BYOD趋势下的网安建议

2016/10/24 - DIGITIMES企划

随着移动设备及应用的迅速普及，BYOD的安全管理也越来越重要，如何在BYOD模式下加强数据、终端的安全性及可控性，也成为企业管理者最头疼的工作。

可控性主要是指对多种多样的移动设备应用行为进行管控，包括通过企业网络访问网际网络，以及访问企业内部服务器的权限管理等。企业IT系统要有能力禁止非法用户接入，在BYOD的应用中，使用者使用任何装置接入公司网络，都要进行认证才被允许接入，同时根据使用者的身份来自动匹配存取权限，保护公司内部网络和数据的安全。

由于现在针对移动设备的木马病毒越来越多，甚至已开始影响企业采用BYOD的意愿。据戴尔调查统计，在2014年原本有32%的企业表示，愿意接受员工用自己智能手机接上公司云端，但至2015年已经降至28%；至于企业让公司本身的智能手机使用比重，从2014年的51%，至2015年也调高至56%。

为了不让BYOD成为入侵企业网络的元凶，变成企业内部网络病毒泛滥的根源。企业必须有能力针对BYOD进行「体检」，检测这些移动设备是否符合企业规定的安全规则，如是否带有病毒、木马，系统档是否被恶意修改等。

值得注意的是，由于移动设备在企业内部使用时，往往会需要接入企业Wi-Fi网络，但所有接入企业Wi-Fi网络的人员，却未必都是可信任的员工。因此企业要有能力检测到所有接入公司Wi-Fi网络的移动设备，对于不信任的非法终端接入，要能对其网络接入进行封堵，禁止其存取企业内网资源，同时针对使用者行为进行管控，拒绝对危险应用、危险网站的访问申请，管控可靠网站的存取权限，从源头上把握住内部信息安全，规避企业网络安全风险。

为了有效管控使用者存取企业内往资源的行为，企业首先可以针对使用者提供多种身份认证方式，包括帐号口令、动态权杖、短信认证、硬件特徵码认证、证书认证及外部认证，创建一个基于使用者标识的存取控制基础。其次，可以提供基于服务器、应用程序、URL、数据夹等数据物件的精细授权策略，保证使用者可以对企业内网资源的合法授权访问。

一般来说，对于不在公司网域的员工，是无法进入公司的内部网络的，这时就可以利用Windows内建的离线网域，将BYOD设备加入公司内部网络。BYOD 的设备加入公司内部网络时，公司可以利用群组原则管理电脑和使用者设定，或是参考 IE的组态原则设定加以管理，防止使用者任意更动系统设定，并可在同一的网域内透过集中管理的方式，安装与维护网域中每一电脑或使用者的作业环境。

此外，IT人员也可使用AppLocker来限定使用者从Windows市集上下载的应用程序，管理应用程序的权限，或是利用BitLocker来加密、修复以及移除操作系统，帮助使用者从里到外完整的保护数据。而Windows Intune让管理者除了可以使用组态管理员外，也可以在BYOD的设备中，建立一个云端的解决方案。

在Windows企业版中还提供了 Windows To Go的功能，该项功能可以让使用者在任何的 Windows设备中建立一个Windows To Go的作业环境，让使用者可以在不同电脑中工作。

BYOD的形式是可以很复杂的，但管理者并不会让所有的装置都允许存取公司内部网络，这时候就可以利用虚拟桌面基础结构 VDI 提供一个虚拟桌面。 IT人员也可利用侧载(Sideloading)帮BYOD设备安装应用程序，以省去发布的必要。

BYOD已然成为趋势，允许员工自带移动设备存取企业内部资源，不仅能够满足员工自身对于新科技和个性化的追求，同时也能提高员工的工作效率，还可以降低企业在移动设备上的投入成本。但另一方面，如何在BYOD模式下能够正常工作，如何加强数据、终端安全性以及可管控性，则需要企业去选择适合自己的解决方案。


图说：BYOD趋势允许员工自带移动设备存取企业内部资源，能够满足员工自身对于新科技和个性化的追求。(Wikipedia)