1 BYOD時代的到來

隨著通信技術(shù)和移動互聯(lián)網(wǎng)的高速發(fā)展，移動終端與移動應(yīng)用已經(jīng)深入到政府、企事業(yè)單位的日常工作之中，越來越多的員工開始使用移動終端來處理工作，由此帶來的是辦公的便利性和企業(yè)辦公效率的提高。

BYOD是指帶自己的終端上班，終端包括個人電腦、智能手機、PAD等移動終端設(shè)備。據(jù)Gartner最新報告預(yù)測，2016年將有38%的企業(yè)停止提供企業(yè)設(shè)備給員工，全球大約一半的企業(yè)將在2017年之前啟用BYOD計劃并且不再向員工提供計算設(shè)備。最終只有15%的企業(yè)將永遠不會遷移到BYOD模式。我們已進入了BYOD的時代，這種趨勢已不可逆轉(zhuǎn)。

2 BYOD時代的信息安全威脅

2.1 移動智能終端的安全威脅

由于移動智能終端本身的開放性、靈活性，以及移動設(shè)備的種類繁多、操作系統(tǒng)多樣化、應(yīng)用移動化，這些都會對信息安全造成極大的威脅。近年來，隨著移動互聯(lián)網(wǎng)的發(fā)展和利益的驅(qū)動，針對移動智能終端的病毒和木馬也層出不窮，攻擊的方式也不斷更新，令人防不勝防。比如惡意軟件可以在用戶不知情的情況下，獲取用戶信息、讀取和刪除用戶的數(shù)據(jù)等。同時，由于移動終端是隨身攜帶的，從而存在丟失、被盜的風(fēng)險，隨之存放在移動終端內(nèi)的用戶資料、企業(yè)的內(nèi)部數(shù)據(jù)就很有可能泄露，造成不可估量的損失。

2.2 無線網(wǎng)絡(luò)接入的安全威脅

在有線網(wǎng)絡(luò)的架構(gòu)下，電腦通過有線網(wǎng)絡(luò)接入，它的位置基本上是固定的，IP地址、MAC地址可以與交換機的端口進行綁定，即便是筆記本電腦，因為同樣需要插網(wǎng)線，能夠接入的范圍也可以控制，有著明顯的網(wǎng)絡(luò)邊界，終端在網(wǎng)絡(luò)中是可控的。在BYOD時代，移動智能終端是采用無線的方式接入企業(yè)網(wǎng)絡(luò)，網(wǎng)絡(luò)的邊界變得模糊，若不加限制，可能會讓不明用戶接入到企業(yè)的網(wǎng)絡(luò)中，甚至是惡意攻擊者接入到內(nèi)部的網(wǎng)絡(luò)，那對內(nèi)部的信息安全的威脅也就可想而知了。

2.3 用戶角色的多樣化帶來的安全威脅

在固定有線網(wǎng)絡(luò)中，由于電腦相對固定，使用電腦的人員也相對固定，用戶角色管理比較簡單。而在 BYOD時代，隨著業(yè)務(wù)需求的增加，需要接入企業(yè)網(wǎng)絡(luò)的角色比以往明顯增加，以后未知的角色還會不斷增加；接入的場景又分有線、無線、內(nèi)網(wǎng)、外網(wǎng)等。對于這些不同的角色，企業(yè)能夠訪問的資源是不同的，需要不同的策略和認證方式。另外還需要考慮的時間、地點等其它因素。用戶角色的多樣化必然會增加了管理的復(fù)雜性，攻擊者可能利用其中的漏洞進行角色的轉(zhuǎn)換，從而提升自己的管理權(quán)限，進一步竊取企業(yè)內(nèi)部的數(shù)據(jù)。

2.4 常用的應(yīng)對策略

2.4.1 移動智能終端的安全保護

在 BYOD發(fā)展的初期，為了應(yīng)對安全威脅，首先嘗試用對待筆記本和固定電腦的辦法來解決移動安全問題。但是，在面對各類移動操作系統(tǒng)時，這種方法便存在許多不足。

現(xiàn)在，專門針對BYOD的MDM（移動設(shè)備管理）應(yīng)對策略逐漸被應(yīng)用于內(nèi)部的管理和安全防護中。MDM能提供完整的移動終端生命周期（從注冊、激活、使用、直至淘汰）各個環(huán)節(jié)的管理，能實現(xiàn)用戶及設(shè)備管理，配置管理，安全管理，資產(chǎn)管理等功能。當(dāng)設(shè)備丟失或被盜時，可以遠程鎖定設(shè)備、遠程擦除設(shè)備上的數(shù)據(jù)，從而達到最大程度地保護數(shù)據(jù)的目的。當(dāng)終端使用者違反安全策略時，能夠及時通知企業(yè)管理者，對違反者進行警示，嚴重的直接禁用其 BYOD 的功能，并清除相關(guān)數(shù)據(jù)。

2.4.2 安全認證與終端接入控制

身份管理是安全管理的重要組成部分。只有通過身份的認證，并根據(jù)認證的結(jié)果賦予相應(yīng)的權(quán)限，才能有效地劃分用戶的可操作的范圍和分配可讀取的數(shù)據(jù)。

為了安全，不是所有的移動終端都能參與BYOD，企業(yè)必須限制終端接入的類型、操作系統(tǒng)；另一方面，管理員通過掌握允許接入的終端的類型和操作系統(tǒng)等有關(guān)信息，才能對可能存在的安全風(fēng)險進行評估。比如：當(dāng)一名用戶需要使用自帶的移動終端接入企業(yè)內(nèi)部網(wǎng)絡(luò)時，無論是在什么場景接入，首先必須進行統(tǒng)一的安全認證，判斷用戶的身份。然后系統(tǒng)在獲取該移動終端的類型和操作系統(tǒng)等有關(guān)信息，才根據(jù)安全策略給予接入，賦予其相應(yīng)的訪問權(quán)限，同時記錄此次接入的全部信息，方便過后的審計。

2.4.3 數(shù)據(jù)的防泄漏與數(shù)據(jù)的安全加密

當(dāng)前，許多企業(yè)最核心的價值之一就是數(shù)據(jù)，攻擊者最終的目標(biāo)也是竊取企業(yè)的關(guān)鍵數(shù)據(jù)。因此，數(shù)據(jù)的安全是 BYOD時代必須重點解決的問題。

首先，要將個人的數(shù)據(jù)與企業(yè)的數(shù)據(jù)進行充分隔離。企業(yè)單位應(yīng)準(zhǔn)確定義出自己需要保護的數(shù)據(jù)類型，個人的移動終端需要訪問這些數(shù)據(jù)時，必須安裝 BYOD軟件，將企業(yè)的數(shù)據(jù)進行集中存放，使個人與企業(yè)的數(shù)據(jù)相互之間處于一個相對隔離的環(huán)境，防止數(shù)據(jù)的泄漏。其次，對企業(yè)數(shù)據(jù)進行嚴格的控制，規(guī)定員工必須服從企業(yè)的策略，有責(zé)任保護企業(yè)數(shù)據(jù)安全，員工在使用BYOD軟件應(yīng)當(dāng)簽署保密協(xié)議。

同時，由于移動終端是通過無線網(wǎng)絡(luò)進行通信的，因此，保證數(shù)據(jù)的安全存儲與傳輸顯得尤為重要。數(shù)據(jù)不僅在存儲時要加密，而且在傳輸?shù)倪^程中要對數(shù)據(jù)流進行加密。企業(yè)自主開發(fā)的APP應(yīng)用應(yīng)該減少數(shù)據(jù)的本地存儲，盡量使用遠程讀取的方法，不在終端上存儲，從而降低數(shù)據(jù)泄漏的風(fēng)險。

3 進一步加強DYOD安全防護的幾點思考

3.1 解決BYOD安全與效率的問題

為了應(yīng)對 BYOD的安全風(fēng)險，有些企業(yè)規(guī)定不得在個人移動終端上運行敏感的應(yīng)用，不允許移動接入組織內(nèi)網(wǎng)等，這樣雖然能提高安全等級。但過于嚴格的安全措施卻會損害員工的積極性。因此，制定安全策略時不應(yīng)搞一刀切，應(yīng)根據(jù)員工訪問的權(quán)限、接入的場景分配安全策略，尋找自由與安全的平衡點。首先，不強制訪問員工的個人數(shù)據(jù)，保護個人的私隱。只有當(dāng)員工的移動終端接入內(nèi)部網(wǎng)絡(luò)時，才根據(jù)其權(quán)限在安全策略的控制下訪問已授權(quán)的數(shù)據(jù)，同時，在移動終端上設(shè)置的“安全集裝箱”，數(shù)據(jù)必須運行其中，使企業(yè)數(shù)據(jù)與個人數(shù)據(jù)是相互隔離的，在最大程度上確保了安全性與效率的統(tǒng)一。

采用虛擬化技術(shù)。系統(tǒng)和數(shù)據(jù)都存儲在后臺服務(wù)器端，前端設(shè)備與虛擬機之間傳輸?shù)闹皇擎I盤、鼠標(biāo)動作以及顯示界面的刷新部分，而非完整的數(shù)據(jù)包。由于終端只顯示數(shù)據(jù)，沒有存儲數(shù)據(jù)，因此也就不存在數(shù)據(jù)丟失或泄露的問題，也不會對個人的數(shù)據(jù)產(chǎn)生影響，在保證內(nèi)部數(shù)據(jù)的安全性的同時不影響個人的使用設(shè)備的自由。

3.2 建立綜合防護體系

針對 BYOD安全應(yīng)對措施仍比較分散，有的注重移動終端的安全防護，有的強調(diào)無線網(wǎng)絡(luò)的安全，各自為戰(zhàn)，缺乏統(tǒng)一的安全防護規(guī)劃；還有的雖然安全防護的策略很多，但是用戶的操作非常復(fù)雜，降低了工作的效率同時，也存在著安全的隱患。因此，必須建立綜合的防護體系，統(tǒng)一接入、統(tǒng)一策略、統(tǒng)一管理，才能實現(xiàn)終端到服務(wù)端的立體防護。

首先，通過統(tǒng)一的移動安全客戶端軟件實現(xiàn)統(tǒng)一接入。該軟件是用戶和網(wǎng)絡(luò)、應(yīng)用的唯一交互界面，是一個安全的移動辦公工作臺，集成了“安全集裝箱”、安全瀏覽器、虛擬桌面等應(yīng)用，既可滿足移動辦公的通用需求，又能保障企業(yè)員工安全、高效地接入和訪問企業(yè)內(nèi)網(wǎng)。同時，使用統(tǒng)一的基于環(huán)境感知的網(wǎng)絡(luò)接入控制。接入終端是使用什么設(shè)備（What device）、什么身份（Who）、在哪里（Where）、什么時間（When）和采取什么方式接入（How）等信息都能被環(huán)境感知，從而實現(xiàn)細粒度訪問控制策略。IT部門可通過統(tǒng)一策略管理平臺，基于一個用戶角色，一次性配置多套策略模版，統(tǒng)一分發(fā)到移動客戶端，實現(xiàn)精確的網(wǎng)絡(luò)訪問控制。統(tǒng)一策略管理不僅保證了單一策略來源，安全策略在全網(wǎng)范圍還能保持一致性，確保企業(yè)安全策略統(tǒng)一實現(xiàn)。

3.3 軟件定義網(wǎng)絡(luò)保護BYOD安全

基于 OpenF1ow 的 SDN（軟件定義網(wǎng)絡(luò)）技術(shù)是將網(wǎng)絡(luò)的數(shù)據(jù)平面和控制平面分離開，通過部署中央控制器來實現(xiàn)對網(wǎng)絡(luò)的管控，為未來網(wǎng)絡(luò)的發(fā)展提供了一種新的解決思路。

在SDN網(wǎng)絡(luò)安全架構(gòu)中，在很多細化的BYOD場景中，安全策略不必強求統(tǒng)一，可以基于用戶的屬性分配不同的策略，如不同部門的員工有規(guī)定的訪問資源區(qū)域；實習(xí)員工限于訪問某服務(wù)器上的特定服務(wù)，而不能訪問該服務(wù)器上的其他服務(wù)，在一些高安全級別的場景中，還需要將這些端口級別的服務(wù)訪問數(shù)據(jù)動態(tài)有序地牽引到多個安全防護設(shè)備中等。同時部署簡單，即使是復(fù)雜的網(wǎng)絡(luò)控制，也只需一個集中的安全控制平臺、一個SDN 控制器和一個有足夠多端口的 SDN 交換機即可實現(xiàn)。而且是可擴展的，可根據(jù)所需接入的區(qū)域，按需增加無線路由器，也可根據(jù)接入規(guī)模增加 SDN 交換機。實現(xiàn) SDN 環(huán)境的無線接入后，可以根據(jù)接入用戶的身份等屬性，做更細粒度的安全檢查，以適用于 SDN 環(huán)境的訪問控制機制。

軟件定義網(wǎng)絡(luò)是解決移動終端訪問異構(gòu)網(wǎng)絡(luò)資源的一種有效的方法，它能將訪問策略與具體控制分離，動態(tài)根據(jù)訪問主體和被訪問客體決定訪問策略，以及按需編排訪問控制設(shè)備，從而為企業(yè)提供了新的安全保障措施。

在 BYOD時代，移動安全和管理本質(zhì)上要解決的問題可以概括為：身份和設(shè)備可識別、關(guān)鍵數(shù)據(jù)不泄密、設(shè)備可管理，最終目標(biāo)是讓攻擊者進不來，看不到、拿不走數(shù)據(jù)，最后逃不掉。同時，移動安全問題又是一個動態(tài)發(fā)展的過程，這需要在今后不斷地進行研究，才能制定出適合自己本單位的企業(yè)安全應(yīng)對策略。