近日在旧金山召开的一场RSA大会云安全小组讨论会上,来自eBay, Sallie Mae, Humana和Bank of America的首席信息安全官们,纷纷发表了未来员工自带设备办公(BYOD)趋势下,如何应对BYOD所带来的安全风险问题。
NetIQ公司亚太区身份与安全管理产品和业务经理Ian Yip,在此次讨论会上表示,信息安全部门的操作方式需要进行根本性的模式转变,并创造性地设计出解决方案同时降低风险。具体地,可以参照以下策略:
一、倡导鼓励安全文化。安全观念应成为企业有机整体的一部分。这需要进行文化转变。安全观念必须成为一个能动器并嵌入到企业的各个方面。不能将安全意识看作企业创造精神的障碍。
安全文化(图片来自网络)
二、教育、测试、重复。单位和终端用户必须共同承担责任。在最近召开的RSA大会上,曾为著名黑客的Kevin Mitnick反复强调,社会工程仍是最容易让安全意识渗透一家公司的手段。实际上,许多高级持久威胁(APT)都涉及使用Spear Phishing网络钓鱼方式,捕获安全意识缺乏的员工,来损害网络。因此,不要停止对员工进行教育。必须定期在员工最没有想到的时候对员工进行测试(并让他们意识到缺失),加强正确行为方式的建立。
三、建立易于理解的BYOD规定。不要依靠用户破译“安全语言”。例如“要确保你的设备安装有我们公司强制安装的软件。你可按如此步骤从这个地点下载并安装。”
四、执行访问控制策略。应依靠身份、背景和规定对资源进行保护。如果系统不能确定用户的身份,如果不符合合规标准(例如屏幕解锁口令/PIN未激活)或者没有安装必备软件(如防病毒软件),就不允许设备访问资源。根据所处地点和连接是否加密等因素通过对访问进行限制来应用背景。
常见的全局访问控制政策
五、使补救过程自动化。通过将大多数补救过程自动化尽可能简单地使用户能确保设备合规。不要依靠用户能自觉了解他们需要下载和安装一系列软件。这可利用身份分配和配置管理技术来实现。
