孫杰賢

為了解大型企業(yè)在企業(yè)移動(dòng)化方面的舉措，CA Technologies委托著名的市場(chǎng)研究公司Vanson Bourne對(duì)來(lái)自21個(gè)國(guó)家、5個(gè)不同行業(yè)的共1300名高級(jí)IT決策者進(jìn)行了一項(xiàng)調(diào)查，其中包括450名亞太及日本地區(qū)高級(jí)IT決策者。

安全，還是安全

調(diào)查發(fā)現(xiàn)，95%已經(jīng)部署或計(jì)劃部署企業(yè)移動(dòng)化戰(zhàn)略，受訪者普遍認(rèn)為，IT正逐漸成為富有創(chuàng)新性、功能性和企業(yè)級(jí)的移動(dòng)應(yīng)用創(chuàng)造者，為客戶賦予更多能力，提高員工生產(chǎn)力，而不是被動(dòng)地為終端用戶私自使用的應(yīng)用提供技術(shù)支持。同時(shí)，基于“32%將同時(shí)跨越不同平臺(tái)開(kāi)發(fā)應(yīng)用視為部署移動(dòng)化的主要挑戰(zhàn)”以及“48%計(jì)劃重新調(diào)整預(yù)算，將更多資金用于移動(dòng)化舉措”這兩個(gè)調(diào)查結(jié)論，Vanson Bourne預(yù)測(cè)，移動(dòng)化支出作為IT整體預(yù)算的一部分，在未來(lái)三年內(nèi)將增長(zhǎng)33%。

但是調(diào)查同時(shí)也發(fā)現(xiàn)，對(duì)移動(dòng)化而言，安全性既是最大的障礙，也是第一個(gè)需要改變的問(wèn)題；而且與亞太及日本地區(qū)的其他國(guó)家相比，中國(guó)企業(yè)對(duì)移動(dòng)化措施的安全性和隱私性持的擔(dān)憂更高。49%的中國(guó)公司十分關(guān)注安全性和隱私性，并且普遍認(rèn)為這是一個(gè)亟待解決的問(wèn)題。相比而言，亞太及日本地區(qū)和美國(guó)的相關(guān)數(shù)據(jù)分別為30%和28%。

雖然存在對(duì)安全和隱私的顧慮，中國(guó)企業(yè)對(duì)移動(dòng)化戰(zhàn)略的推進(jìn)速度仍然高于除美國(guó)以外的其他國(guó)家，95%的被調(diào)查企業(yè)已經(jīng)部署或在一年內(nèi)有計(jì)劃部署企業(yè)移動(dòng)化。印度企業(yè)的這一比例為85%，日本為49%，新加坡為60%。

移動(dòng)技術(shù)經(jīng)過(guò)多年的快速發(fā)展和廣泛應(yīng)用，已經(jīng)從消費(fèi)類(lèi)向企業(yè)級(jí)全面滲透，企業(yè)業(yè)務(wù)的各個(gè)層面都在釋放移動(dòng)的需求；與此同時(shí)，中國(guó)企業(yè)的移動(dòng)平臺(tái)建設(shè)日趨成熟，移動(dòng)在企業(yè)中的角色也演變?yōu)樘嵘龢I(yè)務(wù)價(jià)值的生產(chǎn)力工具。其中，提升生產(chǎn)力與加速?zèng)Q策制定是企業(yè)將應(yīng)用轉(zhuǎn)移到移動(dòng)平臺(tái)最重要的兩大驅(qū)動(dòng)力。

企業(yè)的移動(dòng)化按時(shí)間順利先后經(jīng)歷了三個(gè)平臺(tái)，分別是以PC代表的第一平臺(tái)、以互聯(lián)網(wǎng)代表的第二平臺(tái)，現(xiàn)在正式以移動(dòng)、社會(huì)化和大數(shù)據(jù)代表的第三平臺(tái)時(shí)代正在到來(lái)，也可以稱之為“BYOD時(shí)代”。據(jù)樂(lè)觀預(yù)計(jì)，到2020年第三平臺(tái)的總產(chǎn)值將占整個(gè)ICT產(chǎn)業(yè)的40%，達(dá)到2萬(wàn)億美元。

技術(shù)當(dāng)然重要

我們知道，BYOD模式是IT消費(fèi)化的一個(gè)戲劇性結(jié)果。這一模式的原動(dòng)力來(lái)自于員工而非企業(yè)，員工對(duì)于新科技的喜好反過(guò)來(lái)驅(qū)動(dòng)企業(yè)變更適應(yīng)新技術(shù)的變化。十年前，我們上班的時(shí)候就用公司的電腦，不安裝其它軟件，很安全。BYOD則意味著我們可以在辦公室使用自己的電腦設(shè)備辦公，可以任意安裝自己需要或者喜歡的軟件，打開(kāi)自己感興趣的鏈接。與此同時(shí)，企業(yè)的安全策略并沒(méi)有考慮這樣的應(yīng)用環(huán)境和要求，自然帶來(lái)安全和支持的風(fēng)險(xiǎn)。

在企業(yè)移動(dòng)化安全問(wèn)題的防控中，多數(shù)企業(yè)采用的是傳統(tǒng)的技術(shù)手段。比如實(shí)施最新的移動(dòng)VPN，安全接入控制，防病毒，以及部署移動(dòng)設(shè)備管理系統(tǒng)。一些芯片廠商也開(kāi)始從底層架構(gòu)設(shè)計(jì)來(lái)解決移動(dòng)化的安全問(wèn)題。

傳統(tǒng)的二進(jìn)制靜態(tài)企業(yè)信任模式，用戶通常要么能夠獲得所有資源的訪問(wèn)資格，要么無(wú)法訪問(wèn)任何資源。而且，一旦獲得訪問(wèn)許可，訪問(wèn)級(jí)別將始終保持不變。為了能夠?yàn)槿碌募夹g(shù)和應(yīng)用提供支持，英特爾公司重新設(shè)計(jì)了自己的信息安全架構(gòu)以適用BYOD等新技術(shù)應(yīng)用所帶來(lái)的安全挑戰(zhàn)。新架構(gòu)不再采用傳統(tǒng)信任模式，而是采用動(dòng)態(tài)的多層信任模式，可以對(duì)特定的資源訪問(wèn)提供更精細(xì)的控制。新架構(gòu)基于四大要素：信任計(jì)算、安全區(qū)域、平衡的控制以及用戶和數(shù)據(jù)邊界。信任計(jì)算能夠動(dòng)態(tài)決定是否應(yīng)授予用戶特定資源的訪問(wèn)權(quán)限以及訪問(wèn)類(lèi)型；安全區(qū)域包含重要數(shù)據(jù)和訪問(wèn)收到嚴(yán)格控制的信任區(qū)域，也包含不太重要的數(shù)據(jù)和允許廣泛訪問(wèn)的不信任區(qū)域，各區(qū)域的通信處于監(jiān)視和控制之下；平衡的控制則突出強(qiáng)調(diào)了在預(yù)防式控制和糾正式控制之間達(dá)成平衡的需求；用戶和數(shù)據(jù)邊界則是將用戶和數(shù)據(jù)視作額外的安全邊界并提供相應(yīng)保護(hù)。

被忽略的真相

然而，即使有所謂最佳的保護(hù)和加密措施，也可能因?yàn)閱T工從外部站點(diǎn)登錄訪問(wèn)公司數(shù)據(jù)，或者使用不安全設(shè)備而使其安全度降低，以及一些強(qiáng)度弱的密碼和不正確的在線工作行為也會(huì)使安全度降低?？梢哉f(shuō)，技術(shù)防范手段治標(biāo)難治本。

CA Technologies中國(guó)區(qū)總經(jīng)理孫志偉表示：“根據(jù)過(guò)往經(jīng)驗(yàn)，已經(jīng)成功采用移動(dòng)化措施的中國(guó)企業(yè)在提高收入、縮短產(chǎn)品上市時(shí)間、提升競(jìng)爭(zhēng)力、改善客戶體驗(yàn)、提高員工生產(chǎn)力和降低成本等方面均提高了12到18個(gè)百分點(diǎn)。但是不可否認(rèn)的是，移動(dòng)化提升了內(nèi)部用戶系統(tǒng)和面向客戶系統(tǒng)的復(fù)雜性。其中，移動(dòng)安全至關(guān)重要，沒(méi)有制定移動(dòng)化戰(zhàn)略的企業(yè)將面臨許多潛在風(fēng)險(xiǎn)，例如：不遵守重要法規(guī)、無(wú)意中泄漏企業(yè)信息、或由于糟糕的移動(dòng)應(yīng)用購(gòu)物體驗(yàn)對(duì)品牌聲譽(yù)造成負(fù)面影響等?！?/p>

記得著名安全專(zhuān)家S t e p h e n Hopkins在接受采訪時(shí)有這樣一段讓記者印象深刻的話：“我們中許多人無(wú)論是專(zhuān)業(yè)的還是非專(zhuān)業(yè)都會(huì)滔滔不絕地談?wù)摷夹g(shù)手段在應(yīng)對(duì)信息安全挑戰(zhàn)方面所扮演的關(guān)鍵角色。然而，這樣做的結(jié)果是真相被忽略了。什么真相呢？那就是安全始于人，而非技術(shù)。你能夠擁有最好的基于技術(shù)的安全解決方案——防火墻，數(shù)據(jù)加密，入侵檢測(cè)等等 ——但如果這些技術(shù)沒(méi)有適當(dāng)?shù)牧鞒讨С忠沧⒍〞?huì)失敗的。所以，企業(yè)在面對(duì)安全問(wèn)題時(shí)，將技術(shù)從爭(zhēng)論中分離出來(lái)是個(gè)好的開(kāi)始和嘗試，技術(shù)競(jìng)賽只會(huì)讓企業(yè)搬起石頭砸自己的腳，而管理、流程、教育、體制和文化才是最好的防御之道”。這與孫志偉的“企業(yè)移動(dòng)化戰(zhàn)略”不謀而合。的確應(yīng)該從企業(yè)戰(zhàn)略的層面來(lái)面對(duì)移動(dòng)化以及相應(yīng)的安全問(wèn)題，而不僅僅包括技術(shù)防范手段，企業(yè)的安全文化、安全體制和安全意識(shí)遠(yuǎn)遠(yuǎn)重要于技術(shù)手段。因此，企業(yè)移動(dòng)安全的關(guān)鍵在于“人”。企業(yè)應(yīng)該倡導(dǎo)鼓勵(lì)安全文化讓安全觀念成為企業(yè)有機(jī)整體的一部分，這需要進(jìn)行文化轉(zhuǎn)變。安全觀念必須成為一個(gè)能動(dòng)器并嵌入到企業(yè)運(yùn)行的各個(gè)方面，融入員工的血液，不能將安全意識(shí)看作企業(yè)創(chuàng)造精神的障礙。

根據(jù)最新消息，2014年索契冬奧會(huì)將成為歷史上規(guī)模最大的BYOD（自備終端）奧運(yùn)會(huì)，將有12萬(wàn)部移動(dòng)設(shè)備同時(shí)在線。移動(dòng)化是大勢(shì)所趨，讓我們熱情地去擁抱它吧。