【51CTO.com 原創(chuàng)】本期繼續(xù)講BYOD的管理。正所謂：工作不止眼前的技術(shù)，還有管理和遠(yuǎn)方的技術(shù)!知識要講求連貫性，那我迅速開啟自嗨模式，和大家一起繼續(xù)來“開心、開眼、開悟”吧。

記得有熱心的小伙伴愛特我說，MDM的概念比較老了，現(xiàn)在貌似有了從管控移動設(shè)備上轉(zhuǎn)到數(shù)據(jù)流向控制的EMM(Enterprise Mobility Management)了。其實我個人認(rèn)為這是業(yè)界的概念升級而已，哥就不多說了，免得部分網(wǎng)友又誤認(rèn)我要兜售什么產(chǎn)品了。那天看到了些評論，我都沒想著去反擊什么。清者自清，讓人黑去吧，咱白著呢!

[[171598]]

1 用戶教育

小時聽?wèi)T了單田芳老師的各種經(jīng)典評書，記得老先生常說的一句話便是：“不怕沒好事，就怕沒好人。”在我們信息安全從業(yè)人員看來，這個世界上有兩類人最難對付：“傻白甜”的用戶和邪惡的攻擊者。特別是后者，雖然不是好人，但在給我們的不斷制造麻煩的同時也不斷歷練著我們的專業(yè)技能。作為相生相克的好基友，我們很容易識別這些黑帽子的伎倆，但是，一般用戶就難了。

每年10月份，美歐諸多國家都有“國家網(wǎng)絡(luò)安全意識月”，許多公司會跟進(jìn)并開展一些相應(yīng)的活動，旨在增強(qiáng)普通員工的基本安全意識，培養(yǎng)其良好的使用習(xí)慣。我在這里分享一下我和我的團(tuán)隊成員每年宣傳的套路吧。

· 公司管理層群發(fā)給大家kick off 郵件，并配有信息安全事件處置方法的在線視頻供大家觀看學(xué)習(xí)。對認(rèn)真觀看并答對問題的員工以抽獎的方式進(jìn)行物質(zhì)獎勵;對那些沒有觀看的同仁會再發(fā)郵件進(jìn)行催促;對月底都沒完成的，系統(tǒng)會自動統(tǒng)計并發(fā)送給相關(guān)部門領(lǐng)導(dǎo)予以干預(yù)。

· 組織大家坐到一起以演示的形式宣講、交流，分享給大家平時工作容易碰到的安全現(xiàn)象，特別是釣魚網(wǎng)站和郵件欺詐。

· 在辦公室顯眼處或員工常去處(如進(jìn)門處，飯廳，茶水間等)張貼宣傳海報，我PO兩張圖給大家批判性的接受一下哦。

我經(jīng)常在活動月總結(jié)陳詞的時候跟大家說：“很簡單，記住我們小時候看過的動畫片《變形金剛》的一句歌詞‘More than meets the eye’(死粉們都記得!)，凡是別看表象，三思而后行。”

扯遠(yuǎn)了，我們還是回來討論針對BYOD的用戶教育。我們應(yīng)當(dāng)致力于讓員工充分理解如下的最佳安全實踐的意義。

· 復(fù)雜密碼，以及結(jié)合指紋、甚至是將來會用到的“刷臉”等多因素身份驗證的必要性。

· 和客戶交流時，被推薦或推送過來的APP鏈接，不要輕易下載或安裝。

· 要知道移動設(shè)備丟失或被盜時第一時間向誰報告，以及必要的場景記錄(如報警筆錄等)。

· 不要讓客戶或他人隨便觸自己的碰移動設(shè)備，甚至帶其離開自己的視野。

· 移動設(shè)備放在家里，可能不止被一個人所使用，應(yīng)盡量把工作相關(guān)的APP放在孩子不易找到的文件夾里。免得孩子一通亂點后，員工還得向客戶解釋，這樣so unprofessional!

· 有條件的盡量用公司配發(fā)的MIFI(隨身無線路由器)，沒條件的話審慎接入不明的WIFI。

給大家分享我一個朋友老板的Apple賬號的密碼被盜的真實事件吧。有一次，他的iPhone在超市失竊，8過，機(jī)智的他啟用過了“查找 iPhone”功能，他用另一臺Apple設(shè)備定位到該iPhone被帶到郊區(qū)后就下線了。可誰知這反而成為了其賬號被盜的“系鈴人”。

話說事發(fā)當(dāng)天下午，他的另一臺設(shè)備上收到一則短信，聲稱“iCloud云提醒：您丟失的iPhone已定位，請您進(jìn)入http://apple.lcloud-ldapp.com/apple查看位置”。基于上午的經(jīng)歷，他想都沒想就直接點進(jìn)去了，然后根據(jù)頁面提示輸入了自己的Apple賬號和密碼。隨后他Apple賬號所綁定的聯(lián)動郵箱迅速收到了一封郵件告知其賬號被非法登陸。此時他恍然大悟：“大呼中計啦”!

他趕快找到我朋友—白帽子，在其建議下，他想立即用登陸自己的賬號登錄Apple官網(wǎng)，以更改密碼達(dá)到止損的目的。可不巧的是他發(fā)現(xiàn)修改密碼需要提供一系列當(dāng)初留下的安全問答。顯然滄海桑田的他哪里還記得那些，屢次嘗試后，Apple的更改服務(wù)被自動鎖定。無奈，他們只能打電話給Apple熱線尋求進(jìn)一步幫助。熱心的客服小哥一方面承諾嚴(yán)密監(jiān)控該賬號是否有異動狀態(tài)，一方面在自動鎖定到期(8小時)時，引導(dǎo)其通過當(dāng)時留下的備用郵箱，初始郵件等信息，抽絲剝繭終于完成了密碼的更改，并對其加固。

2 財務(wù)與管理政策上

正如我上一期開始提到的：BYOD是“用自己的移動設(shè)備給公司干活”，那么公司要想真是實現(xiàn)財務(wù)報告上的cost saving，還必須注意幾點：

· 一般公司都對BYOD用戶有Compensation Policy，如果是“封閉式的策略”，即每月一次性費用買斷。如果員工用超了就自付。那么策略要根據(jù)不同的地區(qū)、不同的運營商來針對不同級別員工制定不同的標(biāo)準(zhǔn)，這個時候多樣性的好處絕對勝過“一刀切”。

· 公司與運營商之間最好簽署的是短期或者是無定期的流量包協(xié)議，這樣可以在員工離職或異動的時候能迅速解約，以免造成雙方長時間的瓜葛。

· 如果是實報實銷的“開放式的策略”，則應(yīng)每月定期收集精準(zhǔn)的流量消費清單。對于因為境外漫游等突發(fā)的超流量使用情況要有提醒機(jī)制，甚至可以在必要時終止服務(wù)直至月末。

· 前文提到，為配合BYOD，公司有時也會配給員工MIFI等外設(shè)。外設(shè)的丟失要有標(biāo)準(zhǔn)的處理機(jī)制，杜絕“偶爾”會變得“經(jīng)常”的現(xiàn)象，以免員工變相獲利。要讓他們知道“You are how you behave。”

3 合規(guī)上

可以善用EMM軟件，定期檢查移動設(shè)備的“健康”狀況，包括對盜版(翻墻)/間諜APPs(如rootkit、keyloggers等)的管控;注銷/遺失設(shè)備的處理;違規(guī)獲取/流轉(zhuǎn)數(shù)據(jù)的記錄等并形成各種報表。在我們這圈子里常說的一句話是：“合規(guī)執(zhí)行得好不好，就看報告有多少。”因此，多run reports、常查報表，相信哥沒錯的!

總的說來，BYOD對于一些企業(yè)可能是一套相對較新的應(yīng)用架構(gòu)的擴(kuò)展，幸運的是我們所有對現(xiàn)有架構(gòu)的安全措施都是適用的，只需添加一些新的考慮元素罷了。記得馬化騰曾說過：“有時候你什么錯都沒有，就是錯在太老了。”既然我們選擇了DO IT這碗“青春飯”，就不得不運用工匠精神去了解、掌握并管理諸如：BYOD(這個已稱不上是新了)，云計算、大數(shù)據(jù)、虛擬現(xiàn)實、物聯(lián)網(wǎng)等新的應(yīng)用。要千萬不可故步自封or自廢武功。多看些案例，多參考別人的實施，您慢慢就會有一種“妥妥”的感覺。

【51CTO.com 原創(chuàng)稿件，轉(zhuǎn)載請注明作者及出處。】