企业实施BYOD策略涉及风险、回报及管理措施

ZDNET网络频道 01月08日 编译：对于公司技术部门的员工来说，“信息技术消费化”以及“自带设备(BYOD)”之类的时髦用语应该已耳熟能详了。相比以往任何时期，现在人们所拥有的终端设备数量都是最多的;因此，将智能手机、平板电脑甚至笔记本计算机用于自己的工作场合中，不再仅仅依赖于公司配发的设备就成为必然趋势。当然，如果反过来看，这又会带来一些新的问题;尽管有可能是正面的，但也有可能属于负面的影响，不管怎么说，都会给企业的系统管理员带来更多的挑战。事实上，这并不是一种刚出现的现象;只不过在过去的几年里，没有更多的凸现出来。就在上星期，欧盟有关部门发表了一份关于企业实施BYOD策略可能涉及到的潜在风险报告。下面，让我们看一下：里面存在的风险都有哪些，以及作为一名系统管理员或企业CIO应该如何进行有效防范和管理。

财务、管理、数据安全面临的风险

首先，需要了解如果员工将手机、平板或者笔记本计算机带到工作场合中，意味着财务方面会面临更大的风险;例如，由于员工将个人财产带到办公场合之中，就有可能导致遗失或者被盗的情况出现。此外，由于使用设备的类型将变得更加繁多，公司可能就需要雇佣更多技术人员来提供兼容性方面的支持，或者至少保障安全方面不会出现漏洞。当然，如果仅仅从财务方面来看，某些问题也会带来好处。如果公司需要向员工配发手机，而某些员工总是习惯使用自有的苹果iOS或安卓系统的话，意味着公司不再需要向这类员工提供额外的设备了。另外一种类型的风险则属于法律和监管方面的问题。由于不少行业受到政府的严格监管，因而必须遵循法律规定的要求，这其中可能就包括数据安全性方面的规章，员工携带未知设备进入就会导致破坏法律法规现象出现。由于企业与个人设备之间缺乏明确的界限，也非常容易引起对诉讼取证过程的干扰。最后，还存在有涉及数据安全性方面的风险;例如，机密数据被复制到一台不安全设备上时就有可能发生危险。

当然，这些风险还不是最让企业感到头疼的地方;实际上，这也仅仅是自带设备办公给企业带来的一些常规问题，目前的技术人员对此肯定也十分了解；众所周知，一个可以完全解决掉所有风险的方案就是全面禁止个人设备在办公环境内的使用;尽管执行过程变得越来越困难，但在政府大楼之类的高度保密区域中，这种方案还是得到了实施。而且，目前看来企业员工越来越热衷于使用自己的设备进行办公。因此，如果简单的禁止策略很有可能导致偷偷将设备带进工作区域之类情况的发生，而这样导致的后果甚至会更大。此外，如果禁止员工携带自有设备，企业很可能会丧失掉原本在成本节约以及员工士气提高等方面的潜在优势。换句话说，相比彻底禁止个人设备，企业现在更应当做的就是深入了解如何才能确保这些自带设备的安全。与信息安全领域的其它事务一样，这不是一种单独方法可以解决的问题。相反，企业应该采取多种措施，确保这些设备不会构成威胁;而这就必须要建立一套出色的管理策略、网络访问保护的使用、网络层面的安全保障，以及最关键的全面监测控制。

率先建立整体策略

具体到设备控制方面，企业第一步要做的工作就应该是建立起全面覆盖的整体策略。这意味着，每一家企业都应该制定出适用于自己的策略来，对员工可行及不可行的操作进行全面说明。绝对不要等到员工已经开始使用自有设备以后，再试图进行具体限制。对于企业来说，应当做到积极主动，确保所有员工都能够明白规定的具体内容。至于手机或者平板电脑之类的设备是否会获得使用许可，自然也应该作为整体策略的一个重要组成部分。

对于员工的行为方式，技术人员应该有一个充分认识。很难想见，之前就有人居然将家用路由器带到了工作场合中;这意味这，只要将设备接入到以太网络中，就可以建立一个无线网络，为周围所有人提供免费网络服务;而有些员工之所以会这么做，可能仅仅就是为了自己能够更顺畅的浏览网页。因此，企业需要在整体策略中重点强调，此类做法属于绝对不能容忍的行为，并为使用自有设备的员工建立起专门的无线网络。最后，企业还需要在整体策略中明确规定，公司数据绝对不能被保存在此类设备之上，并指出一旦发生了盗窃或者遗失之类的问题，员工需要承担何种程度的责任。通常来说，在整体策略的制定过程中，企业如果能够雇佣一名律师提供法律法规方面的帮助将会是一个非常明智的选择。

依靠内部服务器对设备进行严格管理

诚然，良好的策略是至关重要的关键因素;不过，企业依然需要从硬件层面确保内部服务器的安全。如果公司部署的是Windows服务器，就应该使用网络访问保护(NAP);毕竟，它属于控制这些类型的设备在工作场所活动情况的最常见方式。网络访问保护模式的核心来自于网络策略服务器;作为一台远程认证拨入用户服务系统，它可以支持所有的Windows服务器，并能够对连接到网络上的用户类型以及能够获取的权限情况进行全面控制。再加上动态主机配置协议与DNS的有力支持，NAP就可以确保所有新接入设备的安全;这就意味着，只有在扫描完潜在漏洞情况之后，设备才会被容许连接上公司内部资源。并且，对于Windows笔记本计算机，NAP可以做到强制进行更新或者安装防病毒软件之后，才容许登录进网络。所有个人设备在第一次登陆的时间，如果没有通过检查并获得认可，都不会被容许接触公司内部资源。

最后，企业在网络层面还有一件事可做。举例来说，公司无线网络应该仅仅容许自有设备进行连接，消费电子设备应该使用单独的子网，以做到分割管理确保安全的目标。此外，物理端口也可以采取同样的做法。公司应该对路由器以及交换机进行专门调整，按照具体MAC地址来对设备发出的连接请求进行全面控制;如果设备没有出现在白名单中的话，发出的连接请求就应该被拒绝。为防止心存不良之徒偷偷进行非法连接之类情况出现，公司应当利用物理方式对所有不使用的端口进行封闭处理。最后，公司还可以选择利用虚拟局域网来实现更全面的隔离。与往常一样，这时间也应当同时使用多种解决方案;因此，即便有一种保护方式出现了问题，另一种依然能够做到将问题出现的可能性降到最低。举例来说，尽管MAC地址过滤属于一种非常有用的设备管理控制工具，可以防止受到感染的笔记本计算机连接上网络，但攻击者依然能够利用MAC地址欺骗技术来达到绕过这种防护模式的目标。

总而言之，技术消费化所带来的主要问题是，风险问题不再仅仅限于内部网络之外，它们有可能已经出现在企业网络内部。公司内部可能已经存在有心怀不满试图盗窃机密资源的员工，甚或仅仅就是因为不了解技术结果将受感染的笔记本计算机带入公司内部从而导致网络上出现后门的无知之举。因此，对于企业来说，仅仅依赖防火墙与入侵检测系统来对业务边界进行保护已经显得远远不够了。

这意味着，企业现在需要将安全措施的覆盖范围扩展到整个办公环境之上。它将会涉及到进行包括查询访问日志在内的全面监控，部署内部入侵检测系统，甚至定期对办公室进行无线网络设备扫描找出非法接入点等措施。只有做到多管齐下，企业才有可能确保网络安全方面不会出现问题。毕竟，作为一种普遍潮流，BYOD已经是一个现实存在的办公形式，不可能在一时之间就能消失。因此，企业就有必要确保其不会对内部网络的安全造成不良影响。