當今的企業(yè)職工時時處處都處在移動狀態(tài)，他們此時此刻正在星巴克、機場貴賓室或酒店房間里工作。在過去五年間，我們的商業(yè)和工作環(huán)境發(fā)生了明顯的轉(zhuǎn)變。移動設(shè)備的功能更加強大、更易于使用，并已成為不可缺少的工具和玩具。然而，達到移動性的同時需要付出一定代價，其中之一就是，IT經(jīng)理們?nèi)绾尾拍茉诒苊庖苿踊靵y狀態(tài)的同時提供可靠、安全的移動接入呢？

統(tǒng)計結(jié)果令人震驚：據(jù)一份2011年的InfoTrends報告估計，目前在巴西、德國、印度和日本，移動知識工作者占員工總數(shù)超過60％，在美國則是超過70％。這些數(shù)字將來還會增加。更加引人注目的是員工在工作期間所使用的各種移動設(shè)備的數(shù)量和種類在不斷增加。研究公司Canalys的最新數(shù)據(jù)顯示，2011年標志著有史以來第一次全球智能手機的年度總出貨量超過了客戶端臺式電腦、筆記本電腦、上網(wǎng)本和平板電腦出貨量的總和。雖然許多智能手機和平板電腦是個人自用物品，但是，它們正越來越多地在企業(yè)防火墻的內(nèi)外被使用。在“BYOD”——自帶設(shè)備這個概念流行之前，這種現(xiàn)象就已經(jīng)成為IT部門的現(xiàn)實。

體現(xiàn)在移動設(shè)備和操作系統(tǒng)激增的資訊技術(shù)消費化，足以讓任何IT經(jīng)理或企管人員渴望獲得更多的控制，并承擔更少的風(fēng)險。IT經(jīng)理和企管人員在移動安全方面必須考慮到兩方面的風(fēng)險：與網(wǎng)絡(luò)攻擊相聯(lián)系的硬性成本風(fēng)險，以及由于移動安全太嚴格而丟失生產(chǎn)力和效率的軟性成本風(fēng)險。這兩種成本風(fēng)險是實實在在的：研究表明，通過對美國最大的50家跨國公司調(diào)查發(fā)現(xiàn)，網(wǎng)絡(luò)攻擊給每家公司每年平均造成590萬美元的損失。

在移動接入的另一方面，我們又如何衡量由于移動設(shè)備的接入受到阻礙而使用戶失去積極性，以及生產(chǎn)力受到限制的成本呢？當然，現(xiàn)實的情況是，用戶只是在丟失數(shù)據(jù)或者被阻止接入時才會想到安全問題。典型的移動知識工作者對于通過平板電腦、智能手機、或家用電腦登錄到企業(yè)網(wǎng)絡(luò)的能力并不關(guān)心。他只是想訪問企業(yè)的應(yīng)用程序和他所需要的數(shù)據(jù)以完成自己的工作，并希望立刻進行。

那么，企業(yè)如何才能在應(yīng)付洶涌的BYOD浪潮的同時，又能保證企業(yè)及其數(shù)據(jù)免于大規(guī)模或災(zāi)難性的風(fēng)險呢？我們認為IT的問題不在于控制，而在于其脆弱性。很多時候，企業(yè)部署的安全解決方案，其重點是為了獲得控制權(quán)和阻止訪問。這種方法不適合存在于防火墻內(nèi)外的移動設(shè)備世界......這種方法就如同用大錘釘一枚小釘一樣。太多的控制會讓網(wǎng)絡(luò)的利用率和效率降低，延緩商業(yè)活動。更糟的是，它將會使大多數(shù)員工感到沮喪和憤怒，因為他們都要求獲得他們所需要的應(yīng)用程序和數(shù)據(jù)。

在安全性和性能之間獲得平衡的這種需求是由移動知識工作的本質(zhì)所驅(qū)動的，這些設(shè)備（及其使用者）處于防火墻外面的時間等同甚至長于其處于里面的時間。一旦位于防火墻之外，移動設(shè)備必須支持VPN連接，包括無線熱點和3G/4G公共網(wǎng)絡(luò)，以確保公司專有信息數(shù)據(jù)的保密性和安全性。因為平板電腦和智能手機是信息流的載體，它們的使用者可能會無意或有意地將惡意軟件傳遞到安全網(wǎng)絡(luò)上。未來發(fā)生這種情況的機會只會有增無減，因為黑客們越來越多地認識到這些設(shè)備在訪問、信息和易受攻擊性方面的潛力。因此，IT部門需要有能力對入站信息流進行掃描過濾，以確保網(wǎng)絡(luò)的完整性和數(shù)據(jù)安全。另一方面，移動設(shè)備用戶希望能夠充分利用領(lǐng)先應(yīng)用程序所能提供的安全保護，因為對于商業(yè)基礎(chǔ)設(shè)施來說，移動設(shè)備正變得愈加重要。無論是在防火墻內(nèi)部還是外部：IT經(jīng)理必須在任何時候都能夠確保關(guān)鍵應(yīng)用的帶寬，同時限制可疑或危險的信息流。

這樣來說，對于IT部門的底線就是：如何讓你的VPN保持干凈？IT部門如何才能確保接入暢通以及數(shù)據(jù)的完整性？

雖然對于這個問題并沒有萬全的答案，但有一點是明確的：IT 部門必須部署安全工具，以應(yīng)對IT消費化的運作現(xiàn)實以及新興的移動工作者群體。通過部署新的安全技術(shù)，可以大規(guī)模和全方位地實時監(jiān)控是什么人、什么設(shè)備在訪問網(wǎng)絡(luò)，這樣 IT經(jīng)理們就可以避免數(shù)據(jù)和訪問的混亂狀態(tài)。而智能網(wǎng)絡(luò)管理員則可以讓他們的企業(yè)有能力評估威脅、對威脅立即做出反應(yīng)、并根據(jù)漏洞的大小來決定是否允許訪問。然而要做到真正有效，不僅需要通過防火墻提供安全保護，還必須在設(shè)備級別上控制應(yīng)用程序：
- 下一代防火墻需要能夠在數(shù)據(jù)流進入網(wǎng)絡(luò)之前，解密并刪除移動設(shè)備通過SSL VPN導(dǎo)入的威脅。
- 訪問企業(yè)網(wǎng)絡(luò)時，IT部門需要能夠驗證移動設(shè)備是否具有合法的訪問請求。他們還需要能夠確定是否設(shè)備已被破解，從而使其內(nèi)置的安全機制失效，增加感染病毒的風(fēng)險。
- 在應(yīng)用層面，IT經(jīng)理們也應(yīng)該有能力制定和執(zhí)行如何使用應(yīng)用程序和帶寬資產(chǎn)的政策。
- 在設(shè)備層面，IT管理員需要能夠制定有關(guān)設(shè)備具體特性的政策，并確保在這些設(shè)備被允許訪問企業(yè)網(wǎng)絡(luò)前，政策得到強制執(zhí)行。

這種360度的安全方法不僅僅用于防火墻阻止惡意軟件，它還可以動態(tài)增加移動設(shè)備關(guān)鍵業(yè)務(wù)應(yīng)用所需的帶寬，同時限制不太重要甚至是不受歡迎的信息流的帶寬。這些新興的安全和接入技術(shù)增加了業(yè)務(wù)的靈活性，提升了公司的業(yè)績，且無論是什么設(shè)備，也無論這個設(shè)備在業(yè)務(wù)流程中是在何時/何地使用。通常情況下，移動知識工作者仍然可以從他最喜愛的設(shè)備訪問網(wǎng)絡(luò)，但所有惡意軟件以及不需要的數(shù)據(jù)或應(yīng)用程序就沒有這個機會。有了正確的安全部署，全球移動混亂狀態(tài)將轉(zhuǎn)化成全球移動生產(chǎn)力。（王晨杰，SonicWALL中國區(qū)總經(jīng)理）