本文由Stonesoft公司北美分部高级副总裁Richard Benigno应Network World网站之邀所撰写。
随着自备设备(简称BYOD)办公趋势迅速演变为企业事务的公认处理准则,IT部门及从业人员必须紧跟时代步伐、了解这种势头将如何影响企业网络安全策略的各个方面。
BYOD是一种技术趋势,它的出现令企业从规避风险转型为主动对风险加以管理。事实上很多IT机构都没能正确认识BYOD中的核心实质,他们往往只专注于解决宏观问题中的一个侧面——例如设备本身。但在我看来,如果企业希望尽量降低BYOD安全风险的出现可能性,他们首先要做的应该是对网络安全生态系统进行评估、掌握新形势下可能出现的各类新弱点及其影响力。
接下来我们将与大家共同分享十项技巧,它们不仅能够有效保证企业采用BYOD方案之后的业务安全性,同时也将促进远程访问关键性业务信息的安全性。
1. 密码保护还不够,我们需要全方位的身份验证。在BYOD所带来的高度风险之下,传统的静态密码根本不足以保护敏感业务数据及系统的远程访问安全。企业应该考虑引入多种身份验证要素借以加强安全性,同时坚持将业务可用性摆在第一位。如果能将一次性密码及后备通知方案(例如以短信形式通知)二者添加到认证机制中来,相信能够从宏观角度令安全体系更为稳固。
2. 利用基于SSL的VPN确保远程访问安全。在用户验证工作准备就绪之后,企业接下来就要在网络连接的安全性方面多下点心力。SSL VPN能够赋予员工极大的灵活性,允许他们安全地从任何位置的任何移动设备上访问企业内部网络。除此之外,与IPSec不同,SSL VPN能够在无需为设备安装任何额外软件的前提下提供安全的远程连接服务。
3. 利用单点登录防止密码多次输入。为每一款应用程序单独输入一次密码既繁琐累人、又增加了安全风险,因为用户为了记忆并管理不同的密码内容,往往会采用非常危险的记录方式。单点登录(简称SSO)工具的出现使企业员工得以通过一套密码访问一系列业务及云应用程序,而且这套机制还能够与SSL VPN配置携手发挥作用。
4. 终端节点控制。一旦员工决定离开企业,我们必须马上剥夺他们的网络访问权。然而事情永远是说起来简单,事实上我们很难找到一套高效及快速的方案及时处理这类问题。不过有需求就有市场,如今企业级设备管理解决方案已经极大丰富,我们不仅能通过它们处理员工事务、还可以只敲几下键盘就快速删除特定用户的访问权限。不过大家需要注意的是,整个变更流程不应该涉及用户群的重新定义,否则工作将变得既费时又容易出错。
5. 申请一套通用型ID。什么是通用型ID?简单来说就是将一位用户的身份存储在多套系统当中,最典型的例子就是我们可以利用自己的Facebook或者Twitter账号登录其它网站。这种思路在企业内部也同样可行,我们可以在完成对用户的身份验证后,允许他们访问合理控制下的内部及外部系统。通用型ID同样支持员工的单点登录习惯。这么做有什么好处?首先,员工能够很方便地登录任何得到批准的系统;其次,企业能够将包括云基础应用程序在内的所有事务通通纳入监控范畴;第三,服务供应商也不必再为维护多套用户配置文件而焦头烂额了。
6. 软件令牌与BYOD。物理安全设备已经成为高风险与繁琐操作的代名词,BYOD的出现则彻底扭转了这一不利局面。企业如今不必再花费高昂成本购买、管理并分发硬件令牌或同类物理安保设备。软件安全令牌已经蓬勃发展,并且能与大多数员工的智能手机紧密协作。这种由企业员工积极参与的“人体工程学”解决方案能够给公司与个人带来双赢,同时也让技术人员得以更轻松地更新并管理安保机制,并根据当前威胁及时做出反应。
7. 整个流程需尽在掌握。BYOD带来的风险不容忽视,技术人员必须在网络活动、外来威胁及异常状况等方面做好集中化监控工作,同时确保反应的快速与准确性。最重要的是要构建一套集中式管理控制台,管理员通过它获得全面报告、事故过程管理、持续多路报警、地理标记统计以及应用程序处理能力,并在整套平台上实现强有力的控制目标。
8. 任命管理者、执行新策略。BYOD策略管理工作不应该被混杂在万百上千的其它普通IT管理任务之中,我们建议大家为此指派专门负责人及处理团队。任何一位跨职能的管理者,他将把全部注意力集中在政策、方针、角色以及职责等与BYOD策略执行流程相关的细化工作身上。这位管理者将负责确定BYOD在企业中各个领域的实施进展,包括哪些设备允许引入,哪些部门能够支持新策略,谁要为技术支持、服务及数据计划买单等等。
9. 严格制定管理政策。无论设备的所有者是谁,希望在工作中使用自有设备的员工都必须遵守企业制定的信息安全协议。一套严谨的BYOD管理政策应该涵盖各种基础内容,例如要求设备启用自动锁定功能并需要通过个人识别码(简称PIN)解锁、支持数据加密及外远擦除以防止失窃等等。政策中还应明确规定哪些类型的数据允许被存储在员工设备中、一旦设备被盗该如何处理、哪些备份流程值得鼓励、哪些备份流程有违规章。最重要的是,企业还应与员工签订一套书面的用户管理协议并详加说明,保证员工切实了解规范使用个人设备的重要性并定期自查安全机制。
10. 鼓励员工积累技术知识。别指望着员工能积极主动学习技术知识——这一切都需要在官方的引导及施压下才可能实现。企业应对员工定期审查,了解他们是否掌握了最基本的移动设备安全保护措施。例如一旦设备丢失或被盗,物主应该怎样处理;设备如何实现定期更新;不用设备要及时锁定;下载应用程序时认真阅读提示、不能盲目点确定。
只要严格执行上述技巧,相信大家都能够顺利将BYOD转化为企业运转流程的一部分,同时有效保护自己的现有安全生态系统。
原文名:10 tips for implementing BYOD securely
转载链接:http://www.cioage.com/art/201209/98766.htm