BYOD是一種技術(shù)趨勢(shì)�,把一家公司的地位從避免風(fēng)險(xiǎn)轉(zhuǎn)變?yōu)榭刂骑L(fēng)險(xiǎn)。許多機(jī)構(gòu)的錯(cuò)誤做法是把重點(diǎn)僅僅放在設(shè)備的方面����。如果機(jī)構(gòu)要把風(fēng)險(xiǎn)降低到最小程度,機(jī)構(gòu)需要評(píng)估BYOD對(duì)網(wǎng)絡(luò)安全生態(tài)系統(tǒng)的影響并且理解它產(chǎn)生的大的和小的弱點(diǎn)�。
下面是在企業(yè)內(nèi)部安全地和有效地實(shí)施BYOD并且同時(shí)促進(jìn)安全地遠(yuǎn)程訪問(wèn)企業(yè)重要信息的10個(gè)技巧:
1. 超出口令和身份識(shí)別的范圍
考慮到BYOD的風(fēng)險(xiǎn),靜態(tài)口令不足以保證安全地遠(yuǎn)程訪問(wèn)敏感的業(yè)務(wù)數(shù)據(jù)和系統(tǒng)��。企業(yè)應(yīng)該考慮多因素身份識(shí)別方法以增強(qiáng)安全���,同時(shí)繼續(xù)把可用性擺正優(yōu)先位置��。一次性口令和替代的通知方法(如短信)是讓身份識(shí)別過(guò)程總體更強(qiáng)大的兩個(gè)途徑�。
2. 使用SSL VPN進(jìn)行安全的遠(yuǎn)程接入
一旦企業(yè)有一個(gè)完成身份識(shí)別的用戶,企業(yè)必須保證網(wǎng)絡(luò)連接���。SSL VPN(安全套接層虛擬專用網(wǎng))能夠向員工提供從任何地方使用任何移動(dòng)設(shè)備安全地接入網(wǎng)絡(luò)的巨大靈活性���。而且,與IPSec(網(wǎng)際協(xié)議安全)不同����,SSL VPN提供安全的遠(yuǎn)程連接不需要在每一臺(tái)設(shè)備上安裝軟件。
3. 用單一登錄避免口令疲勞
分別登錄單個(gè)的應(yīng)用程序既麻煩又有風(fēng)險(xiǎn)���,因?yàn)橛脩艨赡苁褂貌话踩姆椒ū3植煌目诹?。單一登?SSO)工具讓員工使用一個(gè)口令登錄公司的門戶和云應(yīng)用�,并且成為SSL VPN設(shè)置的一部分。
4. 端節(jié)點(diǎn)控制
一旦一位員工離開(kāi)公司��,網(wǎng)絡(luò)接入權(quán)限應(yīng)該隨著員工的離開(kāi)而撤銷��。然而�,情況并非總是如此,除非有一種方法不斷地和有效地阻止具體用戶�����。找一個(gè)在企業(yè)方面管理設(shè)備的解決方案,而不是在員工那方面管理設(shè)備����,只需點(diǎn)擊幾下鼠標(biāo)就迅速刪除一個(gè)具體用戶的訪問(wèn)權(quán)限。完成這個(gè)任務(wù)不應(yīng)該要求重新定義整個(gè)用戶庫(kù)���。那會(huì)耗費(fèi)時(shí)間和容易出錯(cuò)�����。
5. 應(yīng)用統(tǒng)一身份
統(tǒng)一身份意味著一個(gè)人的身份存儲(chǔ)到多個(gè)系統(tǒng)中����,例如你可以使用Facebook或者Twitter登錄另一個(gè)在線賬戶��。在你的機(jī)構(gòu)也是如此�。你對(duì)一個(gè)用戶進(jìn)行身份識(shí)別���,然后允許用戶訪問(wèn)你管理的所有的內(nèi)部和外部系統(tǒng)�����。統(tǒng)一身份允許一個(gè)員工單一登錄�。這個(gè)好處是什么?員工能夠輕松地訪問(wèn)任何批準(zhǔn)的系統(tǒng)。企業(yè)控制訪問(wèn)基于云的應(yīng)用�����。服務(wù)提供商不需要保持用戶的配置�。
6. 對(duì)BYOD應(yīng)用軟令牌
物理安全設(shè)備有風(fēng)險(xiǎn)并且很麻煩。BYOD為企業(yè)節(jié)省購(gòu)買�、管理和發(fā)布硬令牌或者其他物理設(shè)備的成本提供了極好的機(jī)會(huì)。與智能手機(jī)等員工設(shè)備互動(dòng)的軟安全令牌提供了一個(gè)對(duì)雙方都適用的“人體工學(xué)”解決方案�,并且能夠隨著威脅環(huán)境的改變而輕松的更新和管理。
7. 管理整個(gè)流程
BYOD的風(fēng)險(xiǎn)使集中觀察網(wǎng)絡(luò)活動(dòng)�、入網(wǎng)的威脅和網(wǎng)絡(luò)中的異常狀況以及迅速和輕松地做出回應(yīng)的能力變得更加重要。重要的是找到一個(gè)集中的控制臺(tái)�����。這個(gè)控制臺(tái)能夠提供全面的報(bào)告�、事件流程管理、連續(xù)的多通道報(bào)警�、標(biāo)記統(tǒng)計(jì)以及對(duì)整個(gè)平臺(tái)進(jìn)行治理的能力。
8. 任命一位負(fù)責(zé)人����,執(zhí)行統(tǒng)一的戰(zhàn)略
管理BYOD戰(zhàn)略的職責(zé)不應(yīng)該與IT部門管理的數(shù)百項(xiàng)任務(wù)混在一起。任命一位跨職能部門的領(lǐng)導(dǎo)者���,負(fù)責(zé)監(jiān)管與執(zhí)行BYOD戰(zhàn)略有關(guān)的各個(gè)部門的政策����、指南、任務(wù)和職責(zé)�����。這個(gè)人將負(fù)責(zé)決定在企業(yè)內(nèi)部與BYOD有關(guān)的一切事情����,包括允許使用什么設(shè)備、哪個(gè)部門提供技術(shù)支持�、誰(shuí)為技術(shù)支持、服務(wù)和數(shù)據(jù)計(jì)劃付費(fèi)等����。
9. 要有政策
不管誰(shuí)擁有這個(gè)設(shè)備,如果員工要在工作中使用這個(gè)設(shè)備��,員工就必須遵守企業(yè)信息安全協(xié)議�。一個(gè)BYOD政策應(yīng)該包含這些基本規(guī)定�����,如要求有一個(gè)自動(dòng)鎖死功能和一個(gè)個(gè)人身份識(shí)別碼以及支持加密和遠(yuǎn)程刪除數(shù)據(jù)以防止設(shè)備被竊。這個(gè)政策還應(yīng)該包括在這個(gè)設(shè)備中能夠存儲(chǔ)什么數(shù)據(jù)和不能存儲(chǔ)什么數(shù)據(jù)����,如果設(shè)備丟失應(yīng)采取什么措施,以及可以接受的和不可接受的備份流程���。更重要的是要一個(gè)書(shū)面的用戶協(xié)議政策�����,并且定期宣傳在使用自己的設(shè)備時(shí)遵守安全程序的重要性
10. 鼓勵(lì)應(yīng)用常識(shí)
不要以為員工會(huì)利用常識(shí)�����,要強(qiáng)化常識(shí)�。定期評(píng)估最明顯的移動(dòng)設(shè)備安全措施���,例如��,如果設(shè)備丟失或者被竊該怎么辦��,定期更新設(shè)備�,不使用的時(shí)候鎖死設(shè)備��,謹(jǐn)慎下載等等。
遵守這些技巧將使你在應(yīng)用BYOD的同時(shí)保護(hù)你現(xiàn)有的安全生態(tài)系統(tǒng)�。
