BYOD切忌安全過(guò)頭

BYOD切忌安全過(guò)頭

美國(guó)政治家和科學(xué)家本杰明·富蘭克林說(shuō)過(guò)這樣一句話：“放棄基本的自由以換取茍安的人，終歸會(huì)失去自由，也得不到平安?！?/p>

來(lái)自250多年前的這一警句可能還會(huì)適用于當(dāng)前業(yè)界所熱議的BYOD（BringYourOwnDevice，自帶設(shè)備）趨勢(shì)：一方面BYOD思想所提倡的是“讓移動(dòng)終端在辦公室里更自由”，另一方面企業(yè)需要盡可能消退由此帶來(lái)的平安威逼，IT部門是否能夠“魚(yú)與熊掌兼得”？

當(dāng)前IT消費(fèi)化的潮流越來(lái)越明顯，這意味著，沒(méi)有受到企業(yè)管理的設(shè)備正在被員工帶入到企業(yè)環(huán)境，用于訪問(wèn)業(yè)務(wù)數(shù)據(jù)。IT消費(fèi)化是一種新的模式；而且與大多數(shù)新模式一樣，無(wú)論我們喜不喜愛(ài)，這股潮流已不行逆轉(zhuǎn)。

這種認(rèn)可來(lái)自于一些不同因素的推動(dòng)作用。首先，企業(yè)需要提高生產(chǎn)效率，加速客戶、部署以及銷售流程之間的連接；其次，越來(lái)越多的企業(yè)開(kāi)頭在海外開(kāi)展業(yè)務(wù)，全球化的趨勢(shì)使得企業(yè)需要更加簡(jiǎn)便、快捷的溝通方式；最終，企業(yè)在移動(dòng)應(yīng)用方面的努力也會(huì)改善其與客戶之間的關(guān)系。ZKResearch2024年所進(jìn)行的一項(xiàng)調(diào)查顯示，有82%的受訪企業(yè)已經(jīng)允許員工自帶設(shè)備上班，并允許員工將消費(fèi)級(jí)的產(chǎn)品應(yīng)用于工作之中。其中有23%的企業(yè)不會(huì)為員工的自帶設(shè)備供應(yīng)技術(shù)支持，有39%的企業(yè)會(huì)供應(yīng)有限的技術(shù)支持，而會(huì)為員工自帶的設(shè)備供應(yīng)技術(shù)支持的企業(yè)占據(jù)了整個(gè)調(diào)查的39%。在這一報(bào)告所調(diào)查的全部樣本中，只有18%的企業(yè)表示在辦公室中不允許自帶消費(fèi)類設(shè)備。

無(wú)獨(dú)有偶，來(lái)自思科的調(diào)研報(bào)告同樣反映了這種趨勢(shì)。這一調(diào)查顯示，大多數(shù)企業(yè)目前正在采納BYOD模式，其中95%的受訪者表示他們的企業(yè)允許在工作場(chǎng)所中以某種方式使用員工自有的設(shè)備。調(diào)查還得出結(jié)論稱，截至2024年，每名員工的連接設(shè)備數(shù)量將有望從2024年的平均值2.8臺(tái)增長(zhǎng)到3.3臺(tái)。調(diào)查同時(shí)表示，BYOD趨勢(shì)很可能帶來(lái)顯著的成本和生產(chǎn)效益。超過(guò)3/4（76%）的受訪IT主管認(rèn)為：BYOD雖然給IT部門帶來(lái)了巨大挑戰(zhàn)，但是對(duì)他們的公司卻產(chǎn)生了比較樂(lè)觀甚至是特別樂(lè)觀的影響。這些調(diào)查結(jié)果彰顯了BYOD存在的意義。IT主管們認(rèn)為，我們需要一個(gè)更加全面的方案，這種方案具有伸縮性，可用于解決移動(dòng)性、平安性、虛擬化以及網(wǎng)絡(luò)政策管理，進(jìn)而在供應(yīng)最佳體驗(yàn)的同時(shí)有效掌握管理成本，實(shí)現(xiàn)最大程度的節(jié)省。同事，IT主管們也表示，企業(yè)需要解決BYOD所帶來(lái)的平安和系統(tǒng)支持方面的隱患，并在企業(yè)效益和平安之間進(jìn)行平衡。

企業(yè)業(yè)務(wù)正在開(kāi)頭對(duì)移動(dòng)應(yīng)用產(chǎn)生一些依靠。由于業(yè)務(wù)的需要，使得企業(yè)員工也可以更加“光明正大”地將自己的設(shè)備帶入辦公室，獲得更多的“自由”。同樣是在業(yè)務(wù)的推動(dòng)下，企業(yè)也不得不需要解決更多BYOD所帶來(lái)的平安問(wèn)題。

盡管都是自由與平安的話題，不過(guò)實(shí)際上，BYOD如今所面臨的挑戰(zhàn)要比富蘭克林當(dāng)時(shí)面臨的挑戰(zhàn)來(lái)得更加直接。對(duì)我們來(lái)說(shuō)，重要的不是道德層面的自由與否，而是如何最大限度地使企業(yè)及其員工提高效率。然而，要知道，加強(qiáng)BYOD平安方面的任何工作肯定要把握一個(gè)“度”，過(guò)猶不及只會(huì)適得其反。

BYOD的前提不容忽視

要想實(shí)施BYOD，我們首先要對(duì)系統(tǒng)訪問(wèn)密碼的使用訂下規(guī)章。這并不是個(gè)老生常談的問(wèn)題。首先，提高密碼平安性的措施之一是將其設(shè)計(jì)得長(zhǎng)而簡(jiǎn)單，而且含有組合使用的大小寫字母外加數(shù)字和標(biāo)點(diǎn)符號(hào)。

此外，在企業(yè)應(yīng)用中，我們還應(yīng)當(dāng)保證內(nèi)部系統(tǒng)實(shí)施了單點(diǎn)登錄策略，也就是在多個(gè)應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問(wèn)全部相互相信的應(yīng)用系統(tǒng)。否則，要合理確保平安，用戶就必需為使用密碼的每個(gè)系統(tǒng)和每個(gè)網(wǎng)站設(shè)置不同的密碼。這是很繁瑣的一項(xiàng)工程。

從信息平安的角度來(lái)看，第三條常識(shí)性的小貼士是，不要把密碼寫在紙上，以免平安信息遭到泄露。

為什么我們要在這里重新拿出“做好密碼愛(ài)護(hù)”這個(gè)談了多年的問(wèn)題進(jìn)行爭(zhēng)論呢？由于許多公司限制員工使用新技術(shù)的理由就是：平安和合規(guī)考慮。其實(shí)，這并不是一個(gè)理由，做好密碼愛(ài)護(hù)就已經(jīng)在很大程度上確保了平安。

因此，假如企業(yè)對(duì)BYOD感愛(ài)好并準(zhǔn)備向公司內(nèi)部推廣的話，先向員工普及一些密碼學(xué)問(wèn)吧。

信息平安

不能因噎廢食

BYOD概念的熱議引申出了這樣一個(gè)觀點(diǎn)：盡管IT部門百般不情愿，但BYOD潮流還是在不斷“水漲船高”，我們應(yīng)當(dāng)樂(lè)觀支持BYOD潮流。其實(shí)，實(shí)施BYOD對(duì)大多數(shù)公司來(lái)說(shuō)并非難事。

另有一種觀點(diǎn)認(rèn)為，BYOD會(huì)加大數(shù)據(jù)盜竊以及泄漏的風(fēng)險(xiǎn)，而且有可能會(huì)觸動(dòng)“合規(guī)”這個(gè)敏感的神經(jīng)。

然而，我們不能為了實(shí)現(xiàn)信息平安和法規(guī)遵從就“因噎廢食”。實(shí)際上，想完善地愛(ài)護(hù)數(shù)據(jù)，最省事的方法就是斷開(kāi)互聯(lián)網(wǎng)，禁用USB端口，以及實(shí)行其他各種可能的措施，禁止數(shù)據(jù)從一臺(tái)計(jì)算機(jī)傳輸?shù)搅硪慌_(tái)計(jì)算機(jī)，明顯如今這是不行能的。

說(shuō)到數(shù)據(jù)，IT部門要明白，員工所接觸的每一個(gè)數(shù)據(jù)字節(jié)都有可能包含惡意代碼，而且很難篩選剔除出來(lái)。

因此，IT部門更需要打起十二萬(wàn)分的留意力。特殊是，針對(duì)內(nèi)網(wǎng)信息系統(tǒng)的訪問(wèn)懇求，開(kāi)頭越來(lái)越多地來(lái)自身處企業(yè)外部的遠(yuǎn)程工作人員、業(yè)務(wù)合作伙伴和客戶，因此，我們必需要知道，愛(ài)護(hù)資產(chǎn)方面的重心絕不僅限于加固企業(yè)網(wǎng)絡(luò)邊界就可以了，這一點(diǎn)極其重要。也就是說(shuō)，企業(yè)加密數(shù)據(jù)庫(kù)和筆記本電腦硬盤所獲得的平安性比升級(jí)防火墻要強(qiáng)得多。

離線VDI：

兼顧自由和平安

BYOD的大潮將其同另一種技術(shù)緊密結(jié)合在了一起。這項(xiàng)技術(shù)現(xiàn)已很成熟，迎來(lái)了黃金時(shí)期，那就是：VirtualDesktopInfrastructure（VDI，虛擬桌面基礎(chǔ)架構(gòu)），與BYOD關(guān)系尤其“親近”的是其中一個(gè)分支——離線VDI。

離線VDI正如其名，用戶可以離線使用遠(yuǎn)程數(shù)據(jù)。同一般VDI一樣，離線VDI同樣在服務(wù)器上保管著每個(gè)用戶虛擬機(jī)的中心鏡像（centralimage），但該鏡像可以下載到用戶的個(gè)人計(jì)算機(jī)上，并在本地運(yùn)行。當(dāng)用戶重新連接到企業(yè)網(wǎng)絡(luò)時(shí)，用戶計(jì)算機(jī)會(huì)與服務(wù)器重新同步數(shù)據(jù)，上傳用戶所做的任何變更，同時(shí)下載任何集中管理的改動(dòng)內(nèi)容，如軟件補(bǔ)丁和反惡意軟件更新版。

就算沒(méi)有消失BYOD潮流，大多數(shù)準(zhǔn)備部署VDI的企業(yè)也應(yīng)當(dāng)把離線VDI作為默認(rèn)方法，緣由很簡(jiǎn)潔：我們使用服務(wù)器只是為了管理虛擬機(jī)鏡像，而不是運(yùn)行鏡像。離線VDI所需的服務(wù)器容量只是一般VDI的一小部分。這意味著用戶可以購(gòu)買容量更小的服務(wù)器和存儲(chǔ)，同時(shí)耗用比較少的電力。

即使你不在乎數(shù)據(jù)中心是否綠色節(jié)能這個(gè)話題，離線VDI也可以實(shí)實(shí)在在地節(jié)約費(fèi)用，又幾乎沒(méi)有什么缺點(diǎn)，這不正是每個(gè)CIO想要的嗎？

假如我們?cè)賹YOD加入爭(zhēng)論話題，離線VDI就會(huì)變得更加迷人了，由于其消退了信息平安部門最擔(dān)憂的問(wèn)題：?jiǎn)T工將個(gè)人設(shè)備用于工作，由此帶來(lái)平安威逼。這樣一來(lái)，你可以豎起一堵潔凈的圍墻，將直接在硬件上運(yùn)行的個(gè)人環(huán)境與在虛擬機(jī)上運(yùn)行的企業(yè)環(huán)境隔離開(kāi)來(lái)。

同時(shí)，這使得員工能夠在自己的環(huán)境中隨心所欲地進(jìn)行創(chuàng)新和試驗(yàn)，而IT部門能夠掌握員工使用企業(yè)信息資產(chǎn)的程度。當(dāng)員工外出時(shí)，他們只需帶上一個(gè)計(jì)算設(shè)備，就可以用來(lái)回復(fù)個(gè)人郵件和工作郵件，而且不會(huì)將二者的使用環(huán)境混淆。假如員工一心忙于工作或者趕著完工，甚至可以在坐飛機(jī)時(shí)辦公，而且不必支付飛機(jī)上無(wú)線網(wǎng)絡(luò)昂揚(yáng)的服務(wù)費(fèi)。

數(shù)據(jù)平安要以人為本

籠統(tǒng)地說(shuō)，平安風(fēng)險(xiǎn)有兩種形式。有些風(fēng)險(xiǎn)可能導(dǎo)致成本增加，有些風(fēng)險(xiǎn)可能導(dǎo)致收入削減。前一種風(fēng)險(xiǎn)最受關(guān)注，由于這種風(fēng)險(xiǎn)一旦發(fā)生，損失將會(huì)很大，而且其更為直觀。

不過(guò)，導(dǎo)致收入削減的風(fēng)險(xiǎn)更應(yīng)當(dāng)引起人們的留意。這類風(fēng)險(xiǎn)可能詳細(xì)表現(xiàn)為：顧客不滿足、創(chuàng)新力量減退、員工之間的合作以及企業(yè)與業(yè)務(wù)合作伙伴和客戶的合作不暢，以及員工工作熱忱減退。

總的來(lái)說(shuō)，IT部門之前把留意力過(guò)于集中在數(shù)據(jù)平安方面，由此而忽視了收入來(lái)源風(fēng)險(xiǎn)。也就是說(shuō)，為了能夠保證數(shù)據(jù)平安，IT部門有時(shí)會(huì)忽視人的體驗(yàn)。我們不得不說(shuō)，像那種對(duì)設(shè)備嚴(yán)加看管的方式實(shí)在太過(guò)于死板了。

這里要傳達(dá)的觀點(diǎn)是，在施行BYOD策略時(shí)，IT部門要做的是，在兼顧自由和平安時(shí)至少要多考慮一點(diǎn)自由。正如本杰明·富蘭克林早在250多年前熟悉到的那樣，這是一場(chǎng)艱苦卓絕的戰(zhàn)斗，必需每天為之努力。

鏈接

讓BYOD搭上虛擬化的快車

在BYOD的浪潮下，企業(yè)如何愛(ài)護(hù)數(shù)據(jù)？首先，CIO們需要問(wèn)自己一個(gè)問(wèn)題：企業(yè)是否在意沒(méi)有受到管控的設(shè)備連入公司網(wǎng)絡(luò)？假如答案是確定的話，IT部門就要利用企業(yè)的資源來(lái)愛(ài)護(hù)數(shù)據(jù)平安，降低業(yè)務(wù)數(shù)據(jù)被惡意訪問(wèn)的風(fēng)險(xiǎn)。

一部平安的設(shè)備需要擁有以下這些特征：加固的平安設(shè)置、平安登錄方法、強(qiáng)驗(yàn)證協(xié)議、合適的訪問(wèn)掌握、開(kāi)啟基于主機(jī)的防火墻、版本最新的反惡意軟件軟件、平安配置軟件、打上最新補(bǔ)丁的軟件、合適的本地和網(wǎng)絡(luò)平安權(quán)限，以及經(jīng)過(guò)配置并且啟用的審計(jì)策略。

我們之所以要管理設(shè)備，是由于我們想要減小發(fā)生惡意大事的可能性。BYOD看上去卻阻撓了這些美妙的想法。在大多數(shù)狀況下，未受到管理的設(shè)備要比受到集中管理的設(shè)備泄漏數(shù)據(jù)的風(fēng)險(xiǎn)更高。那么，在不進(jìn)行設(shè)備管理的狀況下，又該如何確保數(shù)據(jù)平安？

最簡(jiǎn)潔的解決方法就是拒絕未受到管理的設(shè)備訪問(wèn)受愛(ài)護(hù)的數(shù)據(jù)，這也是近幾年來(lái)最常見(jiàn)的對(duì)策。但是在許多企業(yè)環(huán)境中，就算落實(shí)了“拒絕未受到管理的設(shè)備訪問(wèn)受愛(ài)護(hù)的數(shù)據(jù)”這條規(guī)章，未受到管理的設(shè)備照樣在訪問(wèn)公司數(shù)據(jù)。這很明顯是一個(gè)數(shù)據(jù)愛(ài)護(hù)方面的漏洞。

假如未受到管理的設(shè)備無(wú)論如何都要訪問(wèn)企業(yè)數(shù)據(jù)，那么怎樣才能最有效地愛(ài)護(hù)數(shù)據(jù)呢？簡(jiǎn)潔的方法就是，禁止在未受到管理的設(shè)備上存儲(chǔ)數(shù)據(jù)，無(wú)論是臨時(shí)存儲(chǔ)還是長(zhǎng)期存儲(chǔ)。那樣一來(lái)，攻擊者想竊取遠(yuǎn)程數(shù)據(jù)的難度會(huì)大得多。

我們可以實(shí)行的一個(gè)方法是，使用傳統(tǒng)的客戶機(jī)/服務(wù)器模式。全部數(shù)據(jù)都保留在服務(wù)器端，只有結(jié)果才發(fā)送到用戶端——如今通常使用掃瞄器。這是個(gè)好方法。唯一的問(wèn)題是，其仍舊讓未受到管理的計(jì)算機(jī)直接訪問(wèn)前端系統(tǒng)，而前端系統(tǒng)一般都會(huì)連接中間件和后端服務(wù)器。一旦未受到管理的設(shè)備被攻擊者掌握，攻擊者就可以鉆這個(gè)平安漏洞的空子，訪問(wèn)并且危及整個(gè)內(nèi)網(wǎng)的全部計(jì)算機(jī)。

面對(duì)未受到管理的設(shè)備，一種更好的解