BYOD趋势下的网安建议 智能应用 影音
Microchip
ST Microsite

BYOD趋势下的网安建议

  • DIGITIMES企划

BYOD趋势允许员工自带移动设备存取企业内部资源,能够满足员工自身对于新科技和个性化的追求。Wikipedia
BYOD趋势允许员工自带移动设备存取企业内部资源,能够满足员工自身对于新科技和个性化的追求。Wikipedia

随着移动设备及应用的迅速普及,BYOD的安全管理也越来越重要,如何在BYOD模式下加强数据、终端的安全性及可控性,也成为企业管理者最头疼的工作。

可控性主要是指对多种多样的移动设备应用行为进行管控,包括通过企业网络访问网际网络,以及访问企业内部服务器的权限管理等。企业IT系统要有能力禁止非法用户接入,在BYOD的应用中,使用者使用任何装置接入公司网络,都要进行认证才被允许接入,同时根据使用者的身份来自动匹配存取权限,保护公司内部网络和数据的安全。

由于现在针对移动设备的木马病毒越来越多,甚至已开始影响企业采用BYOD的意愿。据戴尔调查统计,在2014年原本有32%的企业表示,愿意接受员工用自己智能手机接上公司云端,但至2015年已经降至28%;至于企业让公司本身的智能手机使用比重,从2014年的51%,至2015年也调高至56%。

为了不让BYOD成为入侵企业网络的元凶,变成企业内部网络病毒泛滥的根源。企业必须有能力针对BYOD进行「体检」,检测这些移动设备是否符合企业规定的安全规则,如是否带有病毒、木马,系统档是否被恶意修改等。

值得注意的是,由于移动设备在企业内部使用时,往往会需要接入企业Wi-Fi网络,但所有接入企业Wi-Fi网络的人员,却未必都是可信任的员工。因此企业要有能力检测到所有接入公司Wi-Fi网络的移动设备,对于不信任的非法终端接入,要能对其网络接入进行封堵,禁止其存取企业内网资源,同时针对使用者行为进行管控,拒绝对危险应用、危险网站的访问申请,管控可靠网站的存取权限,从源头上把握住内部信息安全,规避企业网络安全风险。

为了有效管控使用者存取企业内往资源的行为,企业首先可以针对使用者提供多种身份认证方式,包括帐号口令、动态权杖、短信认证、硬件特徵码认证、证书认证及外部认证,创建一个基于使用者标识的存取控制基础。其次,可以提供基于服务器、应用程序、URL、数据夹等数据物件的精细授权策略,保证使用者可以对企业内网资源的合法授权访问。

一般来说,对于不在公司网域的员工,是无法进入公司的内部网络的,这时就可以利用Windows内建的离线网域,将BYOD设备加入公司内部网络。BYOD 的设备加入公司内部网络时,公司可以利用群组原则管理电脑和使用者设定,或是参考 IE的组态原则设定加以管理,防止使用者任意更动系统设定,并可在同一的网域内透过集中管理的方式,安装与维护网域中每一电脑或使用者的作业环境。

此外,IT人员也可使用AppLocker来限定使用者从Windows市集上下载的应用程序,管理应用程序的权限,或是利用BitLocker来加密、修复以及移除操作系统,帮助使用者从里到外完整的保护数据。而Windows Intune让管理者除了可以使用组态管理员外,也可以在BYOD的设备中,建立一个云端的解决方案。

在Windows企业版中还提供了 Windows To Go的功能,该项功能可以让使用者在任何的 Windows设备中建立一个Windows To Go的作业环境,让使用者可以在不同电脑中工作。

BYOD的形式是可以很复杂的,但管理者并不会让所有的装置都允许存取公司内部网络,这时候就可以利用虚拟桌面基础结构 VDI 提供一个虚拟桌面。 IT人员也可利用侧载(Sideloading)帮BYOD设备安装应用程序,以省去发布的必要。

BYOD已然成为趋势,允许员工自带移动设备存取企业内部资源,不仅能够满足员工自身对于新科技和个性化的追求,同时也能提高员工的工作效率,还可以降低企业在移动设备上的投入成本。但另一方面,如何在BYOD模式下能够正常工作,如何加强数据、终端安全性以及可管控性,则需要企业去选择适合自己的解决方案。

关键字