BYOD趨勢下的資安建議
- DIGITIMES企劃
-
隨著行動裝置及應用的迅速普及,BYOD的安全管理也越來越重要,如何在BYOD模式下加強資料、終端的安全性及可控性,也成為企業管理者最頭疼的工作。
可控性主要是指對多種多樣的行動裝置應用行為進行管控,包括通過企業網路訪問網際網路,以及訪問企業內部伺服器的許可權管理等。企業IT系統要有能力禁止非法用戶接入,在BYOD的應用中,使用者使用任何裝置接入公司網路,都要進行認證才被允許接入,同時根據使用者的身分來自動匹配存取權限,保護公司內部網路和資料的安全。
由於現在針對行動裝置的木馬病毒越來越多,甚至已開始影響企業採用BYOD的意願。據戴爾調查統計,在2014年原本有32%的企業表示,願意接受員工用自己智慧型手機接上公司雲端,但至2015年已經降至28%;至於企業讓公司本身的智慧型手機使用比重,從2014年的51%,至2015年也調高至56%。
為了不讓BYOD成為入侵企業網路的元凶,變成企業內部網路病毒氾濫的根源。企業必須有能力針對BYOD進行「體檢」,檢測這些行動裝置是否符合企業規定的安全規則,如是否帶有病毒、木馬,系統檔是否被惡意修改等。
值得注意的是,由於行動裝置在企業內部使用時,往往會需要接入企業Wi-Fi網路,但所有接入企業Wi-Fi網路的人員,卻未必都是可信任的員工。因此企業要有能力檢測到所有接入公司Wi-Fi網路的行動裝置,對於不信任的非法終端接入,要能對其網路接入進行封堵,禁止其存取企業內網資源,同時針對使用者行為進行管控,拒絕對危險應用、危險網站的訪問申請,管控可靠網站的存取權限,從源頭上把握住內部資訊安全,規避企業網路安全風險。
為了有效管控使用者存取企業內往資源的行為,企業首先可以針對使用者提供多種身分認證方式,包括帳號密碼、動態權杖、短信認證、硬體特徵碼認證、證書認證及外部認證,創建一個基於使用者標識的存取控制基礎。其次,可以提供基於伺服器、應用程式、URL、資料夾等資料物件的精細授權策略,保證使用者可以對企業內網資源的合法授權訪問。
一般來說,對於不在公司網域的員工,是無法進入公司的內部網路的,這時就可以利用Windows內建的離線網域,將BYOD設備加入公司內部網路。BYOD 的設備加入公司內部網路時,公司可以利用群組原則管理電腦和使用者設定,或是參考 IE的組態原則設定加以管理,防止使用者任意更動系統設定,並可在同一的網域內透過集中管理的方式,安裝與維護網域中每一電腦或使用者的作業環境。
此外,IT人員也可使用AppLocker來限定使用者從Windows市集上下載的應用程式,管理應用程式的權限,或是利用BitLocker來加密、修復以及移除作業系統,幫助使用者從裡到外完整的保護資料。而Windows Intune讓管理者除了可以使用組態管理員外,也可以在BYOD的設備中,建立一個雲端的解決方案。
在Windows企業版中還提供了 Windows To Go的功能,該項功能可以讓使用者在任何的 Windows設備中建立一個Windows To Go的作業環境,讓使用者可以在不同電腦中工作。
BYOD的形式是可以很複雜的,但管理者並不會讓所有的裝置都允許存取公司內部網路,這時候就可以利用虛擬桌面基礎結構 VDI 提供一個虛擬桌面。 IT人員也可利用側載(Sideloading)幫BYOD設備安裝應用程式,以省去發布的必要。
BYOD已然成為趨勢,允許員工自帶行動裝置存取企業內部資源,不僅能夠滿足員工自身對於新科技和個性化的追求,同時也能提高員工的工作效率,還可以降低企業在行動裝置上的投入成本。但另一方面,如何在BYOD模式下能夠正常工作,如何加強資料、終端安全性以及可管控性,則需要企業去選擇適合自己的解決方案。
