BYOD安全管控問答

■江蘇 陳滬娟

編者按：BYOD既節(jié)約企業(yè)的成本，又提高了員工的工作效率，越來越受到歡迎，但是也因工作靈活性以及設(shè)備多樣化給企業(yè)帶來了新的安全問題。

BYOD模式出現(xiàn)在企業(yè)環(huán)境的原動(dòng)力是什么？

答：BYOD模式的原動(dòng)力來自于單位員工，而不是單位本身，員工對(duì)于新科技的喜好反過來驅(qū)動(dòng)單位變更和適應(yīng)新技術(shù)的變化。不過，單位在實(shí)施BYOD之前，往往會(huì)引來員工和領(lǐng)導(dǎo)的激烈爭(zhēng)論。有些員工會(huì)認(rèn)為，BYOD能像無線網(wǎng)絡(luò)是有線網(wǎng)絡(luò)補(bǔ)充概念一樣，能被所有人迅速接受，從而很快融入單位IT環(huán)境，成為其中的一份子。這些員工明顯忽視了BYOD模式最根本的屬性，員工在驅(qū)動(dòng)單位接受該模式的過程中，員工對(duì)移動(dòng)終端設(shè)備自身是占有主動(dòng)控制權(quán)的。而許多單位的IT決策者和領(lǐng)導(dǎo)者之所以能冒上信息被竊取、數(shù)據(jù)被攻擊的安全風(fēng)險(xiǎn)，來不遺余力地接受BYOD模式，主要是希望該模式能將辦公成本轉(zhuǎn)嫁到員工身上，以節(jié)省單位開支，同時(shí)讓單位員工能進(jìn)行隨時(shí)加班，從而大幅度提升員工工作效率。不得不承認(rèn)，在BYOD模式初步發(fā)展的過程中，出現(xiàn)各種各樣的爭(zhēng)論是很正常的，不過從單位需要重新調(diào)整包括規(guī)章制度、安全等事項(xiàng)以及員工追求靈活的工作模式來看，就能輕松否定上面的觀點(diǎn)。倘若移動(dòng)終端設(shè)備上有越來越多的應(yīng)用支撐，那么BYOD模式的發(fā)展將會(huì)來的更加迅猛。

BYOD模式可能會(huì)通過哪些途徑，對(duì)外泄露重要數(shù)據(jù)？

答：首先是存儲(chǔ)途徑。BYOD設(shè)備自身就是一個(gè)容量很大的數(shù)據(jù)存儲(chǔ)設(shè)備，使用起來與常見的優(yōu)盤幾乎一樣方便。一些別有用心的員工，例如有跳槽打算的、受到領(lǐng)導(dǎo)批評(píng)的、被競(jìng)爭(zhēng)對(duì)手收買的、工作不順心的等等，就會(huì)利用工作之便，借助于方便小巧的BYOD設(shè)備將企業(yè)重要數(shù)據(jù)泄露出去。這些數(shù)據(jù)一旦泄露出去，后果將不堪設(shè)想，危害相當(dāng)大。當(dāng)然，也有的企業(yè)員工自身就是企業(yè)核心數(shù)據(jù)的研發(fā)者、使用者和保管者，企業(yè)內(nèi)部員工利用工作之余竊取企業(yè)數(shù)據(jù)，特別是核心商業(yè)機(jī)密數(shù)據(jù)已經(jīng)成為司空見慣的事情。

其次是上網(wǎng)途徑。一些BYOD設(shè)備能夠方便地充當(dāng)Modem角色，這讓企業(yè)員工還可以利用BYOD設(shè)備將自己工作用的計(jì)算機(jī)接入外部網(wǎng)絡(luò)，使之暴露在復(fù)雜的Internet網(wǎng)絡(luò)環(huán)境中。在員工進(jìn)行網(wǎng)絡(luò)活動(dòng)時(shí)，可能會(huì)遭遇病毒、木馬、黑客等惡意程序的襲擊，使得工作用計(jì)算機(jī)的數(shù)據(jù)被竊取或破壞。

第三是藍(lán)牙途徑。支持藍(lán)牙功能的BYOD設(shè)備也存在潛在的數(shù)據(jù)泄露風(fēng)險(xiǎn)。這種功能讓企業(yè)員工在短距離內(nèi)連接上同類設(shè)備，這讓一些惡意用戶可以使用具備同等功能的藍(lán)牙設(shè)備，通過企業(yè)員工的設(shè)備作為進(jìn)入企業(yè)內(nèi)網(wǎng)的接入點(diǎn)竊取重要數(shù)據(jù)。

企業(yè)在部署B(yǎng)YOD模式時(shí)，該對(duì)員工BYOD設(shè)備提出怎樣的要求？

答：雖然BYOD主要針對(duì)各類移動(dòng)終端設(shè)備，但是在單位內(nèi)網(wǎng)環(huán)境中，個(gè)人電子設(shè)備得到廣泛支持并不是件很容易的事，因?yàn)閱挝痪W(wǎng)絡(luò)在接納各類電子設(shè)備時(shí)，往往會(huì)考慮產(chǎn)品的工作穩(wěn)定性以及可延續(xù)性，同時(shí)會(huì)考慮對(duì)第三方應(yīng)用的廣泛支持。從目前的眾多單位BYOD實(shí)施過程來看，蘋果的i系列設(shè)備明顯占據(jù)了上風(fēng)，而且這種優(yōu)勢(shì)幾乎是壓倒性的，現(xiàn)在越來越多的單位開始采用蘋果設(shè)備作為辦公設(shè)備的一部分。對(duì)于單位來說，他們當(dāng)然希望用戶將那些品牌過硬的、應(yīng)用支持廣泛的、市場(chǎng)認(rèn)可度高的設(shè)備帶到單位的辦公網(wǎng)絡(luò)中，不過員工的意志卻無法獲得統(tǒng)一的約束，畢竟單位制定的任何政策或制度都不會(huì)讓所有員工完全接受。因此，單位在選擇BYOD管理控制方案時(shí)，務(wù)必要追求簡(jiǎn)單化，不能給員工設(shè)備使用帶來諸多不便。

企業(yè)應(yīng)該如何解決員工BYOD設(shè)備與單位業(yè)務(wù)流程在兼容性方面的問題？

答：首先要確保每個(gè)員工的移動(dòng)設(shè)備上都使用支持企業(yè)日常辦公文檔的程序。比方說，單位使用金山移動(dòng)辦公軟件，可以同時(shí)支持微軟Office以及LibreOffice的文件格式。其次盡量讓員工安裝一個(gè)備用瀏覽器，比方說Firefox瀏覽器，在移動(dòng)設(shè)備系統(tǒng)內(nèi)置的瀏覽器不能正常使用基于web的應(yīng)用時(shí)，能夠及時(shí)更換使用。要是員工的移動(dòng)設(shè)備的確不能處理某些業(yè)務(wù)流程時(shí)，可以在員工移動(dòng)設(shè)備上安裝類似Logmein之類的遠(yuǎn)程接入應(yīng)用，也可以安裝遠(yuǎn)程桌面客戶端程序。

請(qǐng)問企業(yè)在部署好了BYOD模式后，怎樣限制員工的過度自主性，以避免他們用BYOD設(shè)備進(jìn)行一切活動(dòng)，讓企業(yè)運(yùn)營(yíng)環(huán)境受到安全威脅？

答：為了不讓這種自主性被員工濫用，企業(yè)可以要求員工都簽署B(yǎng)YOD協(xié)議，確保他們明白在企業(yè)內(nèi)使用自己的BYOD設(shè)備是有行為限制的。而且，單位管理員有權(quán)強(qiáng)制員工設(shè)備必須符合相關(guān)的安全標(biāo)準(zhǔn)，否則將禁止其訪問單位網(wǎng)絡(luò)中的應(yīng)用和數(shù)據(jù)。BYOD趨勢(shì)的不可阻擋，讓很多單位有點(diǎn)措手不及，畢竟員工的個(gè)人生活與工作在單位內(nèi)網(wǎng)環(huán)境中會(huì)產(chǎn)生越來越多的交集，矛盾在不同單位上的表現(xiàn)也不盡相同，這與單位的員工習(xí)慣、安全意識(shí)、規(guī)章制度等諸多細(xì)節(jié)因素有著密不可分的關(guān)系。

請(qǐng)問在企業(yè)的BYOD模式環(huán)境下，怎樣保證員工無法通過email發(fā)送敏感數(shù)據(jù)？

答：要制定嚴(yán)格的BYOD策略，該策略至少應(yīng)該包含以下內(nèi)容：禁止企業(yè)員工使用競(jìng)爭(zhēng)對(duì)手的云服務(wù)，禁止將企業(yè)郵件內(nèi)容發(fā)到個(gè)人賬號(hào)，禁止員工傳送非加密數(shù)據(jù)，禁止使用非授權(quán)的第三方軟件傳輸數(shù)據(jù)，以免機(jī)密信息可能會(huì)被發(fā)到其他位置。禁止員工在多個(gè)網(wǎng)站使用同一個(gè)密碼。強(qiáng)化身份認(rèn)證管理，為員工和第三方建立一套與企業(yè)聯(lián)絡(luò)的可被追蹤的電子認(rèn)證系統(tǒng)。

BYOD模式下，企業(yè)最擔(dān)心重要數(shù)據(jù)對(duì)外泄露。因?yàn)閱T工們會(huì)丟失自己的智能手機(jī)或平板電腦，一旦這種事情發(fā)生后，企業(yè)的重要數(shù)據(jù)很容易被泄露出去。請(qǐng)問如何才能避免這種情況出現(xiàn)呢？

答：可以使用遠(yuǎn)程刪除策略，也就是說，當(dāng)員工的移動(dòng)設(shè)備發(fā)生丟失現(xiàn)象后，企業(yè)能夠?qū)⒈４嬖谝苿?dòng)設(shè)備上的重要數(shù)據(jù)遠(yuǎn)程刪除掉。特別是在企業(yè)使用BYOD模式的情況下，更應(yīng)該立即使用這個(gè)策略。

為了防止BYOD設(shè)備的無線攻擊滲透，企業(yè)環(huán)境該怎樣進(jìn)行安全防范？

答：現(xiàn)在無線黑客越發(fā)變得神出鬼沒，而各式各樣通過無線網(wǎng)絡(luò)進(jìn)行的惡意滲透、釣魚、破解、劫持等行為，正讓BYOD設(shè)備和單位無線網(wǎng)絡(luò)防不勝防。而在單位內(nèi)部無線網(wǎng)絡(luò)中，員工們相互之間私下共享WiFi網(wǎng)絡(luò)或3G網(wǎng)絡(luò)，也會(huì)讓單位內(nèi)部網(wǎng)絡(luò)的安全隱患不能在第一時(shí)間發(fā)現(xiàn)。

幸運(yùn)的是，目前已經(jīng)能針對(duì)無線局域網(wǎng)部署IDS/IPS了（無線入侵檢測(cè)系統(tǒng)/無線入侵防御系統(tǒng)）。與有線局域網(wǎng)的IDS/IPS部署相差不大，無線局域網(wǎng)的IDS/IPS部署也是用來防止黑客攻擊的，只是考慮到無線局域網(wǎng)的本質(zhì)屬性，無線網(wǎng)絡(luò)的IDS/IPS部署還能防止內(nèi)部網(wǎng)絡(luò)悄悄連接到單位網(wǎng)絡(luò)以外的沒有經(jīng)過授權(quán)的無線路由器。善于利用增強(qiáng)的具有定位服務(wù)的IDS/IPS設(shè)備，可以有效幫助單位IT管理人員及時(shí)發(fā)現(xiàn)接入點(diǎn)，同時(shí)能幫助檢測(cè)到非法攻擊什么時(shí)候發(fā)生及其在什么節(jié)點(diǎn)發(fā)生，倘若有必要的話還能把惡意攻擊從網(wǎng)絡(luò)斷開或者至少把惡意攻擊嚇走。

在企業(yè)環(huán)境中部署B(yǎng)YOD模式時(shí)，可能會(huì)碰到的失誤有哪些？

答：可能會(huì)遇到下面一些失誤：一是過分依賴移動(dòng)設(shè)備之類的管理軟件，在設(shè)備發(fā)生丟失后，強(qiáng)行通過管理軟件遠(yuǎn)程擦除設(shè)備中的數(shù)據(jù)，造成企業(yè)員工的不滿；二是允許所有員工對(duì)所有應(yīng)用程序具有訪問權(quán)限；三是沒有強(qiáng)化對(duì)員工的企業(yè)網(wǎng)絡(luò)設(shè)備培訓(xùn)，導(dǎo)致員工安全意識(shí)較差，分不清楚哪些是應(yīng)該做的和哪些是不應(yīng)該做的；四是針對(duì)BYOD模式制訂的安全策略并不全面，可能存在漏網(wǎng)之魚。

針對(duì)BYOD模式天生存在的安全風(fēng)險(xiǎn)，請(qǐng)問是否有必要明確專人監(jiān)控管理這類設(shè)備的使用流程，以便集中監(jiān)控網(wǎng)絡(luò)中的異常狀態(tài)、網(wǎng)絡(luò)中的潛在威脅、網(wǎng)絡(luò)中的各種活動(dòng)以及快速進(jìn)行響應(yīng)？

答：很有必要。企業(yè)應(yīng)該明確專人通過一個(gè)集中的控制臺(tái)，對(duì)整個(gè)流程提供全面的報(bào)告、連續(xù)的多通道標(biāo)記報(bào)警統(tǒng)計(jì)、事件流程管理以及對(duì)整個(gè)控制平臺(tái)進(jìn)行有效管理。此外，明確專人負(fù)責(zé)監(jiān)督、管理與執(zhí)行BYOD模式實(shí)施工作有關(guān)的部門任務(wù)、制度、職責(zé)等，這個(gè)人要能負(fù)責(zé)決定在單位內(nèi)部與BYOD實(shí)施相關(guān)的所有工作，包括哪些部門提供什么配合，單位內(nèi)部允許使用什么設(shè)備，BYOD服務(wù)和數(shù)據(jù)計(jì)劃付費(fèi)等。

BYOD設(shè)備的種類多樣性，會(huì)給企業(yè)內(nèi)網(wǎng)安全帶來挑戰(zhàn)。企業(yè)該怎樣有效控制員工個(gè)人的BYOD設(shè)備，不讓其威脅單位內(nèi)網(wǎng)安全呢？

答：制定明確的設(shè)備使用政策，讓員工擁有或使用BYOD設(shè)備，特別是在工作過程中使用這類設(shè)備，應(yīng)嚴(yán)格遵守單位制定的設(shè)備安全使用政策。一個(gè)有效的BYOD政策，應(yīng)該包含一些基本的規(guī)定，比方說要求設(shè)備有一個(gè)個(gè)人身份識(shí)別碼，確保只有員工自己能夠使用這類設(shè)備，要求設(shè)備具有自動(dòng)鎖死功能，避免他人利用各種機(jī)會(huì)偷偷使用該設(shè)備，要求設(shè)備支持加密和遠(yuǎn)程刪除數(shù)據(jù)等功能，以防止設(shè)備意外丟失。這個(gè)設(shè)備使用政策還應(yīng)該規(guī)定，移動(dòng)智能終端設(shè)備中能保存什么內(nèi)容和不能保存什么內(nèi)容，倘若這類設(shè)備意外丟失，還應(yīng)要求員工采取什么措施，以及可以接受的和不可接受的備份流程等。更為重要的是，單位還應(yīng)該與員工簽訂一個(gè)書面的設(shè)備使用協(xié)議，要求員工在使用這類設(shè)備時(shí)，必須要嚴(yán)格遵守設(shè)備使用政策。

當(dāng)然，為了讓設(shè)備使用政策得到很好落實(shí)，單位要盡可能為員工提供充分的幫助信息。比方說，企業(yè)要經(jīng)常提醒員工不能將移動(dòng)設(shè)備隨意放置在酒吧或飯店的桌子上，而一定要時(shí)刻隨身攜帶。在外出差住宿時(shí)，倘若不使用移動(dòng)設(shè)備時(shí)，盡量將其鎖在保險(xiǎn)箱或其它安全設(shè)備中。要提醒員工，不過是工作用的智能手機(jī)還是筆記本電腦，都不能隨意允許別人訪問使用。

請(qǐng)問BYOD模式可能會(huì)給單位帶來什么樣的麻煩？

答：一是降低工作效率。企業(yè)員工可能會(huì)花很多工作時(shí)間用來上社交網(wǎng)絡(luò)、跟好友聊天或者做更糟糕的事情，這既會(huì)降低員工自己的工作效率，也會(huì)由于大量占用網(wǎng)絡(luò)帶寬資源影響其他員工的工作效率。二是設(shè)備難以有效管理。由于每位員工選用的運(yùn)營(yíng)商不同，使用的設(shè)備品牌、型號(hào)不同，這容易給企業(yè)的集中管理帶來很大麻煩。三是存在數(shù)據(jù)泄露可能。員工攜帶自己的移動(dòng)設(shè)備進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境，很容易將企業(yè)重要數(shù)據(jù)通過移動(dòng)設(shè)備帶走，而且移動(dòng)設(shè)備很容易丟失，當(dāng)不法分子獲取到這些設(shè)備時(shí)，企業(yè)的重要數(shù)據(jù)自然就會(huì)落入陌生人手中。四是容易泄露密碼。員工的移動(dòng)設(shè)備上可能會(huì)保存著登錄企業(yè)網(wǎng)絡(luò)和應(yīng)用服務(wù)的各種密碼，這些密碼可能存在于移動(dòng)應(yīng)用程序中，也可能直接保存在移動(dòng)設(shè)備的內(nèi)存中，當(dāng)員工的移動(dòng)設(shè)備丟失時(shí)，那么這些密碼內(nèi)容就容易對(duì)外泄露。五是增大病毒感染風(fēng)險(xiǎn)。員工設(shè)備的安全性是由員工個(gè)人保證的，不是每位員工都可以完全加固個(gè)人設(shè)備安全的，惡意軟件、間諜軟件以及常規(guī)的病毒木馬程序等，都可能通過BYOD滲透到企業(yè)內(nèi)網(wǎng)環(huán)境中。這些安全風(fēng)險(xiǎn)的傳播速度十分快，很容易在企業(yè)內(nèi)網(wǎng)環(huán)境中瞬間蔓延開來。六是過渡消耗寶貴的網(wǎng)絡(luò)帶寬資源。隨著時(shí)間的推移，越來越多的員工個(gè)人設(shè)備接入單位內(nèi)網(wǎng)環(huán)境，這樣網(wǎng)絡(luò)終端的數(shù)量很快就會(huì)超過原有的組網(wǎng)設(shè)計(jì)。還有就是原來大家都用計(jì)算機(jī)進(jìn)行辦公，往往只是上網(wǎng)查詢文字資料。但現(xiàn)在上網(wǎng)終端多了，很多人開始上網(wǎng)玩游戲、聽音樂、看電影，對(duì)網(wǎng)絡(luò)帶寬資源的占用也是不可同日而語，這樣就會(huì)讓企業(yè)內(nèi)網(wǎng)不堪重負(fù)。七是遭遇第三方應(yīng)用程序風(fēng)險(xiǎn)攻擊。大量出現(xiàn)的第三方應(yīng)用程序，雖然方便了移動(dòng)智能終端的使用，但是也帶來不小的安全隱患。移動(dòng)智能終端設(shè)備實(shí)際上就是一臺(tái)普通的計(jì)算機(jī)，只是“身材”小巧玲瓏而已。所以，那些惡意的第三方應(yīng)用程序會(huì)借助這類設(shè)備上的Wi-Fi、藍(lán)牙等無線技術(shù)入侵企業(yè)內(nèi)部網(wǎng)絡(luò)，竊取隱私數(shù)據(jù)或者傳播病毒程序，危害企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)安全。

請(qǐng)問怎樣在靜態(tài)IP地址和物理地址綁定的環(huán)境下，讓BYOD模式安全可控？

答：要達(dá)到這個(gè)目的，可以部署專門的桌面安全管理系統(tǒng)，讓該系統(tǒng)同時(shí)啟用違規(guī)外聯(lián)策略、準(zhǔn)入策略、補(bǔ)丁分發(fā)策略。其中，通過違規(guī)外聯(lián)策略，可以強(qiáng)制只有成功注冊(cè)的設(shè)備，才能訪問企業(yè)內(nèi)網(wǎng)數(shù)據(jù)，不能訪問外部數(shù)據(jù)，避免外部數(shù)據(jù)的安全威脅滲透到企業(yè)內(nèi)網(wǎng)環(huán)境；通過準(zhǔn)入策略可以強(qiáng)制需要訪問企業(yè)內(nèi)網(wǎng)的設(shè)備配置IP地址同時(shí)進(jìn)行注冊(cè)操作，注冊(cè)的設(shè)備日后需要卸載的時(shí)候，只有桌面安全管理員才能將其卸載，企業(yè)員工不能自行卸載；通過補(bǔ)丁分發(fā)策略，可以對(duì)注冊(cè)設(shè)備的殺毒工具工作狀態(tài)、系統(tǒng)補(bǔ)丁安裝狀態(tài)、病毒庫版本狀態(tài)進(jìn)行全面的安全檢測(cè)。要是BYOD設(shè)備沒有啟動(dòng)殺毒軟件，沒有安裝漏洞補(bǔ)丁程序，可以根據(jù)策略提示員工到指定地址進(jìn)行下載安裝。相信通過這些策略，就能極大地改善BYOD模式的工作安全性。

當(dāng)然，單位也要從制度著手，針對(duì)員工BYOD設(shè)備出臺(tái)專門的管理辦法，要求在BYOD設(shè)備上只能使用專業(yè)的客戶端程序連接企業(yè)內(nèi)網(wǎng)，通過嚴(yán)格的身份認(rèn)證后才能進(jìn)行操作，禁止在BYOD設(shè)備上保存企業(yè)重要數(shù)據(jù)，禁止離線處理企業(yè)數(shù)據(jù)；在企業(yè)內(nèi)網(wǎng)使用BYOD設(shè)備前，一定要對(duì)其進(jìn)行安全加固，包括打補(bǔ)丁程序、安裝殺毒軟件、安裝安全軟件、關(guān)閉不需要的端口和服務(wù)、配置強(qiáng)壯的密碼等，確保BYOD設(shè)備自身是安全的。

BYOD設(shè)備攜帶方便，員工很容易通過它帶走企業(yè)重要數(shù)據(jù)。請(qǐng)問是否能夠?qū)崿F(xiàn)BYOD設(shè)備和數(shù)據(jù)的分離，以避免上述現(xiàn)象？

答：目前已有一些企業(yè)軟件制造商正在開發(fā)研制相關(guān)的專業(yè)工具，以便幫助用戶在BYOD設(shè)備上將單位重要數(shù)據(jù)從個(gè)人信息中分離出來，以此來控制BYOD模式數(shù)據(jù)安全。善于使用這類分離工具，可以有效避免用戶的應(yīng)用程序訪問企業(yè)重要數(shù)據(jù)，企業(yè)重要數(shù)據(jù)不能被復(fù)制或者耦合粘貼到個(gè)人應(yīng)用程序中。

企業(yè)IT管理人員可以在BYOD設(shè)備上利用數(shù)據(jù)分離工具來保護(hù)敏感的單位數(shù)據(jù)。如果一個(gè)員工擁有一臺(tái)BYOD設(shè)備，那么當(dāng)他離開單位的時(shí)候，單位工作人員只要通過分離工具刪除他的單位工作信息，而不會(huì)影響保存在對(duì)應(yīng)設(shè)備中的個(gè)人信息。

從安全角度來看，如何限制員工通過BYOD設(shè)備從外部訪問企業(yè)內(nèi)網(wǎng)數(shù)據(jù)？

答：對(duì)于內(nèi)網(wǎng)中的一些特殊數(shù)據(jù)或資源，可以通過設(shè)置防火墻規(guī)則，并使用VPN加密連接方式，來限制來自外部的不安全訪問。VPN通過加密技術(shù)在Internet網(wǎng)絡(luò)上封裝出一個(gè)數(shù)據(jù)通訊隧道，通過這條加密隧道，企業(yè)員工不管在外地還是在家中辦公，都能安全、高效地訪問企業(yè)內(nèi)部數(shù)據(jù)。

BYOD設(shè)備產(chǎn)生的安全風(fēng)險(xiǎn)可能有哪幾種類型？

答：可能有兩種類型：一是設(shè)備自身的風(fēng)險(xiǎn)。這是建立在現(xiàn)在的移動(dòng)智能終端設(shè)備實(shí)際上是一種新型的擁有本地和云端存儲(chǔ)功能的高效能計(jì)算機(jī)這一基礎(chǔ)上的，同時(shí)比起常見的臺(tái)式計(jì)算機(jī)和筆記本電腦，現(xiàn)在的企業(yè)較少可以控制這些移動(dòng)智能終端設(shè)備。二是安裝在這些設(shè)備中的應(yīng)用程序風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)源于最終用戶安裝的第三方應(yīng)用程序，這些應(yīng)用程序通常能夠訪問到企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù),將數(shù)據(jù)保存到BYOD設(shè)備上，同時(shí)將數(shù)據(jù)傳輸?shù)狡髽I(yè)內(nèi)網(wǎng)之外的位置。

為了讓BYOD安全使用，很多企業(yè)會(huì)將重要數(shù)據(jù)保存在云端或中央服務(wù)器上，這就要求企業(yè)員工使用虛擬桌面訪問企業(yè)資源，確保訪問之后的數(shù)據(jù)不會(huì)遺留在移動(dòng)終端設(shè)備上。請(qǐng)問使用虛擬桌面主要有什么作用？

答：移動(dòng)虛擬桌面能夠?qū)崿F(xiàn)桌面系統(tǒng)的遠(yuǎn)程動(dòng)態(tài)訪問與數(shù)據(jù)中心的統(tǒng)一托管，既意味著員工能夠使用任何移動(dòng)設(shè)備，在任何時(shí)間和任何地點(diǎn)訪問企業(yè)內(nèi)網(wǎng)環(huán)境下的數(shù)據(jù)資源，還能隨時(shí)進(jìn)入屬于員工自己的桌面系統(tǒng)。

為了預(yù)防員工使用BYOD設(shè)備隨意訪問外部網(wǎng)絡(luò)，造成企業(yè)核心數(shù)據(jù)從本地被轉(zhuǎn)移，單位該怎樣監(jiān)控員工的上網(wǎng)訪問行為呢？

答：根據(jù)實(shí)際情況部署網(wǎng)絡(luò)信息監(jiān)測(cè)系統(tǒng)，控制本地上網(wǎng)，監(jiān)控員工上網(wǎng)行為。結(jié)合內(nèi)核數(shù)據(jù)截收和預(yù)處理技術(shù)、深度內(nèi)容檢測(cè)技術(shù)、智能識(shí)別阻斷等專利技術(shù)，為客戶解決網(wǎng)頁過濾、封堵與工作無關(guān)的網(wǎng)絡(luò)應(yīng)用需求。企業(yè)可以根據(jù)行業(yè)特征、業(yè)務(wù)需要和企業(yè)文化來制定個(gè)性化的網(wǎng)頁訪問策略，過濾非工作相關(guān)的網(wǎng)頁。同時(shí)制定精細(xì)的帶寬管理策略，對(duì)不同崗位的員工、不同網(wǎng)絡(luò)應(yīng)用劃分帶寬通道，并設(shè)定優(yōu)先級(jí)，合理利用有限的帶寬資源，節(jié)省投入成本。并且可以制定全面的信息收發(fā)監(jiān)控策略，有效控制關(guān)鍵信息的傳播范圍，以及避免可能引起的信息泄漏風(fēng)險(xiǎn)。

為了避免BYOD模式帶來安全威脅，不少企業(yè)單純地采取了封堵措施，限制BYOD被員工們通過各種形式訪問企業(yè)內(nèi)網(wǎng)環(huán)境，實(shí)際上該方法無法從根本上解決問題。要想管理好BYOD模式，想方設(shè)法提高員工的安全意識(shí)是根本，請(qǐng)問怎樣才能增強(qiáng)單位員工使用BYOD設(shè)備的安全意識(shí)呢？

答：首先要強(qiáng)化安全觀念的建設(shè)，讓安全觀念成為企業(yè)信息化建設(shè)過程中的一部分，企業(yè)和員工要共同承擔(dān)BYOD模式可能帶來的安全風(fēng)險(xiǎn)。其次要反復(fù)組織多次信息安全方面的知識(shí)培訓(xùn)，讓員工掌握安全使用BYOD設(shè)備處理業(yè)務(wù)的技能，使員工對(duì)信息安全與企業(yè)發(fā)展、自身利益之間的關(guān)系有更加深刻的認(rèn)識(shí)。

企業(yè)該怎樣對(duì)BYOD設(shè)備加強(qiáng)安全認(rèn)證，以保證BYOD模式的正常工作？

答：?jiǎn)挝恍枰獮锽YOD設(shè)備的安全使用進(jìn)行獨(dú)立預(yù)算，因?yàn)闉榱朔乐乖O(shè)備發(fā)生硬件丟失行為，單位需要各類專業(yè)工具或認(rèn)證工具來跟蹤設(shè)備同時(shí)刪除其中的隱私信息。單位IT管理人員一定要認(rèn)真重視BYOD設(shè)備內(nèi)部和外部的認(rèn)證，確保合法可信的設(shè)備才能有權(quán)限訪問單位內(nèi)部網(wǎng)絡(luò)中的重要數(shù)據(jù)。目前很多企業(yè)級(jí)移動(dòng)設(shè)備平臺(tái)基本都具有比普通設(shè)備內(nèi)置的認(rèn)證功能更為強(qiáng)健的認(rèn)證體系，相同的認(rèn)證策略能適應(yīng)于各種不同種類的移動(dòng)智能設(shè)備，同時(shí)能推廣應(yīng)用到整個(gè)單位網(wǎng)絡(luò)。

雖然嚴(yán)格的設(shè)備認(rèn)證制度會(huì)讓員工每次使用設(shè)備時(shí)都要頻繁輸入密碼，但是它是防范BYOD模式安全的一項(xiàng)必不可少的措施。單位IT管理人員一定要保證認(rèn)證密碼難以被暴力破解，同時(shí)要求員工不能將使用密碼標(biāo)記在某個(gè)顯眼的位置。在對(duì)安全性要求較高的一些場(chǎng)合，要求單位員工頻繁輸入認(rèn)證密碼確實(shí)有點(diǎn)兒繁瑣，不過這樣反而能給員工予以嚴(yán)重警告：您當(dāng)前正在使用的設(shè)備可能包含單位機(jī)密信息。

此外，企業(yè)級(jí)移動(dòng)設(shè)備平臺(tái)的安全認(rèn)證體系，還應(yīng)該可以遠(yuǎn)程刪除丟失設(shè)備中的重要數(shù)據(jù)。當(dāng)移動(dòng)智能終端設(shè)備意外丟失或被盜后，在被丟失設(shè)備連接到Internet網(wǎng)絡(luò)中時(shí)，跟蹤工具應(yīng)當(dāng)與包含GPS功能的設(shè)備芯片保持同步，從而能有效跟蹤并定位移動(dòng)智能終端設(shè)備，并能遠(yuǎn)程刪除所有的與單位工作有關(guān)的機(jī)密數(shù)據(jù)。