首页 > 移动应用 > 正文

BYOD下企业文件共享风险

2013-11-21 13:09:04  来源:移动信息化

摘要:随着员工对智能手机、平板电脑和其它移动设备使用的普及,基于云环境的文件共享及同步应用变得越来越流行。本文将讨论在这种情况下如何保证企业数据安全。
关键词: BYOD IT 安全

    随着员工对智能手机、平板电脑和其它移动设备使用的普及,基于云环境的文件共享及同步应用变得越来越流行。本文将讨论在这种情况下如何保证企业数据安全


    BYOD以及移动办公给企业带来办公便利的同时也为IT部门带来了新的压力,因为这改变了传统员工访问企业数据的方式。从某种角度说,IT部门不再负责员工使用的硬件或者软件,员工们可以在任何时间任何地方使用任何设备访问他们的办公文件。


    很多企业用户开始使用基于消费者云环境的文件共享协调服务。这些服务使用起来并不复杂,但是却又让IT部门到了一个进退两难的地步,因为既要满足访问业务数据的需求,还要平衡对企业数据的安全控制。


    消费级文件同步共享服务的安全隐患


    消费级云文件同步共享服务为用户提供了免费的存储和文件共享功能,还提供了较便利的安装及使用体验。用户可以通过使用这样的方式消除传统方式下对文件访问和共享所存在的壁垒,从而提高生产力。但需要注意的是,这种方式同样存在安全隐患。具体来说,隐患存在于员工登陆的环境并非企业IT可控的环境,数据均存放在那里,这便带来了潜在的数据泄露的风险。


    即便IT部门知道有这样的账号,也无法得知账号下存放了哪些数据,因此无法将企业安全策略应用到这些企业数据资产上。更为麻烦的是,许多员工会将这些数据同步到不同的设备上,例如家庭电脑、平板电脑或者智能手机上。如果一个离职的员工有个人在线文件访问账号,那么这位前公司员工仍然具有使用个人设备访问企业数据的权限。很明显,这将为企业带来无法接受的安全、法律以及商业方面的风险。


    IT部门正在寻求文件同步共享风险解决方案


    大多数IT部门都意识到了这方面的安全风险。来自企业战略集团(ESG)的调查显示,70%的企业知道或者怀疑这样的现象在他们的企业中发生,并正努力控制这方面的风险。


    首先也是最重要的是,IT部门需要对员工个人账号的使用进行严格控制。许多企业都有相关的正式策略或者不鼓励员工有自己的账号,但是尽管通过禁止使用消费级云文件同步服务可以暂时减轻安全风险,用户还是会有办法绕过公司防火墙。用不了多久他们就会知道可以去星巴克或者其它WIFI环境,再或者找一个热点服务,就可以绕过防火墙,从而同步那些数据。对于IT部门最好的方式是部署一套公司允许的企业文件在线共享账号。这将帮助确保数据存放在企业安全策略允许的应用里,同时IT部门也将对这些数据进行安全管控,然而分配给员工这些权限让他们觉得他们必须努力。


    IT部门甚至不知道账号的存在,更无法得知它里面存放了哪些数据,因为没有办法将企业安全策略应用应用到该环境里。


    值得高兴的事情是,企业级在线文件共享市场正在蓬勃发展,大约已经有超过50家厂商都提供了一些安全的文件存储、同步、共享、发送以及协同办公组合服务。这些服务几乎可以满足所有的业务场景需求,但给IT部门带来的挑战是,目前它们没有可以为企业提供定制化的文件共享解决方案,因为每个企业的安全和业务需求都是不同的。基于此,IT部门希望企业级文件共享服务能够提供一些适合它们场景的文件在线共享解决方案。


    公有云、私有云或混合云


    首先需要考虑的也是最重要的一点就是部署模型的类型。在线文件共享服务可以以公有云、混合云或者内部部署的方式进行。在一个单纯的服务或者混合部署模式下,软件将作为服务部署,企业数据也随之存放在云环境里供同步和共享,除此之外也存放在笔记本、台式机和移动设备里。在内部环境部署里,IT部门将应用部署在自己的机房里,并提供对环境的支持,就像对其它应用和数据那样,维护这些文件共享应用。


    公有云解决方案通常相对容易配置和部署,然而企业就需要完全依赖服务提供商提供的安全服务。并且一旦数据中心宕机或者出现安全事故,企业IT部门将对情况完全失去控制,既无法知道故障修复时间,也无法得知哪些企业数据将会涉及到事故中。内部环境部署会花更多的时间,且成本相对更高,因为企业需要考虑到基础架构所消耗的资源并且IT部门将对所有的应用有控制权。在传统行业里,企业会更愿意采用内部环境搭建的方式因为这将更好的满足企业法规遵从方面的需求。混合云解决方案兼顾了两者:IT部门可以控制存放在企业防火墙后面的数据,但存放在云环境的控制平台仍可能带来数据丢失方面的危险。


    产品特性及相关考虑因素


    除了产品选型,用户还需要向厂商了解有关产品特性和功能等相关问题,以确保产品满足企业业务和安全方面的需求。以下是一些需要注意的产品特性:


    首先也是必须要考虑的是产品能否与现有工具和流程整合,比如单点登录(SSO)以及微软的活动目录(Active Directory)。SSO功能实现了设备及应用的统一登录,并且为IT管理人员提供了用户账户管理的最大便利。此外,SSO还允许企业将在线文件共享解决方案与现有身份管理,例如Active Directory、LDAP、Ping Identity、OneLogin、Centrify等集成,以继承现有密码及安全策略,从而允许实现单点的用户账号分配与回收。


    细颗粒度管理员权限控制对IT部门尤为重要,特别是涉及企业数据的时候。大多数方案都允许IT部门为数据共享设置一些权限,在企业内部和外部数据分享之间,但是并不是所有的权限控制都定义了用户、数据和设备之间的匹配关系。一些方案允许IT部门设置密码安全级别,例如长度、复杂度、过期时间等,还有一些设置了数字权限管理的功能以帮助用户保护内容、文件过期、打印权限等。


    在移动世界里,一个重要的保护内容的管理特性就是能否支持远程擦除丢失数据。这种控制权限不同厂商的实现程度也不尽相同,企业需要充分研究以确保管理控制满足他们特定的需求以及企业法规遵从要求。


    审计/报告方面的功能也是企业需要关注的。除了设定以防企业数据意外泄漏方面的策略,管理员还需要报表或者审计功能。此外,尽管不同厂商在这方面提供的功能不太一样,但至少IT部门需要能够看到存放在企业在线文件共享账号里的数据量大小以及所有账号里存放的数据。一些厂商提供了对单个用户活动的详细记录,例如将文件共享给了谁,访问了哪些文件,访问的时间,访问时所使用的设备。其它一些产品允许IT部门扮演用户角色甚至通过文本进行全局内容搜索。这些功能将帮助管理员识别出可疑员工行为并及时采取措施。


    部门不同 安全需求也不同


    不是每个部门都需要严格的安全管控。一些企业发现他们的某些团队需要较为严格的安全在线文件共享服务,而其他一些团队仅需要实现在不同设备上的数据访问即可。在不同的要求下,用户体验也不尽相同,当然,在有严格安全要求解决方案的环境下用户体验相对会差一些。


    这给我们带来一个问题:许多IT部门都反映,部署一套企业级文件同步共享解决方案所面临的最大挑战是员工将继续使用个人账号,因为他们会觉得更为方便。终端使用的便利性的确是决定是否采用的一个核心因素,但不要过度放大它。企业可能会发现当他们实际部署了多套文件共享应用在多个场景里,为用户提供了便于使用、类似消费级的解决方案,并提供了通用的访问及锁定功能,极大程度上保证了企业敏感数据的安全


    值得提出的是,数据聚合服务正帮助用户和IT部门实现多个个人账号的管理。这些服务可以帮助用户从一个控制台访问多个存储账号里的内容。尽管这将帮助实现访问服务的聚合,但相对而言,这仍然是一个较新的方案,其安全性也仍值得考量。但是,从技术本身考虑,这也是值得我们关注的一种方式。


    云环境的便利性不可忽视


    在我们生活的世界里,信息就等同于能量。通过在线文件共享解决方案将数据汇集起来,信息传递也变得史无前例的便利。其结果就是,有意识的或者无意识的,数据也变得更容易落到不法分子手里。


    因此IT部门在保障企业数据安全方面所承受的压力也变得非常巨大。值得庆幸的是,文件同步共享的厂商考虑到了企业IT部门的担忧,并在他们的系统里增加了基本的安全功能。但不得不承认的是,无论你付出多少努力,也不会有100%安全的IT环境。


    IT部门可以从确保他们选择的产品满足业务需求,并与现有数据安全管控向集成的两个角度来最大程度的降低风险。然而,IT部门在选型的时候需要进行严格评估并问及一些恰当的问题。如果给出的答案并不合适现有的需求,那么就需要了解该产品能满足哪些需求。许多服务提供商们都列出了他们所能提供的服务,但同时在一些定制化场景中他们也是能提供相应服务的。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:chenjian

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。