文｜暢文丁 張煜東

引言

隨著智能移動設備的普及，越來越多的企業(yè)員工期望通過“使用自有設備”方式，在多種環(huán)境下利用碎片時間通過移動設備完成工作，這就是我們常說的BYOD（BringYourOwnDevice）。BYOD理念帶來更為自由便捷的辦公體驗的同時也為應用和數據帶來了安全風險，如何應對這些安全風險，筆者認為是BYOD理念下移動互聯(lián)辦公應用發(fā)展應考慮的重要課題。

BYOD的特征及安全分析

隨著BYOD理念深入，越來越多的個人設備帶入到工作環(huán)境中，移動辦公突破了傳統(tǒng)辦公地域空間的限制，通過互聯(lián)網、移動網絡和WIFI訪問內網資源，網絡傳輸安全是基礎；BYOD過程中，企業(yè)的內部數據和應用可能會直接暴露于互聯(lián)網；個人移動設備的便攜性帶來了設備和數據遺矢的可能性；移動設備可能會被“越獄”、“ROOT”等操作，識別設備合法使用者，保障終端安全是關鍵。

通過BYOD特征不難發(fā)現(xiàn)，從移動終端自身，到傳輸網絡，再到系統(tǒng)業(yè)務層、數據層，處處可能成為黑客或不法人員攻擊的目標。在安全層面，BYOD面臨區(qū)別于傳統(tǒng)系統(tǒng)安全的新風險和新挑戰(zhàn)。應對BYOD安全風險，應從以下方面著重考慮，第一，要對終端的獲取、部署、運行和回收進行全流程生命周期管理，保證設備接入安全；第二，在網絡傳輸層，應建立“應用到網關”、“設備到網關”兩級全數據安全鏈路；第三，在應用安全方面，建立雙向安全機制，實現(xiàn)應用的安全訪問，同時建立行為審計規(guī)則監(jiān)督用戶特定行為；第四，要對移動應用的數據進行定向集中管控，有必要采取數據傳輸、存儲加密技術。

BYOD安全風險解決之道

BYOD安全風險防范要從多方面入手綜合治理，企業(yè)內部要制定相應規(guī)章制度，要加強員工教育，在后臺應用系統(tǒng)加強安全審計功能等等，下面主要針對三個關鍵技術層面的解決措施進行分析探討。

BYOD的主動安全包括應用、終端、數據三個方面，應加強主動安全防護、建立行為審計規(guī)則、完善被動安全實施。技術層面講，終端虛擬化技術、移動設備管理（MDM）和數據云存儲技術有助于加強BYOD的主動安全和被動安全防護。

（一）終端虛擬化技術

BYOD用戶透過終端虛擬化的方式，以安全的VPN聯(lián)機方式接入內網資源，系統(tǒng)即會推送虛擬桌面到用戶的移動設備，在獨立的環(huán)境中存取系統(tǒng)的數據，確保數據端到端的安全性。終端虛擬化包括桌面虛擬化和應用虛擬化兩個方面，圖1以應用虛擬化安全為例說明終端虛擬化工作原理。

應用虛擬化終端通過SSL安全協(xié)議連接安全網關傳送鼠標鍵盤操作指令，網絡上只傳輸客戶端的鍵盤、鼠標動作以及顯示界面的刷新部分，不是完整的數據包，不會被網絡黑客監(jiān)聽，同時客戶端顯示信息不會駐留電腦中；128位的Secure ICA以及SSL加密技術控制每一個客戶端的權限，以保證應用軟件和數據的安全。

桌面虛擬化在加密傳輸的基礎上通過VDI協(xié)議實現(xiàn)桌面遠程投送，數據在服務器端執(zhí)行，網絡中傳輸視頻流，從而保證BYOD運行環(huán)境安全。

終端虛擬化在服務器端將應用與數據集中管理，網絡傳輸圖形、視頻數據，業(yè)務數據不落地從而實現(xiàn)BYOD安全風險控制；通過實現(xiàn)端到端的網絡加速和優(yōu)化，多維度應用層流量識別，以解決網絡丟包、延時造成的應用訪問緩慢問題；通過內存頁合并技術從而更大發(fā)揮服務器內存利用率，提升虛擬終端部署密度。

終端虛擬化優(yōu)勢在于：

1.訪問靈活：用戶可從任何地方，通過任意網絡、任意客戶端訪問屬于自己的桌面/應用環(huán)境；

2.簡化管理：應用/桌面的管理和配置都統(tǒng)一在數據中心進行，軟件更新、系統(tǒng)升級快速、有效；

3.數據安全：所有數據都存放在數據中心，網絡中傳輸的僅僅是圖像信息，有效實現(xiàn)核心數據防泄密。

但是終端虛擬化不能滿足BYOD終端應用離線數據操作，針對外圍設備調用存在單向調用局限，對網絡基礎設施有較高要求。

（二）移動設備管理（MDM）技術

移動設備管理（MDM）技術是移動中間件一個重要部分，可以有效管理接入內網的各種設備。通過部署MDM不僅實現(xiàn)完整的終端和網路管理，還實現(xiàn)了應用和終端的安全管理，同時可以對用戶行為進行分析，實現(xiàn)BYOD主動和被動安全管控（如圖2所示）。

終端設備通過3G、WIFI等網絡渠道接入MDM終端管理平臺層，MDM平臺層通過設備管理、應用管理、數據管理等功能實現(xiàn)以下目標：

1.移動應用的安全、高效、便捷和集中管理;

2.用戶身份認證（包括用戶名、密碼等多重綁定驗證）；

3.強密碼策略，可對設備進行設置強密碼提醒，加強設備安全性；

4.設備鎖機、數據擦除等操作，保護設備和數據安全。

移動設備管理（MDM）實施過程中不僅需要涉及到傳統(tǒng)安全防護，更要針對移動設備數據安全、強身份認證和應用程序等移動系統(tǒng)全生命周期進行全面的安全設計。通過移動設備管理（MDM）進行移動設備應用分發(fā)、提供統(tǒng)一推送通知，版本管理，安全性整合實時分析等功能以保障移動信息系統(tǒng)安全運行。

移動設備管理（MDM）的優(yōu)勢在于：

1.系統(tǒng)建設：開放性架構設計，直接訪問后端系統(tǒng)，更好的整合利用原有系統(tǒng)基礎資源；

2.集中統(tǒng)一管理：后臺可以實時監(jiān)控每臺移動終端的情況，也可以對所有的移動終端進行分組管理；

3.無縫用戶體驗： MDM平臺為移動信息系統(tǒng)建設提供基礎環(huán)境，更好發(fā)揮移動終端特性，對網絡環(huán)境無特殊要求，安全離線使用。

移動設備管理（MDM）的不足在于需要在傳統(tǒng)安全防護基礎上進行移動系統(tǒng)安全設計。

（三）數據“云存儲”技術

BYOD理念下的移動應用迅猛發(fā)展，會產生大量的移動應用數據，這些數據數量巨大，更新頻繁，如果落地會存儲于多樣化的移動終端平臺，使得數據的拷貝轉移也更加方便，這就為移動應用數據安全防護提出更高的要求?！霸拼鎯夹g”在為移動應用提供數據訪問便捷的同時也可對數據進行有效的集中管控和安全防護。數據存儲于云平臺可針對敏感和關鍵數據集中進行訪問控制、存儲加密、安全審計以保證數據的完整性和防泄漏（如圖3所示）。

數據“云存儲”的優(yōu)勢在于：

1.數據使用便捷，移動終端使用者可隨時隨地共享、獲取和訪問所需數據；

2.數據可集中管控，數據在統(tǒng)一接口下進行維護，提高敏感數據的安全性；

3.容量的可擴展性，用戶個人數據存儲空間不受終端限制，隨時獲取，按需使用，隨時擴展；

4.便于企業(yè)批量數字化，相關法規(guī)要求企業(yè)保存長達數年之久的記錄和數據，尤其是針對媒體行業(yè),具體鏡像記錄有時需要PB級的存儲空間，保存如此大量的數據可以說是一個挑戰(zhàn)。

云存儲不足之處在于龐大的數據存儲和傳輸受限于網絡帶寬的制約。

總之，BYOD工作理念為移動信息系統(tǒng)建設帶來了機遇和安全挑戰(zhàn)，在移動信息系統(tǒng)建設上既要用技術革新辦公業(yè)務流程和模式，但如果不能較好解決移動設備、系統(tǒng)應用、業(yè)務數據的安全問題將制約未來BYOD深入廣泛的應用和持續(xù)發(fā)展。