越來越多企業積極評估如何讓員工攜帶自己設備上班(BYOD),除了採用相關解決方案,如行動裝置管理(MDM)、行動應用程式管理(MAM)、桌面虛擬化(VDI)等之外,IT管理者更應關心如何擬定有效的BYOD管理政策。微軟亞洲首席安全顧問Pierre Noel日前在身分認證管理與資安研討會上分享微軟的BYOD政策。
Noel認為一定要先做好資料分級才有BYOD。在微軟,資料分級是由一開始的文件擁有者Data Owner負責決定等級,有了文件分級後,越機密的文件就需要在越嚴格的條件下才能存取,例如端點設備要有BitLocker加密、並且透過DirectAccess VPN連線進來,同時用智慧卡進行身分認證後的才可存取機密文件或應用程式。微軟透過以下4個項目來定義安全等級(0~100%),不同等級有不同的權限:
1)登入系統的身分:僅使用LiveID登入或是強認證登入。
2)登入系統的設備:自己的設備或是公司配發的設備。
3)登入系統的位置:在內網或外網;或是所在國家。
4)登入系統欲存取的文件等級或應用程式類別
微軟透過上述簡單清楚的4項目來定義安全等級,Noel認為BYOD政策不需要制訂的太複雜,在清楚的準則下可讓員工容易了解,而且只要在此準則下,不需要管員工是使用何種設備,舉凡筆電、平板、智慧手機都可納進BYOD政策來管理。然而,讓員工(文件擁有者)自行設定文件等級的做法是否會有誤差?Noel承認可能會有風險,但這時就可以透過其他系統,如Exchange郵件系統的設定來協助過濾機密文件的傳遞。相關BYOD政策建議也可參考微軟網站。