BYOD安全管控问答

2019-12-23 21:47:17江苏陈沪娟
网络安全和信息化 2019年5期
关键词:单位设备企业

■江苏 陈沪娟

编者按:BYOD既节约企业的成本,又提高了员工的工作效率,越来越受到欢迎,但是也因工作灵活性以及设备多样化给企业带来了新的安全问题。

BYOD模式出现在企业环境的原动力是什么?

答:BYOD模式的原动力来自于单位员工,而不是单位本身,员工对于新科技的喜好反过来驱动单位变更和适应新技术的变化。不过,单位在实施BYOD之前,往往会引来员工和领导的激烈争论。有些员工会认为,BYOD能像无线网络是有线网络补充概念一样,能被所有人迅速接受,从而很快融入单位IT环境,成为其中的一份子。这些员工明显忽视了BYOD模式最根本的属性,员工在驱动单位接受该模式的过程中,员工对移动终端设备自身是占有主动控制权的。而许多单位的IT决策者和领导者之所以能冒上信息被窃取、数据被攻击的安全风险,来不遗余力地接受BYOD模式,主要是希望该模式能将办公成本转嫁到员工身上,以节省单位开支,同时让单位员工能进行随时加班,从而大幅度提升员工工作效率。不得不承认,在BYOD模式初步发展的过程中,出现各种各样的争论是很正常的,不过从单位需要重新调整包括规章制度、安全等事项以及员工追求灵活的工作模式来看,就能轻松否定上面的观点。倘若移动终端设备上有越来越多的应用支撑,那么BYOD模式的发展将会来的更加迅猛。

BYOD模式可能会通过哪些途径,对外泄露重要数据?

答:首先是存储途径。BYOD设备自身就是一个容量很大的数据存储设备,使用起来与常见的优盘几乎一样方便。一些别有用心的员工,例如有跳槽打算的、受到领导批评的、被竞争对手收买的、工作不顺心的等等,就会利用工作之便,借助于方便小巧的BYOD设备将企业重要数据泄露出去。这些数据一旦泄露出去,后果将不堪设想,危害相当大。当然,也有的企业员工自身就是企业核心数据的研发者、使用者和保管者,企业内部员工利用工作之余窃取企业数据,特别是核心商业机密数据已经成为司空见惯的事情。

其次是上网途径。一些BYOD设备能够方便地充当Modem角色,这让企业员工还可以利用BYOD设备将自己工作用的计算机接入外部网络,使之暴露在复杂的Internet网络环境中。在员工进行网络活动时,可能会遭遇病毒、木马、黑客等恶意程序的袭击,使得工作用计算机的数据被窃取或破坏。

第三是蓝牙途径。支持蓝牙功能的BYOD设备也存在潜在的数据泄露风险。这种功能让企业员工在短距离内连接上同类设备,这让一些恶意用户可以使用具备同等功能的蓝牙设备,通过企业员工的设备作为进入企业内网的接入点窃取重要数据。

企业在部署BYOD模式时,该对员工BYOD设备提出怎样的要求?

答:虽然BYOD主要针对各类移动终端设备,但是在单位内网环境中,个人电子设备得到广泛支持并不是件很容易的事,因为单位网络在接纳各类电子设备时,往往会考虑产品的工作稳定性以及可延续性,同时会考虑对第三方应用的广泛支持。从目前的众多单位BYOD实施过程来看,苹果的i系列设备明显占据了上风,而且这种优势几乎是压倒性的,现在越来越多的单位开始采用苹果设备作为办公设备的一部分。对于单位来说,他们当然希望用户将那些品牌过硬的、应用支持广泛的、市场认可度高的设备带到单位的办公网络中,不过员工的意志却无法获得统一的约束,毕竟单位制定的任何政策或制度都不会让所有员工完全接受。因此,单位在选择BYOD管理控制方案时,务必要追求简单化,不能给员工设备使用带来诸多不便。

企业应该如何解决员工BYOD设备与单位业务流程在兼容性方面的问题?

答:首先要确保每个员工的移动设备上都使用支持企业日常办公文档的程序。比方说,单位使用金山移动办公软件,可以同时支持微软Office以及LibreOffice的文件格式。其次尽量让员工安装一个备用浏览器,比方说Firefox浏览器,在移动设备系统内置的浏览器不能正常使用基于web的应用时,能够及时更换使用。要是员工的移动设备的确不能处理某些业务流程时,可以在员工移动设备上安装类似Logmein之类的远程接入应用,也可以安装远程桌面客户端程序。

请问企业在部署好了BYOD模式后,怎样限制员工的过度自主性,以避免他们用BYOD设备进行一切活动,让企业运营环境受到安全威胁?

答:为了不让这种自主性被员工滥用,企业可以要求员工都签署BYOD协议,确保他们明白在企业内使用自己的BYOD设备是有行为限制的。而且,单位管理员有权强制员工设备必须符合相关的安全标准,否则将禁止其访问单位网络中的应用和数据。BYOD趋势的不可阻挡,让很多单位有点措手不及,毕竟员工的个人生活与工作在单位内网环境中会产生越来越多的交集,矛盾在不同单位上的表现也不尽相同,这与单位的员工习惯、安全意识、规章制度等诸多细节因素有着密不可分的关系。

请问在企业的BYOD模式环境下,怎样保证员工无法通过email发送敏感数据?

答:要制定严格的BYOD策略,该策略至少应该包含以下内容:禁止企业员工使用竞争对手的云服务,禁止将企业邮件内容发到个人账号,禁止员工传送非加密数据,禁止使用非授权的第三方软件传输数据,以免机密信息可能会被发到其他位置。禁止员工在多个网站使用同一个密码。强化身份认证管理,为员工和第三方建立一套与企业联络的可被追踪的电子认证系统。

BYOD模式下,企业最担心重要数据对外泄露。因为员工们会丢失自己的智能手机或平板电脑,一旦这种事情发生后,企业的重要数据很容易被泄露出去。请问如何才能避免这种情况出现呢?

答:可以使用远程删除策略,也就是说,当员工的移动设备发生丢失现象后,企业能够将保存在移动设备上的重要数据远程删除掉。特别是在企业使用BYOD模式的情况下,更应该立即使用这个策略。

为了防止BYOD设备的无线攻击渗透,企业环境该怎样进行安全防范?

答:现在无线黑客越发变得神出鬼没,而各式各样通过无线网络进行的恶意渗透、钓鱼、破解、劫持等行为,正让BYOD设备和单位无线网络防不胜防。而在单位内部无线网络中,员工们相互之间私下共享WiFi网络或3G网络,也会让单位内部网络的安全隐患不能在第一时间发现。

幸运的是,目前已经能针对无线局域网部署IDS/IPS了(无线入侵检测系统/无线入侵防御系统)。与有线局域网的IDS/IPS部署相差不大,无线局域网的IDS/IPS部署也是用来防止黑客攻击的,只是考虑到无线局域网的本质属性,无线网络的IDS/IPS部署还能防止内部网络悄悄连接到单位网络以外的没有经过授权的无线路由器。善于利用增强的具有定位服务的IDS/IPS设备,可以有效帮助单位IT管理人员及时发现接入点,同时能帮助检测到非法攻击什么时候发生及其在什么节点发生,倘若有必要的话还能把恶意攻击从网络断开或者至少把恶意攻击吓走。

在企业环境中部署BYOD模式时,可能会碰到的失误有哪些?

答:可能会遇到下面一些失误:一是过分依赖移动设备之类的管理软件,在设备发生丢失后,强行通过管理软件远程擦除设备中的数据,造成企业员工的不满;二是允许所有员工对所有应用程序具有访问权限;三是没有强化对员工的企业网络设备培训,导致员工安全意识较差,分不清楚哪些是应该做的和哪些是不应该做的;四是针对BYOD模式制订的安全策略并不全面,可能存在漏网之鱼。

针对BYOD模式天生存在的安全风险,请问是否有必要明确专人监控管理这类设备的使用流程,以便集中监控网络中的异常状态、网络中的潜在威胁、网络中的各种活动以及快速进行响应?

答:很有必要。企业应该明确专人通过一个集中的控制台,对整个流程提供全面的报告、连续的多通道标记报警统计、事件流程管理以及对整个控制平台进行有效管理。此外,明确专人负责监督、管理与执行BYOD模式实施工作有关的部门任务、制度、职责等,这个人要能负责决定在单位内部与BYOD实施相关的所有工作,包括哪些部门提供什么配合,单位内部允许使用什么设备,BYOD服务和数据计划付费等。

BYOD设备的种类多样性,会给企业内网安全带来挑战。企业该怎样有效控制员工个人的BYOD设备,不让其威胁单位内网安全呢?

答:制定明确的设备使用政策,让员工拥有或使用BYOD设备,特别是在工作过程中使用这类设备,应严格遵守单位制定的设备安全使用政策。一个有效的BYOD政策,应该包含一些基本的规定,比方说要求设备有一个个人身份识别码,确保只有员工自己能够使用这类设备,要求设备具有自动锁死功能,避免他人利用各种机会偷偷使用该设备,要求设备支持加密和远程删除数据等功能,以防止设备意外丢失。这个设备使用政策还应该规定,移动智能终端设备中能保存什么内容和不能保存什么内容,倘若这类设备意外丢失,还应要求员工采取什么措施,以及可以接受的和不可接受的备份流程等。更为重要的是,单位还应该与员工签订一个书面的设备使用协议,要求员工在使用这类设备时,必须要严格遵守设备使用政策。

当然,为了让设备使用政策得到很好落实,单位要尽可能为员工提供充分的帮助信息。比方说,企业要经常提醒员工不能将移动设备随意放置在酒吧或饭店的桌子上,而一定要时刻随身携带。在外出差住宿时,倘若不使用移动设备时,尽量将其锁在保险箱或其它安全设备中。要提醒员工,不过是工作用的智能手机还是笔记本电脑,都不能随意允许别人访问使用。

请问BYOD模式可能会给单位带来什么样的麻烦?

答:一是降低工作效率。企业员工可能会花很多工作时间用来上社交网络、跟好友聊天或者做更糟糕的事情,这既会降低员工自己的工作效率,也会由于大量占用网络带宽资源影响其他员工的工作效率。二是设备难以有效管理。由于每位员工选用的运营商不同,使用的设备品牌、型号不同,这容易给企业的集中管理带来很大麻烦。三是存在数据泄露可能。员工携带自己的移动设备进入企业内部网络环境,很容易将企业重要数据通过移动设备带走,而且移动设备很容易丢失,当不法分子获取到这些设备时,企业的重要数据自然就会落入陌生人手中。四是容易泄露密码。员工的移动设备上可能会保存着登录企业网络和应用服务的各种密码,这些密码可能存在于移动应用程序中,也可能直接保存在移动设备的内存中,当员工的移动设备丢失时,那么这些密码内容就容易对外泄露。五是增大病毒感染风险。员工设备的安全性是由员工个人保证的,不是每位员工都可以完全加固个人设备安全的,恶意软件、间谍软件以及常规的病毒木马程序等,都可能通过BYOD渗透到企业内网环境中。这些安全风险的传播速度十分快,很容易在企业内网环境中瞬间蔓延开来。六是过渡消耗宝贵的网络带宽资源。随着时间的推移,越来越多的员工个人设备接入单位内网环境,这样网络终端的数量很快就会超过原有的组网设计。还有就是原来大家都用计算机进行办公,往往只是上网查询文字资料。但现在上网终端多了,很多人开始上网玩游戏、听音乐、看电影,对网络带宽资源的占用也是不可同日而语,这样就会让企业内网不堪重负。七是遭遇第三方应用程序风险攻击。大量出现的第三方应用程序,虽然方便了移动智能终端的使用,但是也带来不小的安全隐患。移动智能终端设备实际上就是一台普通的计算机,只是“身材”小巧玲珑而已。所以,那些恶意的第三方应用程序会借助这类设备上的Wi-Fi、蓝牙等无线技术入侵企业内部网络,窃取隐私数据或者传播病毒程序,危害企业网络和数据安全。

请问怎样在静态IP地址和物理地址绑定的环境下,让BYOD模式安全可控?

答:要达到这个目的,可以部署专门的桌面安全管理系统,让该系统同时启用违规外联策略、准入策略、补丁分发策略。其中,通过违规外联策略,可以强制只有成功注册的设备,才能访问企业内网数据,不能访问外部数据,避免外部数据的安全威胁渗透到企业内网环境;通过准入策略可以强制需要访问企业内网的设备配置IP地址同时进行注册操作,注册的设备日后需要卸载的时候,只有桌面安全管理员才能将其卸载,企业员工不能自行卸载;通过补丁分发策略,可以对注册设备的杀毒工具工作状态、系统补丁安装状态、病毒库版本状态进行全面的安全检测。要是BYOD设备没有启动杀毒软件,没有安装漏洞补丁程序,可以根据策略提示员工到指定地址进行下载安装。相信通过这些策略,就能极大地改善BYOD模式的工作安全性。

当然,单位也要从制度着手,针对员工BYOD设备出台专门的管理办法,要求在BYOD设备上只能使用专业的客户端程序连接企业内网,通过严格的身份认证后才能进行操作,禁止在BYOD设备上保存企业重要数据,禁止离线处理企业数据;在企业内网使用BYOD设备前,一定要对其进行安全加固,包括打补丁程序、安装杀毒软件、安装安全软件、关闭不需要的端口和服务、配置强壮的密码等,确保BYOD设备自身是安全的。

BYOD设备携带方便,员工很容易通过它带走企业重要数据。请问是否能够实现BYOD设备和数据的分离,以避免上述现象?

答:目前已有一些企业软件制造商正在开发研制相关的专业工具,以便帮助用户在BYOD设备上将单位重要数据从个人信息中分离出来,以此来控制BYOD模式数据安全。善于使用这类分离工具,可以有效避免用户的应用程序访问企业重要数据,企业重要数据不能被复制或者耦合粘贴到个人应用程序中。

企业IT管理人员可以在BYOD设备上利用数据分离工具来保护敏感的单位数据。如果一个员工拥有一台BYOD设备,那么当他离开单位的时候,单位工作人员只要通过分离工具删除他的单位工作信息,而不会影响保存在对应设备中的个人信息。

从安全角度来看,如何限制员工通过BYOD设备从外部访问企业内网数据?

答:对于内网中的一些特殊数据或资源,可以通过设置防火墙规则,并使用VPN加密连接方式,来限制来自外部的不安全访问。VPN通过加密技术在Internet网络上封装出一个数据通讯隧道,通过这条加密隧道,企业员工不管在外地还是在家中办公,都能安全、高效地访问企业内部数据。

BYOD设备产生的安全风险可能有哪几种类型?

答:可能有两种类型:一是设备自身的风险。这是建立在现在的移动智能终端设备实际上是一种新型的拥有本地和云端存储功能的高效能计算机这一基础上的,同时比起常见的台式计算机和笔记本电脑,现在的企业较少可以控制这些移动智能终端设备。二是安装在这些设备中的应用程序风险。这种风险源于最终用户安装的第三方应用程序,这些应用程序通常能够访问到企业内部网络的数据,将数据保存到BYOD设备上,同时将数据传输到企业内网之外的位置。

为了让BYOD安全使用,很多企业会将重要数据保存在云端或中央服务器上,这就要求企业员工使用虚拟桌面访问企业资源,确保访问之后的数据不会遗留在移动终端设备上。请问使用虚拟桌面主要有什么作用?

答:移动虚拟桌面能够实现桌面系统的远程动态访问与数据中心的统一托管,既意味着员工能够使用任何移动设备,在任何时间和任何地点访问企业内网环境下的数据资源,还能随时进入属于员工自己的桌面系统。

为了预防员工使用BYOD设备随意访问外部网络,造成企业核心数据从本地被转移,单位该怎样监控员工的上网访问行为呢?

答:根据实际情况部署网络信息监测系统,控制本地上网,监控员工上网行为。结合内核数据截收和预处理技术、深度内容检测技术、智能识别阻断等专利技术,为客户解决网页过滤、封堵与工作无关的网络应用需求。企业可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略,过滤非工作相关的网页。同时制定精细的带宽管理策略,对不同岗位的员工、不同网络应用划分带宽通道,并设定优先级,合理利用有限的带宽资源,节省投入成本。并且可以制定全面的信息收发监控策略,有效控制关键信息的传播范围,以及避免可能引起的信息泄漏风险。

为了避免BYOD模式带来安全威胁,不少企业单纯地采取了封堵措施,限制BYOD被员工们通过各种形式访问企业内网环境,实际上该方法无法从根本上解决问题。要想管理好BYOD模式,想方设法提高员工的安全意识是根本,请问怎样才能增强单位员工使用BYOD设备的安全意识呢?

答:首先要强化安全观念的建设,让安全观念成为企业信息化建设过程中的一部分,企业和员工要共同承担BYOD模式可能带来的安全风险。其次要反复组织多次信息安全方面的知识培训,让员工掌握安全使用BYOD设备处理业务的技能,使员工对信息安全与企业发展、自身利益之间的关系有更加深刻的认识。

企业该怎样对BYOD设备加强安全认证,以保证BYOD模式的正常工作?

答:单位需要为BYOD设备的安全使用进行独立预算,因为为了防止设备发生硬件丢失行为,单位需要各类专业工具或认证工具来跟踪设备同时删除其中的隐私信息。单位IT管理人员一定要认真重视BYOD设备内部和外部的认证,确保合法可信的设备才能有权限访问单位内部网络中的重要数据。目前很多企业级移动设备平台基本都具有比普通设备内置的认证功能更为强健的认证体系,相同的认证策略能适应于各种不同种类的移动智能设备,同时能推广应用到整个单位网络。

虽然严格的设备认证制度会让员工每次使用设备时都要频繁输入密码,但是它是防范BYOD模式安全的一项必不可少的措施。单位IT管理人员一定要保证认证密码难以被暴力破解,同时要求员工不能将使用密码标记在某个显眼的位置。在对安全性要求较高的一些场合,要求单位员工频繁输入认证密码确实有点儿繁琐,不过这样反而能给员工予以严重警告:您当前正在使用的设备可能包含单位机密信息。

此外,企业级移动设备平台的安全认证体系,还应该可以远程删除丢失设备中的重要数据。当移动智能终端设备意外丢失或被盗后,在被丢失设备连接到Internet网络中时,跟踪工具应当与包含GPS功能的设备芯片保持同步,从而能有效跟踪并定位移动智能终端设备,并能远程删除所有的与单位工作有关的机密数据。

猜你喜欢
单位设备企业
谐响应分析在设备减振中的应用
企业
当代水产(2022年5期)2022-06-05 07:55:06
企业
当代水产(2022年3期)2022-04-26 14:27:04
企业
当代水产(2022年2期)2022-04-26 14:25:10
鸣谢单位(排名不分先后)
宁波通讯(2021年14期)2021-09-29 07:33:46
敢为人先的企业——超惠投不动产
云南画报(2020年9期)2020-10-27 02:03:26
填单位 要推敲
看错单位
幽默大师(2019年6期)2019-06-06 08:41:36
基于MPU6050简单控制设备
电子制作(2018年11期)2018-08-04 03:26:08
协办单位