Stonesoft公司CEO分享十大BYOD安全實(shí)踐技巧

　　隨著(zhù)自備設備（簡(jiǎn)稱(chēng)BYOD）辦公趨勢迅速演變?yōu)槠髽I(yè)事務(wù)的公認處理準則，IT部門(mén)及從業(yè)人員必須緊跟時(shí)代步伐、了解這種勢頭將如何影響企業(yè)網(wǎng)絡(luò )安全策略的各個(gè)方面。
 
　　BYOD是一種技術(shù)趨勢，它的出現令企業(yè)從規避風(fēng)險轉型為主動(dòng)對風(fēng)險加以管理。事實(shí)上很多IT機構都沒(méi)能正確認識BYOD中的核心實(shí)質(zhì)，他們往往只專(zhuān)注于解決宏觀(guān)問(wèn)題中的一個(gè)側面——例如設備本身。但在我看來(lái)，如果企業(yè)希望盡量降低BYOD安全風(fēng)險的出現可能性，他們首先要做的應該是對網(wǎng)絡(luò )安全生態(tài)系統進(jìn)行評估、掌握新形勢下可能出現的各類(lèi)新弱點(diǎn)及其影響力。
 
　　接下來(lái)我們將與大家共同分享十項技巧，它們不僅能夠有效保證企業(yè)采用BYOD方案之后的業(yè)務(wù)安全性，同時(shí)也將促進(jìn)遠程訪(fǎng)問(wèn)關(guān)鍵性業(yè)務(wù)信息的安全性。

 　　密碼保護還不夠，我們需要全方位的身份驗證。

　　在BYOD所帶來(lái)的高度風(fēng)險之下，傳統的靜態(tài)密碼根本不足以保護敏感業(yè)務(wù)數據及系統的遠程訪(fǎng)問(wèn)安全。企業(yè)應該考慮引入多種身份驗證要素借以加強安全性，同時(shí)堅持將業(yè)務(wù)可用性擺在第一位。如果能將一次性密碼及后備通知方案（例如以短信形式通知）二者添加到認證機制中來(lái)，相信能夠從宏觀(guān)角度令安全體系更為穩固。

　　利用基于SSL的VPN確保遠程訪(fǎng)問(wèn)安全。

　　在用戶(hù)驗證工作準備就緒之后，企業(yè)接下來(lái)就要在網(wǎng)絡(luò )連接的安全性方面多下點(diǎn)心力。SSL VPN能夠賦予員工極大的靈活性，允許他們安全地從任何位置的任何移動(dòng)設備上訪(fǎng)問(wèn)企業(yè)內部網(wǎng)絡(luò )。除此之外，與IPSec不同，SSL VPN能夠在無(wú)需為設備安裝任何額外軟件的前提下提供安全的遠程連接服務(wù)。

　　利用單點(diǎn)登錄防止密碼多次輸入。

　　為每一款應用程序單獨輸入一次密碼既繁瑣累人、又增加了安全風(fēng)險，因為用戶(hù)為了記憶并管理不同的密碼內容，往往會(huì )采用非常危險的記錄方式。單點(diǎn)登錄（簡(jiǎn)稱(chēng)SSO）工具的出現使企業(yè)員工得以通過(guò)一套密碼訪(fǎng)問(wèn)一系列業(yè)務(wù)及云應用程序，而且這套機制還能夠與SSL VPN配置攜手發(fā)揮作用。

　　終端節點(diǎn)控制。

　　一旦員工決定離開(kāi)企業(yè)，我們必須馬上剝奪他們的網(wǎng)絡(luò )訪(fǎng)問(wèn)權。然而事情永遠是說(shuō)起來(lái)簡(jiǎn)單，事實(shí)上我們很難找到一套高效及快速的方案及時(shí)處理這類(lèi)問(wèn)題。不過(guò)有需求就有市場(chǎng)，如今企業(yè)級設備管理解決方案已經(jīng)極大豐富，我們不僅能通過(guò)它們處理員工事務(wù)、還可以只敲幾下鍵盤(pán)就快速刪除特定用戶(hù)的訪(fǎng)問(wèn)權限。不過(guò)大家需要注意的是，整個(gè)變更流程不應該涉及用戶(hù)群的重新定義，否則工作將變得既費時(shí)又容易出錯。

　　申請一套通用型ID。

　　什么是通用型ID？簡(jiǎn)單來(lái)說(shuō)就是將一位用戶(hù)的身份存儲在多套系統當中，最典型的例子就是我們可以利用自己的Facebook或者Twitter賬號登錄其它網(wǎng)站。這種思路在企業(yè)內部也同樣可行，我們可以在完成對用戶(hù)的身份驗證后，允許他們訪(fǎng)問(wèn)合理控制下的內部及外部系統。通用型ID同樣支持員工的單點(diǎn)登錄習慣。這么做有什么好處？首先，員工能夠很方便地登錄任何得到批準的系統；其次，企業(yè)能夠將包括云基礎應用程序在內的所有事務(wù)通通納入監控范疇；第三，服務(wù)供應商也不必再為維護多套用戶(hù)配置文件而焦頭爛額了。

　　軟件令牌與BYOD。

　　物理安全設備已經(jīng)成為高風(fēng)險與繁瑣操作的代名詞，BYOD的出現則徹底扭轉了這一不利局面。企業(yè)如今不必再花費高昂成本購買(mǎi)、管理并分發(fā)硬件令牌或同類(lèi)物理安保設備。軟件安全令牌已經(jīng)蓬勃發(fā)展，并且能與大多數員工的智能手機緊密協(xié)作。這種由企業(yè)員工積極參與的“人體工程學(xué)”解決方案能夠給公司與個(gè)人帶來(lái)雙贏(yíng)，同時(shí)也讓技術(shù)人員得以更輕松地更新并管理安保機制，并根據當前威脅及時(shí)做出反應。

　　整個(gè)流程需盡在掌握。

　　BYOD帶來(lái)的風(fēng)險不容忽視，技術(shù)人員必須在網(wǎng)絡(luò )活動(dòng)、外來(lái)威脅及異常狀況等方面做好集中化監控工作，同時(shí)確保反應的快速與準確性。最重要的是要構建一套集中式管理控制臺，管理員通過(guò)它獲得全面報告、事故過(guò)程管理、持續多路報警、地理標記統計以及應用程序處理能力，并在整套平臺上實(shí)現強有力的控制目標。

　　任命管理者、執行新策略。

　　BYOD策略管理工作不應該被混雜在萬(wàn)百上千的其它普通IT管理任務(wù)之中，我們建議大家為此指派專(zhuān)門(mén)負責人及處理團隊。任何一位跨職能的管理者，他將把全部注意力集中在政策、方針、角色以及職責等與BYOD策略執行流程相關(guān)的細化工作身上。這位管理者將負責確定BYOD在企業(yè)中各個(gè)領(lǐng)域的實(shí)施進(jìn)展，包括哪些設備允許引入，哪些部門(mén)能夠支持新策略，誰(shuí)要為技術(shù)支持、服務(wù)及數據計劃買(mǎi)單等等。

　　嚴格制定管理政策。

　　無(wú)論設備的所有者是誰(shuí)，希望在工作中使用自有設備的員工都必須遵守企業(yè)制定的信息安全協(xié)議。一套嚴謹的BYOD管理政策應該涵蓋各種基礎內容，例如要求設備啟用自動(dòng)鎖定功能并需要通過(guò)個(gè)人識別碼（簡(jiǎn)稱(chēng)PIN）解鎖、支持數據加密及外遠擦除以防止失竊等等。政策中還應明確規定哪些類(lèi)型的數據允許被存儲在員工設備中、一旦設備被盜該如何處理、哪些備份流程值得鼓勵、哪些備份流程有違規章。最重要的是，企業(yè)還應與員工簽訂一套書(shū)面的用戶(hù)管理協(xié)議并詳加說(shuō)明，保證員工切實(shí)了解規范使用個(gè)人設備的重要性并定期自查安全機制。

　　 鼓勵員工積累技術(shù)知識。

　　別指望著(zhù)員工能積極主動(dòng)學(xué)習技術(shù)知識——這一切都需要在官方的引導及施壓下才可能實(shí)現。企業(yè)應對員工定期審查，了解他們是否掌握了最基本的移動(dòng)設備安全保護措施。例如一旦設備丟失或被盜，物主應該怎樣處理；設備如何實(shí)現定期更新；不用設備要及時(shí)鎖定；下載應用程序時(shí)認真閱讀提示、不能盲目點(diǎn)確定。
 
　　只要嚴格執行上述技巧，相信大家都能夠順利將BYOD轉化為企業(yè)運轉流程的一部分，同時(shí)有效保護自己的現有安全生態(tài)系統。