BYOD是一種技術(shù)趨勢,把一家公司的地位從避免風(fēng)險轉變?yōu)榭刂骑L(fēng)險。許多機構的錯誤做法是把重點(diǎn)僅僅放在設備的方面。如果機構要把風(fēng)險降低到最小程度,機構需要評估BYOD對網(wǎng)絡(luò )安全生態(tài)系統的影響并且理解它產(chǎn)生的大的和小的弱點(diǎn)。
下面是在企業(yè)內部安全地和有效地實(shí)施BYOD并且同時(shí)促進(jìn)安全地遠程訪(fǎng)問(wèn)企業(yè)重要信息的10個(gè)技巧:
1. 超出口令和身份識別的范圍
考慮到BYOD的風(fēng)險,靜態(tài)口令不足以保證安全地遠程訪(fǎng)問(wèn)敏感的業(yè)務(wù)數據和系統。企業(yè)應該考慮多因素身份識別方法以增強安全,同時(shí)繼續把可用性擺正優(yōu)先位置。一次性口令和替代的通知方法(如短信)是讓身份識別過(guò)程總體更強大的兩個(gè)途徑。
2. 使用SSL VPN進(jìn)行安全的遠程接入
一旦企業(yè)有一個(gè)完成身份識別的用戶(hù),企業(yè)必須保證網(wǎng)絡(luò )連接。SSL VPN(安全套接層虛擬專(zhuān)用網(wǎng))能夠向員工提供從任何地方使用任何移動(dòng)設備安全地接入網(wǎng)絡(luò )的巨大靈活性。而且,與IPSec(網(wǎng)際協(xié)議安全)不同,SSL VPN提供安全的遠程連接不需要在每一臺設備上安裝軟件。
3. 用單一登錄避免口令疲勞
分別登錄單個(gè)的應用程序既麻煩又有風(fēng)險,因為用戶(hù)可能使用不安全的方法保持不同的口令。單一登錄(SSO)工具讓員工使用一個(gè)口令登錄公司的門(mén)戶(hù)和云應用,并且成為SSL VPN設置的一部分。
4. 端節點(diǎn)控制
一旦一位員工離開(kāi)公司,網(wǎng)絡(luò )接入權限應該隨著(zhù)員工的離開(kāi)而撤銷(xiāo)。然而,情況并非總是如此,除非有一種方法不斷地和有效地阻止具體用戶(hù)。找一個(gè)在企業(yè)方面管理設備的解決方案,而不是在員工那方面管理設備,只需點(diǎn)擊幾下鼠標就迅速刪除一個(gè)具體用戶(hù)的訪(fǎng)問(wèn)權限。完成這個(gè)任務(wù)不應該要求重新定義整個(gè)用戶(hù)庫。那會(huì )耗費時(shí)間和容易出錯。
5. 應用統一身份
統一身份意味著(zhù)一個(gè)人的身份存儲到多個(gè)系統中,例如你可以使用Facebook或者Twitter登錄另一個(gè)在線(xiàn)賬戶(hù)。在你的機構也是如此。你對一個(gè)用戶(hù)進(jìn)行身份識別,然后允許用戶(hù)訪(fǎng)問(wèn)你管理的所有的內部和外部系統。統一身份允許一個(gè)員工單一登錄。這個(gè)好處是什么?員工能夠輕松地訪(fǎng)問(wèn)任何批準的系統。企業(yè)控制訪(fǎng)問(wèn)基于云的應用。服務(wù)提供商不需要保持用戶(hù)的配置。
6. 對BYOD應用軟令牌
物理安全設備有風(fēng)險并且很麻煩。BYOD為企業(yè)節省購買(mǎi)、管理和發(fā)布硬令牌或者其他物理設備的成本提供了極好的機會(huì )。與智能手機等員工設備互動(dòng)的軟安全令牌提供了一個(gè)對雙方都適用的“人體工學(xué)”解決方案,并且能夠隨著(zhù)威脅環(huán)境的改變而輕松的更新和管理。
7. 管理整個(gè)流程
BYOD的風(fēng)險使集中觀(guān)察網(wǎng)絡(luò )活動(dòng)、入網(wǎng)的威脅和網(wǎng)絡(luò )中的異常狀況以及迅速和輕松地做出回應的能力變得更加重要。重要的是找到一個(gè)集中的控制臺。這個(gè)控制臺能夠提供全面的報告、事件流程管理、連續的多通道報警、標記統計以及對整個(gè)平臺進(jìn)行治理的能力。
8. 任命一位負責人,執行統一的戰略
管理BYOD戰略的職責不應該與IT部門(mén)管理的數百項任務(wù)混在一起。任命一位跨職能部門(mén)的領(lǐng)導者,負責監管與執行BYOD戰略有關(guān)的各個(gè)部門(mén)的政策、指南、任務(wù)和職責。這個(gè)人將負責決定在企業(yè)內部與BYOD有關(guān)的一切事情,包括允許使用什么設備、哪個(gè)部門(mén)提供技術(shù)支持、誰(shuí)為技術(shù)支持、服務(wù)和數據計劃付費等。
9. 要有政策
不管誰(shuí)擁有這個(gè)設備,如果員工要在工作中使用這個(gè)設備,員工就必須遵守企業(yè)信息安全協(xié)議。一個(gè)BYOD政策應該包含這些基本規定,如要求有一個(gè)自動(dòng)鎖死功能和一個(gè)個(gè)人身份識別碼以及支持加密和遠程刪除數據以防止設備被竊。這個(gè)政策還應該包括在這個(gè)設備中能夠存儲什么數據和不能存儲什么數據,如果設備丟失應采取什么措施,以及可以接受的和不可接受的備份流程。更重要的是要一個(gè)書(shū)面的用戶(hù)協(xié)議政策,并且定期宣傳在使用自己的設備時(shí)遵守安全程序的重要性
10. 鼓勵應用常識
不要以為員工會(huì )利用常識,要強化常識。定期評估最明顯的移動(dòng)設備安全措施,例如,如果設備丟失或者被竊該怎么辦,定期更新設備,不使用的時(shí)候鎖死設備,謹慎下載等等。
遵守這些技巧將使你在應用BYOD的同時(shí)保護你現有的安全生態(tài)系統。
