李君

[摘 要] 移動互聯(lián)網(wǎng)目前在中國高速發(fā)展，“移動”已經(jīng)成為我們工作生活的新方式。隨著智能終端的普及，BYOD（自帶設(shè)備辦公）在企業(yè)組織中的應(yīng)用也越來越普遍。對于企業(yè)而言，BYOD的潮流為企業(yè)帶來了明顯的效益，降低了企業(yè)在移動終端上的成本投入，更好地提高了員工效率。而隨著BYOD潮流的推進(jìn)，企業(yè)在使用BYOD的同時，也將面臨數(shù)據(jù)安全問題的嚴(yán)峻挑戰(zhàn)。解決移動接入安全問題，要從技術(shù)手段和管理政策兩個方面同時著手。

[關(guān)鍵詞] BYOD；安全；移動設(shè)備；管理

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 17. 040

[中圖分類號] TP309 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194（2014）17- 0067- 02

1 BYOD應(yīng)用

BYOD（Bring Your Own Device）指攜帶自己的設(shè)備辦公，這些設(shè)備包括個人電腦、手機、平板等。隨著企業(yè)信息化水平和管理效能的不斷提升，基于傳統(tǒng)PC的辦公自動化系統(tǒng)已經(jīng)明顯不能滿足高效率、快節(jié)奏的移動互聯(lián)時代的辦公需求。越來越多的平板電腦和智能手機等移動終端進(jìn)入企業(yè)移動辦公過程中，用戶希望無論使用哪個設(shè)備都能不受時間、地點、網(wǎng)絡(luò)環(huán)境的限制無縫訪問公司的資源。特別是隨著企業(yè)“私有云”的不斷成型，每個員工、每個移動終端和每個業(yè)務(wù)系統(tǒng)都成為這個“云”的組成部分。BYOD的應(yīng)用在為企業(yè)帶來好處的同時，也將帶來巨大的安全隱患，稍有不慎就會給企業(yè)帶來巨大損失。

2 移動設(shè)備安全管理

解決移動接入安全問題，要從技術(shù)手段和管理政策兩個方面同時著手，不能只重技術(shù)防護(hù)而忽視管理制度的建立。

2.1 技術(shù)手段

從技術(shù)控制手段上來看，目前主要有以下幾個方面：

（1）密切關(guān)注網(wǎng)絡(luò)安全。為了維護(hù)企業(yè)網(wǎng)絡(luò)的安全性，企業(yè)應(yīng)該采取綜合的網(wǎng)絡(luò)保護(hù)方法。通過使用動態(tài)可管理的VPN和防火墻，加密所有的網(wǎng)絡(luò)通信，從而保護(hù)企業(yè)的數(shù)據(jù)不會在傳輸途中被截獲。采用面向移動的Web安全網(wǎng)關(guān)，它可以基于設(shè)備或云，通過惡意軟件過濾、信譽過濾、數(shù)據(jù)防泄露、應(yīng)用可視化控制等手段，結(jié)合可行的策略控制，解決BYOD帶來的網(wǎng)絡(luò)安全風(fēng)險。雖然VPN提供安全的遠(yuǎn)程網(wǎng)絡(luò)連接，但添加網(wǎng)絡(luò)訪問控制機制是非常必要的，建立對網(wǎng)絡(luò)本身的控制，使企業(yè)在網(wǎng)絡(luò)發(fā)生任何損壞之前，能夠阻止來自于移動設(shè)備的惡意軟件的攻擊。這個機制依賴于執(zhí)行網(wǎng)絡(luò)安全策略并控制終端、數(shù)據(jù)和用戶訪問行為，采取智能設(shè)計，在網(wǎng)絡(luò)上提供足夠的訪問控制，以確保只有在安全的條件下才能訪問網(wǎng)絡(luò)。

（2）使用移動設(shè)備管理（MDM）解決方案。選擇支持多個平臺（如Android，黑莓，iOS，Windows等）的移動設(shè)備管理產(chǎn)品，它提供了一個管理控制臺，可以從一個點管理所有的各種移動設(shè)備。MDM能使策略執(zhí)行針對移動設(shè)備本身并提供遠(yuǎn)程位置鎖定和數(shù)據(jù)擦除的能力，防止設(shè)備丟失或被盜。但是以終端為中心的安全控制方法會受到極大制約，目前業(yè)界一些廠商正在試圖將MDM和移動安全客戶端、移動Web安全網(wǎng)關(guān)和其他基于云的服務(wù)結(jié)合起來，建立強健的、高可用的架構(gòu)，這種架構(gòu)在今后可能會成為主流，它們已經(jīng)開始推出集成的移動安全解決方案。

（3）強化身份和訪問管理。BYOD的風(fēng)險很多緣于靜態(tài)密碼，這些靜態(tài)的密碼方便企業(yè)員工遠(yuǎn)程訪問業(yè)務(wù)數(shù)據(jù)和系統(tǒng)。但企業(yè)應(yīng)該考慮多因素身份驗證方法，加強安全性，同時繼續(xù)優(yōu)先考慮可用性。一次性密碼和二度認(rèn)證的策略可以保護(hù)企業(yè)的“大門”安全。單獨登錄各個應(yīng)用程序需要不同的密碼，因為相同的密碼存在安全隱患。但是員工往往因為密碼太多而產(chǎn)生密碼疲勞癥。而單點登錄（SSO）工具讓員工使用單一密碼訪問企業(yè)門戶網(wǎng)站或者云應(yīng)用，并且可以加入到SSL VPN配置中。

（4）保護(hù)用戶的數(shù)據(jù)，而不是用戶的設(shè)備。我們在選擇移動安全解決方案時，要專注于數(shù)據(jù)的訪問控制，保證數(shù)據(jù)不被惡意存儲到移動設(shè)備上，數(shù)據(jù)安全防護(hù)系統(tǒng)需要有批準(zhǔn)和拒絕用戶試圖獲得特定數(shù)據(jù)的最終決定權(quán)。要使員工分清楚工作和生活數(shù)據(jù)，幾乎所有的BYOD方案都包含電子郵件、日歷以及通訊錄，員工應(yīng)避免使用個人郵箱發(fā)送工作郵件。盡可能選用不會在設(shè)備中存儲數(shù)據(jù)的應(yīng)用，將應(yīng)用數(shù)據(jù)存儲至云端，可大大降低數(shù)據(jù)泄露的可能性。對于企業(yè)最核心的數(shù)據(jù)，可以采用虛擬桌面訪問方式，它創(chuàng)建了一個安全虛擬機，為進(jìn)入企業(yè)網(wǎng)絡(luò)的移動設(shè)備訪問提供了一個安全窗口，確保數(shù)據(jù)的安全和業(yè)務(wù)連續(xù)性，它不允許數(shù)據(jù)在用戶的個人設(shè)備之間以及企業(yè)基礎(chǔ)設(shè)施之間流動。

2.2 管理制度

沒有一種解決方案可以獨自解決移動設(shè)備所帶來的挑戰(zhàn)。完善的安全解決方案將會是廣泛的產(chǎn)品組合，可以實時抵擋來自于移動設(shè)備的新的安全威脅，對遠(yuǎn)程用戶執(zhí)行安全合規(guī)檢查，并保護(hù)網(wǎng)絡(luò)、數(shù)據(jù)和客戶端的安全。技術(shù)控制手段是保障BYOD安全的第一步，第二步則是要制定一個管理制度，創(chuàng)建一個宏觀安全策略。

（1）制定管理制度，并堅持下去。要制定一個管理制度，闡明在員工使用移動設(shè)備接入公司網(wǎng)絡(luò)時，應(yīng)該做什么和不該做什么，并嚴(yán)格執(zhí)行和長期堅持下去。對于任何IT管理流程，技術(shù)解決方案只是一個方面，要讓員工明白管理制度同技術(shù)解決方案同樣重要。同時，不要讓自己或關(guān)鍵員工成為例外，如果你和你的優(yōu)秀員工不遵守安全協(xié)議，其他人也會忽略你的制度，那么你的公司將面臨數(shù)據(jù)暴露給外部的威脅。

（2）當(dāng)員工離職時，立即斷開員工與企業(yè)網(wǎng)絡(luò)的聯(lián)接。要明確什么樣的數(shù)據(jù)任何員工都可以訪問，什么樣的數(shù)據(jù)必須嚴(yán)格訪問控制。要確保員工不會獲得更多的公司數(shù)據(jù)而這些數(shù)據(jù)并不是他們工作需要的。此外，當(dāng)員工離職時，必須立即斷開他與公司的聯(lián)接，并確保從其個人設(shè)備上擦除公司的數(shù)據(jù)。如果一個離職的員工還能通過個人設(shè)備進(jìn)入原公司的工作網(wǎng)絡(luò)，則會給公司帶來巨大的災(zāi)難。

（3）加強員工溝通，做好安全培訓(xùn)。蓋特納最新的一份報告顯示，預(yù)計到2016年，由于企業(yè)移動管理規(guī)定的嚴(yán)格，20%的BYOD計劃將面臨失敗。企業(yè)員工不喜歡被監(jiān)控，IT部門也會為政策的實施不力而煩惱。所以，建立一個平衡于企業(yè)數(shù)據(jù)安全與BYOD正常實行之間的政策并非易事。IT部門要與員工進(jìn)行多方面的溝通，讓員工積極參與企業(yè)的BYOD計劃并積極介入管理政策的制定，這其中會有很多考量，也涉及很多法律法規(guī)。通過員工的參與，制訂出一個員工可以接受的BYOD方案。其次，僅僅一個政策并不足夠，還要加強對員工的安全培訓(xùn)，教育引導(dǎo)設(shè)備使用者在不同地方使用數(shù)據(jù)時該如何保護(hù)數(shù)據(jù)。

總之，BYOD不只是一個技術(shù)問題，它也是一個要求企業(yè)IT部門和其他部門協(xié)作來有效整合業(yè)務(wù)戰(zhàn)略、安全政策和IT系統(tǒng)的商業(yè)問題。BYOD實施后，如果發(fā)生員工設(shè)備濫用或危及企業(yè)數(shù)據(jù)安全的事件，將導(dǎo)致員工個人設(shè)備上的數(shù)據(jù)被擦除，遵守公司的政策是每個員工應(yīng)盡的職責(zé)。

主要參考文獻(xiàn)

[1]Colin Steele. BYOD的安全問題：概念與現(xiàn)實[EB/OL].趙寒坡，譯.http：//www.searchcio.com.cn/showcontent_71834.htm，2013-04-01.

[2]孔維維. 八大策略確保企業(yè)BYOD應(yīng)用安全[EB/OL].http：//www.vsharing.com/k/net/2012-11/673268.html，2012-11-28.