李君

[摘 要] 移動(dòng)互聯(lián)網(wǎng)目前在中國(guó)高速發(fā)展，“移動(dòng)”已經(jīng)成為我們工作生活的新方式。隨著智能終端的普及，BYOD（自帶設(shè)備辦公）在企業(yè)組織中的應(yīng)用也越來越普遍。對(duì)于企業(yè)而言，BYOD的潮流為企業(yè)帶來了明顯的效益，降低了企業(yè)在移動(dòng)終端上的成本投入，更好地提高了員工效率。而隨著BYOD潮流的推進(jìn)，企業(yè)在使用BYOD的同時(shí)，也將面臨數(shù)據(jù)安全問題的嚴(yán)峻挑戰(zhàn)。解決移動(dòng)接入安全問題，要從技術(shù)手段和管理政策兩個(gè)方面同時(shí)著手。

[關(guān)鍵詞] BYOD；安全；移動(dòng)設(shè)備；管理

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 17. 040

[中圖分類號(hào)] TP309 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2014）17- 0067- 02

1 BYOD應(yīng)用

BYOD（Bring Your Own Device）指攜帶自己的設(shè)備辦公，這些設(shè)備包括個(gè)人電腦、手機(jī)、平板等。隨著企業(yè)信息化水平和管理效能的不斷提升，基于傳統(tǒng)PC的辦公自動(dòng)化系統(tǒng)已經(jīng)明顯不能滿足高效率、快節(jié)奏的移動(dòng)互聯(lián)時(shí)代的辦公需求。越來越多的平板電腦和智能手機(jī)等移動(dòng)終端進(jìn)入企業(yè)移動(dòng)辦公過程中，用戶希望無論使用哪個(gè)設(shè)備都能不受時(shí)間、地點(diǎn)、網(wǎng)絡(luò)環(huán)境的限制無縫訪問公司的資源。特別是隨著企業(yè)“私有云”的不斷成型，每個(gè)員工、每個(gè)移動(dòng)終端和每個(gè)業(yè)務(wù)系統(tǒng)都成為這個(gè)“云”的組成部分。BYOD的應(yīng)用在為企業(yè)帶來好處的同時(shí)，也將帶來巨大的安全隱患，稍有不慎就會(huì)給企業(yè)帶來巨大損失。

2 移動(dòng)設(shè)備安全管理

解決移動(dòng)接入安全問題，要從技術(shù)手段和管理政策兩個(gè)方面同時(shí)著手，不能只重技術(shù)防護(hù)而忽視管理制度的建立。

2.1 技術(shù)手段

從技術(shù)控制手段上來看，目前主要有以下幾個(gè)方面：

（1）密切關(guān)注網(wǎng)絡(luò)安全。為了維護(hù)企業(yè)網(wǎng)絡(luò)的安全性，企業(yè)應(yīng)該采取綜合的網(wǎng)絡(luò)保護(hù)方法。通過使用動(dòng)態(tài)可管理的VPN和防火墻，加密所有的網(wǎng)絡(luò)通信，從而保護(hù)企業(yè)的數(shù)據(jù)不會(huì)在傳輸途中被截獲。采用面向移動(dòng)的Web安全網(wǎng)關(guān)，它可以基于設(shè)備或云，通過惡意軟件過濾、信譽(yù)過濾、數(shù)據(jù)防泄露、應(yīng)用可視化控制等手段，結(jié)合可行的策略控制，解決BYOD帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。雖然VPN提供安全的遠(yuǎn)程網(wǎng)絡(luò)連接，但添加網(wǎng)絡(luò)訪問控制機(jī)制是非常必要的，建立對(duì)網(wǎng)絡(luò)本身的控制，使企業(yè)在網(wǎng)絡(luò)發(fā)生任何損壞之前，能夠阻止來自于移動(dòng)設(shè)備的惡意軟件的攻擊。這個(gè)機(jī)制依賴于執(zhí)行網(wǎng)絡(luò)安全策略并控制終端、數(shù)據(jù)和用戶訪問行為，采取智能設(shè)計(jì)，在網(wǎng)絡(luò)上提供足夠的訪問控制，以確保只有在安全的條件下才能訪問網(wǎng)絡(luò)。

（2）使用移動(dòng)設(shè)備管理（MDM）解決方案。選擇支持多個(gè)平臺(tái)（如Android，黑莓，iOS，Windows等）的移動(dòng)設(shè)備管理產(chǎn)品，它提供了一個(gè)管理控制臺(tái)，可以從一個(gè)點(diǎn)管理所有的各種移動(dòng)設(shè)備。MDM能使策略執(zhí)行針對(duì)移動(dòng)設(shè)備本身并提供遠(yuǎn)程位置鎖定和數(shù)據(jù)擦除的能力，防止設(shè)備丟失或被盜。但是以終端為中心的安全控制方法會(huì)受到極大制約，目前業(yè)界一些廠商正在試圖將MDM和移動(dòng)安全客戶端、移動(dòng)Web安全網(wǎng)關(guān)和其他基于云的服務(wù)結(jié)合起來，建立強(qiáng)健的、高可用的架構(gòu)，這種架構(gòu)在今后可能會(huì)成為主流，它們已經(jīng)開始推出集成的移動(dòng)安全解決方案。

（3）強(qiáng)化身份和訪問管理。BYOD的風(fēng)險(xiǎn)很多緣于靜態(tài)密碼，這些靜態(tài)的密碼方便企業(yè)員工遠(yuǎn)程訪問業(yè)務(wù)數(shù)據(jù)和系統(tǒng)。但企業(yè)應(yīng)該考慮多因素身份驗(yàn)證方法，加強(qiáng)安全性，同時(shí)繼續(xù)優(yōu)先考慮可用性。一次性密碼和二度認(rèn)證的策略可以保護(hù)企業(yè)的“大門”安全。單獨(dú)登錄各個(gè)應(yīng)用程序需要不同的密碼，因?yàn)橄嗤拿艽a存在安全隱患。但是員工往往因?yàn)槊艽a太多而產(chǎn)生密碼疲勞癥。而單點(diǎn)登錄（SSO）工具讓員工使用單一密碼訪問企業(yè)門戶網(wǎng)站或者云應(yīng)用，并且可以加入到SSL VPN配置中。

（4）保護(hù)用戶的數(shù)據(jù)，而不是用戶的設(shè)備。我們?cè)谶x擇移動(dòng)安全解決方案時(shí)，要專注于數(shù)據(jù)的訪問控制，保證數(shù)據(jù)不被惡意存儲(chǔ)到移動(dòng)設(shè)備上，數(shù)據(jù)安全防護(hù)系統(tǒng)需要有批準(zhǔn)和拒絕用戶試圖獲得特定數(shù)據(jù)的最終決定權(quán)。要使員工分清楚工作和生活數(shù)據(jù)，幾乎所有的BYOD方案都包含電子郵件、日歷以及通訊錄，員工應(yīng)避免使用個(gè)人郵箱發(fā)送工作郵件。盡可能選用不會(huì)在設(shè)備中存儲(chǔ)數(shù)據(jù)的應(yīng)用，將應(yīng)用數(shù)據(jù)存儲(chǔ)至云端，可大大降低數(shù)據(jù)泄露的可能性。對(duì)于企業(yè)最核心的數(shù)據(jù)，可以采用虛擬桌面訪問方式，它創(chuàng)建了一個(gè)安全虛擬機(jī)，為進(jìn)入企業(yè)網(wǎng)絡(luò)的移動(dòng)設(shè)備訪問提供了一個(gè)安全窗口，確保數(shù)據(jù)的安全和業(yè)務(wù)連續(xù)性，它不允許數(shù)據(jù)在用戶的個(gè)人設(shè)備之間以及企業(yè)基礎(chǔ)設(shè)施之間流動(dòng)。

2.2 管理制度

沒有一種解決方案可以獨(dú)自解決移動(dòng)設(shè)備所帶來的挑戰(zhàn)。完善的安全解決方案將會(huì)是廣泛的產(chǎn)品組合，可以實(shí)時(shí)抵擋來自于移動(dòng)設(shè)備的新的安全威脅，對(duì)遠(yuǎn)程用戶執(zhí)行安全合規(guī)檢查，并保護(hù)網(wǎng)絡(luò)、數(shù)據(jù)和客戶端的安全。技術(shù)控制手段是保障BYOD安全的第一步，第二步則是要制定一個(gè)管理制度，創(chuàng)建一個(gè)宏觀安全策略。

（1）制定管理制度，并堅(jiān)持下去。要制定一個(gè)管理制度，闡明在員工使用移動(dòng)設(shè)備接入公司網(wǎng)絡(luò)時(shí)，應(yīng)該做什么和不該做什么，并嚴(yán)格執(zhí)行和長(zhǎng)期堅(jiān)持下去。對(duì)于任何IT管理流程，技術(shù)解決方案只是一個(gè)方面，要讓員工明白管理制度同技術(shù)解決方案同樣重要。同時(shí)，不要讓自己或關(guān)鍵員工成為例外，如果你和你的優(yōu)秀員工不遵守安全協(xié)議，其他人也會(huì)忽略你的制度，那么你的公司將面臨數(shù)據(jù)暴露給外部的威脅。

（2）當(dāng)員工離職時(shí)，立即斷開員工與企業(yè)網(wǎng)絡(luò)的聯(lián)接。要明確什么樣的數(shù)據(jù)任何員工都可以訪問，什么樣的數(shù)據(jù)必須嚴(yán)格訪問控制。要確保員工不會(huì)獲得更多的公司數(shù)據(jù)而這些數(shù)據(jù)并不是他們工作需要的。此外，當(dāng)員工離職時(shí)，必須立即斷開他與公司的聯(lián)接，并確保從其個(gè)人設(shè)備上擦除公司的數(shù)據(jù)。如果一個(gè)離職的員工還能通過個(gè)人設(shè)備進(jìn)入原公司的工作網(wǎng)絡(luò)，則會(huì)給公司帶來巨大的災(zāi)難。

（3）加強(qiáng)員工溝通，做好安全培訓(xùn)。蓋特納最新的一份報(bào)告顯示，預(yù)計(jì)到2016年，由于企業(yè)移動(dòng)管理規(guī)定的嚴(yán)格，20%的BYOD計(jì)劃將面臨失敗。企業(yè)員工不喜歡被監(jiān)控，IT部門也會(huì)為政策的實(shí)施不力而煩惱。所以，建立一個(gè)平衡于企業(yè)數(shù)據(jù)安全與BYOD正常實(shí)行之間的政策并非易事。IT部門要與員工進(jìn)行多方面的溝通，讓員工積極參與企業(yè)的BYOD計(jì)劃并積極介入管理政策的制定，這其中會(huì)有很多考量，也涉及很多法律法規(guī)。通過員工的參與，制訂出一個(gè)員工可以接受的BYOD方案。其次，僅僅一個(gè)政策并不足夠，還要加強(qiáng)對(duì)員工的安全培訓(xùn)，教育引導(dǎo)設(shè)備使用者在不同地方使用數(shù)據(jù)時(shí)該如何保護(hù)數(shù)據(jù)。

總之，BYOD不只是一個(gè)技術(shù)問題，它也是一個(gè)要求企業(yè)IT部門和其他部門協(xié)作來有效整合業(yè)務(wù)戰(zhàn)略、安全政策和IT系統(tǒng)的商業(yè)問題。BYOD實(shí)施后，如果發(fā)生員工設(shè)備濫用或危及企業(yè)數(shù)據(jù)安全的事件，將導(dǎo)致員工個(gè)人設(shè)備上的數(shù)據(jù)被擦除，遵守公司的政策是每個(gè)員工應(yīng)盡的職責(zé)。

主要參考文獻(xiàn)

[1]Colin Steele. BYOD的安全問題：概念與現(xiàn)實(shí)[EB/OL].趙寒坡，譯.http：//www.searchcio.com.cn/showcontent_71834.htm，2013-04-01.

[2]孔維維. 八大策略確保企業(yè)BYOD應(yīng)用安全[EB/OL].http：//www.vsharing.com/k/net/2012-11/673268.html，2012-11-28.