管文明+李杰

介紹了APT形勢(shì)下的IT系統(tǒng)安全防護(hù)，比較了傳統(tǒng)網(wǎng)絡(luò)攻擊與APT攻擊的差異，同時(shí)闡述了BYOD所帶來(lái)的安全威脅的特征與危害。并探討了這2種信息安全威脅傳統(tǒng)防御方式的缺陷以及相應(yīng)的對(duì)策。

APT ? BYOD ? ?信息安全

1 ? 前言

眾所周知，信息網(wǎng)絡(luò)是現(xiàn)代社會(huì)的“神經(jīng)系統(tǒng)”，現(xiàn)實(shí)社會(huì)與虛擬網(wǎng)絡(luò)相互滲透與交織，其廣度和深度都是空前的。與此同時(shí)，如何防御針對(duì)企業(yè)的APT攻擊和如何防御通過(guò)BYOD辦公終端竊取企業(yè)敏感信息成為業(yè)界關(guān)注的信息安全熱點(diǎn)，本文介紹了這2種信息安全威脅的特征與危害、傳統(tǒng)防御方式的缺陷以及未來(lái)對(duì)策。

2 ? APT形勢(shì)下的IT系統(tǒng)安全防護(hù)

近幾年，APT（Advanced Persistent Threat，高級(jí)持續(xù)性攻擊）等新型攻擊的發(fā)展給傳統(tǒng)信息系統(tǒng)防護(hù)帶來(lái)嚴(yán)峻挑戰(zhàn)，其具有明確的目標(biāo)性和長(zhǎng)期的行為隱蔽性。

2.1 ?APT的特征與危害

與傳統(tǒng)網(wǎng)絡(luò)攻擊相比，APT攻擊的特征與危害如表1所示，可見(jiàn)APT攻擊給企業(yè)的信息安全帶來(lái)了前所未有的威脅，加強(qiáng)企業(yè)信息安全迫切需要采取新的措施。

2.2 ?傳統(tǒng)安全體系的缺陷

目前，傳統(tǒng)網(wǎng)絡(luò)安全體系應(yīng)對(duì)APT攻擊非常的無(wú)力與低效，從APT攻擊的原理方面分析，主要原因如表2所示。

2.3 ?未來(lái)的對(duì)策

為提高APT等新型攻擊安全防護(hù)能力，應(yīng)增強(qiáng)主動(dòng)防御及縱深防御的能力，并引入大數(shù)據(jù)分析、沙箱檢測(cè)等技術(shù)，提升對(duì)新型威脅的發(fā)現(xiàn)和應(yīng)對(duì)能力。

（1）主動(dòng)防御

開(kāi)展APT安全防御，應(yīng)首先以企業(yè)資產(chǎn)價(jià)值為出發(fā)點(diǎn)，分析和劃定潛在的APT對(duì)象，并對(duì)這些IT資產(chǎn)采取差異化的保護(hù)策略（重點(diǎn)資產(chǎn)重點(diǎn)保護(hù)）。同時(shí)，強(qiáng)化和改善現(xiàn)有的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，主動(dòng)防御，防患于未然，提升安全基線，將SQL注入漏洞、明文密碼等常見(jiàn)的安全隱患清除，這樣就可以提高攻擊門(mén)檻，極大延緩APT在企業(yè)網(wǎng)絡(luò)中的滲透速度，降低安全風(fēng)險(xiǎn)。

由于APT攻擊具有長(zhǎng)期的潛伏性，為了增加攻擊者通過(guò)偵聽(tīng)盜竊信息的難度，需要采用等級(jí)保護(hù)的策略將機(jī)密業(yè)務(wù)流量與普通流量隔離。另外，要部署良好的密鑰管理體系，做好關(guān)鍵數(shù)據(jù)信息的加密（這是抵御APT攻擊最后的防線）。

由于APT攻擊者在盜取了內(nèi)部員工賬號(hào)之后，通常在非工作時(shí)段進(jìn)行非法活動(dòng)，因此需要將員工賬號(hào)的在線激活時(shí)間與其工作時(shí)間進(jìn)行關(guān)聯(lián)，以迅速發(fā)現(xiàn)異常情況;對(duì)應(yīng)用程序、端口、E-mail等實(shí)施“白名單”策略：只允許員工安裝和運(yùn)行白名單內(nèi)的應(yīng)用程序，嚴(yán)禁目的地IP地址或網(wǎng)絡(luò)端口跳變的應(yīng)用程序;只允許流量在白名單指定的端口范圍內(nèi)發(fā)送;白名單之外的郵件發(fā)送者產(chǎn)生的郵件均設(shè)定為非法郵件，一律屏蔽。

（2）提升安全檢測(cè)能力，及時(shí)發(fā)現(xiàn)并阻止APT攻擊

引入大數(shù)據(jù)分析技術(shù)，對(duì)網(wǎng)絡(luò)、系統(tǒng)、終端中的各種安全日志歷史數(shù)據(jù)進(jìn)行全面的可視化分析，實(shí)現(xiàn)業(yè)務(wù)邏輯審計(jì)，及時(shí)發(fā)現(xiàn)異常行為。為了保護(hù)核心數(shù)據(jù)的安全，可有針對(duì)性地部署數(shù)據(jù)防泄密系統(tǒng)，對(duì)流出的數(shù)據(jù)進(jìn)行細(xì)粒度管控，防止敏感信息的外傳。

同時(shí)，部署沙箱（Sandbox）等系統(tǒng)，提高對(duì)新型威脅的發(fā)現(xiàn)和應(yīng)對(duì)能力。要檢測(cè)惡意代碼，最大的敵人就是利用0day（零時(shí)差）漏洞的惡意代碼，“0day”意味著沒(méi)有特征，常規(guī)的惡意代碼檢測(cè)技術(shù)束手無(wú)策。沙箱的優(yōu)勢(shì)是可以構(gòu)造一個(gè)模擬的執(zhí)行環(huán)境，讓可疑文件在其中運(yùn)行起來(lái)，通過(guò)這個(gè)可疑文件觸發(fā)的外在行為來(lái)判斷是否為惡意代碼。

APT攻擊是在不斷提升和演變的過(guò)程中，因此防御體系也必須是動(dòng)態(tài)可提升的，一成不變的防御體系無(wú)法完成防護(hù)信息系統(tǒng)的重任，必須根據(jù)APT攻擊的發(fā)展情況進(jìn)行不斷的調(diào)整。目前在APT防御方面還存在很多不足，檢測(cè)的方法還在不斷摸索和提升，防御APT不可能一帆風(fēng)順、一蹴而就，信息系統(tǒng)在應(yīng)對(duì)APT方面還需要很長(zhǎng)的時(shí)間來(lái)完善和成熟。

3 ? BYOD安全防護(hù)

BYOD（Bring Your Own Device，自帶辦公設(shè)備）指攜帶自己的設(shè)備（個(gè)人電腦、平板、手機(jī)等）辦公。隨著企業(yè)信息化水平不斷提升和運(yùn)行效率標(biāo)準(zhǔn)的提高，基于傳統(tǒng)PC的辦公系統(tǒng)已經(jīng)無(wú)法適應(yīng)移動(dòng)互聯(lián)時(shí)代高效率、快節(jié)奏的需求。越來(lái)越多的移動(dòng)終端進(jìn)入企業(yè)移動(dòng)辦公的領(lǐng)域，用戶都希望能不受終端、空間、時(shí)間、網(wǎng)絡(luò)環(huán)境的限制開(kāi)展工作。特別是隨著云計(jì)算技術(shù)的不斷成熟，每個(gè)員工、終端和業(yè)務(wù)系統(tǒng)都可以成為“云”的組成部分，BYOD已經(jīng)成為了一種潮流和時(shí)尚。據(jù)權(quán)威機(jī)構(gòu)Gartner預(yù)測(cè)，2017年將有50%企業(yè)員工自帶設(shè)備上班進(jìn)行業(yè)務(wù)辦公。

BYOD的應(yīng)用在為企業(yè)帶來(lái)好處的同時(shí)，也將帶來(lái)巨大的安全隱患，BYOD的大量應(yīng)用，為黑客創(chuàng)建了更多的網(wǎng)絡(luò)入口，使得企業(yè)機(jī)密數(shù)據(jù)增加了新的泄密途徑，給企業(yè)業(yè)務(wù)系統(tǒng)帶來(lái)安全隱患，稍有不慎便會(huì)給企業(yè)帶來(lái)不可估量的損失。因此，BYOD安全是企業(yè)移動(dòng)信息化發(fā)展需要解決的重要問(wèn)題。

3.1 ?BYOD安全架

構(gòu)簡(jiǎn)介

BYOD整體安全架構(gòu)如圖1所示。通常，企業(yè)會(huì)通過(guò)BYOD管理系統(tǒng)對(duì)員工自帶的移動(dòng)設(shè)備進(jìn)行配置和管理，以便這些移動(dòng)設(shè)備能安全地通過(guò)無(wú)線網(wǎng)絡(luò)訪問(wèn)企業(yè)的核心業(yè)務(wù)。

（1）移動(dòng)設(shè)備管理

對(duì)于部署了BYOD的企業(yè)而言，MDM（Mobile Device Management，移動(dòng)設(shè)備管理）是在保障設(shè)備安全方面必不可少的解決方案，是管理員工自帶設(shè)備的基礎(chǔ)技術(shù)手段。MDM的核心功能是對(duì)設(shè)備的額外干預(yù)，企業(yè)通過(guò)制訂安全策略向攜帶個(gè)人設(shè)備辦公的員工明確在公司可以做和禁止做的事情、應(yīng)該和不應(yīng)該安裝運(yùn)行的應(yīng)用程序。IT部門(mén)可以通過(guò)MDM系統(tǒng)監(jiān)視個(gè)人設(shè)備的使用情況，在對(duì)用戶位置監(jiān)控（GPS定位、IP地址定位）和數(shù)據(jù)加密的基礎(chǔ)上限制設(shè)備功能（如強(qiáng)制鎖屏、關(guān)閉攝像頭、非法URL訪問(wèn)過(guò)濾、惡意Web頁(yè)面訪問(wèn)控制、防病毒、防木馬傳播、惡意郵件過(guò)濾等）。

（2）移動(dòng)應(yīng)用和內(nèi)容管理

企業(yè)IT部門(mén)需要管理和保護(hù)傳輸?shù)絾T工個(gè)人設(shè)備的移動(dòng)應(yīng)用與內(nèi)容。例如，很多企業(yè)的BYOD安全方案都可以遠(yuǎn)程擦除移動(dòng)設(shè)備中的數(shù)據(jù)，強(qiáng)制設(shè)置查看郵件密碼和查看內(nèi)部機(jī)密文件密碼等。此外，還應(yīng)該考慮轉(zhuǎn)換或升級(jí)某些員工常用的應(yīng)用程序。例如，員工如果沒(méi)能及時(shí)對(duì)某些軟件進(jìn)行安全更新，就可能導(dǎo)致企業(yè)數(shù)據(jù)泄漏，需要定期監(jiān)測(cè)并強(qiáng)制升級(jí)。

（3）標(biāo)識(shí)和接入管理

很多員工的移動(dòng)設(shè)備都默認(rèn)設(shè)置成可以自動(dòng)發(fā)現(xiàn)并連接開(kāi)放無(wú)線AP（無(wú)需任何密碼就可訪問(wèn)），安全風(fēng)險(xiǎn)顯而易見(jiàn)。由于BYOD的普及，企業(yè)應(yīng)該增強(qiáng)其Wi-Fi網(wǎng)絡(luò)接入的管控能力，強(qiáng)制員工在訪問(wèn)企業(yè)資源時(shí)一定要啟用VPN，以確保業(yè)務(wù)在傳輸?shù)絺€(gè)人辦公設(shè)備的同時(shí)，敏感數(shù)據(jù)不會(huì)泄露。這意味著MDM的網(wǎng)絡(luò)解決方案能夠根據(jù)用戶身份以及設(shè)備類(lèi)型來(lái)確保正確的授權(quán)訪問(wèn)。

（4）安全遠(yuǎn)程訪問(wèn)

安全遠(yuǎn)程訪問(wèn)可以使個(gè)人設(shè)備從外網(wǎng)安全地登錄到企業(yè)網(wǎng)絡(luò)（內(nèi)網(wǎng)）。但是，BYOD用戶通常不具備數(shù)據(jù)通信的專(zhuān)業(yè)知識(shí)，無(wú)法有效地在自己的移動(dòng)終端上建立安全的VPN通道。因此，IT部門(mén)需要利用MDM解決方案中的功能，對(duì)員工設(shè)備進(jìn)行遠(yuǎn)程配置，盡量為員工減少操作復(fù)雜性。

3.2 ?安全風(fēng)險(xiǎn)

相比傳統(tǒng)的企業(yè)辦公環(huán)境，BYOD非常容易引發(fā)安全及管理風(fēng)險(xiǎn)，迫使企業(yè)安全部門(mén)必須采取相應(yīng)的措施來(lái)降低風(fēng)險(xiǎn)，在員工工作效率與安全措施之間需要達(dá)到一個(gè)平衡。下面介紹3種常見(jiàn)的BYOD安全風(fēng)險(xiǎn)。

（1）設(shè)備丟失

由于體積小，移動(dòng)設(shè)備非常容易丟失或被盜竊。在員工移動(dòng)設(shè)備上存儲(chǔ)有大量機(jī)密的客戶數(shù)據(jù)（敏感的客戶信息、企業(yè)郵件、商業(yè)機(jī)密等），這些信息的泄露會(huì)嚴(yán)重影響企業(yè)的正常運(yùn)轉(zhuǎn)與業(yè)務(wù)開(kāi)展。設(shè)備丟失的危害性甚至超過(guò)內(nèi)部員工泄密的情況。雖然一些企業(yè)部署了遠(yuǎn)程數(shù)據(jù)擦除功能，但是一些員工基于隱私的考慮不愿意讓企業(yè)IT部門(mén)完全控制自己的終端，這就需要在移動(dòng)設(shè)備中將公司數(shù)據(jù)和員工個(gè)人數(shù)據(jù)有效隔離，在遠(yuǎn)程刪除時(shí)只刪除公司的數(shù)據(jù)。

（2）破解和Root設(shè)備

員工通過(guò)一些技術(shù)手段來(lái)強(qiáng)行破解移動(dòng)設(shè)備的權(quán)限設(shè)置或取得超級(jí)用戶權(quán)限，破解是為了移除設(shè)備制造商的一些限制，但是這些限制往往是為了改善安全而設(shè)的。破解和ROOT設(shè)備會(huì)導(dǎo)致設(shè)備受到惡意軟件攻擊的風(fēng)險(xiǎn)大增。超級(jí)用戶權(quán)限也使得用戶可以安裝和運(yùn)行一些具有潛在惡意行為的軟件。

（3）惡意應(yīng)用泛濫

企業(yè)缺少移動(dòng)應(yīng)用的有效管理手段，員工可以在設(shè)備上任意下載和安裝來(lái)源不明的應(yīng)用軟件，這將會(huì)極大地降低終端操作系統(tǒng)的可靠性，這些未知的應(yīng)用程序可以訪問(wèn)公司的數(shù)據(jù)，對(duì)信息安全構(gòu)成巨大威脅。

（4）APP過(guò)度授權(quán)

雖然應(yīng)用軟件開(kāi)發(fā)者通常在程序安裝前會(huì)向用戶說(shuō)明需要調(diào)用的手機(jī)權(quán)限、功能和數(shù)據(jù)。但遺憾的是絕大多數(shù)用戶在安裝應(yīng)用前都不太關(guān)注授權(quán)要求，通常會(huì)不加思索就點(diǎn)“同意”。這就為很多竊取個(gè)人隱私和手機(jī)應(yīng)用數(shù)據(jù)的無(wú)德廠商和黑客打開(kāi)了方便之門(mén)。那些授權(quán)請(qǐng)求數(shù)量過(guò)多的應(yīng)用往往會(huì)導(dǎo)致聯(lián)系人、使用者的位置信息以及機(jī)器內(nèi)重要數(shù)據(jù)的泄漏。很多第三方應(yīng)用商店已經(jīng)成為惡意軟件、木馬軟件和流氓軟件的溫床，在治理BYOD安全問(wèn)題時(shí)首先要做的事情就是切斷各種刷機(jī)、第三方應(yīng)用市場(chǎng)的通道，統(tǒng)一使用正規(guī)的應(yīng)用商店或企業(yè)自有移動(dòng)應(yīng)用商店，同時(shí)根據(jù)應(yīng)用授權(quán)請(qǐng)求情況設(shè)立移動(dòng)應(yīng)用白名單。

（5）云存儲(chǔ)服務(wù)

移動(dòng)云存儲(chǔ)服務(wù)也是企業(yè)數(shù)據(jù)泄漏的巨大隱患。例如IBM就禁止員工使用Dropbox這樣的公共云存儲(chǔ)服務(wù)，但是堵不如疏，最好的辦法是提供安全的替代方案。企業(yè)可以嘗試部署開(kāi)源私有云存儲(chǔ)方案。棱鏡門(mén)事件后，私有云產(chǎn)品創(chuàng)新加速，例如德國(guó)公司Protonet推出了面向中小企業(yè)的私有云一體機(jī)，市場(chǎng)上也出現(xiàn)了私人云Plug產(chǎn)品。

3.3 ?未來(lái)對(duì)策

BYOD的安全未來(lái)將主要通過(guò)2方面來(lái)實(shí)現(xiàn)安全提升。

首先，提升移動(dòng)智能終端的運(yùn)行環(huán)境安全。業(yè)界目前主要基于虛擬化技術(shù)構(gòu)建安全區(qū)，隔離安全與非安全應(yīng)用，從而保障BYOD應(yīng)用運(yùn)行環(huán)境的安全。其中，基于硬件擴(kuò)展的虛擬化，如可信執(zhí)行環(huán)境TEE，由于產(chǎn)業(yè)鏈不夠成熟、成本較高，目前局限應(yīng)用于高安全場(chǎng)合。業(yè)界更多考慮基于Hypervisor的軟件虛擬化及應(yīng)用容器等實(shí)現(xiàn)技術(shù)。另外，通過(guò)桌面虛擬化、應(yīng)用虛擬化技術(shù)提供隔離環(huán)境，避免在終端上運(yùn)行重要應(yīng)用、存儲(chǔ)關(guān)鍵數(shù)據(jù)也是一個(gè)重要發(fā)展方向。

其次，將移動(dòng)智能終端納入企業(yè)終端管理系統(tǒng)，實(shí)施統(tǒng)一安全策略。BYOD設(shè)備管理重點(diǎn)是將企業(yè)信息化管控能力延伸到移動(dòng)設(shè)備甚至APP，可以使管理員集中配置、管理企業(yè)設(shè)備和員工自帶設(shè)備，并以一種集中、基于角色的方式與IT資源集成，充分發(fā)揮對(duì)終端管理的功能。未來(lái)，BYOD設(shè)備管理將從“MDM（Mobile Device Management，移動(dòng)設(shè)備管理）”轉(zhuǎn)移到“EMM（Enterprise Mobile Management，企業(yè)移動(dòng)管理）”。MDM關(guān)注的重心是如何保證企業(yè)員工安全地使用企業(yè)數(shù)據(jù)和企業(yè)應(yīng)用，安全方案主要是建立在容器、沙箱的模式上，主要目的是隔離企業(yè)管理的數(shù)據(jù)，并不關(guān)心員工使用的是否是個(gè)人設(shè)備。而EMM更專(zhuān)注于員工相互交流和跨平臺(tái)應(yīng)用管理，通過(guò)情景感知，基于與內(nèi)容相關(guān)的管理屬性，例如角色、時(shí)間、位置以及內(nèi)容的類(lèi)型等，智能調(diào)度安全策略。由于只管理設(shè)備上的企業(yè)內(nèi)容和應(yīng)用，既能有效保護(hù)用戶隱私，同時(shí)也減輕了企業(yè)管理壓力。

4 ? 結(jié)束語(yǔ)

傳統(tǒng)的信息安全措施無(wú)法有效應(yīng)對(duì)APT攻擊，也難以適應(yīng)BYOD辦公潮流，需要新的技術(shù)和體系，本文對(duì)這2個(gè)熱點(diǎn)問(wèn)題進(jìn)行了闡述和剖析，希望能夠?yàn)橄嚓P(guān)人士提供一定的參考。

參考文獻(xiàn)：

[1] 中國(guó)電信股份有限公司. 中國(guó)電信信息基礎(chǔ)設(shè)施安全技術(shù)白皮書(shū)[Z]. 2014.

[2] 張帥. 對(duì)APT攻擊的檢測(cè)與防御[J]. 信息安全與技術(shù)， 2011（9）： 125-127.

[3] 劉東鑫，劉國(guó)榮，王帥，等. 面向企業(yè)網(wǎng)的APT攻擊特征分析及防御技術(shù)探討[J]. 電信科學(xué)， 2013（12）： 158-163.

[4] 國(guó)煒，寧華，修德利. BYOD安全技術(shù)分析[J]. 互聯(lián)網(wǎng)天地， 2014（3）.

[5] 任永學(xué)，李曉宇，盛杰成，等. 企業(yè)移動(dòng)信息化發(fā)展研究[J]. 郵電設(shè)計(jì)技術(shù)， 2014（10）.★

（2）移動(dòng)應(yīng)用和內(nèi)容管理

企業(yè)IT部門(mén)需要管理和保護(hù)傳輸?shù)絾T工個(gè)人設(shè)備的移動(dòng)應(yīng)用與內(nèi)容。例如，很多企業(yè)的BYOD安全方案都可以遠(yuǎn)程擦除移動(dòng)設(shè)備中的數(shù)據(jù)，強(qiáng)制設(shè)置查看郵件密碼和查看內(nèi)部機(jī)密文件密碼等。此外，還應(yīng)該考慮轉(zhuǎn)換或升級(jí)某些員工常用的應(yīng)用程序。例如，員工如果沒(méi)能及時(shí)對(duì)某些軟件進(jìn)行安全更新，就可能導(dǎo)致企業(yè)數(shù)據(jù)泄漏，需要定期監(jiān)測(cè)并強(qiáng)制升級(jí)。

（3）標(biāo)識(shí)和接入管理

很多員工的移動(dòng)設(shè)備都默認(rèn)設(shè)置成可以自動(dòng)發(fā)現(xiàn)并連接開(kāi)放無(wú)線AP（無(wú)需任何密碼就可訪問(wèn)），安全風(fēng)險(xiǎn)顯而易見(jiàn)。由于BYOD的普及，企業(yè)應(yīng)該增強(qiáng)其Wi-Fi網(wǎng)絡(luò)接入的管控能力，強(qiáng)制員工在訪問(wèn)企業(yè)資源時(shí)一定要啟用VPN，以確保業(yè)務(wù)在傳輸?shù)絺€(gè)人辦公設(shè)備的同時(shí)，敏感數(shù)據(jù)不會(huì)泄露。這意味著MDM的網(wǎng)絡(luò)解決方案能夠根據(jù)用戶身份以及設(shè)備類(lèi)型來(lái)確保正確的授權(quán)訪問(wèn)。

（4）安全遠(yuǎn)程訪問(wèn)

安全遠(yuǎn)程訪問(wèn)可以使個(gè)人設(shè)備從外網(wǎng)安全地登錄到企業(yè)網(wǎng)絡(luò)（內(nèi)網(wǎng)）。但是，BYOD用戶通常不具備數(shù)據(jù)通信的專(zhuān)業(yè)知識(shí)，無(wú)法有效地在自己的移動(dòng)終端上建立安全的VPN通道。因此，IT部門(mén)需要利用MDM解決方案中的功能，對(duì)員工設(shè)備進(jìn)行遠(yuǎn)程配置，盡量為員工減少操作復(fù)雜性。

3.2 ?安全風(fēng)險(xiǎn)

相比傳統(tǒng)的企業(yè)辦公環(huán)境，BYOD非常容易引發(fā)安全及管理風(fēng)險(xiǎn)，迫使企業(yè)安全部門(mén)必須采取相應(yīng)的措施來(lái)降低風(fēng)險(xiǎn)，在員工工作效率與安全措施之間需要達(dá)到一個(gè)平衡。下面介紹3種常見(jiàn)的BYOD安全風(fēng)險(xiǎn)。

（1）設(shè)備丟失

由于體積小，移動(dòng)設(shè)備非常容易丟失或被盜竊。在員工移動(dòng)設(shè)備上存儲(chǔ)有大量機(jī)密的客戶數(shù)據(jù)（敏感的客戶信息、企業(yè)郵件、商業(yè)機(jī)密等），這些信息的泄露會(huì)嚴(yán)重影響企業(yè)的正常運(yùn)轉(zhuǎn)與業(yè)務(wù)開(kāi)展。設(shè)備丟失的危害性甚至超過(guò)內(nèi)部員工泄密的情況。雖然一些企業(yè)部署了遠(yuǎn)程數(shù)據(jù)擦除功能，但是一些員工基于隱私的考慮不愿意讓企業(yè)IT部門(mén)完全控制自己的終端，這就需要在移動(dòng)設(shè)備中將公司數(shù)據(jù)和員工個(gè)人數(shù)據(jù)有效隔離，在遠(yuǎn)程刪除時(shí)只刪除公司的數(shù)據(jù)。

（2）破解和Root設(shè)備

員工通過(guò)一些技術(shù)手段來(lái)強(qiáng)行破解移動(dòng)設(shè)備的權(quán)限設(shè)置或取得超級(jí)用戶權(quán)限，破解是為了移除設(shè)備制造商的一些限制，但是這些限制往往是為了改善安全而設(shè)的。破解和ROOT設(shè)備會(huì)導(dǎo)致設(shè)備受到惡意軟件攻擊的風(fēng)險(xiǎn)大增。超級(jí)用戶權(quán)限也使得用戶可以安裝和運(yùn)行一些具有潛在惡意行為的軟件。

（3）惡意應(yīng)用泛濫

企業(yè)缺少移動(dòng)應(yīng)用的有效管理手段，員工可以在設(shè)備上任意下載和安裝來(lái)源不明的應(yīng)用軟件，這將會(huì)極大地降低終端操作系統(tǒng)的可靠性，這些未知的應(yīng)用程序可以訪問(wèn)公司的數(shù)據(jù)，對(duì)信息安全構(gòu)成巨大威脅。

（4）APP過(guò)度授權(quán)

雖然應(yīng)用軟件開(kāi)發(fā)者通常在程序安裝前會(huì)向用戶說(shuō)明需要調(diào)用的手機(jī)權(quán)限、功能和數(shù)據(jù)。但遺憾的是絕大多數(shù)用戶在安裝應(yīng)用前都不太關(guān)注授權(quán)要求，通常會(huì)不加思索就點(diǎn)“同意”。這就為很多竊取個(gè)人隱私和手機(jī)應(yīng)用數(shù)據(jù)的無(wú)德廠商和黑客打開(kāi)了方便之門(mén)。那些授權(quán)請(qǐng)求數(shù)量過(guò)多的應(yīng)用往往會(huì)導(dǎo)致聯(lián)系人、使用者的位置信息以及機(jī)器內(nèi)重要數(shù)據(jù)的泄漏。很多第三方應(yīng)用商店已經(jīng)成為惡意軟件、木馬軟件和流氓軟件的溫床，在治理BYOD安全問(wèn)題時(shí)首先要做的事情就是切斷各種刷機(jī)、第三方應(yīng)用市場(chǎng)的通道，統(tǒng)一使用正規(guī)的應(yīng)用商店或企業(yè)自有移動(dòng)應(yīng)用商店，同時(shí)根據(jù)應(yīng)用授權(quán)請(qǐng)求情況設(shè)立移動(dòng)應(yīng)用白名單。

（5）云存儲(chǔ)服務(wù)

移動(dòng)云存儲(chǔ)服務(wù)也是企業(yè)數(shù)據(jù)泄漏的巨大隱患。例如IBM就禁止員工使用Dropbox這樣的公共云存儲(chǔ)服務(wù)，但是堵不如疏，最好的辦法是提供安全的替代方案。企業(yè)可以嘗試部署開(kāi)源私有云存儲(chǔ)方案。棱鏡門(mén)事件后，私有云產(chǎn)品創(chuàng)新加速，例如德國(guó)公司Protonet推出了面向中小企業(yè)的私有云一體機(jī)，市場(chǎng)上也出現(xiàn)了私人云Plug產(chǎn)品。

3.3 ?未來(lái)對(duì)策

BYOD的安全未來(lái)將主要通過(guò)2方面來(lái)實(shí)現(xiàn)安全提升。

首先，提升移動(dòng)智能終端的運(yùn)行環(huán)境安全。業(yè)界目前主要基于虛擬化技術(shù)構(gòu)建安全區(qū)，隔離安全與非安全應(yīng)用，從而保障BYOD應(yīng)用運(yùn)行環(huán)境的安全。其中，基于硬件擴(kuò)展的虛擬化，如可信執(zhí)行環(huán)境TEE，由于產(chǎn)業(yè)鏈不夠成熟、成本較高，目前局限應(yīng)用于高安全場(chǎng)合。業(yè)界更多考慮基于Hypervisor的軟件虛擬化及應(yīng)用容器等實(shí)現(xiàn)技術(shù)。另外，通過(guò)桌面虛擬化、應(yīng)用虛擬化技術(shù)提供隔離環(huán)境，避免在終端上運(yùn)行重要應(yīng)用、存儲(chǔ)關(guān)鍵數(shù)據(jù)也是一個(gè)重要發(fā)展方向。

其次，將移動(dòng)智能終端納入企業(yè)終端管理系統(tǒng)，實(shí)施統(tǒng)一安全策略。BYOD設(shè)備管理重點(diǎn)是將企業(yè)信息化管控能力延伸到移動(dòng)設(shè)備甚至APP，可以使管理員集中配置、管理企業(yè)設(shè)備和員工自帶設(shè)備，并以一種集中、基于角色的方式與IT資源集成，充分發(fā)揮對(duì)終端管理的功能。未來(lái)，BYOD設(shè)備管理將從“MDM（Mobile Device Management，移動(dòng)設(shè)備管理）”轉(zhuǎn)移到“EMM（Enterprise Mobile Management，企業(yè)移動(dòng)管理）”。MDM關(guān)注的重心是如何保證企業(yè)員工安全地使用企業(yè)數(shù)據(jù)和企業(yè)應(yīng)用，安全方案主要是建立在容器、沙箱的模式上，主要目的是隔離企業(yè)管理的數(shù)據(jù)，并不關(guān)心員工使用的是否是個(gè)人設(shè)備。而EMM更專(zhuān)注于員工相互交流和跨平臺(tái)應(yīng)用管理，通過(guò)情景感知，基于與內(nèi)容相關(guān)的管理屬性，例如角色、時(shí)間、位置以及內(nèi)容的類(lèi)型等，智能調(diào)度安全策略。由于只管理設(shè)備上的企業(yè)內(nèi)容和應(yīng)用，既能有效保護(hù)用戶隱私，同時(shí)也減輕了企業(yè)管理壓力。

4 ? 結(jié)束語(yǔ)

傳統(tǒng)的信息安全措施無(wú)法有效應(yīng)對(duì)APT攻擊，也難以適應(yīng)BYOD辦公潮流，需要新的技術(shù)和體系，本文對(duì)這2個(gè)熱點(diǎn)問(wèn)題進(jìn)行了闡述和剖析，希望能夠?yàn)橄嚓P(guān)人士提供一定的參考。

參考文獻(xiàn)：

[1] 中國(guó)電信股份有限公司. 中國(guó)電信信息基礎(chǔ)設(shè)施安全技術(shù)白皮書(shū)[Z]. 2014.

[2] 張帥. 對(duì)APT攻擊的檢測(cè)與防御[J]. 信息安全與技術(shù)， 2011（9）： 125-127.

[3] 劉東鑫，劉國(guó)榮，王帥，等. 面向企業(yè)網(wǎng)的APT攻擊特征分析及防御技術(shù)探討[J]. 電信科學(xué)， 2013（12）： 158-163.

[4] 國(guó)煒，寧華，修德利. BYOD安全技術(shù)分析[J]. 互聯(lián)網(wǎng)天地， 2014（3）.

[5] 任永學(xué)，李曉宇，盛杰成，等. 企業(yè)移動(dòng)信息化發(fā)展研究[J]. 郵電設(shè)計(jì)技術(shù)， 2014（10）.★

（2）移動(dòng)應(yīng)用和內(nèi)容管理

企業(yè)IT部門(mén)需要管理和保護(hù)傳輸?shù)絾T工個(gè)人設(shè)備的移動(dòng)應(yīng)用與內(nèi)容。例如，很多企業(yè)的BYOD安全方案都可以遠(yuǎn)程擦除移動(dòng)設(shè)備中的數(shù)據(jù)，強(qiáng)制設(shè)置查看郵件密碼和查看內(nèi)部機(jī)密文件密碼等。此外，還應(yīng)該考慮轉(zhuǎn)換或升級(jí)某些員工常用的應(yīng)用程序。例如，員工如果沒(méi)能及時(shí)對(duì)某些軟件進(jìn)行安全更新，就可能導(dǎo)致企業(yè)數(shù)據(jù)泄漏，需要定期監(jiān)測(cè)并強(qiáng)制升級(jí)。

（3）標(biāo)識(shí)和接入管理

很多員工的移動(dòng)設(shè)備都默認(rèn)設(shè)置成可以自動(dòng)發(fā)現(xiàn)并連接開(kāi)放無(wú)線AP（無(wú)需任何密碼就可訪問(wèn)），安全風(fēng)險(xiǎn)顯而易見(jiàn)。由于BYOD的普及，企業(yè)應(yīng)該增強(qiáng)其Wi-Fi網(wǎng)絡(luò)接入的管控能力，強(qiáng)制員工在訪問(wèn)企業(yè)資源時(shí)一定要啟用VPN，以確保業(yè)務(wù)在傳輸?shù)絺€(gè)人辦公設(shè)備的同時(shí)，敏感數(shù)據(jù)不會(huì)泄露。這意味著MDM的網(wǎng)絡(luò)解決方案能夠根據(jù)用戶身份以及設(shè)備類(lèi)型來(lái)確保正確的授權(quán)訪問(wèn)。

（4）安全遠(yuǎn)程訪問(wèn)

安全遠(yuǎn)程訪問(wèn)可以使個(gè)人設(shè)備從外網(wǎng)安全地登錄到企業(yè)網(wǎng)絡(luò)（內(nèi)網(wǎng)）。但是，BYOD用戶通常不具備數(shù)據(jù)通信的專(zhuān)業(yè)知識(shí)，無(wú)法有效地在自己的移動(dòng)終端上建立安全的VPN通道。因此，IT部門(mén)需要利用MDM解決方案中的功能，對(duì)員工設(shè)備進(jìn)行遠(yuǎn)程配置，盡量為員工減少操作復(fù)雜性。

3.2 ?安全風(fēng)險(xiǎn)

相比傳統(tǒng)的企業(yè)辦公環(huán)境，BYOD非常容易引發(fā)安全及管理風(fēng)險(xiǎn)，迫使企業(yè)安全部門(mén)必須采取相應(yīng)的措施來(lái)降低風(fēng)險(xiǎn)，在員工工作效率與安全措施之間需要達(dá)到一個(gè)平衡。下面介紹3種常見(jiàn)的BYOD安全風(fēng)險(xiǎn)。

（1）設(shè)備丟失

由于體積小，移動(dòng)設(shè)備非常容易丟失或被盜竊。在員工移動(dòng)設(shè)備上存儲(chǔ)有大量機(jī)密的客戶數(shù)據(jù)（敏感的客戶信息、企業(yè)郵件、商業(yè)機(jī)密等），這些信息的泄露會(huì)嚴(yán)重影響企業(yè)的正常運(yùn)轉(zhuǎn)與業(yè)務(wù)開(kāi)展。設(shè)備丟失的危害性甚至超過(guò)內(nèi)部員工泄密的情況。雖然一些企業(yè)部署了遠(yuǎn)程數(shù)據(jù)擦除功能，但是一些員工基于隱私的考慮不愿意讓企業(yè)IT部門(mén)完全控制自己的終端，這就需要在移動(dòng)設(shè)備中將公司數(shù)據(jù)和員工個(gè)人數(shù)據(jù)有效隔離，在遠(yuǎn)程刪除時(shí)只刪除公司的數(shù)據(jù)。

（2）破解和Root設(shè)備

員工通過(guò)一些技術(shù)手段來(lái)強(qiáng)行破解移動(dòng)設(shè)備的權(quán)限設(shè)置或取得超級(jí)用戶權(quán)限，破解是為了移除設(shè)備制造商的一些限制，但是這些限制往往是為了改善安全而設(shè)的。破解和ROOT設(shè)備會(huì)導(dǎo)致設(shè)備受到惡意軟件攻擊的風(fēng)險(xiǎn)大增。超級(jí)用戶權(quán)限也使得用戶可以安裝和運(yùn)行一些具有潛在惡意行為的軟件。

（3）惡意應(yīng)用泛濫

企業(yè)缺少移動(dòng)應(yīng)用的有效管理手段，員工可以在設(shè)備上任意下載和安裝來(lái)源不明的應(yīng)用軟件，這將會(huì)極大地降低終端操作系統(tǒng)的可靠性，這些未知的應(yīng)用程序可以訪問(wèn)公司的數(shù)據(jù)，對(duì)信息安全構(gòu)成巨大威脅。

（4）APP過(guò)度授權(quán)

雖然應(yīng)用軟件開(kāi)發(fā)者通常在程序安裝前會(huì)向用戶說(shuō)明需要調(diào)用的手機(jī)權(quán)限、功能和數(shù)據(jù)。但遺憾的是絕大多數(shù)用戶在安裝應(yīng)用前都不太關(guān)注授權(quán)要求，通常會(huì)不加思索就點(diǎn)“同意”。這就為很多竊取個(gè)人隱私和手機(jī)應(yīng)用數(shù)據(jù)的無(wú)德廠商和黑客打開(kāi)了方便之門(mén)。那些授權(quán)請(qǐng)求數(shù)量過(guò)多的應(yīng)用往往會(huì)導(dǎo)致聯(lián)系人、使用者的位置信息以及機(jī)器內(nèi)重要數(shù)據(jù)的泄漏。很多第三方應(yīng)用商店已經(jīng)成為惡意軟件、木馬軟件和流氓軟件的溫床，在治理BYOD安全問(wèn)題時(shí)首先要做的事情就是切斷各種刷機(jī)、第三方應(yīng)用市場(chǎng)的通道，統(tǒng)一使用正規(guī)的應(yīng)用商店或企業(yè)自有移動(dòng)應(yīng)用商店，同時(shí)根據(jù)應(yīng)用授權(quán)請(qǐng)求情況設(shè)立移動(dòng)應(yīng)用白名單。

（5）云存儲(chǔ)服務(wù)

移動(dòng)云存儲(chǔ)服務(wù)也是企業(yè)數(shù)據(jù)泄漏的巨大隱患。例如IBM就禁止員工使用Dropbox這樣的公共云存儲(chǔ)服務(wù)，但是堵不如疏，最好的辦法是提供安全的替代方案。企業(yè)可以嘗試部署開(kāi)源私有云存儲(chǔ)方案。棱鏡門(mén)事件后，私有云產(chǎn)品創(chuàng)新加速，例如德國(guó)公司Protonet推出了面向中小企業(yè)的私有云一體機(jī)，市場(chǎng)上也出現(xiàn)了私人云Plug產(chǎn)品。

3.3 ?未來(lái)對(duì)策

BYOD的安全未來(lái)將主要通過(guò)2方面來(lái)實(shí)現(xiàn)安全提升。

首先，提升移動(dòng)智能終端的運(yùn)行環(huán)境安全。業(yè)界目前主要基于虛擬化技術(shù)構(gòu)建安全區(qū)，隔離安全與非安全應(yīng)用，從而保障BYOD應(yīng)用運(yùn)行環(huán)境的安全。其中，基于硬件擴(kuò)展的虛擬化，如可信執(zhí)行環(huán)境TEE，由于產(chǎn)業(yè)鏈不夠成熟、成本較高，目前局限應(yīng)用于高安全場(chǎng)合。業(yè)界更多考慮基于Hypervisor的軟件虛擬化及應(yīng)用容器等實(shí)現(xiàn)技術(shù)。另外，通過(guò)桌面虛擬化、應(yīng)用虛擬化技術(shù)提供隔離環(huán)境，避免在終端上運(yùn)行重要應(yīng)用、存儲(chǔ)關(guān)鍵數(shù)據(jù)也是一個(gè)重要發(fā)展方向。

其次，將移動(dòng)智能終端納入企業(yè)終端管理系統(tǒng)，實(shí)施統(tǒng)一安全策略。BYOD設(shè)備管理重點(diǎn)是將企業(yè)信息化管控能力延伸到移動(dòng)設(shè)備甚至APP，可以使管理員集中配置、管理企業(yè)設(shè)備和員工自帶設(shè)備，并以一種集中、基于角色的方式與IT資源集成，充分發(fā)揮對(duì)終端管理的功能。未來(lái)，BYOD設(shè)備管理將從“MDM（Mobile Device Management，移動(dòng)設(shè)備管理）”轉(zhuǎn)移到“EMM（Enterprise Mobile Management，企業(yè)移動(dòng)管理）”。MDM關(guān)注的重心是如何保證企業(yè)員工安全地使用企業(yè)數(shù)據(jù)和企業(yè)應(yīng)用，安全方案主要是建立在容器、沙箱的模式上，主要目的是隔離企業(yè)管理的數(shù)據(jù)，并不關(guān)心員工使用的是否是個(gè)人設(shè)備。而EMM更專(zhuān)注于員工相互交流和跨平臺(tái)應(yīng)用管理，通過(guò)情景感知，基于與內(nèi)容相關(guān)的管理屬性，例如角色、時(shí)間、位置以及內(nèi)容的類(lèi)型等，智能調(diào)度安全策略。由于只管理設(shè)備上的企業(yè)內(nèi)容和應(yīng)用，既能有效保護(hù)用戶隱私，同時(shí)也減輕了企業(yè)管理壓力。

4 ? 結(jié)束語(yǔ)

傳統(tǒng)的信息安全措施無(wú)法有效應(yīng)對(duì)APT攻擊，也難以適應(yīng)BYOD辦公潮流，需要新的技術(shù)和體系，本文對(duì)這2個(gè)熱點(diǎn)問(wèn)題進(jìn)行了闡述和剖析，希望能夠?yàn)橄嚓P(guān)人士提供一定的參考。

參考文獻(xiàn)：

[1] 中國(guó)電信股份有限公司. 中國(guó)電信信息基礎(chǔ)設(shè)施安全技術(shù)白皮書(shū)[Z]. 2014.

[2] 張帥. 對(duì)APT攻擊的檢測(cè)與防御[J]. 信息安全與技術(shù)， 2011（9）： 125-127.

[3] 劉東鑫，劉國(guó)榮，王帥，等. 面向企業(yè)網(wǎng)的APT攻擊特征分析及防御技術(shù)探討[J]. 電信科學(xué)， 2013（12）： 158-163.

[4] 國(guó)煒，寧華，修德利. BYOD安全技術(shù)分析[J]. 互聯(lián)網(wǎng)天地， 2014（3）.

[5] 任永學(xué)，李曉宇，盛杰成，等. 企業(yè)移動(dòng)信息化發(fā)展研究[J]. 郵電設(shè)計(jì)技術(shù)， 2014（10）.★