石菲
有数据显示,目前每位知识工作者平均使用5.18种设备连接到企业网络。不过在很多企业中,自带设备(BYOD)还是尚未纳入明文规定的非正式做法,因此给企业带来安全、合规、IT复杂性提高等多方面的风险。
随着个人智能信息终端技术的快速发展,终端类型不断丰富,功能日益强大。企业员工的个人使用行为越来越多地影响到了企业的IT应用。伴随着IT消费化浪潮,员工从自带设备发展到自带云计算(BYOC)。iOS用户也许会使用iCloud,而Android用户也许会使用谷歌云来处理电子邮件、PIM、音乐、视频和图片。同步的内容可能包括内部网络研讨会和产品照片等敏感的企业信息。iCloud的用户也可能同步包含Internet和内部网与其个人系统链接的Safari书签。随着Android4.0IceCream支持使用Chrome浏览器,同样的趋势也适用于Android用户。除了这些由主要移动设备厂商所提供的流行的个人云服务以外,许多较小的解决方案也开始流行。
在应用市场上很容易可以找到第三方应用,而企业设备(如Evernote和OneNote)能让员工几乎在任何设备上轻松地做笔记,并储存到云中。一些员工暂时将文件粘贴到他们的云记事本上,以便在他们上下班的路上继续工作。
除此之外,还有另一种流行的解决方案是文件同步服务(FSS),如Dropbox、Box.net、SugarSync、iDisk或SkyDrive。这些服务使文件在跨多台电脑和移动设备上进行共享。在家工作的员工可以将办公文件储存在Dropbox上,当他们回到办公室时可以很容易地在其工作电脑上访问同样的文件。
如果说BYOD使企业网络压力倍增,如今,BYOC给企业网络再次带来相同的威胁。
严格限制设备型号
现在公司可以去做的就是首先制定移动安全方面的安全政策,要制定出来哪些人可以使用什么样的设备。因为不同的平台安全级别不一样,比如安卓系统和iOS系统的安全级别不一样,甚至于安卓系统早期的智能机安全性也不如后来的产品。
在制定政策时可以规定公司的哪些高层可以使用自带设备,但是使用哪些设备必须有所限制,比如中层主管可以使用安卓的智能手机,但是要求系统版本是4.0以上,因为这个版本拥有加密技术。而完全接触不到公司敏感信息的员工使用设备可以不做限制。
还有一种情况,传统的BYOD是自带传统移动设备,现在很多公司将公司的移动设备发给员工,并支持员工可以使用该移动设备登录自己的社交网络。在这种情况下,如果员工离职则收回移动设备,防止了员工离职对企业敏感数据的威胁。
采取管控机制
虽然没有应用相关管理软件但采取了管理手段加以限制。
除了员工使用自有设备办公外,在外包项目进行过程中服务商也会派驻团队来进行技术支持,其中一些外部人员使用的自带设备也会涉及企业核心业务。除此之外,员工也会使用移动设备登录OA等办公系统,或者进行移动展业等。
由于资金有限,我们虽然没有上马BYOD或者MDM等相关管理软件,但采取了管理和技术手段进行控制,将开发区域完全隔离。外部设备进行访问时有隔离区和权限控制,进入内网需要登记注册。同时,自带外部设备要进行登记,终端也要绑定,进行防病毒排查,实现统一管理。
限制网络访问区域
从网络权限的角度进行管理更适合中国现状。
从国内企业的现状来看,使用移动终端进行办公业务的占比还非常少,移动设备接入网络大多还是只访问互联网。在这样的前提下,针对移动设备的安全管理应集中在网络访问权限方面,即通过合理的划分网络访问区域,让移动设备只能访问互联网或有限制的访问内部业务,从而实现员工隐私与公司安全的平衡。
移动安全问题是属于员工自己的资产问题,在移动设备接入公司网络之前,这并不是公司需要主要考虑的问题。而当移动设备接入公司网络之后,则可能因为移动设备上的恶意应用、越狱带来的漏洞等导致对公司系统的威胁,这些可以通过限制网络访问区域来进行化解。
从BYOD当前在国内的应用情况来看,还远没有达到更细致的如MDM(移动设备管理)的阶段,这跟移动设备普遍还没有应用于办公有较大的关系,所以当前从网络权限的角度进行管理是更适合中国现状的,这也不会给管理员带来太大工作量。
不同政策强制管控
如不涉及企业核心业务,可以制定政策解决。
BYOD虽然现在被炒得很热,但在企业中受到的关注优先级并不是很高,原因在于现在所说的BYOD大多数是一些最基本的办公应用。也就是说,用户使用移动设备进行的是收发邮件或者简单的移动公文使用,这些并不涉及到企业的核心业务。这种情况可以通过制定政策解决,比如设定一定的专网供这些移动设备使用,或者开放有限的应用和端口给使用自带设备的用户。
如果企业将核心业务投放在移动终端上则不同,这时必须要有非常强的管理政策、技术策略和防护策略。
使用个人设备进行移动办公对企业影响不大,但是利用移动设备操作核心业务则会带来数据安全风险,所以要采取不同的政策进行强制管控。