从BYOD自带设备到CYOD自选设备: 办公区域私人设备的安全问题

作者:RIGHARD ZWIENENBERG 发布时间:大西洋时间2012年2月19日上午11:24时
 
谈起IT潮流,如今公司里最流行的做法,非BYOD莫属:即员工自带设备上班。很多职员都认为,使用自带设备阅读私人电子邮件更加方便,也不影响上班时浏览网页(与工作无关的网页),此外因为更熟悉自己的设备,为老板工作起来效率也更高。职员自带办公设备上班,受到很多雇主的欢迎,不但可以节约软硬件开支,还可以省去培训时间和花费,实属一举多得。现在就连校园里也刮起了这股旋风:学生们自带设备入校,校园网允许接入,轻松兑现了教师们更新硬件的倡导。但自带设备在提供更佳的便利性与经济性、降低成本支出的同时,也带来了一系列安全困扰,很值得人们的反思。
 
自带设施究竟是好是坏
 
根据英国电讯公司2012年的一项调查报告显示,有60%的雇主表示已经允许员工自带设备接入公司网络,在未来两年内这一比例有望达到82%。ESET公司Harris去年曾就美国成年就业者组织过一项调查,结果显示80%受访者表示已经将某种私人设备用于与工作相关目的。虽然这股潮流的弄潮儿多是高端用户与IT部门员工,但企业高管与董事们似乎也不甘落伍,也将私人设备接入公司网络。令人担忧的是,英国电讯公司的调查结果发现,他们之中真正了解自带设备存在重大安全隐患的人数,仅仅占比25%。相关调查数据如下:
 
\
 
 
英国 法国 德国 西班牙 意大利 比荷卢 美国 巴西 中国 印度 新加坡
  • 您的老板允许您将私人设备接入公司网络并用于工作吗?
  • 在您看来,工作环境中使用私人设备,对公司网络安全所带来的风险有多大?
 
当然自带设备也具备不少固有的优势。一般来说,这类设备体积小、重量轻、便于携带,电池续航能力可以满足一整天的工作需求,价格也比笔记本便宜很多 – 说起购置成本,自然是员工自己掏腰包,不用花公司的钱。员工们因为熟悉自己的私人设备,使用起来更熟练、工作效率更高,相较全新设备与应用环境而言,基本无需学习和掌握操作。
 
另一方面,自带设备也凸显很多劣势:存储管理和设置比较困难,有的甚至不具备这方面的功能。此类设备的更新一般是由生产商负责,绕过公司企业的基本安全管理策略,常常受制于第三方生产商是否发布系统和软件更新以及发布的频率。
 
自带设备很难得到有效的安全防护,出站数据流也难以监控或根本无法监控。同时运行多个应用程序的能力(多任务并行处理)较为有限,很多设备不支持企业网络插件(例如Flash与Silverlight等)。更糟糕的是,不同设备之间应用程序的兼容性通常很差,一台设备上的文件,另一台设备常常无法读取和编辑,甚至无法实现设备之间的相互传输。
 
一家企业之中,因员工所使用的私人设备种类不同,很难统一部署VPN客户端软件。虽然企业敏感数据应严格通过企业专用网络传输,但由于一些设备无法运行VPN软件,致使有些职员会将公司文件资料复制到私人设备上,离开办公室后能够继续使用。这种做法,暴露了一个最大的隐患:被人窃取。由于私人设备通常体积较小,很容易被盗(或丢失),如不幸存储企业敏感数据与资料,难免存在公司保密资料失窃与被他人肆意利用的风险。
 
不久的将来,还存在私人设备与IPv6协议之间的兼容性问题(不少设备无法兼容)。IPv6时代正在快步向我们走来,但目前支持IPv6的设备却寥寥无几。
 
各类自选设备
 
具备联网功能的设备,因其种类众多,为各项功能的安全管理与漏洞防范带来了相当大的难度与复杂性。
 
有些风险与隐患是显而易见的。拿智能手机举例来说,当用户将智能手机接入计算机的USB接口后,可以帮助用户实现很多功能,包括:
  • 用做外部存储设备,具备多种存储方式:
    可在智能手机内置的固态内存上存储;
    也可在智能手机的扩展记忆卡上存储,例如MicroSD卡或SD卡等。
  • 经过一番设置,允许USB设备解析3G/4G互联网信号后,可将智能手机当做调制解调器使用(由于现在多是优惠网络套餐,使用起来很是方便)。
  • 可用做Wi-Fi路由器(开放式热点),也称数据中继,通过已联网的中继设备,将互联网访问数据传输到未联网的设备上,以帮助未联网设备实现访问网络的功能。
  • 可用做蓝牙信号传输枢纽。
  • 可用做红外信号传输枢纽,但客观地说,人们目前对红外功能的认可度还比较低。
 
其他设备也有一些不太常用的功能。不少人喜欢将此类设备带入办公区域使用,更有家一般的感觉。从人性角度上来说,能够随时随地浏览照片的设备,会令人感到亲切,不是吗?
 
存储卡
一些图片浏览设备还具备附属功能,例如索尼公司的个人网络浏览器,除了能够显示本地存储的图片外,还能将外部存储卡插入或连接专用接口后,浏览存储卡上的照片并播放电影。
 
此类设备所运行的小型操作系统,由公共素材库开发而来。如相关素材库存在安全漏洞,黑客便可利用经过特殊伪装的照片,获取设备控制权。一旦设备联网,可能暴露出的各种风险和隐患是不胜枚举的(也是令人担忧的),例如黑客可以访问其所感兴趣的数据并创建网际共享连接,可在设备上设置后门程序,还可将设备用做小型服务器、垃圾邮件传播中心等等。更何况,此类设备常常缺乏与之兼容的防毒软件,用户中招后也很难察觉(如果公司网络部署了可靠的数据监控工具,还是可以捕捉到异常数据通讯的)。
 
联网应用程序
 
许多应用程序都需要联网后才能实现自身功能,其中最常见的,当属获取天气预报以及预览电子邮件等用途。相关通讯通常以纯文本格式传输,利用WireShark等工具可以查看详细内容(包括登录口令),从而为不法之徒肆意利用敞开了大门。
 
一些具备联网功能的设备,还可同时运行WireShark软件,使得设备上的公司保密信函与数据资料,随时都有被他人窃取的可能。
 
固件与操作系统更新
 
即使您的设备经过可靠验证,证明完全安全、没有任何可疑或不当的数据通讯与操作行为,仍可能由于厂商所不时发布的固件或系统更新,在丰富新增功能(不需要的功能)的同时,带来无法预知的安全隐患。
 
 
新版系统的功能究竟如何,谁也无法预知,但它所带来的安全隐患却可能是灾难性的。移动设备系统更新后,可能启用如今很流行的云存储服务,将设备上的所有数据与云端服务器实现双向同步更新,这听上去该多么方便?一旦设备损坏、被盗,您新换的设备就能自动与云端服务器进行同步,下载您原设备上所存储的文件资料,令您的新设备也拥有与原设备完全相同的内容,这的确是一项令用户受益匪浅的功能,但如果窃贼不幸掌握了数据,形势可不容乐观。即使您的设备已经设置了PIN口令或密码保护,如果不法之徒利用一些破解软件(非官方代码)访问设备数据,瞬间就可以达到目的(类似iPhone越狱的方式)。
 
在公司企业里,IT安全管理团队不可能对所有设备的新版操作系统、应用程序与固件完全做到了如指掌。虽然从安全角度来说,人们通常得知更新系统、升级补丁与固件的重要性,但如果企业IT管理人员(外聘服务团队更是如此)并不完全熟悉(或根本不清楚)相关设备的操作与运行的软件,则系统可能并不一定适合更新。
 
自选设备的优势
 
更好地适应企业安全策略与目标的一种模式(无论内部管理或外聘服务),就是采用自选设备。想在公司网络中使用私人设备或将私人设备部分用于公司业务的员工,可以从IT部门预先选定的一系列设备类别中,挑选令自己称心满意的产品。此类设备不妨称之为“已知设备”,选定这些设备的原因是因为它们便于企业集中管理、应用程序兼容性强、具有升级补丁与更新程序,方便统一实施企业安全标准与策略。
 
不想挑选预定设备或倾向于使用自有设备的员工,必须接受不能连接公司网络或将设备用于公司业务的规定。同时,企业应组织相关员工接受公司网络安全管理策略的有关培训,使其意识到公司网络安全的重要性和必要性。原先所谓安全连接公司网络、未造成任何不利影响的时代,已经一去不复返了。
 
移动视窗系统
 
属于自选设备范畴的另一个突出问题,就是员工们偶尔会使用公司统一管理范围之外的设备,例如利用自家电脑甚至网吧、机场与酒店的公用计算机访问公司网络。相关设备的安全状态未知,无法确定操作系统安全。说不定他人使用相关设备,浏览过其所感兴趣的网站内容,系统已经感染了后门程序。当您毫无防备地使用这些计算机时,后门程序仍然存在并处于激活状态,从而导致数据泄露。
 
Windows 8引入一项全新功能,称为“Windows To Go”(移动视窗系统),允许公司创建企业专属应用环境并提供配套应用程序与工具,用户可通过USB设备进入。系统利用USB设备启动后,将强制实施与应用企业现行安全标准、策略与管理工具,另员工设备具有可与公司计算机相比拟的安全性。
 
移动视窗系统具备多项安全防范功能。为防止数据泄露,一旦取下USB密钥,系统将冻结正在运行的进程。如在60秒内再次插入USB密钥,系统将恢复工作,否则移动视窗系统将关闭,以免屏幕或内存泄露敏感数据。移动视窗系统密钥也可通过Bitlocker进行保护。
 
那么有了移动视窗系统,企业员工如果采用USB密钥启动私人设备,是否就意味着万无一失呢?
 
不是,仍然存在一定的风险。假设移动视窗系统作业环境设置正确,用户与企业之间的所有通讯均借助VPN通道实现传输,仍然存在互联网连接本身的不可控性。公司网络虽然受防火墙保护,但个人设备却可能应用于各类不安全的工作环境,引发网络攻击与感染病毒的附加风险。当然,公司其他设备一旦脱离企业网络,也难免存在同样的隐患,使用公司笔记本在酒店上网或接入公共热点就是其中一例。
 
结论
 
对于任何将自带设备工作认为是日后而非当前迫切问题的人来说,我可要给你们敲响警钟了:您所谓的日后业已到来,各类风险与隐患正展现在我们面前。如果没有国家安全机关那样严格的门禁系统,要想阻止人们将各类私人设备带入工作场所几乎是不可能的。现如今,新款手表甚至都具备手机的功能(可上网并内置USB端口)。对于公司企业来说,员工自带设备工作现在就应引起管理层足够的重视,围绕这一趋势修改企业安全策略实属必要。公司IT管理部门,必须将移动设备纳入企业IT管理体系实行规范化管理。不然的话,无需时日,您企业的保密数据和资料就会遭遇泄露或被恶意利用,届时亡羊补牢、为时已晚。采用员工自选设备的方式,可使各类私人设备在访问公司网络的过程中,由企业IT部门实现统一管理,在保障员工选用设备自主权与灵活性的同时,将网络安全隐患控制在企业可以接受的最低水平。