什麼是「自攜裝置」 BYOD?
在過去,有一些企業都會為外出的員工購買流動電子產品,包括手提電腦、電話等等。這些電子產品的保安工作都是由企業的 IT 部門中央化管理,然後派發給員工使用。
但近年的流動電子產品發展飛快,智能手機和平板電腦為員工帶來更高的生產力。不論何時何地,員工可以透過自己的流動裝置來處理工作,包括查閱公司的郵件和存取公司的電子文件等。這個新的工作模式,我們稱為 BYOD (Bring Your Own Device) 「自攜裝置」。
「自攜裝置」帶來的保安問題
「自攜裝置」確實是一項雙贏的政策。員工可自由使用喜歡的裝置,又能將工作融合員工的生活中。公司既可以省錢,又能提升力產力。可是,「自攜裝置」令企業帶來不少保安風險,例如資料洩露、遠端入侵等。因此,我們為大家提供「自攜裝置」保安指引,建立一個安全的「自攜裝置」工作環境。
「自攜裝置」保安指引
我們會按四個不同的保安層面,包括
(1) 資訊保安政策和守則、
(2) 數據通訊及儲存保安、
(3) 使用者及裝置認證和
(4) 應用程式,並從公司和員工的角度列出以下的「自攜裝置」保安指引。
(1) 【資訊保安政策和守則】
公司 |
- 分析及決定自攜裝置可使用公司的某些資料或服務。
- 制定清晰的自攜裝置使用政策和實務守則,包括列明可接受或禁止的行為。
- 提供培訓,教育員工,以提升員工對資訊保安的認識
|
員工 |
- 須了解及遵守公司的資訊保安政策和守則
- 檢查自己的裝置是否合乎公司的保安政策
|
(2) 【數據通訊及儲存保安】
公司 |
- 要求自攜裝置使用安全的通訊網絡,例如加密WiFi網絡、虛擬私人網絡(VPN)
- 為自攜裝置連接的公司網絡設立防火牆,及設定相應的保安措施
- 要求自攜裝置安裝防毒應用程式,確保裝置安全才接駁公司的電腦或網絡
- 限制透過自攜裝置存取公司的敏感資料
- 要求員工的自攜裝置配有加密儲存
- 要求員工在棄置或更換裝置前,要確保裝置內的資料已完全刪除
|
員工 |
- 必須使用安全的通訊網絡,避免連接到公用無線網絡
- 關閉沒有使用的通訊設定,例如WiFi、藍芽、NFC、GPS等
- 為自攜裝置的儲存進行加密
- 棄置或更換裝置前,要確保資料已完全刪除
- 設定備份或同步自攜裝置內的數據到公司伺服器
- 妥善保管自己的裝置
|
(3) 【使用者及裝置認證】
公司 |
- 註冊自攜裝置和配對員工身份,及限制員工使用未註冊的裝置
- 存取公司資料或服務時須要求登入認證,及制定密碼政策
- 要求自攜裝置設立螢幕鎖定密碼
- 提供自攜裝置清除功能,可刪除更換或棄置的裝置上的數據
- 員工離職時,應要求員工刪除自攜裝置上的數據,及取消員工的登入權根
|
員工 |
- 建立安全的螢幕鎖定密碼
- 不要在自攜裝置儲存登入資料及密碼
- 員工在更換或棄置自攜裝置之前,應先把自攜裝置內的資料和記錄完全清除,並主動向公司更新註冊資料
- 員工離職時,應刪除自攜裝置上的數據及登入設定
|
(4) 【應用程式】
公司 |
- 制定自攜裝置應用程式的白名單或黑名單,及考慮要求限制雲端服務防止數據外洩
- 可採用流動裝置管理 (MDM) 軟件 #
- 為員工的自攜裝置安裝遠端抹除程式。當裝置遺失時,可進行遠端清除數據
|
員工 |
- 安裝防毒及保安應用軟件
- 定時更新系統及裝置上的應用程式
- 如果使用雲端服務,員工必須注意應用程式的設定,及遵守公司的資訊保安政策
- 如果使用智能裝置,員工應從官方商店安裝信任的應用程式
- 如果使用智能裝置,員工不要進行「越獄」或「獲取根權限」破解系統的安全性
|
# 流動裝置管理
流動裝置管理 (MDM) 軟件可以有助實施自攜裝置的保安管理。在應用時,可以考慮在以下四項管理項目。
裝置管理 |
- 只允許使用認證的裝置型號
- 控制流動裝置的使用地域
- 為裝置設定配置檔及安全群組政策
|
應用程式管理 |
|
電郵/即時短訊管理 |
- 確保通訊安全連接到公司電郵/即時短訊服務
- 確保裝置上的電郵郵箱/短訊記錄已有加密處理
|
內容管理 |
|
文章內容由 HKCERT 提供。
參考:
https://www.hkcert.org/my_url/zh/guideline/13092601