■江蘇 陳滬娟

編者按：BYOD既節(jié)約企業(yè)的成本，又提高了員工的工作效率，越來越受到歡迎，但是也因工作靈活性以及設(shè)備多樣化給企業(yè)帶來了新的安全問題。

BYOD模式出現(xiàn)在企業(yè)環(huán)境的原動力是什么？

答：BYOD模式的原動力來自于單位員工，而不是單位本身，員工對于新科技的喜好反過來驅(qū)動單位變更和適應(yīng)新技術(shù)的變化。不過，單位在實施BYOD之前，往往會引來員工和領(lǐng)導(dǎo)的激烈爭論。有些員工會認(rèn)為，BYOD能像無線網(wǎng)絡(luò)是有線網(wǎng)絡(luò)補充概念一樣，能被所有人迅速接受，從而很快融入單位IT環(huán)境，成為其中的一份子。這些員工明顯忽視了BYOD模式最根本的屬性，員工在驅(qū)動單位接受該模式的過程中，員工對移動終端設(shè)備自身是占有主動控制權(quán)的。而許多單位的IT決策者和領(lǐng)導(dǎo)者之所以能冒上信息被竊取、數(shù)據(jù)被攻擊的安全風(fēng)險，來不遺余力地接受BYOD模式，主要是希望該模式能將辦公成本轉(zhuǎn)嫁到員工身上，以節(jié)省單位開支，同時讓單位員工能進行隨時加班，從而大幅度提升員工工作效率。不得不承認(rèn)，在BYOD模式初步發(fā)展的過程中，出現(xiàn)各種各樣的爭論是很正常的，不過從單位需要重新調(diào)整包括規(guī)章制度、安全等事項以及員工追求靈活的工作模式來看，就能輕松否定上面的觀點。倘若移動終端設(shè)備上有越來越多的應(yīng)用支撐，那么BYOD模式的發(fā)展將會來的更加迅猛。

BYOD模式可能會通過哪些途徑，對外泄露重要數(shù)據(jù)？

答：首先是存儲途徑。BYOD設(shè)備自身就是一個容量很大的數(shù)據(jù)存儲設(shè)備，使用起來與常見的優(yōu)盤幾乎一樣方便。一些別有用心的員工，例如有跳槽打算的、受到領(lǐng)導(dǎo)批評的、被競爭對手收買的、工作不順心的等等，就會利用工作之便，借助于方便小巧的BYOD設(shè)備將企業(yè)重要數(shù)據(jù)泄露出去。這些數(shù)據(jù)一旦泄露出去，后果將不堪設(shè)想，危害相當(dāng)大。當(dāng)然，也有的企業(yè)員工自身就是企業(yè)核心數(shù)據(jù)的研發(fā)者、使用者和保管者，企業(yè)內(nèi)部員工利用工作之余竊取企業(yè)數(shù)據(jù)，特別是核心商業(yè)機密數(shù)據(jù)已經(jīng)成為司空見慣的事情。

其次是上網(wǎng)途徑。一些BYOD設(shè)備能夠方便地充當(dāng)Modem角色，這讓企業(yè)員工還可以利用BYOD設(shè)備將自己工作用的計算機接入外部網(wǎng)絡(luò)，使之暴露在復(fù)雜的Internet網(wǎng)絡(luò)環(huán)境中。在員工進行網(wǎng)絡(luò)活動時，可能會遭遇病毒、木馬、黑客等惡意程序的襲擊，使得工作用計算機的數(shù)據(jù)被竊取或破壞。

第三是藍牙途徑。支持藍牙功能的BYOD設(shè)備也存在潛在的數(shù)據(jù)泄露風(fēng)險。這種功能讓企業(yè)員工在短距離內(nèi)連接上同類設(shè)備，這讓一些惡意用戶可以使用具備同等功能的藍牙設(shè)備，通過企業(yè)員工的設(shè)備作為進入企業(yè)內(nèi)網(wǎng)的接入點竊取重要數(shù)據(jù)。

企業(yè)在部署B(yǎng)YOD模式時，該對員工BYOD設(shè)備提出怎樣的要求？

答：雖然BYOD主要針對各類移動終端設(shè)備，但是在單位內(nèi)網(wǎng)環(huán)境中，個人電子設(shè)備得到廣泛支持并不是件很容易的事，因為單位網(wǎng)絡(luò)在接納各類電子設(shè)備時，往往會考慮產(chǎn)品的工作穩(wěn)定性以及可延續(xù)性，同時會考慮對第三方應(yīng)用的廣泛支持。從目前的眾多單位BYOD實施過程來看，蘋果的i系列設(shè)備明顯占據(jù)了上風(fēng)，而且這種優(yōu)勢幾乎是壓倒性的，現(xiàn)在越來越多的單位開始采用蘋果設(shè)備作為辦公設(shè)備的一部分。對于單位來說，他們當(dāng)然希望用戶將那些品牌過硬的、應(yīng)用支持廣泛的、市場認(rèn)可度高的設(shè)備帶到單位的辦公網(wǎng)絡(luò)中，不過員工的意志卻無法獲得統(tǒng)一的約束，畢竟單位制定的任何政策或制度都不會讓所有員工完全接受。因此，單位在選擇BYOD管理控制方案時，務(wù)必要追求簡單化，不能給員工設(shè)備使用帶來諸多不便。

企業(yè)應(yīng)該如何解決員工BYOD設(shè)備與單位業(yè)務(wù)流程在兼容性方面的問題？

答：首先要確保每個員工的移動設(shè)備上都使用支持企業(yè)日常辦公文檔的程序。比方說，單位使用金山移動辦公軟件，可以同時支持微軟Office以及LibreOffice的文件格式。其次盡量讓員工安裝一個備用瀏覽器，比方說Firefox瀏覽器，在移動設(shè)備系統(tǒng)內(nèi)置的瀏覽器不能正常使用基于web的應(yīng)用時，能夠及時更換使用。要是員工的移動設(shè)備的確不能處理某些業(yè)務(wù)流程時，可以在員工移動設(shè)備上安裝類似Logmein之類的遠程接入應(yīng)用，也可以安裝遠程桌面客戶端程序。

請問企業(yè)在部署好了BYOD模式后，怎樣限制員工的過度自主性，以避免他們用BYOD設(shè)備進行一切活動，讓企業(yè)運營環(huán)境受到安全威脅？

答：為了不讓這種自主性被員工濫用，企業(yè)可以要求員工都簽署B(yǎng)YOD協(xié)議，確保他們明白在企業(yè)內(nèi)使用自己的BYOD設(shè)備是有行為限制的。而且，單位管理員有權(quán)強制員工設(shè)備必須符合相關(guān)的安全標(biāo)準(zhǔn)，否則將禁止其訪問單位網(wǎng)絡(luò)中的應(yīng)用和數(shù)據(jù)。BYOD趨勢的不可阻擋，讓很多單位有點措手不及，畢竟員工的個人生活與工作在單位內(nèi)網(wǎng)環(huán)境中會產(chǎn)生越來越多的交集，矛盾在不同單位上的表現(xiàn)也不盡相同，這與單位的員工習(xí)慣、安全意識、規(guī)章制度等諸多細節(jié)因素有著密不可分的關(guān)系。

請問在企業(yè)的BYOD模式環(huán)境下，怎樣保證員工無法通過email發(fā)送敏感數(shù)據(jù)？

答：要制定嚴(yán)格的BYOD策略，該策略至少應(yīng)該包含以下內(nèi)容：禁止企業(yè)員工使用競爭對手的云服務(wù)，禁止將企業(yè)郵件內(nèi)容發(fā)到個人賬號，禁止員工傳送非加密數(shù)據(jù)，禁止使用非授權(quán)的第三方軟件傳輸數(shù)據(jù)，以免機密信息可能會被發(fā)到其他位置。禁止員工在多個網(wǎng)站使用同一個密碼。強化身份認(rèn)證管理，為員工和第三方建立一套與企業(yè)聯(lián)絡(luò)的可被追蹤的電子認(rèn)證系統(tǒng)。

BYOD模式下，企業(yè)最擔(dān)心重要數(shù)據(jù)對外泄露。因為員工們會丟失自己的智能手機或平板電腦，一旦這種事情發(fā)生后，企業(yè)的重要數(shù)據(jù)很容易被泄露出去。請問如何才能避免這種情況出現(xiàn)呢？

答：可以使用遠程刪除策略，也就是說，當(dāng)員工的移動設(shè)備發(fā)生丟失現(xiàn)象后，企業(yè)能夠?qū)⒈４嬖谝苿釉O(shè)備上的重要數(shù)據(jù)遠程刪除掉。特別是在企業(yè)使用BYOD模式的情況下，更應(yīng)該立即使用這個策略。

為了防止BYOD設(shè)備的無線攻擊滲透，企業(yè)環(huán)境該怎樣進行安全防范？

答：現(xiàn)在無線黑客越發(fā)變得神出鬼沒，而各式各樣通過無線網(wǎng)絡(luò)進行的惡意滲透、釣魚、破解、劫持等行為，正讓BYOD設(shè)備和單位無線網(wǎng)絡(luò)防不勝防。而在單位內(nèi)部無線網(wǎng)絡(luò)中，員工們相互之間私下共享WiFi網(wǎng)絡(luò)或3G網(wǎng)絡(luò)，也會讓單位內(nèi)部網(wǎng)絡(luò)的安全隱患不能在第一時間發(fā)現(xiàn)。

幸運的是，目前已經(jīng)能針對無線局域網(wǎng)部署IDS/IPS了（無線入侵檢測系統(tǒng)/無線入侵防御系統(tǒng)）。與有線局域網(wǎng)的IDS/IPS部署相差不大，無線局域網(wǎng)的IDS/IPS部署也是用來防止黑客攻擊的，只是考慮到無線局域網(wǎng)的本質(zhì)屬性，無線網(wǎng)絡(luò)的IDS/IPS部署還能防止內(nèi)部網(wǎng)絡(luò)悄悄連接到單位網(wǎng)絡(luò)以外的沒有經(jīng)過授權(quán)的無線路由器。善于利用增強的具有定位服務(wù)的IDS/IPS設(shè)備，可以有效幫助單位IT管理人員及時發(fā)現(xiàn)接入點，同時能幫助檢測到非法攻擊什么時候發(fā)生及其在什么節(jié)點發(fā)生，倘若有必要的話還能把惡意攻擊從網(wǎng)絡(luò)斷開或者至少把惡意攻擊嚇走。

在企業(yè)環(huán)境中部署B(yǎng)YOD模式時，可能會碰到的失誤有哪些？

答：可能會遇到下面一些失誤：一是過分依賴移動設(shè)備之類的管理軟件，在設(shè)備發(fā)生丟失后，強行通過管理軟件遠程擦除設(shè)備中的數(shù)據(jù)，造成企業(yè)員工的不滿；二是允許所有員工對所有應(yīng)用程序具有訪問權(quán)限；三是沒有強化對員工的企業(yè)網(wǎng)絡(luò)設(shè)備培訓(xùn)，導(dǎo)致員工安全意識較差，分不清楚哪些是應(yīng)該做的和哪些是不應(yīng)該做的；四是針對BYOD模式制訂的安全策略并不全面，可能存在漏網(wǎng)之魚。

針對BYOD模式天生存在的安全風(fēng)險，請問是否有必要明確專人監(jiān)控管理這類設(shè)備的使用流程，以便集中監(jiān)控網(wǎng)絡(luò)中的異常狀態(tài)、網(wǎng)絡(luò)中的潛在威脅、網(wǎng)絡(luò)中的各種活動以及快速進行響應(yīng)？

答：很有必要。企業(yè)應(yīng)該明確專人通過一個集中的控制臺，對整個流程提供全面的報告、連續(xù)的多通道標(biāo)記報警統(tǒng)計、事件流程管理以及對整個控制平臺進行有效管理。此外，明確專人負責(zé)監(jiān)督、管理與執(zhí)行BYOD模式實施工作有關(guān)的部門任務(wù)、制度、職責(zé)等，這個人要能負責(zé)決定在單位內(nèi)部與BYOD實施相關(guān)的所有工作，包括哪些部門提供什么配合，單位內(nèi)部允許使用什么設(shè)備，BYOD服務(wù)和數(shù)據(jù)計劃付費等。

BYOD設(shè)備的種類多樣性，會給企業(yè)內(nèi)網(wǎng)安全帶來挑戰(zhàn)。企業(yè)該怎樣有效控制員工個人的BYOD設(shè)備，不讓其威脅單位內(nèi)網(wǎng)安全呢？

答：制定明確的設(shè)備使用政策，讓員工擁有或使用BYOD設(shè)備，特別是在工作過程中使用這類設(shè)備，應(yīng)嚴(yán)格遵守單位制定的設(shè)備安全使用政策。一個有效的BYOD政策，應(yīng)該包含一些基本的規(guī)定，比方說要求設(shè)備有一個個人身份識別碼，確保只有員工自己能夠使用這類設(shè)備，要求設(shè)備具有自動鎖死功能，避免他人利用各種機會偷偷使用該設(shè)備，要求設(shè)備支持加密和遠程刪除數(shù)據(jù)等功能，以防止設(shè)備意外丟失。這個設(shè)備使用政策還應(yīng)該規(guī)定，移動智能終端設(shè)備中能保存什么內(nèi)容和不能保存什么內(nèi)容，倘若這類設(shè)備意外丟失，還應(yīng)要求員工采取什么措施，以及可以接受的和不可接受的備份流程等。更為重要的是，單位還應(yīng)該與員工簽訂一個書面的設(shè)備使用協(xié)議，要求員工在使用這類設(shè)備時，必須要嚴(yán)格遵守設(shè)備使用政策。

當(dāng)然，為了讓設(shè)備使用政策得到很好落實，單位要盡可能為員工提供充分的幫助信息。比方說，企業(yè)要經(jīng)常提醒員工不能將移動設(shè)備隨意放置在酒吧或飯店的桌子上，而一定要時刻隨身攜帶。在外出差住宿時，倘若不使用移動設(shè)備時，盡量將其鎖在保險箱或其它安全設(shè)備中。要提醒員工，不過是工作用的智能手機還是筆記本電腦，都不能隨意允許別人訪問使用。

請問BYOD模式可能會給單位帶來什么樣的麻煩？

答：一是降低工作效率。企業(yè)員工可能會花很多工作時間用來上社交網(wǎng)絡(luò)、跟好友聊天或者做更糟糕的事情，這既會降低員工自己的工作效率，也會由于大量占用網(wǎng)絡(luò)帶寬資源影響其他員工的工作效率。二是設(shè)備難以有效管理。由于每位員工選用的運營商不同，使用的設(shè)備品牌、型號不同，這容易給企業(yè)的集中管理帶來很大麻煩。三是存在數(shù)據(jù)泄露可能。員工攜帶自己的移動設(shè)備進入企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境，很容易將企業(yè)重要數(shù)據(jù)通過移動設(shè)備帶走，而且移動設(shè)備很容易丟失，當(dāng)不法分子獲取到這些設(shè)備時，企業(yè)的重要數(shù)據(jù)自然就會落入陌生人手中。四是容易泄露密碼。員工的移動設(shè)備上可能會保存著登錄企業(yè)網(wǎng)絡(luò)和應(yīng)用服務(wù)的各種密碼，這些密碼可能存在于移動應(yīng)用程序中，也可能直接保存在移動設(shè)備的內(nèi)存中，當(dāng)員工的移動設(shè)備丟失時，那么這些密碼內(nèi)容就容易對外泄露。五是增大病毒感染風(fēng)險。員工設(shè)備的安全性是由員工個人保證的，不是每位員工都可以完全加固個人設(shè)備安全的，惡意軟件、間諜軟件以及常規(guī)的病毒木馬程序等，都可能通過BYOD滲透到企業(yè)內(nèi)網(wǎng)環(huán)境中。這些安全風(fēng)險的傳播速度十分快，很容易在企業(yè)內(nèi)網(wǎng)環(huán)境中瞬間蔓延開來。六是過渡消耗寶貴的網(wǎng)絡(luò)帶寬資源。隨著時間的推移，越來越多的員工個人設(shè)備接入單位內(nèi)網(wǎng)環(huán)境，這樣網(wǎng)絡(luò)終端的數(shù)量很快就會超過原有的組網(wǎng)設(shè)計。還有就是原來大家都用計算機進行辦公，往往只是上網(wǎng)查詢文字資料。但現(xiàn)在上網(wǎng)終端多了，很多人開始上網(wǎng)玩游戲、聽音樂、看電影，對網(wǎng)絡(luò)帶寬資源的占用也是不可同日而語，這樣就會讓企業(yè)內(nèi)網(wǎng)不堪重負。七是遭遇第三方應(yīng)用程序風(fēng)險攻擊。大量出現(xiàn)的第三方應(yīng)用程序，雖然方便了移動智能終端的使用，但是也帶來不小的安全隱患。移動智能終端設(shè)備實際上就是一臺普通的計算機，只是“身材”小巧玲瓏而已。所以，那些惡意的第三方應(yīng)用程序會借助這類設(shè)備上的Wi-Fi、藍牙等無線技術(shù)入侵企業(yè)內(nèi)部網(wǎng)絡(luò)，竊取隱私數(shù)據(jù)或者傳播病毒程序，危害企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)安全。

請問怎樣在靜態(tài)IP地址和物理地址綁定的環(huán)境下，讓BYOD模式安全可控？

答：要達到這個目的，可以部署專門的桌面安全管理系統(tǒng)，讓該系統(tǒng)同時啟用違規(guī)外聯(lián)策略、準(zhǔn)入策略、補丁分發(fā)策略。其中，通過違規(guī)外聯(lián)策略，可以強制只有成功注冊的設(shè)備，才能訪問企業(yè)內(nèi)網(wǎng)數(shù)據(jù)，不能訪問外部數(shù)據(jù)，避免外部數(shù)據(jù)的安全威脅滲透到企業(yè)內(nèi)網(wǎng)環(huán)境；通過準(zhǔn)入策略可以強制需要訪問企業(yè)內(nèi)網(wǎng)的設(shè)備配置IP地址同時進行注冊操作，注冊的設(shè)備日后需要卸載的時候，只有桌面安全管理員才能將其卸載，企業(yè)員工不能自行卸載；通過補丁分發(fā)策略，可以對注冊設(shè)備的殺毒工具工作狀態(tài)、系統(tǒng)補丁安裝狀態(tài)、病毒庫版本狀態(tài)進行全面的安全檢測。要是BYOD設(shè)備沒有啟動殺毒軟件，沒有安裝漏洞補丁程序，可以根據(jù)策略提示員工到指定地址進行下載安裝。相信通過這些策略，就能極大地改善BYOD模式的工作安全性。

當(dāng)然，單位也要從制度著手，針對員工BYOD設(shè)備出臺專門的管理辦法，要求在BYOD設(shè)備上只能使用專業(yè)的客戶端程序連接企業(yè)內(nèi)網(wǎng)，通過嚴(yán)格的身份認(rèn)證后才能進行操作，禁止在BYOD設(shè)備上保存企業(yè)重要數(shù)據(jù)，禁止離線處理企業(yè)數(shù)據(jù)；在企業(yè)內(nèi)網(wǎng)使用BYOD設(shè)備前，一定要對其進行安全加固，包括打補丁程序、安裝殺毒軟件、安裝安全軟件、關(guān)閉不需要的端口和服務(wù)、配置強壯的密碼等，確保BYOD設(shè)備自身是安全的。

BYOD設(shè)備攜帶方便，員工很容易通過它帶走企業(yè)重要數(shù)據(jù)。請問是否能夠?qū)崿F(xiàn)BYOD設(shè)備和數(shù)據(jù)的分離，以避免上述現(xiàn)象？

答：目前已有一些企業(yè)軟件制造商正在開發(fā)研制相關(guān)的專業(yè)工具，以便幫助用戶在BYOD設(shè)備上將單位重要數(shù)據(jù)從個人信息中分離出來，以此來控制BYOD模式數(shù)據(jù)安全。善于使用這類分離工具，可以有效避免用戶的應(yīng)用程序訪問企業(yè)重要數(shù)據(jù)，企業(yè)重要數(shù)據(jù)不能被復(fù)制或者耦合粘貼到個人應(yīng)用程序中。

企業(yè)IT管理人員可以在BYOD設(shè)備上利用數(shù)據(jù)分離工具來保護敏感的單位數(shù)據(jù)。如果一個員工擁有一臺BYOD設(shè)備，那么當(dāng)他離開單位的時候，單位工作人員只要通過分離工具刪除他的單位工作信息，而不會影響保存在對應(yīng)設(shè)備中的個人信息。

從安全角度來看，如何限制員工通過BYOD設(shè)備從外部訪問企業(yè)內(nèi)網(wǎng)數(shù)據(jù)？

答：對于內(nèi)網(wǎng)中的一些特殊數(shù)據(jù)或資源，可以通過設(shè)置防火墻規(guī)則，并使用VPN加密連接方式，來限制來自外部的不安全訪問。VPN通過加密技術(shù)在Internet網(wǎng)絡(luò)上封裝出一個數(shù)據(jù)通訊隧道，通過這條加密隧道，企業(yè)員工不管在外地還是在家中辦公，都能安全、高效地訪問企業(yè)內(nèi)部數(shù)據(jù)。

BYOD設(shè)備產(chǎn)生的安全風(fēng)險可能有哪幾種類型？

答：可能有兩種類型：一是設(shè)備自身的風(fēng)險。這是建立在現(xiàn)在的移動智能終端設(shè)備實際上是一種新型的擁有本地和云端存儲功能的高效能計算機這一基礎(chǔ)上的，同時比起常見的臺式計算機和筆記本電腦，現(xiàn)在的企業(yè)較少可以控制這些移動智能終端設(shè)備。二是安裝在這些設(shè)備中的應(yīng)用程序風(fēng)險。這種風(fēng)險源于最終用戶安裝的第三方應(yīng)用程序，這些應(yīng)用程序通常能夠訪問到企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù),將數(shù)據(jù)保存到BYOD設(shè)備上，同時將數(shù)據(jù)傳輸?shù)狡髽I(yè)內(nèi)網(wǎng)之外的位置。

為了讓BYOD安全使用，很多企業(yè)會將重要數(shù)據(jù)保存在云端或中央服務(wù)器上，這就要求企業(yè)員工使用虛擬桌面訪問企業(yè)資源，確保訪問之后的數(shù)據(jù)不會遺留在移動終端設(shè)備上。請問使用虛擬桌面主要有什么作用？

答：移動虛擬桌面能夠?qū)崿F(xiàn)桌面系統(tǒng)的遠程動態(tài)訪問與數(shù)據(jù)中心的統(tǒng)一托管，既意味著員工能夠使用任何移動設(shè)備，在任何時間和任何地點訪問企業(yè)內(nèi)網(wǎng)環(huán)境下的數(shù)據(jù)資源，還能隨時進入屬于員工自己的桌面系統(tǒng)。

為了預(yù)防員工使用BYOD設(shè)備隨意訪問外部網(wǎng)絡(luò)，造成企業(yè)核心數(shù)據(jù)從本地被轉(zhuǎn)移，單位該怎樣監(jiān)控員工的上網(wǎng)訪問行為呢？

答：根據(jù)實際情況部署網(wǎng)絡(luò)信息監(jiān)測系統(tǒng)，控制本地上網(wǎng)，監(jiān)控員工上網(wǎng)行為。結(jié)合內(nèi)核數(shù)據(jù)截收和預(yù)處理技術(shù)、深度內(nèi)容檢測技術(shù)、智能識別阻斷等專利技術(shù)，為客戶解決網(wǎng)頁過濾、封堵與工作無關(guān)的網(wǎng)絡(luò)應(yīng)用需求。企業(yè)可以根據(jù)行業(yè)特征、業(yè)務(wù)需要和企業(yè)文化來制定個性化的網(wǎng)頁訪問策略，過濾非工作相關(guān)的網(wǎng)頁。同時制定精細的帶寬管理策略，對不同崗位的員工、不同網(wǎng)絡(luò)應(yīng)用劃分帶寬通道，并設(shè)定優(yōu)先級，合理利用有限的帶寬資源，節(jié)省投入成本。并且可以制定全面的信息收發(fā)監(jiān)控策略，有效控制關(guān)鍵信息的傳播范圍，以及避免可能引起的信息泄漏風(fēng)險。

為了避免BYOD模式帶來安全威脅，不少企業(yè)單純地采取了封堵措施，限制BYOD被員工們通過各種形式訪問企業(yè)內(nèi)網(wǎng)環(huán)境，實際上該方法無法從根本上解決問題。要想管理好BYOD模式，想方設(shè)法提高員工的安全意識是根本，請問怎樣才能增強單位員工使用BYOD設(shè)備的安全意識呢？

答：首先要強化安全觀念的建設(shè)，讓安全觀念成為企業(yè)信息化建設(shè)過程中的一部分，企業(yè)和員工要共同承擔(dān)BYOD模式可能帶來的安全風(fēng)險。其次要反復(fù)組織多次信息安全方面的知識培訓(xùn)，讓員工掌握安全使用BYOD設(shè)備處理業(yè)務(wù)的技能，使員工對信息安全與企業(yè)發(fā)展、自身利益之間的關(guān)系有更加深刻的認(rèn)識。

企業(yè)該怎樣對BYOD設(shè)備加強安全認(rèn)證，以保證BYOD模式的正常工作？

答：單位需要為BYOD設(shè)備的安全使用進行獨立預(yù)算，因為為了防止設(shè)備發(fā)生硬件丟失行為，單位需要各類專業(yè)工具或認(rèn)證工具來跟蹤設(shè)備同時刪除其中的隱私信息。單位IT管理人員一定要認(rèn)真重視BYOD設(shè)備內(nèi)部和外部的認(rèn)證，確保合法可信的設(shè)備才能有權(quán)限訪問單位內(nèi)部網(wǎng)絡(luò)中的重要數(shù)據(jù)。目前很多企業(yè)級移動設(shè)備平臺基本都具有比普通設(shè)備內(nèi)置的認(rèn)證功能更為強健的認(rèn)證體系，相同的認(rèn)證策略能適應(yīng)于各種不同種類的移動智能設(shè)備，同時能推廣應(yīng)用到整個單位網(wǎng)絡(luò)。

雖然嚴(yán)格的設(shè)備認(rèn)證制度會讓員工每次使用設(shè)備時都要頻繁輸入密碼，但是它是防范BYOD模式安全的一項必不可少的措施。單位IT管理人員一定要保證認(rèn)證密碼難以被暴力破解，同時要求員工不能將使用密碼標(biāo)記在某個顯眼的位置。在對安全性要求較高的一些場合，要求單位員工頻繁輸入認(rèn)證密碼確實有點兒繁瑣，不過這樣反而能給員工予以嚴(yán)重警告：您當(dāng)前正在使用的設(shè)備可能包含單位機密信息。

此外，企業(yè)級移動設(shè)備平臺的安全認(rèn)證體系，還應(yīng)該可以遠程刪除丟失設(shè)備中的重要數(shù)據(jù)。當(dāng)移動智能終端設(shè)備意外丟失或被盜后，在被丟失設(shè)備連接到Internet網(wǎng)絡(luò)中時，跟蹤工具應(yīng)當(dāng)與包含GPS功能的設(shè)備芯片保持同步，從而能有效跟蹤并定位移動智能終端設(shè)備，并能遠程刪除所有的與單位工作有關(guān)的機密數(shù)據(jù)。