一聲招呼也沒打,安全負(fù)責(zé)人就匆忙離開了會議室。她的身體語言透露出那是一個重要的電話。當(dāng)她返回到會議室,所有人的目光都不自覺地提出了疑問,想知道發(fā)生了什么。無需更多提示,安全負(fù)責(zé)人直接說到:“CEO想知道為什么她不能在她的iPad上面觀看YouTube視頻。雖然這違反公司規(guī)定,但我們必須允許讓她能看。同時,她還希望能夠用她的iPhone訪問她的電子郵件和日程安排。”以上是發(fā)生在一家大型金融機構(gòu)內(nèi)的真實事件。
員工自帶設(shè)備辦公(BYOD)已成趨勢,將以加速發(fā)展的步伐變得清晰起來,并且必然與云緊密相連。在考慮這一趨勢的含義時是有多條軌跡的。證據(jù)是顯而易見的,因為大多數(shù)的智能電話利用云為消費者提供服務(wù)。術(shù)語“shadow IT”已經(jīng)存在有一段時間了,但在今天尤其切題。歷史上從沒有任何時候像今天這樣在一個公司的網(wǎng)絡(luò)上能輕松繞過IT部門消費云服務(wù),并使用非標(biāo)準(zhǔn)設(shè)備。像上面提到的例子那樣,CEO跑到IT部門為業(yè)務(wù)需要要求獲得某項云中的服務(wù),這種情況經(jīng)常發(fā)生。
在最近于舊金山召開的RSA大會云安全小組討論會上,來自eBay, Sallie Mae, Humana 和 Bank of America的首席信息安全官們都一致認(rèn)同:安全部門需要對這些需求做出預(yù)判,并在面臨這些問題之前就做好準(zhǔn)備。換句話說就是,信息安全部門的操作方式需要進行根本性的模式轉(zhuǎn)變。在面對可能增加風(fēng)險的申請時不是繼續(xù)說“no”,而是需要說“yes”,并創(chuàng)造性地設(shè)計出解決方案同時降低風(fēng)險。
在公司中,下一代員工似乎對社交媒體之前的世界一無所知,他們會要求能夠使用他們自己的設(shè)備。在很多案例中,他們都提到這會提高生產(chǎn)力和效率。另外,他們可能將此作為加盟一家單位的一項必要條件。在招募人員時允許使用自己的設(shè)備可能成為一項激勵措施,或者與另一家不允許這樣做的公司對著干的措施。
這樣還有益處可享。隨著用戶趨向在自己的設(shè)備上研究和解決自己的問題,支持成本會隨之降低。這還可能成為一家公司朝著設(shè)備無關(guān)、面向服務(wù)的結(jié)構(gòu)邁進的不可拒絕的理由;從長期看為開發(fā)、操作和維護帶來成本的節(jié)約。
允許員工使用他們自己的設(shè)備會帶來許多風(fēng)險,但這些風(fēng)險很少是有經(jīng)驗的安全專業(yè)人員沒見過的。這些設(shè)備需要作為部分可信的端點來對待,或者在大多極端情況下作為完全不可信的端點來對待。主要的考慮是BYOD會使風(fēng)險提高。非標(biāo)準(zhǔn)設(shè)備可能比傳統(tǒng)的、由公司發(fā)放的使用非常嚴(yán)格的措施鎖住的設(shè)備更容易地被攻擊者損害。
應(yīng)對由BYOD帶來的風(fēng)險增長,可遵循如下一些策略:
· 倡導(dǎo)鼓勵安全文化。安全觀念應(yīng)成為企業(yè)有機整體的一部分。這需要進行文化轉(zhuǎn)變。安全觀念必須成為一個能動器并嵌入到企業(yè)的各個方面。不能將安全意識看作企業(yè)創(chuàng)造精神的障礙。
· 教育、測試、重復(fù)。單位和終端用戶必須共同承擔(dān)責(zé)任。在最近召開的RSA大會上,著名安全名人(先前的黑客)Kevin Mitnick反復(fù)強調(diào),社會工程仍是最容易的讓安全意識滲透一家公司的方式。實際上,許多高級持久威脅(APT)都涉及使用Spear Phishing網(wǎng)絡(luò)釣魚方式,捕獲安全意識缺乏的員工,來損害網(wǎng)絡(luò)。因此,不要停止對員工進行教育。必須定期在員工最沒有想到的時候?qū)T工進行測試(并讓他們意識到缺失),加強正確行為方式的建立。
· 建立易于理解的BYOD規(guī)定。不要依靠用戶破譯“安全語言”。例如“要確保你的設(shè)備安裝有我們公司強制安裝的軟件。你可按如此步驟從這個地點下載并安裝。”
· 執(zhí)行訪問控制策略。應(yīng)依靠身份、背景和規(guī)定對資源(例如數(shù)據(jù)和應(yīng)用)進行保護。如果系統(tǒng)不能確定用戶的身份,如果不符合合規(guī)標(biāo)準(zhǔn)(例如屏幕解鎖口令/PIN未激活)或者沒有安裝必裝的軟件(如防病毒軟件),就不能允許設(shè)備訪問資源。根據(jù)所處地點和連接是否加密等因素通過對訪問進行限制來應(yīng)用背景。
· 使補救過程自動化。通過將大多數(shù)補救過程自動化盡可能簡單地使用戶能確保設(shè)備合規(guī)。不要依靠用戶能自覺了解他們需要下載和安裝一系列軟件。這可利用身份分配和配置管理技術(shù)來實現(xiàn)。
· 利用安全信息和事件管理工具進行監(jiān)控。利用可提供身份綁定的審計和控告智能的安全信息和事件管理(SIEM)解決方案對所有在公司網(wǎng)絡(luò)上訪問資源的設(shè)備進行監(jiān)控。在一個充滿部分可信、潛在受損設(shè)備的環(huán)境下,具備洞察力是首要的,而事件響應(yīng)時間則是關(guān)鍵性的。
· 使用具有擔(dān)保層級的身份聯(lián)盟。通過跨分區(qū)將用戶身份進行聯(lián)盟并依靠信任級別執(zhí)行訪問控制,在具有許多身份來源的環(huán)境中以一種安全的、基于標(biāo)準(zhǔn)的方式降低操作成本。作為一個例子,我們來考慮員工內(nèi)部身份和他們的在線身份之間有重疊的問題。使用自己設(shè)備的用戶通常已經(jīng)登錄到他們的在線帳戶中(如微博),為保證易于使用和透明的一次登錄,安全策略可以實施為支持多個擔(dān)保層級。如果某員工已經(jīng)登錄到微博,內(nèi)部應(yīng)用可利用那個身份,但給他較低的信任級別。這樣,員工就可使用其微博資格訪問內(nèi)聯(lián)網(wǎng)非敏感部分。但如果想訪問公司的電子郵件,他就需要提供員工資格從而執(zhí)行更高一級的擔(dān)保,即該員工是他所聲稱的這個人。
· 提供安全設(shè)備。為員工提供他們所選擇的設(shè)備并確保這些設(shè)備裝載了要求的軟件和控制。這為單位和個人提供了一個雙贏局面。員工使用自己選擇的設(shè)備無需付錢,并可以安全和合規(guī)的方式訪問公司環(huán)境。
· 控制從設(shè)備的訪問。當(dāng)通過非標(biāo)準(zhǔn)設(shè)備進行檢索時要確保對敏感數(shù)據(jù)的訪問得到控制。例如,可通過提供遠(yuǎn)程會話允許員工利用該信息,但永遠(yuǎn)不物理地將數(shù)據(jù)存儲到非標(biāo)準(zhǔn)設(shè)備上。
· 對敏感數(shù)據(jù)加密。對任何放在被認(rèn)為是公司財產(chǎn)的非標(biāo)準(zhǔn)設(shè)備上的數(shù)據(jù)進行加密處理。這可包括員工的公司電子郵件。
應(yīng)對BYOD風(fēng)險不存在一個一勞永逸的方法。上面所列各點是為思考過程提供起始點。它們可相互獨立使用,或針對具體需要以不同的組合使用。
現(xiàn)在我們應(yīng)該清楚地明白,制定BYOD政策并不是授權(quán)員工可攜帶自己的設(shè)備同時讓公司免去提供設(shè)備。它實際上是關(guān)于制定一項策略,管理設(shè)備,以一種安全的方式訪問公司數(shù)據(jù)。它是關(guān)于如何處理IT消費化的問題和如何對待員工正開始在設(shè)備上講他們的個人生活和工作混合在一起這一事實,不管設(shè)備是由單位提供的還是他們自己購買的。
BYOD已成為指定術(shù)語用于描述這種企業(yè)IT的消費化。這種趨勢將會繼續(xù)加速發(fā)展。它將比人們預(yù)想的來得更快,并由多個因素推動。如果一家單位沒有做好應(yīng)對BYOD帶來的風(fēng)險的準(zhǔn)備,就將會被拋在后面。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:應(yīng)對員工自帶設(shè)備辦公(BYOD)所帶來的安全風(fēng)險
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112187008.html