BYOD下的企业信息安全.docxVIP

BYOD 下的企业信息安全 BYOD （ Bring Your Own Device ，自带设备办公）并 非新鲜事物，然而绝大多人才刚刚开始认识这个新概念。 BYOD ，指企业员工携带自己的设备进行移动办公，这些设 备包括个人电脑、手机、平板等。最大的特点是随时随地、 随心而用，及时地根据个人或者企业喜好利用移动终端来处 理工作。 BYOD 的原动力来自于员工而非企业， 其增长受到平板 电脑和智能手机普及的刺激。员工对于新科技的喜好反过来 驱动企业变更和适应新技术的变化，许多企业开始考虑允许 员工自带智能设备使用企业内部应用。 BYOD 可以帮助公司 减少 IT 设备的支出，也可能由于个人设备的可移动性特色， 使得工作处理延伸到办公室之外，提高工作效率。 安全隐患 BYOD 的核心理念是用户可以将平板电脑之类的个人 设备既用于工作也用于私人事务。如果企业鼓励这种用户行 为，我们可以想象一下，当用户带着自己的设备连接公司网 络时，就可能让各种恶意软件通过公司网络进行传播，企业 就要为此承担更多的安全风险。同时更多的设备意味着更多 的安全和管理成本、 更多的应用许可证以及 Helpdesk 要处理 更多的潜在问题。 不论企业采用哪种移动终端平台，恶意链接以及钓鱼软 件的问题都困扰着管理员。苹果 iOS 固有的安全机制可以很 好地防范手机病毒和恶意代码，但国内用户极高的“越狱” 比例会严重影响到 BYOD 的安全环境。 另外，安卓（ Android ）设备的 Root 破解方法变得越来越简单， 很大一部分持有者可能会尝试取得 Root 权限并在终端上安装各种与公司业务无 关的应用。 Gartner 2012 年的《制定自带设备办公（ BYOD ）策略》报告指出： “移动性可以促进业务连续性、改进协作、 简化远程工作并提高员工的留任率。此外，许多年轻员工也在敦促企业接受移动解决方案。不过，移动设备的消费化、无线技术的进步以及语音用户的需求，超出了许多企业安全 管理各种移动端点以及其中所包含信息的能力。 IT 员工努力在企业的安全性和可管理性需求与用户的灵活性和可访问 性需求之间取得平衡。 ” BYOD 确实可能帮公司省不少钱， 可是这种“公私不分” 的方式也为企业带来不少安全隐患。据 Gartner 的调查显示， 企业中 75%的平板电脑、笔记本电脑、智能手机终端都由员 工购买，这导致了很多不受安全限制的终端涌入企业网络 中。为此，一些网络安全策略比较严格的公司，只会接受指 定标准版本的 iOS 和 Android 设备作为核心 BYOD 策略，并 采用无线接入安全和移动设备管理解决方案，但这样一来， 往往与 BYOD 的本意背道而驰。 企业不得不权衡该趋势所带 来的工作效率提高与由此而引发的重大安全挑战。 安全策略 和 IT 行业的其他领域一样， 可以设置一些规则将 BYOD 的安全风险最小化。对于从未实施过 BYOD 计划的企业而 言，更应先从制度体系及企业自身的风险偏好出发，制定 BYOD 策略。 1.支持哪些设备？ 现在市面上移动设备五花八门，每种产品都有自己的内 置系统，并且互不兼容， 如苹果、安卓、微软，因此设置 BYOD 策略的一个好的出发点在于：哪一类设备可以访问公司网 络。首先，企业应要求参与 BYOD 的员工通过正常购买渠道 购买个人设备，确保参与计划的员工可以和供应商直接建立 服务关系。 BYOD 员工通常会将消费类设备带到企业中， 并希望它 们能与企业应用和服务一同运行。这可能包括企业业务应 用、移动和微应用以及面向个人消费者的 SaaS服务。 IT 部 门应决定是否允许将此类设备用于办公，如果允许，还应决 定它们能否直接应用于与工作相关的数据所在环境中的设 备上。 2.允许什么级别的访问？ 依据工种需要，用户的访问级别不一样。例如，销售人 员可能使用平板电脑的几率多过使用台式机的几率。技术支持的员工则更常在某段行程的途中使用笔记本或平板电脑。这意味着技术支持员工对比销售人员而言就产生了不同的访问请求。 企业应该明确规定允许公司内的哪些人使用自己的个人设备，不管是临时使用的终端设备，还是永久性地代替企 业设备， 还是介于这二者之间。 根据工作者类型、 出差频率、性能或员工是否需要离线接入敏感数据等标准进行判定。这 可以看做是人们可能希望获得的特权、对员工需求的响应、对特定职位上的人员的要求，安全人员需要结合具体需求，判断风险收益比，确定开通访问权限的级别。 由于 BYOD 对应的设备属于员工个人而非企业， 因此如何定义 BYOD 项目中 IT 管理的范畴，精确区分企业数据 与个人隐私就是非常重要的问题。 在技术方面，移动终端管理软件需要支持企业数据与个人数据的安全分割，在管理制度方面，企业需要与员工明确