【51CTO譯文】近來一系列調(diào)查報(bào)告已經(jīng)證實(shí)，大多數(shù)企業(yè)都在考慮將移動(dòng)設(shè)備管理（簡稱MDM）與其它安全類方案納入業(yè)務(wù)環(huán)境。雖然共識(shí)已經(jīng)達(dá)成，但只有少數(shù)企業(yè)真正著手部署，顯然大多數(shù)從業(yè)者仍然在與移動(dòng)安全問題苦苦斗爭。

遺憾的是，許多企業(yè)尚沒有勇氣率先對(duì)移動(dòng)技術(shù)與BYOD給業(yè)務(wù)帶來的影響做出量化評(píng)估并尋求最佳實(shí)踐與技術(shù)方案，他們大多仍然在如何進(jìn)行預(yù)算分配而舉棋不定。不過專家們提醒稱，一味將資金投入到新型安全產(chǎn)品中而缺乏對(duì)采購對(duì)象的透徹理解與必要性分析，很可能導(dǎo)致企業(yè)一邊花著冤枉錢、一邊承受著高風(fēng)險(xiǎn)。

“管理員們通常都無法向管理層準(zhǔn)確并詳盡傳達(dá)技術(shù)信息，他們說不出我們到底‘為什么要買這個(gè)或是買那個(gè)’。歸根結(jié)底，IT團(tuán)隊(duì)自身都沒能準(zhǔn)確量化移動(dòng)風(fēng)險(xiǎn)，”移動(dòng)風(fēng)險(xiǎn)管理企業(yè)Fixmo公司CSO Dan Ford指出，他的博士結(jié)業(yè)論文正準(zhǔn)備以iOS在企業(yè)領(lǐng)域中的風(fēng)險(xiǎn)評(píng)估方案為題。

最新的MDM部署狀況統(tǒng)計(jì)數(shù)據(jù)也證實(shí)了Ford的結(jié)論。盡管Gartner公司的分析師們預(yù)計(jì)在未來五年內(nèi)，將有三分之二的企業(yè)正式將MDM解決方案作為員工用戶的必備工具，但就目前來看企業(yè)仍然沒搞清楚自己到底應(yīng)該如何選擇合適的產(chǎn)品。InfromationWeek網(wǎng)站剛剛公布的一篇分析文章《四十家BYOD供應(yīng)商，一片良莠不齊的市場(chǎng)》就明確指出，只有四分之一左右的企業(yè)當(dāng)下已經(jīng)完成MDM方案的部署。

Ford認(rèn)為，對(duì)不同移動(dòng)風(fēng)險(xiǎn)加以量化能夠幫助企業(yè)正確選擇適合自身情況的技術(shù)類型以及政策需要支持的實(shí)踐方案，這恰恰是風(fēng)險(xiǎn)管理工作中最重要的一環(huán)。換言之，與其簡單將潛在風(fēng)險(xiǎn)劃分為高、中、低或者紅、橙、綠級(jí)別，倒不如下番工夫弄清楚到底有多少種風(fēng)險(xiǎn)存在。評(píng)估工作的問題在于，如果安全機(jī)制能夠?qū)⒛撤N高危事態(tài)的風(fēng)險(xiǎn)程度降低10%，那么處理之后的風(fēng)險(xiǎn)仍然屬于高危范疇——IT部門將很難同管理層交代，為什么在花了那么多預(yù)算之后，高危問題仍然“高危”。而在以密碼政策為代表的各類MRM（即移動(dòng)資源管理）實(shí)際規(guī)劃中，最重要的就是功能的專一性與確定性。

“如果我使用四位數(shù)字PIN碼會(huì)帶來多大風(fēng)險(xiǎn)？如果我只使用六位長度的密碼又會(huì)引發(fā)何種麻煩？”他問道，并解釋稱這正是企業(yè)在管理中應(yīng)該詢問并努力追求量化效果的典型議題。

Perimeter E-Security公司首席技術(shù)官Andrew Jaquith指出，企業(yè)應(yīng)該馬上著手對(duì)移動(dòng)實(shí)踐進(jìn)行風(fēng)險(xiǎn)評(píng)估，并針對(duì)主要安全問題進(jìn)行三個(gè)層面的探討。

“移動(dòng)風(fēng)險(xiǎn)決策應(yīng)該圍繞三大核心展開，即技術(shù)、政策與法律，”他表示。“要保證業(yè)務(wù)的順利運(yùn)轉(zhuǎn)，企業(yè)必須盡早解決這三大問題。”

而從技術(shù)的角度看，企業(yè)應(yīng)該考慮如何為IT基礎(chǔ)設(shè)施的全局安全狀況選擇有針對(duì)性的設(shè)備、設(shè)定以及網(wǎng)絡(luò)配置方案。另外，企業(yè)還需要格外關(guān)注風(fēng)險(xiǎn)評(píng)估與控制工作，把包括身份驗(yàn)證、數(shù)據(jù)訪問驗(yàn)證以及加密等機(jī)制部署到位，F(xiàn)ord建議道。

“風(fēng)險(xiǎn)評(píng)估中的一大重點(diǎn)在于了解讓我們所使用的應(yīng)用程序與MDM工具如何保存許可證書，這是驗(yàn)證機(jī)制中的關(guān)鍵性環(huán)節(jié)，”他表示。

舉例來說，那些完全將證書存儲(chǔ)交給iOS密鑰或者Android密碼功能的企業(yè)等于是在無形中把敏感數(shù)據(jù)暴露在了薄弱的安全環(huán)境之下，他提醒稱。即使是部署了MDM產(chǎn)品的企業(yè)也還遠(yuǎn)不能高枕無憂——很多工具與上述密碼功能聯(lián)系緊密，這就使得驗(yàn)證管理政策出現(xiàn)了嚴(yán)重漏洞，他補(bǔ)充道。

在對(duì)移動(dòng)技術(shù)的安全風(fēng)險(xiǎn)進(jìn)行整體評(píng)估時(shí)，F(xiàn)ord建議企業(yè)參考NIST（即美國國家標(biāo)準(zhǔn)暨技術(shù)學(xué)會(huì)）發(fā)布的《企業(yè)級(jí)移動(dòng)設(shè)備管理與保護(hù)指南》一文。雖然這篇文章尚未最終完成，但主體部分已經(jīng)撰寫完畢，并為企業(yè)提供了一套優(yōu)秀的風(fēng)險(xiǎn)因素考量及決策框架。

而在政策風(fēng)險(xiǎn)方面，企業(yè)需要考慮究竟什么樣的移動(dòng)政策會(huì)真正給風(fēng)險(xiǎn)帶來影響——無論是拉高還是降低——政策是否允許員工持有的設(shè)備訪問網(wǎng)絡(luò)資源、是否會(huì)根據(jù)設(shè)備來源限制其訪問權(quán)限或者說設(shè)備內(nèi)置政策是否能實(shí)現(xiàn)包括屏幕鎖定及應(yīng)用使用情況監(jiān)控等功能。

“大家是不是直接把臺(tái)式機(jī)那一套安全理論直接搬過來扔給移動(dòng)手機(jī)，希望同樣的密碼管理等政策能夠發(fā)揮相近的作用？”Jaquith提問道。“答案恐怕是否定的。這就需要我們來為移動(dòng)風(fēng)險(xiǎn)的最佳實(shí)踐摸索出一套準(zhǔn)確的定義。”

有一種最佳安全實(shí)踐可能長久以來始終被企業(yè)所忽視，這就是歸納開發(fā)實(shí)踐如何將風(fēng)險(xiǎn)帶入移動(dòng)應(yīng)用（包括面向客戶或企業(yè)內(nèi)部應(yīng)用）環(huán)境當(dāng)中。如果企業(yè)沒能準(zhǔn)確量化由高危應(yīng)用所帶來的風(fēng)險(xiǎn)，他們將很難制定出明確的預(yù)算分配策略、并最終在降低應(yīng)用開發(fā)漏洞方面一敗涂地。

“大家不妨考慮這樣一個(gè)問題：在我們創(chuàng)建應(yīng)用程序時(shí)，什么樣的風(fēng)險(xiǎn)管理會(huì)引發(fā)殺雞用牛刀之嫌？而什么樣的風(fēng)險(xiǎn)管理手段又會(huì)導(dǎo)致安保力度不足？”Jaquith如是說。“多少才是太多、多少才是太少，這是個(gè)大問題。”

最后再來聊聊法律風(fēng)險(xiǎn)。移動(dòng)技術(shù)所帶來的并不僅僅是對(duì)元數(shù)據(jù)管理合規(guī)性方面的影響，更可能令許多試圖通過追蹤來實(shí)現(xiàn)BYOD控制的技術(shù)團(tuán)隊(duì)吃個(gè)違反隱私權(quán)的官司。

“法律風(fēng)險(xiǎn)同樣不容小覷；舉例來說，當(dāng)管理者同意將企業(yè)數(shù)據(jù)保存在個(gè)人持有的設(shè)備中時(shí)，整套法律環(huán)境真的足夠完備嗎？用戶對(duì)這些業(yè)務(wù)數(shù)據(jù)是否擁有所有權(quán)及使用權(quán)？”他提出疑問，并以此來解釋風(fēng)險(xiǎn)評(píng)估在法律層面上的重要性。我們必須理解執(zhí)法者對(duì)于企業(yè)與員工在個(gè)人設(shè)備處置權(quán)方面的思路，并以此為基礎(chǔ)建立嚴(yán)密、完善的管理政策。

原文：How Does Mobility Change IT Risk Management?