Cybersec Wednesday|自携装置安全指南:制定有效的BYOD政策以保护企业数据
在疫情过后,自携装置(BYOD)已变得日趋普及,除了员工能够随时随地存取工作资源,更降低企业硬件成本,让员工使用熟悉的设备可减少培训时间和成本,适合部分资源不多的中小企。BYOD政策允许员工使用自己的手机、平板电脑或手提电脑等装置进行工作,能有效提高了工作的灵活性,但同样也对企业的网络安全带来了相对的挑战。本地亦曾发生一宗因遗失装置而导致严重个人资料外泄事件,可见实施实施BYOD政策的必要性,机构应加强对装置的安全管理和保护措施,以及制定严格的数据保护政策以保障敏感信息。
BYOD政策旨在为员工使用个人设备处理工作任务提供指导和规范,同时保护企业的数据安全。该政策应涵盖设备的安全要求、数据存储和传输的加密措施、以及如何安全地存取企业资源等关键领域。在实施BYOD政策时,企业需要考虑如何平衡安全性与便利性、如何处理设备遗失或被盗的情况、员工离职时的数据处理机制,以及如何监控和执行政策。
BYOD政策面临的风险:
-恶意软件感染
个人装置可能较少受到与企业级装置相同程度的管理和监控,或使得它们更容易受到恶意软件的攻击。一旦员工的个人装置受到感染,恶意软件便可以透过这途径轻易传播到企业网络,危及更广泛的企业资源。
-遗失装置导致的数据泄露
当员工的个人装置遗失或被盗,并且该装置存有公司的敏感数据时,可能会导致数据泄露。不仅涉及公司的内部资讯,还可能包括客户的个人资料,对公司的声誉和财务状况都可能造成毁灭性的影响。
-缺乏足够的安全措施
如果个人装置未加密且没有强制执行密码保护,未经授权的人员可能很容易访问存储在装置上的数据。
-无法迅速应对
在装置遗失的初期阶段,可能无法立即确定装置的去向。这延迟了采取措施如远程抹除装置中数据的时间,增加了数据被非法访问的机会。
-员工疏忽
员工可能未及时报告装置的遗失,或在使用装置时未遵守安全最佳实践,如定期更新密码等。同时,员工也可能没有定期备份其装置上的工作数据,导致重要信息的永久丢失。
如何缓解BYOD安全风险的实际例子:
多因素认证(MFA):要求所有使用个人设备访问公司系统的员工,必须通过MFA。这增加了一层安全防护,即使密码被泄露,未经授权的用户也难以存取公司资源。
加密处理:将数据转换成密码或代码的过程,以防止未经授权的访问。通过对存储有敏感资料的装置进行加密处理,即使装置被盗或遗失,数据也无法被未经授权的人员读取。能有效保护存储在提电脑、手机和平板电脑等移动装置上的敏感资讯的一个基本而有效的方法。
流动装置管理(MDM):管理和保护企业内所有移动装置,包括智能手机、平板电脑和笔记本电脑。无论装置是企业提供还是员工的自携装置,均可远程监控、配置和保护这些装置。
主要功能包括:
· 装置配置和设定:自动部署Wi-Fi设定、电子邮件账户、VPN配置等。
· 安全管理:实施密码政策、加密存储的数据、安装或卸载安全软件。
· 监控和报告:追踪装置使用情况、监控合规性、生成安全报告。
· 远程操作:如远程锁定或抹除遗失或被盗的装置上的数据。
流动应用程序管理(MAM):管理企业移动应用程序的分发、更新和安全。与流动装置管理(MDM)不同的是,MAM更加关注于应用程序层面的控制,而不是整个装置。
MAM允许企业控制哪些应用程序可以被安装,以及这些应用程序如何与企业数据交互。
主要功能包括:
· 应用程序设定和管理:配置应用程序设定(如API键、服务器地址)并管理应用程序的使用权限。
· 应用程序分发:企业可以通过自己的应用商店分发内部开发或购买的应用程序。
· 数据隔离和加密:保证企业应用程序和数据与个人应用程序和数据分开,并对企业数据进行加密。
· 远程管理应用程序:包括更新应用程序、删除不再使用的应用程序和防止敏感数据泄露。
采用资料外泄防护(DLP):用来防止敏感资讯无意或有意泄露至企业外部的安全措施。DLP系统通过预定义的政策来识别、监控和保护敏感数据,防止这些数据通过电子邮件、即时消息或网络传输等渠道外泄。主要功能包括对敏感数据进行自动识别、对资讯流进行实时监控,以及在数据尝试非授权传输时自动干预阻止。
虚拟桌面基础设施(VDI):允许员工通过任何装置安全地远程访问他们的工作环境,所有的处理和数据存储都发生在中央伺服器上。这意味著重要数据绝不离开伺服器范围,即使员工使用个人装置进行远程工作,数据泄露的风险也大大降低。VDI还提供了一个一致的工作环境,无论员工从何处访问,都能获得相同的桌面体验。
为制定适用于 BYOD的政策,组织可参考ISO 27001、美国国家标准暨技术研究院NIST SP 1800-22或其他相关指引,以下是与BYOD有关的ISO 27001控制措施:
A.6.2.1 移动装置政策
制定专门的BYOD政策:明确哪些类型的个人装置可用于工作目的,包括安全配置要求、装置加密措施、以及如何安全连接到企业网络(例如,使用虚拟私人网络VPN)。
A.6.2.2 远程工作
远程工作安全措施:为使用个人装置的员工制定远程工作的安全指导原则,覆盖如何安全存取、处理和储存企业数据。包括对使用公共Wi-Fi的限制和推荐使用安全的网路连接。
A.13.2.1 资讯传输政策和程序
加强资讯传输安全:确保通过个人装置传输的所有敏感数据都进行加密,并通过安全的传输管道进行。制定政策和程序来管理和保护资讯的传输,预防资料在传输过程中被拦截或泄露。
A.13.2.3 电子讯息
电子邮件和讯息加密:确保所有包含敏感资讯的电子邮件和即时讯息在透过个人装置发送时进行加密。可能需要使用端对端加密的通讯应用和电子邮件加密解决方案。
A.8.1.1 资产清单
维护个人装置清单:对允许访问企业网路和数据的个人装置进行清单化管理,并定期审查这些装置的安全状态。
A.8.2.1 资讯分类
对数据进行分类:对通过个人装置存取或处理的数据进行分类,确保对所有敏感和机密资讯实施更高级别的保护。
A.9.4.1 资讯访问限制
访问控制:实施强大的访问控制措施,确保员工仅能访问其工作所需的最少数据和资源,减少万一装置遗失时被未经授权的人员访问存储在装置上的机密数据的风险 。
A.12.3.1 资讯备份
定期备份数据:确保通过个人装置处理的所有工作相关数据都有备份,并且备份数据同样受到保护,以防因装置遗失而导致数据丢失或损坏。
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cybersec Infohub 计划,让行业里的网络安全专家为你解决,如果你怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
关于 Cybersec Wednesday
每逢星期三,HKIRC网络安全团队都会挑选一个网络安全主题,以文章、贴士或最佳实践的形式与大家分享。 请留意每周三的更新,定时掌握最新鲜的网络安全资讯。
