隨著自備設備(簡稱BYOD)辦公趨勢迅速演變?yōu)槠髽I(yè)事務的公認處理準則,IT部門及從業(yè)人員必須緊跟時代步伐、了解這種勢頭將如何影響企業(yè)網(wǎng)絡安全策略的各個方面。
BYOD是一種技術趨勢,它的出現(xiàn)令企業(yè)從規(guī)避風險轉型為主動對風險加以管理。事實上很多IT機構都沒能正確認識BYOD中的核心實質,他們往往只專注于解決宏觀問題中的一個側面——例如設備本身。但在我看來,如果企業(yè)希望盡量降低BYOD安全風險的出現(xiàn)可能性,他們首先要做的應該是對網(wǎng)絡安全生態(tài)系統(tǒng)進行評估、掌握新形勢下可能出現(xiàn)的各類新弱點及其影響力。
接下來我們將與大家共同分享十項技巧,它們不僅能夠有效保證企業(yè)采用BYOD方案之后的業(yè)務安全性,同時也將促進遠程訪問關鍵性業(yè)務信息的安全性。
密碼保護還不夠,我們需要全方位的身份驗證。
在BYOD所帶來的高度風險之下,傳統(tǒng)的靜態(tài)密碼根本不足以保護敏感業(yè)務數(shù)據(jù)及系統(tǒng)的遠程訪問安全。企業(yè)應該考慮引入多種身份驗證要素借以加強安全性,同時堅持將業(yè)務可用性擺在第一位。如果能將一次性密碼及后備通知方案(例如以短信形式通知)二者添加到認證機制中來,相信能夠從宏觀角度令安全體系更為穩(wěn)固。
利用基于SSL的VPN確保遠程訪問安全。
在用戶驗證工作準備就緒之后,企業(yè)接下來就要在網(wǎng)絡連接的安全性方面多下點心力。SSL VPN能夠賦予員工極大的靈活性,允許他們安全地從任何位置的任何移動設備上訪問企業(yè)內(nèi)部網(wǎng)絡。除此之外,與IPSec不同,SSL VPN能夠在無需為設備安裝任何額外軟件的前提下提供安全的遠程連接服務。
利用單點登錄防止密碼多次輸入。
為每一款應用程序單獨輸入一次密碼既繁瑣累人、又增加了安全風險,因為用戶為了記憶并管理不同的密碼內(nèi)容,往往會采用非常危險的記錄方式。單點登錄(簡稱SSO)工具的出現(xiàn)使企業(yè)員工得以通過一套密碼訪問一系列業(yè)務及云應用程序,而且這套機制還能夠與SSL VPN配置攜手發(fā)揮作用。
終端節(jié)點控制。
一旦員工決定離開企業(yè),我們必須馬上剝奪他們的網(wǎng)絡訪問權。然而事情永遠是說起來簡單,事實上我們很難找到一套高效及快速的方案及時處理這類問題。不過有需求就有市場,如今企業(yè)級設備管理解決方案已經(jīng)極大豐富,我們不僅能通過它們處理員工事務、還可以只敲幾下鍵盤就快速刪除特定用戶的訪問權限。不過大家需要注意的是,整個變更流程不應該涉及用戶群的重新定義,否則工作將變得既費時又容易出錯。
申請一套通用型ID。
什么是通用型ID?簡單來說就是將一位用戶的身份存儲在多套系統(tǒng)當中,最典型的例子就是我們可以利用自己的Facebook或者Twitter賬號登錄其它網(wǎng)站。這種思路在企業(yè)內(nèi)部也同樣可行,我們可以在完成對用戶的身份驗證后,允許他們訪問合理控制下的內(nèi)部及外部系統(tǒng)。通用型ID同樣支持員工的單點登錄習慣。這么做有什么好處?首先,員工能夠很方便地登錄任何得到批準的系統(tǒng);其次,企業(yè)能夠將包括云基礎應用程序在內(nèi)的所有事務通通納入監(jiān)控范疇;第三,服務供應商也不必再為維護多套用戶配置文件而焦頭爛額了。
軟件令牌與BYOD。
物理安全設備已經(jīng)成為高風險與繁瑣操作的代名詞,BYOD的出現(xiàn)則徹底扭轉了這一不利局面。企業(yè)如今不必再花費高昂成本購買、管理并分發(fā)硬件令牌或同類物理安保設備。軟件安全令牌已經(jīng)蓬勃發(fā)展,并且能與大多數(shù)員工的智能手機緊密協(xié)作。這種由企業(yè)員工積極參與的“人體工程學”解決方案能夠給公司與個人帶來雙贏,同時也讓技術人員得以更輕松地更新并管理安保機制,并根據(jù)當前威脅及時做出反應。
整個流程需盡在掌握。
BYOD帶來的風險不容忽視,技術人員必須在網(wǎng)絡活動、外來威脅及異常狀況等方面做好集中化監(jiān)控工作,同時確保反應的快速與準確性。最重要的是要構建一套集中式管理控制臺,管理員通過它獲得全面報告、事故過程管理、持續(xù)多路報警、地理標記統(tǒng)計以及應用程序處理能力,并在整套平臺上實現(xiàn)強有力的控制目標。
任命管理者、執(zhí)行新策略。
BYOD策略管理工作不應該被混雜在萬百上千的其它普通IT管理任務之中,我們建議大家為此指派專門負責人及處理團隊。任何一位跨職能的管理者,他將把全部注意力集中在政策、方針、角色以及職責等與BYOD策略執(zhí)行流程相關的細化工作身上。這位管理者將負責確定BYOD在企業(yè)中各個領域的實施進展,包括哪些設備允許引入,哪些部門能夠支持新策略,誰要為技術支持、服務及數(shù)據(jù)計劃買單等等。
嚴格制定管理政策。
無論設備的所有者是誰,希望在工作中使用自有設備的員工都必須遵守企業(yè)制定的信息安全協(xié)議。一套嚴謹?shù)腂YOD管理政策應該涵蓋各種基礎內(nèi)容,例如要求設備啟用自動鎖定功能并需要通過個人識別碼(簡稱PIN)解鎖、支持數(shù)據(jù)加密及外遠擦除以防止失竊等等。政策中還應明確規(guī)定哪些類型的數(shù)據(jù)允許被存儲在員工設備中、一旦設備被盜該如何處理、哪些備份流程值得鼓勵、哪些備份流程有違規(guī)章。最重要的是,企業(yè)還應與員工簽訂一套書面的用戶管理協(xié)議并詳加說明,保證員工切實了解規(guī)范使用個人設備的重要性并定期自查安全機制。
鼓勵員工積累技術知識。
別指望著員工能積極主動學習技術知識——這一切都需要在官方的引導及施壓下才可能實現(xiàn)。企業(yè)應對員工定期審查,了解他們是否掌握了最基本的移動設備安全保護措施。例如一旦設備丟失或被盜,物主應該怎樣處理;設備如何實現(xiàn)定期更新;不用設備要及時鎖定;下載應用程序時認真閱讀提示、不能盲目點確定。
只要嚴格執(zhí)行上述技巧,相信大家都能夠順利將BYOD轉化為企業(yè)運轉流程的一部分,同時有效保護自己的現(xiàn)有安全生態(tài)系統(tǒng)。