分类: 服务器与存储
2008-06-24 15:49:07
企业对个人网络设备采取不同的措施。一些企业为员工和来客提供无线网络,方便他们办公,而另外一些企业则严格限制网络,只允许公司的系统使用。许多公司努力避免数据泄漏带来的威胁,这类威胁可能来自员工在私人设备上存储、处理、传递公司数据等过程。
在本文中,我们将讨论在企业内部管理智能手机、手写板和其它终端用户设备具有哪些安全意义。首先,应明确是否允许公司以外的设备连接到你的网络,这一点很重要。简单地回答“不”似乎是解决安全问题的简便方法,但这个问题还需全面考虑。允许私人设备连接互联网,可能需要员工加强道德观念。同样,强硬政策能快速改变现状,尤其是在老板也拥有新型无线设备的情况下。
隔离私人设备
今后,大量的私人设备将会连接到公司的无线(而不是有线)网络。公司可以在接入点添加SSID,为私人系统提供隔离网络。完成这项工作以后,就应该决定是完全开放网络,还是采用“网页认证”的方式进行身份验证。旅馆和咖啡店通常采用网页认证的方式,将来自未知客户的HTTP请求完全转发到专门的Web网页,直至用户获得合法证书通过验证;然后,他们就能连接到互联网了。
隔离网路中的设备不应该直接与公司资源相连,尤其是在不需要身份验证的情况下更不能如此。如果政策不允许在私人设备上使用公司数据,客户网络的用户就应该在访问公司资源之前连接到VPN。这么做的目的旨在维持客户网络的“不可信”状态。
NAC部署状态
许多企业在尽力找出网络准入控制技术在企业安全架构中合理的布置位置。然而,客户网络是个很清晰的例子,此时查清系统状态能使你获益良多。实际上,如果企业要在全公司范围内部署NAC,并且希望在有限的范围内测试这种复杂技术,运行NAC策略就需要耗费大量空间。企业需要采用NAC确保终端符合最低安全标准,比如——至少——拥有配置合理的杀毒软件和主机防火墙软件,然后才能允许其它设备连接到客户网络。
利用公司数据
当员工允许私人设备处理公司数据时,安全问题就越过公司办公楼,抵达员工家里,甚至可能影响员工的工作效率。当今社会,员工经常会在家里工作,晚上或者周末的时候,他们通常会远距离工作或者简单地用电子邮件进行联系。如果你有远程工作的员工,他们采用自己的移动设备,那你就要花点时间明确公司对行为要求的策略:用户在公司以外的系统中处理哪类数据?以什么方式处理数据?如果你没有明确陈述该领域的要求,你的公司很有可能出现非正式利用的“灰色市场”。
决定是否在企业中采用个人设备时,你需要平衡安全需求和实际问题。这种平衡在各个公司之间大相径庭,不仅需要仔细思考,还需要制定合理的安全控制措施。