BYOD是一種技術趨勢,把一家公司的地位從避免風險轉變?yōu)榭刂骑L險。許多機構的錯誤做法是把重點僅僅放在設備的方面。如果機構要把風險降低到最小程度,機構需要評估BYOD對網(wǎng)絡安全生態(tài)系統(tǒng)的影響并且理解它產生的大的和小的弱點。
下面是在企業(yè)內部安全地和有效地實施BYOD并且同時促進安全地遠程訪問企業(yè)重要信息的10個技巧:
1. 超出口令和身份識別的范圍
考慮到BYOD的風險,靜態(tài)口令不足以保證安全地遠程訪問敏感的業(yè)務數(shù)據(jù)和系統(tǒng)。企業(yè)應該考慮多因素身份識別方法以增強安全,同時繼續(xù)把可用性擺正優(yōu)先位置。一次性口令和替代的通知方法(如短信)是讓身份識別過程總體更強大的兩個途徑。
2. 使用SSL VPN進行安全的遠程接入
一旦企業(yè)有一個完成身份識別的用戶,企業(yè)必須保證網(wǎng)絡連接。SSL VPN(安全套接層虛擬專用網(wǎng))能夠向員工提供從任何地方使用任何移動設備安全地接入網(wǎng)絡的巨大靈活性。而且,與IPSec(網(wǎng)際協(xié)議安全)不同,SSL VPN提供安全的遠程連接不需要在每一臺設備上安裝軟件。
3. 用單一登錄避免口令疲勞
分別登錄單個的應用程序既麻煩又有風險,因為用戶可能使用不安全的方法保持不同的口令。單一登錄(SSO)工具讓員工使用一個口令登錄公司的門戶和云應用,并且成為SSL VPN設置的一部分。
4. 端節(jié)點控制
一旦一位員工離開公司,網(wǎng)絡接入權限應該隨著員工的離開而撤銷。然而,情況并非總是如此,除非有一種方法不斷地和有效地阻止具體用戶。找一個在企業(yè)方面管理設備的解決方案,而不是在員工那方面管理設備,只需點擊幾下鼠標就迅速刪除一個具體用戶的訪問權限。完成這個任務不應該要求重新定義整個用戶庫。那會耗費時間和容易出錯。
5. 應用統(tǒng)一身份
統(tǒng)一身份意味著一個人的身份存儲到多個系統(tǒng)中,例如你可以使用Facebook或者Twitter登錄另一個在線賬戶。在你的機構也是如此。你對一個用戶進行身份識別,然后允許用戶訪問你管理的所有的內部和外部系統(tǒng)。統(tǒng)一身份允許一個員工單一登錄。這個好處是什么?員工能夠輕松地訪問任何批準的系統(tǒng)。企業(yè)控制訪問基于云的應用。服務提供商不需要保持用戶的配置。
6. 對BYOD應用軟令牌
物理安全設備有風險并且很麻煩。BYOD為企業(yè)節(jié)省購買、管理和發(fā)布硬令牌或者其他物理設備的成本提供了極好的機會。與智能手機等員工設備互動的軟安全令牌提供了一個對雙方都適用的“人體工學”解決方案,并且能夠隨著威脅環(huán)境的改變而輕松的更新和管理。
7. 管理整個流程
BYOD的風險使集中觀察網(wǎng)絡活動、入網(wǎng)的威脅和網(wǎng)絡中的異常狀況以及迅速和輕松地做出回應的能力變得更加重要。重要的是找到一個集中的控制臺。這個控制臺能夠提供全面的報告、事件流程管理、連續(xù)的多通道報警、標記統(tǒng)計以及對整個平臺進行治理的能力。
8. 任命一位負責人,執(zhí)行統(tǒng)一的戰(zhàn)略
管理BYOD戰(zhàn)略的職責不應該與IT部門管理的數(shù)百項任務混在一起。任命一位跨職能部門的領導者,負責監(jiān)管與執(zhí)行BYOD戰(zhàn)略有關的各個部門的政策、指南、任務和職責。這個人將負責決定在企業(yè)內部與BYOD有關的一切事情,包括允許使用什么設備、哪個部門提供技術支持、誰為技術支持、服務和數(shù)據(jù)計劃付費等。
9. 要有政策
不管誰擁有這個設備,如果員工要在工作中使用這個設備,員工就必須遵守企業(yè)信息安全協(xié)議。一個BYOD政策應該包含這些基本規(guī)定,如要求有一個自動鎖死功能和一個個人身份識別碼以及支持加密和遠程刪除數(shù)據(jù)以防止設備被竊。這個政策還應該包括在這個設備中能夠存儲什么數(shù)據(jù)和不能存儲什么數(shù)據(jù),如果設備丟失應采取什么措施,以及可以接受的和不可接受的備份流程。更重要的是要一個書面的用戶協(xié)議政策,并且定期宣傳在使用自己的設備時遵守安全程序的重要性
10. 鼓勵應用常識
不要以為員工會利用常識,要強化常識。定期評估最明顯的移動設備安全措施,例如,如果設備丟失或者被竊該怎么辦,定期更新設備,不使用的時候鎖死設備,謹慎下載等等。
遵守這些技巧將使你在應用BYOD的同時保護你現(xiàn)有的安全生態(tài)系統(tǒng)。
