如果能在一个企业IT环境中进行办公,那么 “IT消费化”或者“自带设备办公(BYOD)”这些术语你将会在话语间多次听到。人们比以往拥有更多的电子小配件,导致的结果就是,在工作中携带自己的智能手机,平板电脑甚至笔记本电脑进行工作,而不仅仅使用由公司配备的设备。反过来,这会引起一系列的问题,有些是正面的也有一些是负面的,这对IT管理员们将是一个挑战。这并不是一个新的现象,但是过去几年中,这种现象已经变得非常普遍。最近,一家欧盟机构发表一篇报告,该现象将带来一系列潜在的风险。如果你作为一名IT管理员让我们看看你应该这些风险是什么,并且应该如何处理这些风险。
财务,管理,数据安全风险
首先,当一名员工将一个具有强大处理能力的手机,台式电脑或笔记本电脑带入工作中到底会发生什么呢? 有可能造成财务损失,例如你正在工作的场所中,你的个人财产有可能丢失或被盗窃。各种各样的设备可能需要公司去聘请更多的IT技术人员支持或者至少解决任何安全方面的问题。然而,这些需要资金方面的支持对公司而言也许会是有益的。如果你的公司曾经向雇员提供手机,但是他们更喜欢使用自己的iOS或安卓系统的设备,那么你将不得不提供给他们任何他们想要的设备。另一种类型的风险是法律或监管方面的问题。某些行业必须严格遵守政府所要求的法规,包括相关的数据安全性方面的要,以及使用未知设备在与法律法规要求方面寻求一个折中方案。企业和个人设备之间缺乏一个清晰明确的区别界定,这将会在以后的法律诉讼过程中伤害个人隐私权。最后,还有关于数据安全的风险,例如现实中某些机密数据有可能被复制到一个不安全的设备中。
这些风险并不让人感到吃惊或是新鲜的,关于BYOD的风险是任何一个IT专家都能意识到的。对于这些风险的一个简单的解决方法显然是禁止在办公场所使用个人设备,并且已经在一些高度保密的地方采取了这项措施,例如政府大楼,但是这样做非常的困难。人们愿意使用他们自己的的设备,并且如果阻止他们这样做会导致公司职员偷偷使用他们,而最终会导致更糟糕的结果。此外,如果不让员工使用自己的设备将会失去潜在的好处,例如,节约成本或更高的员工士气。所以,我们应该考虑如何确保这样做更安全,而不是让消费电子设备完全被禁止使用。就像IT安全领域里做其他任何事情一样,不应该放弃任何一种方法。相反,你应该采取一些步骤以确保这些设备产生威胁,例如好的政策,使用网络访问保护(NAP)技术,网络层面的安全措施以及良好的监控。
政策优先
控制这些设备的第一步是有一个全面的策略。每个企业都应该有一个适当的政策让使用者知道什么能做以及什么不能做。不要坐等试图限制使用之前员工已经开始带自己的设备进行工作了。要积极主动地让每一名员工关注这些规则。这些政策中的一部分项目包括允许的设备,例如手机或平板电脑等等。
你可能还没有意识到你的员工是多么的狡猾,我们经常可以看到某人将实际上是家用路由器带入工作场所,将其插入以太网插头,然后发送免费的无线信号给附近每个人,使他们可以使用他们的平板电脑浏览网页。所以,你应该清晰的指明类似这样的举动是不被允许的,并且安装一个无线信号让希望用他们自己设备的员工使用它。最后,确保明确的政策规定企业数据不能被转移到这些设备上,并且规定员工要对自己的设备负责以防被盗窃或丢失。有一名能够帮助你制定全面政策的律师通常是一个非常好的主意。
封闭企业的服务器
有一个好的政策是至关重要的,但是你也要确保企业的服务器设备安全。如果你使用Windows服务器,那么你应该使用网络访问保护(NAP)技术,这是在办公场所内一种最普遍的控制各种类型设备的方法。NAP嵌入到网络策略服务器中,并且RADIUS(远程用户拨号认证系统协议)协议系统运行,控制每个连接网络的人,监控他们所访问的网络。动态主机设置协议(DHCP),域名系统(DNS)以及网络访问保护(NAP)技术的结合能够确保监控到任何新的设备,扫描潜在的问题,然后允许这些设备连接到企业资源。网络访问保护(NAP)也能在允许其访问前强制Windows笔记本进行最新的系统更新,或者安装一个防病毒软件。在首先没有被检测以及认证之前任何人的设备都不应该被允许接触到企业资源。
最后,在网络层面还有些事情你能够做到。例如,企业无线信号仅仅应该允许企业设备使用,并且为了区分它们,应该单独建立一个针对员工设备的网络。同样,也能在物理网络端口上做到。你可以轻松配置你的路由器和交换机,检测试图连接网络的MAC地址,并且如果它们没有在白名单中,那么它们将会被拒绝访问。任何未被使用的端口都应该被完全禁止,因此,没有人能够连接到它们。最后,为了建立更加封闭的状态,应该建立虚拟局域网(VLANs)。与以往一样,多种措施应该被使用,以便如果一个保护措施失败,另一个保护措施将使问题难度降低。例如,MAC地址过滤对于限制设备使用是非常有效的方法,一台受感染的笔记本被连接到网络中,一名攻击者会利用它通过欺骗MAC地址绕过这个保护措施。
最后,IT消费化的主要问题是某些试图在外部加入网络的人,其实他们可能已经在内部了。你的公司里会有对公司心怀不满的人试图侵入你的企业资源,或者某些对技术并不精通的人将一台感染病毒的笔记本带入公司,这会给你的网络打开一个后门,使其有权进入公司网络。因此,仅仅装有防火墙和入侵检测系统(IDS)系统的企业做的还远远不够。
安全性必须扩展到你的整栋大楼和监控中,包括查看访问日志,内部的入侵检测系统,甚至使用一个Wi-Fi设备扫描对办公室非法接入点间歇性地进行扫描,这些都是为了保证安全所最终不得不做的。BYOD(自带设备办公)模式是一种普遍现象,不可能消失,但是你可以确保它不会危及你的网络。