移动信息化的安全管理如何保证

对于企业CIO来讲,安全问题始终是头上悬着的那把达摩克利斯之剑,做不到安全把控的实施,即使方案再好,也只能纸上谈兵。而真正决定企业移动化发展进程的,也正是企业对移动安全的考量。因此,移动信息化在安全性方面遇到了重大挑战,不论是当前热议的BYOD,还是目前企业部署比较超前的移动OA,也都是让安全问题成为关注的焦点。

移动安全并非在技术上有多新颖,无非是从应用领域上更多的与实际相结合,特别是在移动化大潮来临的前夕,移动安全作为重要的数据保护手段自然备受业界关注,也值得期待。记者此前采访过一些金融领域的CIO,对于企业移动信息化的部署困难,他们谈到最多的是企业数据安全的问题,如何做到更好的防护和后期的数据销毁。在他们看来,一旦数据被泄露,安全性威胁远高于传统互联网安全。因为,移动互联网让数据更快捷的和外界连通,特别是社交化日益发达,数据泄露造成的后期应影响更加巨大,很难控制。移动信息化固然美好,但是技术上仍需要加以完善,所以金融领域在移动化方面的节奏相对比较缓慢也是情有可原。

不止是用户对安全问题非常关心,作为移动OA领域的企业代表,对安全问题也有自己的看法,安全问题一直伴随着信息系统发展历程,移动信息化作为信息系统建设的新方向,必然会产生各种各样的安全管理要求。同时安全问题与生俱来,并不是移动OA自身所带来的。

但是企业对是否上马移动OA的疑虑很大一部分还是基于安全的考量。“安全问题涉及技术、认知等多个领域,目前确实是企业选择移动OA时的重要因素。但移动化不应只是简单的终端延伸,而应当充分结合移动终端的独有特性,以移动化技术创造新的企业价值,这些是移动应用未来发展的大趋势,因此移动OA厂商需要站在企业全面移动化的视角上,看待移动信息化的安全问题,以更丰富的产品、更有针对性的安全管理方案,去追逐更广阔的市场空间。”

霍氏集团IT经理张韦文在谈到企业移动化时表示:企业数据和用户的个人数据需要进行分界,个人的设备,公司并不能进行强制的数据擦除,员工也担心是否公司是否在监控个人的数据。但遗憾的是,目前为止,似乎并没有特别有效的技术方法对数据进行有效的区分,CIO必须通过制定策略和广泛的沟通来进行平衡,清楚的界定数据的所有权。

作为移动安全领域的耕耘者,明朝万达董事长王志海对移动安全有自己的理解,他认为,随着移动信息化的深入逐步增加,给移动应用的管理带来了系列的问题,简单而凌乱的移动应用及安全产品堆叠无法让企事业单位对快速发展的移动信息化进行有效的支撑和把控,进而促使移动信息化向平台化发展。移动信息化的平台化需求,目前看到的主要集中在信息系统资源调用、移动开发平台和信息安全管理三个方面。

另外,他还谈到,企业移动信息化部署过程中,面临的安全威胁主要包括身份、设备、网络及数据四大方面。身份方面主要来自于用户身份合法性的确认,面临非授权用户访问以及用户身份冒充等威胁。设备方面主要是面临非授权设备和不合规设备带来的安全威胁。网络安全面临的威胁与传统网络安全类似,主要是面临网络窃听和常见网络攻击等风险。数据方面则是要防止恶意软件窃密、设备丢失和合法用户主动泄密等带来的数据泄密风险。

对于目前业界最为关注的BYOD,王志海表示:BYOD模式面临的安全性问题本质上与企业采购移动设备威胁是相类似的,不同点在于由于是个人设备,在安全管理和个人隐私之间要进行区分。

移动信息化的安全管理作为一个系统性问题,最终必将与现有的安全管理解决方案一样,成为一个多系统、多领域的技术与服务组合体。不过移动安全也可以进行排查,无论企业用户,还是技术厂商,都需要清晰界定安全问题的来源,是由于移动化本身产生的新问题,例如基于公共网络的安全通讯,还是后台系统级安全向移动OA的延伸,例如移动OA服务器及数据的安全,甚至是用户的认知,例如用户对移动终端设备私人数据的保密性要求。只有真正做好了全方位的数据安全防护措施,移动信息化才能大步前行。