自智能手机普及以来,自带福彩三d字谜(BYOD)策略比以往任何时候都更为重要。我认为,即使您不想允许个人用户福彩三d字谜访问公司数据或应用程序,您也仍然需要BYOD策略,前提是仅要承认用户已经将其个人福彩三d字谜带入您的业务场所这一事实。

即使他们不访问公司应用程序,也可以连接到您的Wi-Fi网络并从网络内部连接到他们最喜欢的网站和应用程序。 BYOD政策可为您提供帮助。

实施BYOD政策之前要问的问题

在实施BYOD政策之前,您需要明确目标。您需要问几个问题,因为答案决定了您的政策实际上将如何运作。

1.可以访问哪些应用程序和数据?

用户将使用Wi-Fi连接到Internet还是访问公司数据和应用程序?如果您只想提供Internet访问,处理它的最简单方法是创建一个单独的 Wi-Fi SSID (甚至是“访客” Wi-Fi),并允许员工将其用于个人福彩三d字谜。

创建访客Wi-Fi还可让您实施 适当的防火墙 以及基于网络的扫描福彩三d字谜,以帮助保护这些福彩三d字谜。请记住,访客Wi-Fi始终应严格防火墙隔离任何内部网络。

2.这些应用程序和数据有多敏感?

如果您确实打算允许个人福彩三d字谜连接到公司应用程序和数据,则需要了解风险。数据有多敏感?在大多数情况下,公司数据和应用程序的敏感度范围从平凡到关键任务。

您需要谨慎回答这个问题,因为随着时间的推移,用户将希望访问更多的应用程序。当人们想要处理总账或获取关键的公司知识产权时,BYOD上市第一天的合理风险水平可能不会晚些。确保您有一种方法来控制它们可以访问的数据和应用程序。如果您只是盲目地让他们进入您的网络,那么您就没有此控制权。

3.公司数据是否应驻留在最终用户福彩三d字谜上?

有两种方法可以处理个人福彩三d字谜上的数据:

  1. 允许福彩三d字谜保存潜在的敏感数据
  2. 允许用户通过Web浏览器或专用应用程序显示敏感数据,然后清除所有本地缓存​​的内容

这两个选项之间的差异会影响福彩三d字谜丢失或被盗时发生的情况。您是否需要删除该福彩三d字谜访问数据的功能,还是需要以某种方式与该福彩三d字谜联系并删除敏感数据?

您可能会问的另一个问题是:“如何在福彩三d字谜上分隔敏感的公司数据?”用户是否应该能够使用个人应用程序从公司应用程序中剪切或粘贴敏感信息?在许多情况下,答案是“否”。

这两个问题都立即表明您是否需要 移动福彩三d字谜管理(MDM)系统 以及应该如何设置。

4.公司数据和应用程序存放在哪里?

一次,所有敏感数据都存储在公司网络内部。到2020年,至少某些数据可能会存储在某种基于云的服务中。

差异影响一些重要的考虑因素。如果用户将访问内部系统,则需要考虑他们是仅从公司网络内部访问它们,还是允许远程访问。如果要允许远程访问,则需要 VPN解决方案 配合您的BYOD实施。

如果数据在基于云的服务中,那么您需要考虑云服务如何区分公司福彩三d字谜,员工合法操作的个人福彩三d字谜和试图远程访问数据的攻击者福彩三d字谜。

立即收听:Abine首席执行官Rob Shavell解释 诈骗者如何使用完全合法和合法的数据来威胁用户并访问网络.

一旦允许远程访问,就需要包含一个强大的功能 认证系统 在您的计划中。

BYOD政策的基本要素

成功实现BYOD的技术有几项基本要素。

1. Wi-Fi和SSID

第一个基本要素是Wi-Fi网络。这时很容易陷入困境。您将提供多少个SSID?您需要区分BYOD福彩三d字谜和真正的外部访客吗?我的大多数客户都选择了包含三个SSID的模型。

阅读更多:无线网络架构师Lee Badman解释 SSID的功能。

第一个是内部SSID’允许访问与任何有线福彩三d字谜相同的内部系统。此SSID的身份验证通常使用802.1x证书,以允许对公司福彩三d字谜进行无缝身份验证。在大多数情况下,该网络可以使用与有线连接相同的Internet防火墙和基于网络的安全检查福彩三d字谜来访问公共Internet。

第二个SSID用于访客,并且只能访问公共互联网。防火墙远离内部网络。在某些情况下,您可能希望允许访客访问某些内部系统,例如视频会议系统或DMZ中的服务器。但我只建议您提供此类访问权限’能够将那些可访问的系统放在自己的单独防火墙网络中。

第三个SSID用于BYOD福彩三d字谜,它具有您打算允许这些福彩三d字谜拥有的任何访问权限。验证方式取决于您的访问要求。如果您具有MDM系统,则应该能够推出公司证书以用于802.1x身份验证。在这种情况下,可以将第一个和第三个SSID一起滚动。

如果您的所有公司系统都位于基于Internet的云服务中,则可以考虑将所有三个SSID一起滚动,因为它们具有基本相同的安全性限制。但是,为了简化管理,我仍将访客部署在他们自己的独立网络上。您希望能够定期将不需要的访客踢出网络。

2.两因素认证

一旦打开公司应用程序和数据以从不受控制的福彩三d字谜或不受控制的网络进行访问,对健壮的身份验证系统的需求就会增长。

如果您打算允许从网络外部访问任何敏感内容,我强烈建议您实施某种 两因素认证。这包括对您的内部网络的VPN访问以及对任何基于云的服务的访问。

顺便说一句,如果您在基于云的服务中有任何公司数据,包括像电子邮件服务这样的简单数据,我强烈建议您进行两因素身份验证。密码很容易被窃取或猜测-即使复杂的密码也经常被盗,因为用户喜欢在帐户之间重复使用他们的密码。您无法知道某人是否在他们的工作电子邮件和Facebook帐户上使用了相同的密码,因为它恰好是他们喜欢的密码,并且已经致力于存储。然后,如果它被盗在Facebook上,它也就因为工作而被盗。

市场上有许多出色的两因素身份验证解决方案。有些使用智能手机应用程序,要求用户单击“确定”以获取访问权限。有些人将挑战响应代码与物理令牌或智能手机应用程序一起使用。其他人会向您的手机发送一条短信,其中包含需要输入的密码。 (短信方法被认为是高度安全的,因为这些消息可以被截获,但总比没有好。)还有其他一些具有必须插入计算机的物理令牌。

请注意,所有这些方法都可以通过使用 社会工程欺骗合法用户 验证攻击者的会话,因此它们不是万能药。但他们’比单独使用密码要好得多。

3.移动福彩三d字谜管理

最后,是移动福彩三d字谜管理。坦率地说,我不建议您在没有MDM解决方案的情况下部署BYOD策略。没有它,您将无法控制丢失和被盗的福彩三d字谜,无法推出证书,无法推出应用程序更新或安全补丁,并且如果员工离开公司也无法删除内容。

大多数现代MDM系统将允许您对福彩三d字谜进行分区,以防止个人应用程序和公司应用程序之间的数据泄漏,并对整个福彩三d字谜或公司数据进行加密。而且它们中的大多数可用于各种移动福彩三d字谜。 MDM的另一个关键功能是允许您远程删除内容或“砖化”福彩三d字谜(如果有)’s lost or stolen.

但是这里的挑战是,那里有很多MDM系统,它们提供的功能差异很大。它’最好清楚地了解您的需求,对选项进行研究,然后将一个或多个选项放入您的实验室进行测试。其中一些在纸上看起来不错,但在实践中很难使用。根据您的要求,其他一些可能缺少关键功能。

BYOD需要考虑的其他注意事项

您可能还希望将其他功能与BYOD实现捆绑在一起。例如,如果您有DLP(数据丢失防护)策略,那么它也应该涵盖这些福彩三d字谜,因为它们是内部数据盗窃的极好载体。

您还应该考虑在BYOD福彩三d字谜上进行某种端点安全性实现。端点安全性有助于确保恶意软件不会进入您的网络,并使攻击者更难使用这些福彩三d字谜作为基础结构的入口点。

您绝对应该考虑管理员对用户福彩三d字谜的访问权限。有时,人们在他们的福彩三d字谜上拥有图片和其他高度个人信息,不应允许管理员访问。

最后,重要的是要考虑首选MDM解决方案中可用的任何远程“擦除”功能的含义。其中一些解决方案只会抹去公司内容。其他人将擦除整个福彩三d字谜,包括用户数据。有些可以让您选择所需的选项。确保您了解自己’将实施,并确保您的员工也理解。如果他们离开公司后需要重新安装福彩三d字谜,这一点尤其重要。


其中一项建议是,您不应在满足BYOD政策要求所必需的事情上妥协。举例来说,如果您无法获得MDM的预算,则需要严格缩减需求,以这种方式可以安全地交付这些需求。如果没有合适的工具而尝试做太多事情总是造成灾难的根源。