后PC时代来临之时的安全管理将何去何从

 

无可否认的是智能移动终端和移动应用的普及让人们迅速进入后PC时代,不管是商业应用还是终端消费领域,皆可见到大量用户从个人电脑转向移动终端。

以苹果、谷歌和微软为代表的国际巨头基本上已经在全球初步建立起了完备的称动互联网生态链,大量的移动应用程序、快速而廉价的无线网络连接……人们使用移动终端的目的已经不再仅仅是为了沟通,移动设备如智能手机和平板的便携性使台式机和笔记本电脑羞愧,更重要的是对于越来越多的终端用户,移动便携式计算设备已经可以取代传统的个人电脑了,他们不需要运行重量级的应用程序和执行复杂的运算任务,简单的商务和娱乐功能已经能够满足多数需求。

不过,在人们享受后PC所带来的便利的同时,也需注意随之而来的大量的安全威胁,偷偷访问移动设备数据的移动应用程序、鱼龙混杂的云计算服务、虚假的诈骗式无线热点、专为移动设备定制的网络病毒、移动社交工程学攻击者、安全保护体系薄弱的云存储、甚至还有那些专门偷抢高端移动设备的贼人……

在个人电脑时代,公司可以通过在边界网络设置防火墙等安全措施防范来自外部的威胁,在终端电脑上设置终端安全套件如防病毒等等来应对来自内部的安全威胁。

在后PC时代,这个网络边界变得模糊不清甚至消失了,移动终端的资产的所有权问题更是让公司难以像规范个人电脑一样来建立移动终端安全准则。

昆明亭长朗然科技有限公司的安全分析师Bob Xue说:“今天企业安全管理人员不仅要保护员工使用的智能终端本身的安全,比如防盗和防恶意代码,更要注意的是保护存储在智能终端上的企业机密信息数据,这些包括但并不限于常见的访问权限如进行企业应用系统的用户名和密码、工作邮件、企业通讯录等等。”

毋庸置疑的是后PC移动计算来临,传统的安全管理方法受到挑战,多数技术控制措施已经不再适用,紧跟时代与时俱进很必要。

然而,安全管理负责人是否应该立即评估和采购针对移动设备的安全管理方案呢?亭长朗然公司的移动信息安全行业观察员Kevin Cao称:“每家组织都不一样,对移动安全管理方案的要求也不尽相同,正确的方法是从业务角度出发,先考虑移动应用,看哪些商业流程和应用已经或者可以通过“移动化”来提升效率和降低成本和进行业务创新;在此基础上建立适当的移动设备使用的安全政策;进一步,完善相关的移动应用所需遵循的安全标准、控管流程及技术工具,并且配置相关的资源,即接触移动安全供应商洽谈移动安全管理方案和产品服务等。”

最后,还是要强调的一点是,后PC时代,安全控管面临挑战,无论是面向最终消费者还是商业用户的智能终端的普及速度远快过移动安全管理解决方案的创新速度。这就需要安全负责人解放思想,勇于探索,抢占安全管理的战略制高点,加强对移动设备和应用的最终用户进行安全基础意识和安全操作技能的培训,无疑是开明组织的必选之路。

后PC时代的企业安全挑战

后PC或后电脑时代俨然已经随着智能平板设备的普及而到来,由计算机工业技术协会进行的一项最新全球工业分析研究表明,大量的业务处理终端由个人电脑向智能手机和平板电脑转移,但是各类企业并未准备好后PC时代的应对之策。

在越来越多的移动终端设备进行商业领域的同时,企业移动应用也越来越成熟,一项企业全球商业战略报告研究表明:到2017年,企业移动化将增长到1万亿人民币的市场规模,目前已经有84%的企业员工开始使用个人移动设备处理工作事务,然而却只有22%的公司有正式的移动安全方针政策。

这就意味着大多数员工都在使用不安全的移动设备连接到公司的内网,接收邮件、下载文件以及使用企业应用程序等等。

可能有IT并不认为这有什么大不了,然而,计算机工业技术协会的如下分析结果却足以给这些IT人员以警示:

1.近半数48%的企业移动设备使用者会下载非授权应用程序,这不仅会令公司陷入违反软件保护法律的困境,含有后门、木马等恶意程序的软件更能让公司面临数据丢失的威胁;
2.有42%的移动设备会丢失或被盗,结果当然会导致移动设备上的公司数据外泄甚至令恶意攻击者利用移动设备为跳板进入公司内部关键业务系统;
3.有41的设备会遭遇移动病毒或恶意代码,结果会乱成移动设备故障,影响远程工作,恶意代码更会造成公司数据失窃和影响公司信誉;
4.有41%的移动设备会受到开放式无线网络连接攻击,不安全的设备会受到攻击者的控制,未加密的通讯更会被截取,进而让公司业务数据和员工帐户失窃;

有什么解决方案吗?当然,首先各类企业级组织机构应该根据业务需求,建立适当的移动设备安全使用方针政策;其次,需要企业级的移动安全解决方案,能解决移动设备的资产管理如软件集中管理问题、移动设备的数据存储加密问题,移动设备的恶意代码防范问题、移动设备的数据丢失防范问题(远程设备锁定、远程数据删除等)、移动设备的网络攻击防范问题(个人防火墙、漏洞修复和补丁更新等)以及移动设备的安全通讯问题(WIFI接入安全、浏览器安全、VPN远程安全接入公司内网等);最后,需要加强移动设备使用人员的安全防范意识,公司的移动设备方针政策及细化的相关工作流程需要向员工们进行有效的沟通,移动设备的技术安全解决方案更需要员工们的理解和支持。

后PC时代,无论是员工自带计算设备BYOD,还是公司向员工提供移动计算设备都面临严重的终端安全管理问题,昆明亭长朗然科技有限公司的企业移动安全应用行业分析人员提醒广大企业界IT负责人员,移动终端的安全不仅仅是移动设备的安全,更要考虑设备使用者的安全因素,在安全控管技术和管理流程滞后于移动终端发展速度的时代,要取得积极主动的防范效果,加强对移动用户进行有效的安全意识教育是一条必经之路。