江 敏 李 赟

BYOD(Bring Your Own Device)指自帶設(shè)備進(jìn)行辦公，這些設(shè)備包括個(gè)人電腦、手機(jī)、平板等智能終端，通過這些智能終端，員工可以在任何地方、任何地點(diǎn)進(jìn)行收發(fā)企業(yè)郵件、訪問企業(yè)資源、對企業(yè)的業(yè)務(wù)進(jìn)行處理，實(shí)現(xiàn)移動(dòng)辦公。移動(dòng)辦公是信息通信技術(shù)發(fā)展的結(jié)果，大量多元化的移動(dòng)終端的出現(xiàn)，改變了人們傳統(tǒng)的生活與工作模式，打破了時(shí)間、地域的限制，給予人們更多的獲取信息的手段。特別是寬帶、3G移動(dòng)通信技術(shù)的應(yīng)用，使企業(yè)辦公進(jìn)入了智能辦公時(shí)代。隨著鐵路體制改革，鐵路員工移動(dòng)辦公的需求，也為鐵路信息化建設(shè)提出新的設(shè)想。

1 BYOD應(yīng)用帶來的安全問題

無線技術(shù)和移動(dòng)技術(shù)在鐵路信息化建設(shè)中已經(jīng)應(yīng)用得很成熟。鐵路大型的物流中心 (例如青藏那曲物流中心)，通過無線網(wǎng)絡(luò)實(shí)現(xiàn)PDA點(diǎn)貨、無線呼叫等業(yè)務(wù)。鐵路貨車列檢，列檢員配備了無線作業(yè)手持機(jī)，通過無線網(wǎng)絡(luò)開展語音傳輸、數(shù)據(jù)傳輸?shù)葮I(yè)務(wù)。雖然PDA和列檢手持機(jī)這些移動(dòng)設(shè)備，不是員工自帶設(shè)備，但也是通過智能終端對企業(yè)的業(yè)務(wù)進(jìn)行處理，可以算是BYOD在鐵路行業(yè)中的應(yīng)用。這些應(yīng)用實(shí)施都應(yīng)充分考慮接入、網(wǎng)絡(luò)及數(shù)據(jù)的安全。

如果在鐵路園區(qū)網(wǎng)部署B(yǎng)YOD，園區(qū)員工在訪問企業(yè)資源的同時(shí)，也給IT管理部門執(zhí)行的統(tǒng)一安全策略即終端安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全帶來了新的挑戰(zhàn)。關(guān)注點(diǎn)可以細(xì)分為數(shù)據(jù)安全、接入安全、應(yīng)用安全、威脅防護(hù)及設(shè)備管理。

1.數(shù)據(jù)安全。員工使用個(gè)人設(shè)備訪問辦公網(wǎng)絡(luò)，如何區(qū)分個(gè)人數(shù)據(jù)和企業(yè)數(shù)據(jù)，如何杜絕企業(yè)數(shù)據(jù)外泄，這是一個(gè)巨大挑戰(zhàn)。

2.接入安全。員工的移動(dòng)設(shè)備接入，使得園區(qū)網(wǎng)絡(luò)對外無限延伸，但對于員工身份的安全認(rèn)證及授權(quán)訪問需要著重考慮。

3.威脅防護(hù)。應(yīng)避免Internet外聯(lián)鏈路的監(jiān)聽以及員工移動(dòng)終端自身有各類的安全問題，比如病毒、木馬。與園區(qū)內(nèi)網(wǎng)終端不同，移動(dòng)終端多屬于員工自己設(shè)備，很難強(qiáng)制實(shí)施和園區(qū)內(nèi)網(wǎng)一樣的統(tǒng)一安全策略，這種情況下，如何防護(hù)可能由員工設(shè)備引入的惡意威脅也需要考慮。

4.設(shè)備管理。園區(qū)內(nèi)員工大量內(nèi)外網(wǎng)連入的移動(dòng)終端，種類繁多，如何進(jìn)行統(tǒng)一便捷的客戶端異構(gòu)平臺(tái)的管理也是一個(gè)大問題。

2 統(tǒng)一的網(wǎng)絡(luò)安全策略

針對園區(qū)網(wǎng)絡(luò)部署B(yǎng)YOD帶來的安全問題，提出完善的網(wǎng)絡(luò)安全策略方案，通過實(shí)行統(tǒng)一策略，執(zhí)行終端安全和管道安全，使員工自帶設(shè)備移動(dòng)辦公得到全方位的安全防護(hù)。統(tǒng)一策略方案能夠根據(jù)不同用戶角色、不同設(shè)備類型、不同場所、不同時(shí)段、不同區(qū)域，采用不同的策略，確保對資源的安全訪問。統(tǒng)一策略方案實(shí)現(xiàn)與移動(dòng)設(shè)備管理(MDM)方案的策略集成，提供涵蓋公司的單一策略來源 (有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、遠(yuǎn)程網(wǎng)絡(luò)、物理設(shè)備、虛擬設(shè)備)，對移動(dòng)設(shè)備實(shí)施完善、準(zhǔn)確的管理，能夠很好地對園區(qū)網(wǎng)絡(luò)進(jìn)行安全防護(hù)。BYOD統(tǒng)一策略方案如圖1所示。

圖1 BYOD統(tǒng)一策略方案示意圖

2.1 訪問控制策略

把準(zhǔn)入控制與識(shí)別終端的安全狀態(tài)相結(jié)合，通過合規(guī)檢查、動(dòng)態(tài)控制及授權(quán)，對于不符合安全策略的終端進(jìn)行隔離修復(fù)，強(qiáng)制終端用戶實(shí)施公司的安全策略。IT管理部門制定訪問控制策略，制定園區(qū)內(nèi)員工使用何種設(shè)備、在何時(shí)、在何地、如何訪問總公司園區(qū)網(wǎng)絡(luò)的策略，控制接入網(wǎng)絡(luò)的終端用戶網(wǎng)絡(luò)訪問權(quán)限，實(shí)現(xiàn)最小授權(quán)訪問控制。有效防范非法終端對公司業(yè)務(wù)資源的訪問，確保業(yè)務(wù)正常運(yùn)行，保護(hù)公司信息安全。

對于公司高層領(lǐng)導(dǎo)，根據(jù)其身份和角色定義，允許訪問所有的網(wǎng)絡(luò)資源。對于員工，提供相對寬松的模式，允許員工訪問完成工作必須的業(yè)務(wù)系統(tǒng)。對于少數(shù)的重要業(yè)務(wù)系統(tǒng)，禁止一般員工訪問。對于合作方員工，提供嚴(yán)格的控制模式，只允許合作方訪問特定的業(yè)務(wù)系統(tǒng)，禁止訪問重要的業(yè)務(wù)系統(tǒng)和一般的辦公系統(tǒng)，允許根據(jù)安全策略，定義是否允許合作方的員工通過公司園區(qū)網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)。對于普通BYOD用戶，例如，員工使用自己的移動(dòng)終端接入，只能訪問公司普通的業(yè)務(wù)資源，不能訪問公司重要的業(yè)務(wù)系統(tǒng)和重要的辦公系統(tǒng)。對于訪客，禁止訪問園區(qū)內(nèi)部網(wǎng)絡(luò)資源，包括重要的業(yè)務(wù)系統(tǒng)、一般業(yè)務(wù)以及合作方共享系統(tǒng)等，只允許訪客訪問互聯(lián)網(wǎng)。

2.2 網(wǎng)絡(luò)安全加固策略

BYOD部署在園區(qū)網(wǎng)絡(luò)中，員工能夠從家里或公共地點(diǎn)連接互聯(lián)網(wǎng)或辦公室網(wǎng)絡(luò)，也會(huì)無意中將被感染的病毒、蠕蟲和間諜軟件帶進(jìn)企業(yè)環(huán)境，從而威脅網(wǎng)絡(luò)安全。IT管理部門制定網(wǎng)絡(luò)安全加固策略，借助于從低端到高端全系列的安全產(chǎn)品和虛擬化技術(shù)，對硬件資源進(jìn)行虛擬化處理，在將來可以考慮打造基于SDN架構(gòu)的安全資源池，按需動(dòng)態(tài)虛擬化為多個(gè)邏輯單元，分配給不同的用戶群，以此維護(hù)網(wǎng)絡(luò)的安全。

還可以通過配置檢查，檢測防病毒軟件的策略，檢查終端是否安裝了公司規(guī)定的殺毒軟件，以及殺毒軟件是否更新，作為判斷終端當(dāng)前安全狀態(tài)的一個(gè)依據(jù)，阻止沒有部署殺毒軟件的終端或者殺毒軟件長期不更新的終端接入網(wǎng)絡(luò)。保證園區(qū)內(nèi)網(wǎng)運(yùn)行的終端殺毒軟件能夠及時(shí)更新并且有效運(yùn)行，減少病毒感染和擴(kuò)散的風(fēng)險(xiǎn)。通過配置檢查屏保策略、檢查文件共享策略、檢查賬戶安全策略等來彌補(bǔ)員工由于安全保密意識(shí)薄弱帶來的安全漏洞，保護(hù)信息安全。

2.3 行為監(jiān)控策略

園區(qū)網(wǎng)絡(luò)除了外部黑客、病毒攻擊帶來的安全威脅外，移動(dòng)存儲(chǔ)介質(zhì)濫用、IM(即時(shí)通信)工具的使用、非工作時(shí)段的Web訪問、不安全的WiFi接入、個(gè)人外設(shè)使用等帶來的內(nèi)部安全威脅也不容忽視。

IT管理部門制定的BYOD行為監(jiān)控策略，可以管理Modem、ADSL、ISDN撥號(hào)設(shè)備，禁止員工使用撥號(hào)設(shè)備，防止終端繞過IT管理部門的監(jiān)管連接互聯(lián)網(wǎng)，使得園區(qū)網(wǎng)絡(luò)直接面對來自互聯(lián)網(wǎng)的攻擊。確保所有互聯(lián)網(wǎng)出口流量都經(jīng)過統(tǒng)一架設(shè)的出口網(wǎng)關(guān)，通過出口網(wǎng)關(guān)過濾不安全的網(wǎng)絡(luò)訪問，保障園區(qū)網(wǎng)絡(luò)的安全。還能提供Web訪問監(jiān)控功能，記錄員工的Web網(wǎng)站訪問信息，上報(bào)服務(wù)器進(jìn)行統(tǒng)一管理和審計(jì)。通過這樣的手段，一方面可以管理員工的上網(wǎng)行為，上班時(shí)間屏蔽一些與工作無關(guān)的網(wǎng)站;另一方面，提供審計(jì)和責(zé)任追溯的途徑。

2.4 MDM管理策略

為確保園區(qū)內(nèi)員工移動(dòng)設(shè)備上的數(shù)據(jù)合規(guī)，需要借助MDM管理策略，使IT管理員可以更加清楚地了解終端設(shè)備狀態(tài)，根據(jù)終端設(shè)備符合公司策略的情況，控制這些設(shè)備對公司業(yè)務(wù)的訪問;可以實(shí)現(xiàn)要求注冊、遠(yuǎn)程鎖屏、禁止越獄、文件加密、遠(yuǎn)程定位及遠(yuǎn)程數(shù)據(jù)查出等，并能遠(yuǎn)程卸載非法軟件、遠(yuǎn)程擦除丟失或被盜移動(dòng)設(shè)備上的數(shù)據(jù);還可以利用桌面虛擬化技術(shù)，數(shù)據(jù)的編輯和保存，都在數(shù)據(jù)中心的云端進(jìn)行，終端只是顯示，以此加強(qiáng)數(shù)據(jù)安全性。

3 有線無線融合的網(wǎng)絡(luò)

在園區(qū)網(wǎng)部署B(yǎng)YOD，需要強(qiáng)大的網(wǎng)絡(luò)做支撐。大量智能終端進(jìn)入園區(qū)網(wǎng)絡(luò)，引起接入流量增加，VoIP、虛擬桌面、視頻會(huì)議應(yīng)用的逐漸普及，要求園區(qū)的核心網(wǎng)絡(luò)擁有大容量轉(zhuǎn)發(fā)的能力、穩(wěn)定的性能。千兆接入、萬兆匯聚、40GE核心將是建網(wǎng)標(biāo)準(zhǔn)，網(wǎng)絡(luò)核心需要具備更高轉(zhuǎn)發(fā)能力，匯聚節(jié)點(diǎn)需要更智能以接受策略頻繁變更，接入則需要更輕量和自動(dòng)化。同時(shí)，網(wǎng)絡(luò)資源不應(yīng)再受地域和業(yè)務(wù)形態(tài)限制，網(wǎng)絡(luò)會(huì)協(xié)同融合全網(wǎng)安全設(shè)備，適應(yīng)BYOD移動(dòng)化趨勢下的全面安全管理。

網(wǎng)絡(luò)資源全面虛擬化，有線、無線網(wǎng)絡(luò)向深度融合演進(jìn)，比如從設(shè)備層面實(shí)現(xiàn)融合AC處理和以太交換為一體，把AP當(dāng)成交換機(jī)的一個(gè)端口，統(tǒng)一網(wǎng)管、發(fā)現(xiàn)、配置等，通過這些方式大幅度降低管理的復(fù)雜度，讓網(wǎng)絡(luò)敏捷地為業(yè)務(wù)服務(wù)。

BYOD帶來的可移動(dòng)性流量往往在小范圍內(nèi)密集接入，所以無線接入網(wǎng)絡(luò)需要選擇全覆蓋、高速、高密的方案，比如支持基于終端自動(dòng)逐包控制發(fā)送功率、限制低速率用戶接入、提供5 GHz/2.4 GHz雙頻智能混合接入，從而減少高密度時(shí)同頻用戶終端干擾，提高可用帶寬。由此可見，有線無線融合的網(wǎng)絡(luò)是BYOD的基礎(chǔ)。

4 結(jié)束語

BYOD雖然成為一種趨勢，但企業(yè)在考慮融合BYOD的過程中，還要考慮網(wǎng)絡(luò)、安全、策略和管理等多個(gè)方面。訪問控制、網(wǎng)絡(luò)安全加固、行為監(jiān)控、MDM管理等形成統(tǒng)一網(wǎng)絡(luò)安全策略，能很好地對網(wǎng)絡(luò)進(jìn)行安全防護(hù)?，F(xiàn)在的網(wǎng)絡(luò)正從靜態(tài)走向動(dòng)態(tài)，不僅要融合有線、無線網(wǎng)絡(luò)，還要重視安全等問題，才有利企業(yè)內(nèi)BYOD的應(yīng)用，推動(dòng)移動(dòng)辦公的發(fā)展?，F(xiàn)在，銀行希望讓客戶經(jīng)理開展移動(dòng)營銷，醫(yī)院正在開展無線醫(yī)療，零售企業(yè)希望提供針對移動(dòng)終端推送精準(zhǔn)廣告和室內(nèi)導(dǎo)航的增值服務(wù)，大型企業(yè)推行無邊界移動(dòng)辦公，這些企業(yè)為將來部署B(yǎng)YOD提供了成功經(jīng)驗(yàn)。目前，有些部門已經(jīng)開始嘗試為移動(dòng)終端設(shè)備開發(fā)鐵路應(yīng)用，一些員工可以率先體驗(yàn)BYOD，也為鐵路信息化建設(shè)提供新的思路。

［1］ 王雪楊.優(yōu)化IT基礎(chǔ)架構(gòu)解決BYOD對網(wǎng)絡(luò)的挑戰(zhàn)［J］.中國 IT新媒體，2013(08).

［2］ 閆志坤.百家爭鳴BYOD解決方案大練兵.IT168 2013(02).

［3］ 佚名.談?wù)勅绾螛?gòu)建泛BYOD融合網(wǎng)絡(luò)［J］.中關(guān)村在線，2013(12).

［4］ 吳偉.BYOD網(wǎng)絡(luò)部署，情景感知不可缺［J］.51CTO.com，2013(10).