如何设计BYOD安全政策框架？

ZDNET至顶网CIO与应用频道 05月14日 编译：BYOD一直以来都是IT界讨论的焦点——员工们的智能手机和平板电脑在企业中的使用频率，正以相当高的速度增加着，而企业则不得不对这些设备进行技术支持。然而连企业管理者都想要使用自己的设备时，企业IT部门就更加别无选择了，唯一能做的就是让企业BYOD环境变得更加安全。

BYOD对于企业来说是一种积极力量，因为其提高了员工的工作响应速度，使员工能够按照他们自己的计划安排工作，并保持良好的工作情绪。然而，那些负责企业安全的IT员工现在又有了待以解决的新的挑战——在支持BYOD的同时维持企业敏感数据的安全性与机密性。CIO们也很清楚这不仅仅是技术问题，还要涉及到很多针对最终用户而制定的企业安全政策。

企业安全政策会根据产业以及不同企业内部特征的变化而变化，不同企业的电子信息特性可能会变化很大。而相同的是，越来越多的隐私保护需求以及管理复杂性的增加正迫使着所有企业建立更加严格的安全制度。

由于企业内部网络化的环境，使得内网访问漏洞问题变得防不胜防。为此，同步应用、远程办公、VPN以及企业门户网站形成了不同层次的过滤网，企业IT必须保持网络连通性以保证只有那些授权的用户可以访问内部数据，否则数据泄露的风险就会大大增加。员工个人定制的应用同时也会带来风险，这些应用可能会间接触及敏感的企业数据，这是因为该设备已经绑定了在企业内网中的位置。

BYOD风险还在于那些被盗或丢失的移动设备。有些设备可能出厂就已经具有内置的安全设置，比如整个的磁盘加密以及认证机制。但是智能手机和平板电脑，尤其是个人化的设备，很可能会主动绕开这些保护层，以便于提高设备使用简易性。

BYOD最大的新威胁是来自Dropbox一类的云同步应用。通过在企业安全网络中打开一个接口，以使文件同步到某个移动设备上，该用户很可能就此创建了一个新的通道，穿过此通道很可能会泄露机密的企业信息。很多企业已经决定彻底关闭这些同步工具的接口，直到找到新的安全方法来管理这些工具。

那么，企业管理者需要如何应付这些不断出现的安全风险呢？又需要采取怎样的措施来延展内部网络的安全性并堵住这些移动安全漏洞呢？

移动设备实际仅仅是威胁企业安全的一部分因素，但我们对这些威胁依然有应对之策，使IT部门和最终用户都得到满意的结果。下面列出了几个个要点，有助于管理者为BYOD安全政策设计整体框架，满足个性化的安全需求。解决所有这些安全问题并没有完美的、模板化的解决方案，企业需要结合政策监督、培训教育、工作实践以及其他必要的第三方解决方案才能创造一个良好的BYOD环境：

· 检查针对网络应用（CRM，电子邮件，门户网站）、VPN、远程而使用的安全政策。这些政策的大多数也将应用于移动设备。

· 确定需要支持哪些设备。并不是所有的设备都能满足企业的安全要求。此外，IT管理者需要身体力行地去检查每一个设备，并确保其内部的应用没有被破解或植入恶意代码。

· 对糟糕的安全性有所预估。企业IT可能必须从根本上改变员工现有的工作习惯。安全性的提高在一定程度上使企业免遭破坏，但是违反安全性的行为出现后又会造成什么样的破坏呢？管理者必须有足够的前瞻性。

· 为所有想要使用他们个人化设备的员工编写清楚简明的政策。使任何参与BYOD的员工签署使用权限。那些选择不遵循这些政策的人不得使用他们自己的设备。

· 制定个人识别号码(PIN)命令。

· 实施静态数据的加密技术。任何在设备上下载和保存数据的应用程序应当保护这些数据。如果PIN或密码被破解了，您仍然想要确保数据是受保护的。

· 确定应用程序的哪些类型是被限制的。可用的应用程序成千上万种，您将允许哪些呢？是否有特定应用程序或应用程度类别您想要在设备上避免使用？

· 给员工提供培训以保证他们知道如何安全地使用他们的应用，充分利用设备的灵活性，并留意可疑的程序活动。一旦拥有了BYOD，就应该发挥它们的优势。

· 随着移动设备成为信息流动的导管，应当寻找那些包含可审核性、报告性、以及集中管理的应用。许多应用并不能满足该需求。

· 考虑一下是否要使用移动设备管理软件。这种软件可以提供安全客户端程序，比如电子邮箱和网络浏览器，无线电设备应用程序分布、配置、监控以及远程擦除能力。需要注意的是有些供应商要求应用程序需要重新编写以便于于支持他们自己的平台，因此管理者可能会发现一些应用无法在其选择的解决方案下运行。

技术在不断发展，因此BYOD的政策制定与实践经验也将会随之而发生变化。每当管理者认为所有的漏洞都做好了防护时，最终用户都会利用新开发出来的应用无意中“破坏”这种平衡。企业IT部门必须不断被动地去寻找能够适应这些应用的方法。但是及早规划好企业的BYOD发展目标和设立相关的方针与政策，企业至少可以奠定一些BYOD发展基础，同时保持满足安全需求的IT灵活性，以便跟上技术变化趋势。