隨著自備設(shè)備（簡(jiǎn)稱BYOD）辦公趨勢(shì)迅速演變?yōu)槠髽I(yè)事務(wù)的公認(rèn)處理準(zhǔn)則，IT部門及從業(yè)人員必須緊跟時(shí)代步伐、了解這種勢(shì)頭將如何影響企業(yè)網(wǎng)絡(luò)安全策略的各個(gè)方面。
 
　　BYOD是一種技術(shù)趨勢(shì)，它的出現(xiàn)令企業(yè)從規(guī)避風(fēng)險(xiǎn)轉(zhuǎn)型為主動(dòng)對(duì)風(fēng)險(xiǎn)加以管理。事實(shí)上很多IT機(jī)構(gòu)都沒能正確認(rèn)識(shí)BYOD中的核心實(shí)質(zhì)，他們往往只專注于解決宏觀問題中的一個(gè)側(cè)面——例如設(shè)備本身。但在我看來，如果企業(yè)希望盡量降低BYOD安全風(fēng)險(xiǎn)的出現(xiàn)可能性，他們首先要做的應(yīng)該是對(duì)網(wǎng)絡(luò)安全生態(tài)系統(tǒng)進(jìn)行評(píng)估、掌握新形勢(shì)下可能出現(xiàn)的各類新弱點(diǎn)及其影響力。
 
　　接下來我們將與大家共同分享十項(xiàng)技巧，它們不僅能夠有效保證企業(yè)采用BYOD方案之后的業(yè)務(wù)安全性，同時(shí)也將促進(jìn)遠(yuǎn)程訪問關(guān)鍵性業(yè)務(wù)信息的安全性。

 　　密碼保護(hù)還不夠，我們需要全方位的身份驗(yàn)證。

　　在BYOD所帶來的高度風(fēng)險(xiǎn)之下，傳統(tǒng)的靜態(tài)密碼根本不足以保護(hù)敏感業(yè)務(wù)數(shù)據(jù)及系統(tǒng)的遠(yuǎn)程訪問安全。企業(yè)應(yīng)該考慮引入多種身份驗(yàn)證要素借以加強(qiáng)安全性，同時(shí)堅(jiān)持將業(yè)務(wù)可用性擺在第一位。如果能將一次性密碼及后備通知方案（例如以短信形式通知）二者添加到認(rèn)證機(jī)制中來，相信能夠從宏觀角度令安全體系更為穩(wěn)固。

　　利用基于SSL的VPN確保遠(yuǎn)程訪問安全。

　　在用戶驗(yàn)證工作準(zhǔn)備就緒之后，企業(yè)接下來就要在網(wǎng)絡(luò)連接的安全性方面多下點(diǎn)心力。SSL VPN能夠賦予員工極大的靈活性，允許他們安全地從任何位置的任何移動(dòng)設(shè)備上訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。除此之外，與IPSec不同，SSL VPN能夠在無需為設(shè)備安裝任何額外軟件的前提下提供安全的遠(yuǎn)程連接服務(wù)。

　　利用單點(diǎn)登錄防止密碼多次輸入。

　　為每一款應(yīng)用程序單獨(dú)輸入一次密碼既繁瑣累人、又增加了安全風(fēng)險(xiǎn)，因?yàn)橛脩魹榱擞洃洸⒐芾聿煌�的密碼內(nèi)容，往往會(huì)采用非常危險(xiǎn)的記錄方式。單點(diǎn)登錄（簡(jiǎn)稱SSO）工具的出現(xiàn)使企業(yè)員工得以通過一套密碼訪問一系列業(yè)務(wù)及云應(yīng)用程序，而且這套機(jī)制還能夠與SSL VPN配置攜手發(fā)揮作用。

　　終端節(jié)點(diǎn)控制。

　　一旦員工決定離開企業(yè)，我們必須馬上剝奪他們的網(wǎng)絡(luò)訪問權(quán)。然而事情永遠(yuǎn)是說起來簡(jiǎn)單，事實(shí)上我們很難找到一套高效及快速的方案及時(shí)處理這類問題。不過有需求就有市場(chǎng)，如今企業(yè)級(jí)設(shè)備管理解決方案已經(jīng)極大豐富，我們不僅能通過它們處理員工事務(wù)、還可以只敲幾下鍵盤就快速刪除特定用戶的訪問權(quán)限。不過大家需要注意的是，整個(gè)變更流程不應(yīng)該涉及用戶群的重新定義，否則工作將變得既費(fèi)時(shí)又容易出錯(cuò)。

　　申請(qǐng)一套通用型ID。

　　什么是通用型ID？簡(jiǎn)單來說就是將一位用戶的身份存儲(chǔ)在多套系統(tǒng)當(dāng)中，最典型的例子就是我們可以利用自己的Facebook或者Twitter賬號(hào)登錄其它網(wǎng)站。這種思路在企業(yè)內(nèi)部也同樣可行，我們可以在完成對(duì)用戶的身份驗(yàn)證后，允許他們?cè)L問合理控制下的內(nèi)部及外部系統(tǒng)。通用型ID同樣支持員工的單點(diǎn)登錄習(xí)慣。這么做有什么好處？首先，員工能夠很方便地登錄任何得到批準(zhǔn)的系統(tǒng)；其次，企業(yè)能夠?qū)�包括云基礎(chǔ)應(yīng)用程序在內(nèi)的所有事務(wù)通通納入監(jiān)控范疇；第三，服務(wù)供應(yīng)商也不必再為維護(hù)多套用戶配置文件而焦頭爛額了。

　　軟件令牌與BYOD。

　　物理安全設(shè)備已經(jīng)成為高風(fēng)險(xiǎn)與繁瑣操作的代名詞，BYOD的出現(xiàn)則徹底扭轉(zhuǎn)了這一不利局面。企業(yè)如今不必再花費(fèi)高昂成本購(gòu)買、管理并分發(fā)硬件令牌或同類物理安保設(shè)備。軟件安全令牌已經(jīng)蓬勃發(fā)展，并且能與大多數(shù)員工的智能手機(jī)緊密協(xié)作。這種由企業(yè)員工積極參與的“人體工程學(xué)”解決方案能夠給公司與個(gè)人帶來雙贏，同時(shí)也讓技術(shù)人員得以更輕松地更新并管理安保機(jī)制，并根據(jù)當(dāng)前威脅及時(shí)做出反應(yīng)。

　　整個(gè)流程需盡在掌握。

　　BYOD帶來的風(fēng)險(xiǎn)不容忽視，技術(shù)人員必須在網(wǎng)絡(luò)活動(dòng)、外來威脅及異常狀況等方面做好集中化監(jiān)控工作，同時(shí)確保反應(yīng)的快速與準(zhǔn)確性。最重要的是要構(gòu)建一套集中式管理控制臺(tái)，管理員通過它獲得全面報(bào)告、事故過程管理、持續(xù)多路報(bào)警、地理標(biāo)記統(tǒng)計(jì)以及應(yīng)用程序處理能力，并在整套平臺(tái)上實(shí)現(xiàn)強(qiáng)有力的控制目標(biāo)。

　　任命管理者、執(zhí)行新策略。

　　BYOD策略管理工作不應(yīng)該被混雜在萬百上千的其它普通IT管理任務(wù)之中，我們建議大家為此指派專門負(fù)責(zé)人及處理團(tuán)隊(duì)。任何一位跨職能的管理者，他將把全部注意力集中在政策、方針、角色以及職責(zé)等與BYOD策略執(zhí)行流程相關(guān)的細(xì)化工作身上。這位管理者將負(fù)責(zé)確定BYOD在企業(yè)中各個(gè)領(lǐng)域的實(shí)施進(jìn)展，包括哪些設(shè)備允許引入，哪些部門能夠支持新策略，誰要為技術(shù)支持、服務(wù)及數(shù)據(jù)計(jì)劃買單等等。

　　嚴(yán)格制定管理政策。

　　無論設(shè)備的所有者是誰，希望在工作中使用自有設(shè)備的員工都必須遵守企業(yè)制定的信息安全協(xié)議。一套嚴(yán)謹(jǐn)?shù)腂YOD管理政策應(yīng)該涵蓋各種基礎(chǔ)內(nèi)容，例如要求設(shè)備啟用自動(dòng)鎖定功能并需要通過個(gè)人識(shí)別碼（簡(jiǎn)稱PIN）解鎖、支持?jǐn)?shù)據(jù)加密及外遠(yuǎn)擦除以防止失竊等等。政策中還應(yīng)明確規(guī)定哪些類型的數(shù)據(jù)允許被存儲(chǔ)在員工設(shè)備中、一旦設(shè)備被盜該如何處理、哪些備份流程值得鼓勵(lì)、哪些備份流程有違規(guī)章。最重要的是，企業(yè)還應(yīng)與員工簽訂一套書面的用戶管理協(xié)議并詳加說明，保證員工切實(shí)了解規(guī)范使用個(gè)人設(shè)備的重要性并定期自查安全機(jī)制。

　　 鼓勵(lì)員工積累技術(shù)知識(shí)。

　　別指望著員工能積極主動(dòng)學(xué)習(xí)技術(shù)知識(shí)——這一切都需要在官方的引導(dǎo)及施壓下才可能實(shí)現(xiàn)。企業(yè)應(yīng)對(duì)員工定期審查，了解他們是否掌握了最基本的移動(dòng)設(shè)備安全保護(hù)措施。例如一旦設(shè)備丟失或被盜，物主應(yīng)該怎樣處理；設(shè)備如何實(shí)現(xiàn)定期更新；不用設(shè)備要及時(shí)鎖定；下載應(yīng)用程序時(shí)認(rèn)真閱讀提示、不能盲目點(diǎn)確定。
 
　　只要嚴(yán)格執(zhí)行上述技巧，相信大家都能夠順利將BYOD轉(zhuǎn)化為企業(yè)運(yùn)轉(zhuǎn)流程的一部分，同時(shí)有效保護(hù)自己的現(xiàn)有安全生態(tài)系統(tǒng)。