移动办公是一种美好的办公场景,工作人员可携带自己的移动设备进行办公,从而使得工作不受时间、空间的影响,提高了工作效率,增加工作弹性,这正成为一种新潮流。
随着移动通信技术的发展,不少单位的管理正在由固定化向移动化转变。然而移动办公需要重点考虑的问题是单位数据安全与员工隐私如何两全?事实上很多单位出于安全考虑,是不允许员工使用自己的私人电脑或者其他设备办公的。但随着移动通信行业的发展以及安全技术的完善,BYOD已经逐步成为常态。
BYOD(Bring Your Own Device)指携带自己的设备办公,包括个人笔记本电脑、手机和平板等。Gartner认为BYOD是在未来几十年内最能从根本上改善经济和经营业务过程中客户端计算问题的策略。同时可以为单位带来诸多益处,如:创造新型移动工作机会、提升员工满意度、降低或避免成本消耗等。与其他国家相比,中国用户是最青睐选择私人设备来进行工作,尤其是智能手机。Gartner 的最新调研结果表明:预计在2016年全球部署BYOD的用户将占据 38%,到2020 年将达45%,而届时将仅15% 的用户会采用提供办公设备的原始工作模式。BYOD使得单位业务系统的远程接入用户数量迅速增加,这对单位的业务数据安全也造成了很多潜在的安全威胁。普华永道2012年全球信息安全调查结果显示,只有43%的单位针对员工使用个人设备建立了安全策略。
当员工使用移动PC、智能手机、平板电脑等移动终端作为办公用途时,这不仅意味着单位需要投入研发资源将应用程序发布到智能终端(增加研发成本和系统部署时间,并随着用户的智能终端升级导致APP与新版本操作系统不兼容),还意味着员工可能将其作为个人用途。如果不慎下载恶意软件,很可能存在黑客代码,在用户无法控制的情况下窃取单位信息。另外由于随身携带使用,移动设备比个人电脑更易丢失,而大多数手机和平板设备通常不使用PIN锁或密码,或只有四位数的PIN密码也并不保险,这些都对单位数据的安全带来未知隐患。
BYOD 的实现意味着用户可以随时随地通过任何网络,接入公司的业务系统进行访问。对于无线网络(2G\3G、WiFi或卫星网络)来说,数据的安全性难以保障。在2010 年的全球黑帽安全大会上,黑客极为轻松地破解了GSM(即2G)网络数据。2009年德国的信息安全大会,一个工程师也成功利用一台笔记本电脑在12小时内破解了128位加密的3G信号。而WPA协议的WiFi破解办法也已经完全公开,黑客只需要坐在咖啡厅用一台笔记本电脑,10分钟内即可破解绝大部分未加密信息。
对于通过移动互联网远程接入的用户,哪些是被许可的,哪些是非法用户,被许可用户可以访问哪些资源,管理员需要进行精确管理。对于组织架构复杂的单位来说,是否存在一种方式使得IT管理员运维工作简化,同时提升IT管理的高效性,也是需要管理者不断探索的问题。
对用户访问应用系统的行为进行审计,是单位最后一道安全屏障,一旦发生业务系统泄密事件,IT管理员需要对用户网络行为进行分析并找出根源。同时单位也需要满足公安部相关条例,留存60天用户的网络访问记录,以备随时配合检查。
在传统的办公系统模式中,由于系统必须以软件的形式安装在每个用户的终端上,用户和管理员都必面临软件重复安装、升级、维护带来的尴尬,丧失了灵活性。如果可以使用户办公软件集中部署,所有的维护和管理工作都在总部数据中心,管理员只需简单的配置,便可将数据中心的应用程序发布到各个分散的终端上,同时客户端无需任何复杂的软件安装及运维便可进行业务操作,这将是IT领域一次革命性的创新。
目前基于移动办公的解决方案主要有SSL VPN、IPSec VPN、L2TP、PPTP等几种方式。人员在外进行办公时往往需要终端上能最方便快捷的操作,从上述四种VPN技术来看,对于网对点的移动办公接入,IPSec VPN、L2TP、PPTP都需要使用客户端并做好配置,才能完成VPN的拨入及隧道的建立。对于外出人员而言,使用客户端意味必须使用自己的终端,或是时刻将客户端安装软件及配置信息携带在身,十分不便。而SSL VPN的出现则改变了移动办公的接入方式。SSL VPN在用户端无需安装客户端软件,可基于浏览器中内置的SSL协议与总部SSL VPN设备间直接构建SSL安全隧道。用户在使用时可直接使用浏览器输入指定的SSL地址并完成相应的身份认证操作,即可通过安全隧道访问到总部的应用系统,实现了“零客户端、零配置”。
基于以上分析,我们对于移动办公采用SSL VPN方案,同时结合数据安全及办公人员使用的便利性,结合虚拟化及远程应用发布技术形成组合方案,确保移动办公的便利性、快速性和数据安全性。
数据保护:
传统模式应用访问分布在所有客户端上,其安全要考虑各个环节:服务器、客户端和端到端的网络;其维护和安全管理范围需要涵盖单位的每一台终端设备和跨广域网网段。因为客户端直接访问后台时,之间传输的数据是真实的应用数据,该数据会被缓存在用户本地或传输中截获,这些都是不安全的因素;而采用了SSL远程应用发布技术后,之间传输的是屏幕增量变化信息和鼠标键盘变化信息,用户客户端无任何应用数据缓存在本地,同时中途截获这些信息后反推出用户真正的业务操作和数据比直接截获业务数据困难上千倍。SSL远程应用发布技术采用虚拟化的方式阻止数据离开业务系统,客户端的操作感觉虽然象在本机操作一样,但真实的业务数据和代码并不下载到客户端本地,保障了业务数据的安全。
集中发布、高效管理:
通过所有客户端软件部署在总部数据中心的终端服务器上,IT部门管理员只需要管理数据中心的几台终端服务器和SSL VPN设备,就可以管理和控制所有使用者对应用的访问。
快速部署、降低客户端工作量:
传统的应用访问模式决定了业务人员的工作环境绑定在PC上,出现软硬件故障时,业务人员只能被动地等待维护人员修复,IT运维人员不仅对PC机进行维护,还要对操作系统环境、应用的安装配置和更新进行桌面管理和维护,随着应用的增加,维护工作也大幅上升,导致维护响应能力不足,直接对业务处理造成影响。通过办公系统虚拟化方案所以终端所用应用都集中部署在总部数据中心,后续的维护与升级都只针对总部的业务系统即可,虚拟化技术不仅为客户降低了信息化建设的成本,也使得客户的IT响应能力大大提高,真正实现了业务的灵活多变。
跨平台访问:
随着业务的快速发展,客户更期望内部领导及员工能够充分利用出差、外出等在途时间,处理内部事务,提高办公效率,在此大背景下,移动办公相比于之前的传统的笔记本办公模式更加贴近办公人员任何时间任何地点处理任何事务的需求。此案可以支持任意C/S和B/S架构应用的发布,支持windows、ios、Android等常见的终端接入,实现了客户无论何时何地都可以使用各种终端访问总部各种应用的需求。
