和設置比較困難,有的甚至不具備這方面的功能。此類設備的更新一般是由生產商負責,繞過公司企業的基本安全管理策略,常常受制於第三方生產商是否發布系統和軟件更新以及發布的頻率。
自帶設備很難得到有效的安全防護,出站數據流也難以監控或根本無法監控。同時運行多個應用程序的能力(多任務並行處理)較為有限,很多設備不支持企業網絡插件(例如Flash與Silverlight等)。更糟糕的是,不同設備之間應用程序的兼容性通常很差,一台設備上的文件,另一台設備常常無法讀取和編輯,甚至無法實現設備之間的相互傳輸。
一家企業之中,因員工所使用的私人設備種類不同,很難統一部署VPN客戶端軟件。雖然企業敏感數據應嚴格通過企業專用網絡傳輸,但由於一些設備無法運行VPN軟件,致使有些職員會將公司文件資料複制到私人設備上,離開辦公室後能夠繼續使用。這種做法,暴露了一個最大的隱患:被人竊取。由於私人設備通常體積較小,很容易被盜(或丟失),如不幸存儲企業敏感數據與資料,難免存在公司保密資料失竊與被他人肆意利用的風險。
不久的將來,還存在私人設備與IPv6協議之間的兼容性問題(不少設備無法兼容)。IPv6時代正在快步向我們走來,但目前支持IPv6的設備卻寥寥無幾。
各類自選設備
具備聯網功能的設備,因其種類眾多,為各項功能的安全管理與漏洞防範帶來了相當大的難度與複雜性。
有些風險與隱患是顯而易見的。拿智能手機舉例來說,當用戶將智能手機接入計算機的USB接口後,可以幫助用戶實現很多功能,包括:
- 用做外部存儲設備,具備多種存儲方式:
可在智能手機內置的固態內存上存儲;
也可在智能手機的擴展記憶卡上存儲,例如MicroSD卡或SD卡等。 - 經過一番設置,允許USB設備解析3G/4G互聯網信號後,可將智能手機當做調制解調器使用(由於現在多是優惠網絡套餐,使用起來很是方便)。
- 可用做Wi-Fi路由器(開放式熱點),也稱數據中繼,通過已聯網的中繼設備,將互聯網訪問數據傳輸到未聯網的設備上,以幫助未聯網設備實現訪問網絡的功能。
- 可用做藍牙信號傳輸樞紐。
- 可用做紅外信號傳輸樞紐,但客觀地說,人們目前對紅外功能的認可度還比較低。
其他設備也有一些不太常用的功能。不少人喜歡將此類設備帶入辦公區域使用,更有家一般的感覺。從人性角度上來說,能夠隨時隨地瀏覽照片的設備,會令人感到親切,不是嗎?
存儲卡
一些圖片瀏覽設備還具備附屬功能,例如索尼公司的個人網絡瀏覽器,除了能夠顯示本地存儲的圖片外,還能將外部存儲卡插入或連接專用接口後,瀏覽存儲卡上的照片並播放電影。
此類設備所運行的小型操作系統,由公共素材庫開發而來。如相關素材庫存在安全漏洞,黑客便可利用經過特殊偽裝的照片,獲取設備控制權。一旦設備聯網,可能暴露出的各種風險和隱患是不勝枚舉的(也是令人擔憂的),例如黑客可以訪問其所感興趣的數據並創建網際共享連接,可在設備上設置後門程序,還可將設備用做小型服務器、垃圾郵件傳播中心等等。更何況,此類設備常常缺乏與之兼容的防毒軟件,用戶中招後也很難察覺(如果公司網絡部署了可靠的數據監控工具,還是可以捕捉到異常數據通訊的)。
聯網應用程序
許多應用程序都需要聯網後才能實現自身功能,其中最常見的,當屬獲取天氣預報以及預覽電子郵件等用途。相關通訊通常以純文本格式傳輸,利用WireShark等工具可以查看詳細內容(包括登錄口令),從而為不法之徒肆意利用敞開了大門。
一些具備聯網功能的設備,還可同時運行WireShark軟件,使得設備上的公司保密信函與數據資料,隨時都有被他人竊取的可能。
固件與操作系統更新
即使您的設備經過可靠驗證,證明完全安全、沒有任何可疑或不當的數據通訊與操作行為,仍可能由於廠商所不時發布的固件或系統更新,在豐富新增功能(不需要的功能)的同時,帶來無法預知的安全隱患。
新版系統的功能究竟如何,誰也無法預知,但它所帶來的安全隱患卻可能是災難性的。移動設備系統更新後,可能啟用如今很流行的雲存儲服務,將設備上的所有數據與雲端服務器實現雙向同步更新,這聽上去該多麼方便?一旦設備損壞、被盜,您新換的設備就能自動與雲端服務器進行同步,下載您原設備上所存儲的文件資料,令您的新設備也擁有與原設備完全相同的內容,這的確是一項令用戶受益匪淺的功能,但如果竊賊不幸掌握了數據,形勢可不容樂觀。即使您的設備已經設置了PIN口令或密碼保護,如果不法之徒利用一些破解軟件(非官方代碼)訪問設備數據,瞬間就可以達到目的(類似iPhone越獄的方式)。
在公司企業裏,IT安全管理團隊不可能對所有設備的新版操作系統、應用程序與固件完全做到了如指掌。雖然從安全角度來說,人們通常得知更新系統、升級補丁與固件的重要性,但如果企業IT管理人員(外聘服務團隊更是如此)並不完全熟悉(或根本不清楚)相關設備的操作與運行的軟件,則系統可能並不一定適合更新。
自選設備的優勢
更好地適應企業安全策略與目標的一種模式(無論內部管理或外聘服務),就是采用自選設備。想在公司網絡中使用私人設備或將私人設備部分用於公司業務的員工,可以從IT部門預先選定的一系列設備類別中,挑選令自己稱心滿意的產品。此類設備不妨稱之為「已知設備」,選定這些設備的原因是因為它們便於企業集中管理、應用程序兼容性強、具有升級補丁與更新程序,方便統一實施企業安全標准與策略。
不想挑選預定設備或傾向於使用自有設備的員工,必須接受不能連接公司網絡或將設備用於公司業務的規定。同時,企業應組織相關員工接受公司網絡安全管理策略的有關培訓,使其意識到公司網絡安全的重要性和必要性。原先所謂安全連接公司網絡、未造成任何不利影響的時代,已經一去不複返了。
移動視窗系統
屬於自選設備範疇的另一個突出問題,就是員工們偶爾會使用公司統一管理範圍之外的設備,例如利用自家電腦甚至網吧、機場與酒店的公用計算機訪問公司網絡。相關設備的安全狀態未知,無法確定操作系統安全。說不定他人使用相關設備,瀏覽過其所感興趣的網站內容,系統已經感染了後門程序。當您毫無防備地使用這些計算機時,後門程序仍然存在並處於激活狀態,從而導致數據泄露。
Windows 8引入一項全新功能,稱為「Windows To Go」(移動視窗系統),允許公司創建企業專屬應用環境並提供配套應用程序與工具,用戶可通過USB設備進入。系統利用USB設備啟動後,將強制實施與應用企業現行安全標准、策略與管理工具,另員工設備具有可與公司計算機相比擬的安全性。
移動視窗系統具備多項安全防範功能。為防止數據泄露,一旦取下USB密鑰,系統將凍結正在運行的進程。如在60秒內再次插入USB密鑰,系統將恢複工作,否則移動視窗系統將關閉,以免屏幕或內存泄露敏感數據。移動視窗系統密鑰也可通過Bitlocker進行保護。
那麼有了移動視窗系統,企業員工如果采用USB密鑰啟動私人設備,是否就意味著萬無一失呢?
不是,仍然存在一定的風險。假設移動視窗系統作業環境設置正確,用戶與企業之間的所有通訊均借助VPN通道實現傳輸,仍然存在互聯網連接本身的不可控性。公司網絡雖然受防火牆保護,但個人設備卻可能應用於各類不安全的工作環境,引發網絡攻擊與感染病毒的附加風險。當然,公司其他設備一旦脫離企業網絡,也難免存在同樣的隱患,使用公司筆記本在酒店上網或接入公共熱點就是其中一例。
結論
對於任何將自帶設備工作認為是日後而非當前迫切問題的人來說,我可要給你們敲響警鍾了:您所謂的日後業已到來,各類風險與隱患正展現在我們面前。如果沒有國家安全機關那樣嚴格的門禁系統,要想阻止人們將各類私人設備帶入工作場所幾乎是不可能的。現如今,新款手表甚至都具備手機的功能(可上網並內置USB端口)。對於公司企業來說,員工自帶設備工作現在就應引起管理層足夠的重視,圍繞這一趨勢修改企業安全策略實屬必要。公司IT管理部門,必須將移動設備納入企業IT管理體系實行規範化管理。不然的話,無需時日,您企業的保密數據和資料就會遭遇泄露或被惡意利用,屆時亡羊補牢、為時已晚。采用員工自選設備的方式,可使各類私人設備在訪問公司網絡的過程中,由企業IT部門實現統一管理,在保障員工選用設備自主權與靈活性的同時,將網絡安全隱患控制在企業可以接受的最低水平。