越來越多企業(yè)積極鼓勵讓員工攜帶自己設(shè)備上班(BYOD),當然,它的便利性和對工作效率、工作時間的節(jié)省很讓人心動,但是也存在一些數(shù)據(jù)安全等管理上的難題。在這些方面,除了采用相關(guān)解決方案,如移動裝置管理(MDM)、移動應(yīng)用程序管理(MAM)、桌面虛擬化(VDI)等之外,IT管理者更應(yīng)關(guān)心如何擬定有效的BYOD管理政策。微軟亞洲首席安全顧問Pierre Noel日前在身分認證管理與資安研討會上分享微軟的BYOD政策。
Noel認為一定要先做好資料分級才有BYOD。在微軟,資料分級是由一開始的文件擁有者Data Owner負責(zé)決定等級,有了文件分級后,越機密的文件就需要在越嚴格的條件下才能存取,例如端點設(shè)備要有BitLocker加密、并且透過DirectAccess VPN連線進來,同時用智慧卡進行身分認證后的才可存取機密文件或應(yīng)用程序。微軟透過以下4個項目來定義安全等級(0~100%),不同等級有不同的權(quán)限:
1)登入系統(tǒng)的身分:僅使用LiveID登入或是強認證登入。
2)登入系統(tǒng)的設(shè)備:自己的設(shè)備或是公司配發(fā)的設(shè)備。
3)登入系統(tǒng)的位置:在內(nèi)網(wǎng)或外網(wǎng);或是所在國家。
4)登入系統(tǒng)欲存取的文件等級或應(yīng)用程序類別
微軟透過上述簡單清楚的4項目來定義安全等級,Noel認為BYOD政策不需要制訂的太復(fù)雜,在清楚的準則下可讓員工容易了解,而且只要在此準則下,不需要管員工是使用何種設(shè)備,舉凡筆電、平板、智慧手機都可納進BYOD政策來管理。然而,讓員工(文件擁有者)自行設(shè)定文件等級的做法是否會有誤差?Noel承認可能會有風(fēng)險,但這時就可以透過其他系統(tǒng),如Exchange郵件系統(tǒng)的設(shè)定來協(xié)助過濾機密文件的傳遞。