相比以往任何时间,人们拥有的小工具数量都变得更多;因此,将自有智能手机、平板计算机甚至笔记本计算机用于自己的工作之中,不再仅仅依赖于公司配发的设备就成为必然趋势。当然,如果反过来看的话,这也有可能带来一些新问题;尽管它们有可能属于正面的,也有可能属于负面的,但不管怎么说,都会给系统管理员带来更多的挑战。实际上,这并不属于一种刚出现的新现象;但在过去几年里,它确实已经变得非常普及。上星期的时间,欧盟有关部门就发表了一份关于这其中可能涉及到的潜在风险的报告。下面,就让我们来看一下:这里面存在的风险都有哪些,是什么,以及作为一名系统管理员应该如何进行有效防范。
财务、管理、数据安全等方面面临的风险
首先,大家需要了解的就是,如果员工将手机、平板或者笔记本计算机——这些都属于处理能力强大功能丰富的设备——带到工作中的话,会发生哪些问题?这就意味着财务方面的风险;举例来说,由于员工将个人财产带到办公场合之中,就有可能导致遗失或者被盗的情况出现。此外,由于使用设备的类型将变得更加繁多,公司可能就需要雇佣更多技术人员来提供兼容性方面的支持,或者至少保障安全方面不会出现漏洞。当然,如果仅仅从财务方面来看的话,某些问题也是能够带来好处的。如果公司需要向员工配发手机,而某些人就是喜欢使用自有的苹果iOS 或安卓系统的话,就意味着可能不再需要向他们提供任何设备了。在这里,另外一种类型的风险则属于法律或监管方面的问题。由于不少行业受到了政府的严格监管,因而必须遵循法律规定的要求,这其中可能就包括了数据安全性方面的规章,携带未知设备进入就可能导致破坏法律法规的要求。由于企业与个人设备之间缺乏明确的界限,这就非常容易引起对应对诉讼取证过程的破坏。最后,这里面还存在有涉及数据安全性方面的风险;举例来说,机密数据被复制到一台不安全设备之上就属于很有可能发生的危险之一。
当然,这些风险并不属于令人吃惊或者独特创新的情况;实际上,它仅仅属于自带设备项目中的基本常识,所有技术人员心里都非常明白。众所周知,一个可以完全解决掉所有风险的方法就是全面禁止个人设备在办公环境内的使用;尽管执行过程变得越来越困难,但在政府大楼之类的高度保密区域中,这种方案还是已经得到了实施。然而,由于人们可能非常喜欢自有设备,因此简单禁止就有可能导致偷偷被带进来之类情况出现,而这样导致的问题甚至会更大。此外,如果禁止员工携带自有设备的话,公司就会丧失掉原本在成本节约以及员工士气提高等方面可能获得的潜在好处。换句话说,相比彻底禁止消费电子设备,公司现在应当要做的就是深入了解如何才能确保设备安全。与信息安全领域的其它事务类似,它不属于一种单独方法可以解决掉的问题。与此相反,公司应该采取多种措施,确保这些设备不会构成威胁;而这其中就需要涉及到出色策略的建立、网络访问保护的使用、网络层面的安全保障,以及最后最关键的措施全面监测控制。
率先建立整体策略
具体到设备控制方面,公司第一步要做的工作就应该是建立起覆盖全面的整体策略。这就意味着,每一家公司都应该制定出自己的策略来,对于员工可以以及不容许行的操作进行全面说明。绝对不要等到员工利用自有设备开始工作之后,再试图进行具体限制。对于公司来说,应当做到积极主动,确保所有员工都能够明白规定的具体内容。至于手机或者平板计算机之类设备是否会获得使用许可,自然就应该作为整体策略的组成部分。
对于员工的狡诈程度,技术人员应该有着足够充分的认识。很难会想到,有人居然会将家用路由器带到工作中;这样的话,只要将设备插入到以太网接口中,就可以建立起无线网络,开始为周围所有人都提供免费服务;而他们之所以会选择这么做,仅仅不过是为了自己能够继续使用平板计算机来以及浏览网络。因此,公司需要在整体策略中重点强调,此类做法属于绝对不能容忍的情况,并为希望使用自有设备的员工建立起专门的无线网络。最后,公司还需要在整体策略中明确规定,公司数据绝对不能被保存在此类设备之上,并指出一旦发生了盗窃或者遗失之类问题的话,员工需要承担什么程度的责任。通常来说,在整体策略的制定过程中,公司如果选择雇佣一名律师提供法律法规方面的帮助的话,就会属于一个非常好的主意。
依靠内部服务器对设备进行严格管理
诚然,良好的策略属于至关重要的关键项目;不过,公司依然需要从硬件层面确保内部服务器的安全。如果公司部署的是Windows服务器,就应该使用网络访问保护(NAP);毕竟,它属于控制这些类型的设备在工作场所活动情况的最常见方式。网络访问保护模式的核心来自于网络策略服务器;作为一台远程认证拨入用户服务系统,它可以支持所有的Windows服务器,并能够对连接到网络上的用户类型以及能够获取的权限情况进行全面控制。再加上动态主机配置协议与DNS的有力支持,NAP就可以确保所有新接入设备的安全;这就意味着,只有在扫描完潜在漏洞情况之后,设备才会被容许连接上公司内部资源。并且,对于Windows笔记本计算机,NAP可以做到强制进行更新或者安装防病毒软件之后,才容许登录进网络。所有个人设备在第一次登陆的时间,如果没有通过检查并获得认可,都不会被容许接触公司内部资源。
最后,公司在网络层面还有一件事可做。举例来说,公司无线网络应该仅仅容许自有设备进行连接,消费电子设备应该使用单独的子网,以做到分割管理确保安全的目标。此外,物理端口也可以采取同样的做法。公司应该对路由器以及交换机进行专门调整,按照具体MAC地址来对设备发出的连接请求进行全面控制;如果设备没有出现在白名单中的话,发出的连接请求就应该被拒绝。为防止心存不良之徒偷偷进行非法连接之类情况出现,公司应当利用物理方式对所有不使用的端口进行封闭处理。最后,公司还可以选择利用虚拟局域网来实现更全面的隔离。与往常一样,这时间也应当同时使用多种解决方案;因此,即便有一种保护方式出现了问题,另一种依然能够做到将问题出现的可能性降到最低。举例来说,尽管MAC地址过滤属于一种非常有用的设备管理控制工具,可以防止受到感染的笔记本计算机连接上网络,但攻击者依然能够利用MAC地址欺骗技术来达到绕过这种防护模式的目标。
总而言之,技术消费化所带来的主要问题就是,坏家伙不再仅仅限于内部网络之外了——他们有可能已经出现在内部之中。公司内部可能已经存在有心怀不满试图盗窃机密资源的员工,甚或仅仅就是因为不了解技术结果将受感染的笔记本计算机带入公司内部从而导致网络上出现后门的无知之徒。因此,对于公司来说,仅仅依赖防火墙与入侵检测系统来对业务边界进行保护已经显得远远不够了。
这就意味着,公司现在就需要将安全措施的覆盖范围扩展到整个办公环境之上。它将会涉及到进行包括查询访问日志在内的全面监控,部署内部入侵检测系统,甚至定期对办公室进行无线网络设备扫描找出非法接入点等措施。只有做到多管齐下,公司才有可能确保网络安全方面不会出现问题。毕竟,作为一种普遍潮流,自带设备属于不可能突然就自动消失的情况;因此,公司必须确保它不会对内部网络的安全造成不良影响。