陳姣 胡彩云

【摘要】 隨著我國(guó)移動(dòng)4G網(wǎng)絡(luò)的逐步推進(jìn)，BYOD成為未來企業(yè)發(fā)展的新趨勢(shì)。在BYOD為我們帶來便利的同時(shí)，也對(duì)企業(yè)信息安全提出了嚴(yán)峻挑戰(zhàn)。本文針對(duì)BYOD帶來的安全隱患進(jìn)行了深入分析，提出了南方電網(wǎng)公司BYOD管理解決方案。

【關(guān)鍵詞】 BYOD（Bring Your Own Device） MDM（Mobile Device Management） 安全接入平臺(tái) 管理

引言

4G加速進(jìn)入生活，BYOD如火如荼。調(diào)查數(shù)據(jù)顯示，當(dāng)前 70%的受訪企業(yè)都會(huì)采用某種形式的BYOD計(jì)劃，62%的員工日常工作中使用智能手機(jī)，56%的員工使用平板電腦。風(fēng)靡全球的BYOD浪潮洶涌來襲，將對(duì)未來移動(dòng)安全發(fā)展趨勢(shì)帶來怎樣的影響？

概述

移動(dòng)設(shè)備作為一種個(gè)人消費(fèi)，已成為人們生活中不可或缺的產(chǎn)品。越來越多的用戶希望自身攜帶的終端設(shè)備可以訪問企業(yè)業(yè)務(wù)應(yīng)用及相關(guān)內(nèi)容，BYOD （Bring Your Own Device）應(yīng)運(yùn)而生。

BYOD 帶來了全新的辦公體驗(yàn)，如工作方式靈活，不受時(shí)間地點(diǎn)限制，辦公效率提升，節(jié)省企業(yè)成本?？偟膩碚f，BYOD 已成為企業(yè)發(fā)展的必然趨勢(shì)。與此同時(shí)，移動(dòng)設(shè)備易攜帶、易丟失、個(gè)人消費(fèi)應(yīng)用和企業(yè)應(yīng)用混用等特點(diǎn)，導(dǎo)致IT支持部門非常擔(dān)心由此帶來的安全和支持風(fēng)險(xiǎn)。

因此，各大廠商不失時(shí)機(jī)地推出各自的MDM、EMM或者 MAM 產(chǎn)品。例如，早在多年前，MacAfee就推出了 MacAfee MobileSecurity （MMS）以及面向企業(yè)的 MacAfee Enterpirse Mobility Management （EMM）移動(dòng)終端管理平臺(tái)， 以幫助個(gè)人及其所在企業(yè)全面應(yīng)對(duì)移動(dòng)安全威脅。賽門鐵克則推出了 Symantec Mobile Security for Android 和 Symantec Mobile Management for Configuration Manager，來作為整體的移動(dòng)安全解決方案，并以此應(yīng)對(duì)來自企業(yè) BYOD 的威脅。 此外，華為的 AnyOffice，360 的“天機(jī)”也都是同類產(chǎn)品。

南方電網(wǎng)公司為解決移動(dòng)設(shè)備在企業(yè)辦公中存在的安全問題，早在 2010 年就實(shí)施了自己的移動(dòng)安全接入平臺(tái)，并建立了《南方電網(wǎng)遠(yuǎn)程移動(dòng)安全接入平臺(tái)技術(shù)規(guī)范》，對(duì)企業(yè)如何進(jìn)行移動(dòng)信息化以及移動(dòng)安全方面做出了積極探索。

一、BYOD 對(duì)企業(yè) IT 提出挑戰(zhàn)

1.1挑戰(zhàn)一：安全

BYOD 在企業(yè)進(jìn)行大規(guī)模應(yīng)用的最大限制，就是移動(dòng)終端的安全問題。這些問題包括：

1） 數(shù)據(jù)安全

智能終端易于攜帶、容易丟失，會(huì)導(dǎo)致敏感商業(yè)信息的泄漏，對(duì)數(shù)據(jù)安全構(gòu)成極大威脅，給企業(yè)帶來法規(guī)遵從的風(fēng)險(xiǎn)。此外， 移動(dòng)終端易被他人非授權(quán)使用，產(chǎn)生拷貝、下載或打印企業(yè)內(nèi)部敏感資料的風(fēng)險(xiǎn)。

2） 網(wǎng)絡(luò)安全

由于自攜帶設(shè)備的特殊性，智能終端經(jīng)常在不安全網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)之間來回切換，因此更容易遭受木馬或病毒的侵害，從而將病毒或木馬自動(dòng)傳播至企業(yè)網(wǎng)絡(luò)，對(duì)內(nèi)部網(wǎng)絡(luò)安全構(gòu)成極大威脅。

3） 應(yīng)用安全

BYOD 設(shè)備來自于員工， 而非企業(yè)。員工可以任意下載和安裝消費(fèi)類應(yīng)用，這極大地降低系統(tǒng)的可靠性，引入了安全風(fēng)險(xiǎn)，造成企業(yè)數(shù)據(jù)丟失或設(shè)備功能失效。

1.2挑戰(zhàn)二：管理

當(dāng)前數(shù)據(jù)顯示，BYOD主要涉及智能手機(jī)和平板電腦， 但這種狀況在2013年發(fā)生了改變。2013年，BYOD 設(shè)備不僅僅包括“后PC設(shè)備”，還包括了個(gè)人擁有的電腦。數(shù)量、種類繁多的BYOD設(shè)備，加上“隨時(shí)、隨地、隨網(wǎng)”的使用環(huán)境，是 IT 管理工作的一個(gè)巨大挑戰(zhàn)。

為了使移動(dòng)設(shè)備安全地訪問企業(yè)網(wǎng)絡(luò)的內(nèi)部資源，能夠跨物理、虛擬、移動(dòng)和云環(huán)境自由地共享數(shù)據(jù)，IT管理員需要考慮，如何統(tǒng)一管控眾多非統(tǒng)一標(biāo)準(zhǔn)、分散各處的移動(dòng)終端，避免企業(yè)機(jī)密數(shù)據(jù)外泄？包括為每種安全問題考慮和購(gòu)買最新的工具，例如 MDM（移動(dòng)設(shè)備管理）、系統(tǒng)漏洞管理、數(shù)據(jù)加密保護(hù)等安全解決方案，這無疑大大增加了 IT 管理工作的復(fù)雜性。

1.3挑戰(zhàn)三：隱私

尊重和保護(hù)員工隱私是每個(gè)企業(yè)必須遵循的人性化管理原則之一。但是長(zhǎng)久以來， 用戶隱私在我國(guó)，尤其是移動(dòng)領(lǐng)域中被竊取和濫用的現(xiàn)象非常突出。移動(dòng)設(shè)備給企業(yè)帶來很多優(yōu)勢(shì)，但這些設(shè)備的性質(zhì)也使其更容易連接到個(gè)人的真實(shí)身份和數(shù)據(jù)。

一方面，APP廠商熱衷于收集用戶隱私數(shù)據(jù)。所謂的“大數(shù)據(jù)帶來創(chuàng)新商業(yè)模式”，正是建立在實(shí)時(shí)用戶分析的基礎(chǔ)上，這將使移動(dòng)數(shù)據(jù)收集變得越來越普遍， 帶來非常嚴(yán)重的隱私問題。根據(jù)安管云開放平臺(tái)檢測(cè)結(jié)果顯示，目前28.3%的應(yīng)用軟件含有廣告，平均每個(gè)廣告軟件被植入2.66個(gè)廣告平臺(tái)的插件，而每個(gè)含廣告軟件大約有2種廣告樣式。廣告條是目前移動(dòng)端主要的廣告樣式，占比92.6%?；旧厦織l廣告都能連接到外部網(wǎng)絡(luò)，這些廣告同時(shí)可能獲取用戶的位置信息和讀取用戶的手機(jī)號(hào)碼。

一方面，相關(guān)監(jiān)管機(jī)構(gòu)和法律法規(guī)的缺失，進(jìn)一步加劇了這種現(xiàn)象的發(fā)生。在可以預(yù)料的相當(dāng)一段時(shí)間內(nèi)，這種情況不會(huì)得到根本性的改善。

二、南方電網(wǎng)公司的BYOD 解決方案——移動(dòng)安全接入平臺(tái)

2.1網(wǎng)絡(luò)接入

由于 WiFi 聯(lián)盟認(rèn)定的無線局域網(wǎng)安全機(jī)制具有天然漏洞，用戶身份憑證易被盜取和濫用，南方電網(wǎng)移動(dòng)安全接入平臺(tái)禁止移動(dòng)終端從辦公網(wǎng)絡(luò)（WiFi）進(jìn)行接入，轉(zhuǎn)而通過APN 或者 SSL APN 進(jìn)行接入。

1） APN 接入

APN，全稱Access Point Name（接入點(diǎn)名稱），是手機(jī)通過運(yùn)營(yíng)商接入互聯(lián)網(wǎng)時(shí)必須設(shè)置的一個(gè)名稱。這個(gè)名稱根據(jù)運(yùn)營(yíng)商和網(wǎng)絡(luò)類型的不同而不同，比如中國(guó)移動(dòng)的cmnet/ cmwap，中國(guó)聯(lián)通的uninet/uniwap/3gnet/3gwap，中國(guó)電信的ctnet/ctwap。在日常生活中，我們通過在手機(jī)上設(shè)置這個(gè)接入點(diǎn)名稱，就能使手機(jī)瀏覽網(wǎng)頁(yè)并訪問互聯(lián)網(wǎng)。

在企業(yè)移動(dòng)應(yīng)用中，移動(dòng)客戶端當(dāng)然也可以通過互聯(lián)網(wǎng)來訪問移動(dòng)應(yīng)用。但是，通過互聯(lián)網(wǎng)來訪問位于企業(yè)內(nèi)部的企業(yè)數(shù)據(jù)和服務(wù)，相當(dāng)于把整個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)暴露在公網(wǎng)中，這種做法并不安全。而使用“企業(yè)APN”則不同。企業(yè)APN也叫“專線APN”，是APN中的一種，不同的是，通過“企業(yè)APN”，移動(dòng)終端接入的是企業(yè)內(nèi)網(wǎng)，而不是互聯(lián)網(wǎng)。這樣，就把企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離開來，滿足了企業(yè)在網(wǎng)絡(luò)使用上的安全要求。

在移動(dòng)安全接入平臺(tái)中，移動(dòng)終端被強(qiáng)制要求通過企業(yè)APN 來訪問系統(tǒng)。終端用戶需要向相關(guān)管理人員/部門提交APN 入網(wǎng)申請(qǐng)才可獲得網(wǎng)絡(luò)訪問權(quán)限。通過平臺(tái)內(nèi)置的入網(wǎng)審核功能，移動(dòng)終端對(duì)企業(yè)內(nèi)網(wǎng)的訪問是完全可控的。

2） SSL VPN

SSL-VPN 對(duì)比傳統(tǒng) VPN 而言是一種輕量級(jí)的VPN。在客戶端和服務(wù)端各設(shè)置一個(gè)代理服務(wù)。由代理服務(wù)負(fù)責(zé)建立安全套接層（SSL）通道，然后將應(yīng)用需要交互的數(shù)據(jù)通過加密 SSL 通道發(fā)送到對(duì)端，對(duì)端解密后交還給對(duì)應(yīng)的服務(wù)或終端。服務(wù)端的 SSL-VPN 由于需要面向大量終端的請(qǐng)求，一般使用獨(dú)立設(shè)備實(shí)現(xiàn)， 而終端側(cè)一般將代理打包進(jìn)應(yīng)用，作為一個(gè)獨(dú)立的進(jìn)程，接收應(yīng)用利用應(yīng)用編程接口（API）發(fā)來的數(shù)據(jù)包，通過安全套接層管道發(fā)送給 SSL-VPN 網(wǎng)關(guān)設(shè)備。

為了保證數(shù)字內(nèi)容的真實(shí)性不被篡改，需要在內(nèi)容后附帶一個(gè)加密指紋。加密指紋是使用密鑰，對(duì)內(nèi)容進(jìn)行校驗(yàn)后用私鑰加密，接收方使用公鑰驗(yàn)證內(nèi)容是否與簽名符合。

使用證書進(jìn)行數(shù)字內(nèi)容加密。與簽名流程類似，但目的不一樣，簽名是為了保證內(nèi)容不被篡改，加密是為了保證只有擁有合法密鑰的用戶才能夠閱讀。因此加密使用的是密鑰對(duì)中的公鑰對(duì)內(nèi)容進(jìn)行加密處理， 生成密文后，只有通過合適的私鑰才能夠順利解開密文。

2.2物理設(shè)備認(rèn)證

UDID，是用于區(qū)分設(shè)備的 GUID 唯一編碼。由于操作系統(tǒng)廠商的限制，獲取設(shè)備物理編碼（IMEI）變得不可能。因此移動(dòng)安全接入平臺(tái)根據(jù)一定的編碼規(guī)則及設(shè)備的物理特性為每一臺(tái)設(shè)備生成一個(gè)唯一的 UDID 碼，用于識(shí)別移動(dòng)終端。同時(shí)將該編碼和特定用戶進(jìn)行綁定。

移動(dòng)安全平臺(tái)支持對(duì)入網(wǎng)設(shè)備的 MDN（手機(jī)號(hào)） 和UDID 進(jìn)行綁定。針對(duì)首次入網(wǎng)的設(shè)備，系統(tǒng)將要求用戶對(duì)該設(shè)備進(jìn)行綁定。綁定是基于向該用戶發(fā)送認(rèn)證碼短信來進(jìn)行的，而用戶接收短信的手機(jī)號(hào)信息來自于平臺(tái)登錄數(shù)據(jù)庫(kù)，而短信的發(fā)送完全是由企業(yè)管理人員手動(dòng)操作的。只有經(jīng)過設(shè)備綁定的用戶，才會(huì)被系統(tǒng)準(zhǔn)入。一旦設(shè)備綁定完成，該用戶的注冊(cè)賬戶、設(shè)備 UDID 和 MDN將綁定到一起，任一信息不符用戶都將無法登入平臺(tái)。

此外，平臺(tái)可對(duì)終端設(shè)備進(jìn)行管理，如用戶的移動(dòng)終端不慎遺失，管理人員可通過管理后臺(tái)的禁止該設(shè)備的登錄。

2.3動(dòng)態(tài)口令

用戶在登錄平臺(tái)時(shí)需要輸入動(dòng)態(tài)口令。動(dòng)態(tài)口靈每次都會(huì)隨機(jī)生成，客戶端不會(huì)進(jìn)行緩存，并以短信的方式發(fā)送到用戶的手機(jī)。

動(dòng)態(tài)口令只在指定時(shí)間內(nèi)有效，一旦失效只能再次請(qǐng)求新的動(dòng)態(tài)口令。平臺(tái)管理人員可以指定動(dòng)態(tài)口令的有效時(shí)間，并隨時(shí)查詢動(dòng)態(tài)口令的生成情況及有效狀態(tài)。

2.4數(shù)據(jù)加密

對(duì)于在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，移動(dòng)安全接入平臺(tái)也提供了相應(yīng)的安全加密措施，包括客戶端與平臺(tái)之間的各種消息報(bào)文、交易信息和表單數(shù)據(jù)。對(duì)于這些高敏感數(shù)據(jù)，移動(dòng)接入平臺(tái)提供了一種“RSA 密鑰對(duì)+AES 256位高強(qiáng)度加密”的復(fù)合網(wǎng)絡(luò)傳輸加密機(jī)制。

RSA 和 AES 是屬于兩不同的加密算法：對(duì)稱加密和非對(duì)稱加密。顧名思義，對(duì)稱加密算法，即加密與解密用的是同一把秘鑰，例如：DES 和 AES；而非對(duì)稱加密算法，加密與解密用的是不同的秘鑰，例如 RSA。

顯然，非對(duì)稱加密比對(duì)稱加密有著更高的安全性。因?yàn)閷?duì)于對(duì)稱加密，由于加密與解密的秘鑰是同一把，通信的一方必須將秘鑰和密文都傳遞過去，對(duì)方才能解密。而非對(duì)稱加密則不然，只需傳遞密文與用于解密的公鑰，對(duì)方即可解密，用于加密的私鑰由己方保留不必傳遞給對(duì)方。RSA 算法的可靠性是基于數(shù)論中“大整數(shù)因式分解的難解性”。目前公認(rèn)的觀點(diǎn)認(rèn)為：只要鑰匙的長(zhǎng)度足夠長(zhǎng)，用 RSA 加密的信息永遠(yuǎn)不可能被解破。

當(dāng)然，由于非對(duì)稱加密對(duì) CPU 計(jì)算性能的依賴很大，在使用相同秘鑰的情況下，非對(duì)稱加密的運(yùn)算速度比對(duì)稱密碼也要慢許多。此外，非對(duì)稱加密長(zhǎng)度能夠加密的信息的長(zhǎng)度往往受限于密鑰長(zhǎng)度。以 RSA 算法為例，1024 比特長(zhǎng)度的密鑰僅可加密大約 116 字節(jié)的信息，而 2048 比特的密鑰僅可加密大約 245 字節(jié)的信息。

2.5終端管理

移動(dòng)安全平臺(tái)通過 MDM 進(jìn)行移動(dòng)終端的管理。包括：

1） 訪問控制

移動(dòng)設(shè)備本身的訪問控制不高，通常沒有安全保護(hù)（如使用簡(jiǎn)單的滑動(dòng)鎖）或僅有弱保護(hù)（如使用 9 點(diǎn)屏幕鎖）。同時(shí)， 移動(dòng)設(shè)備很容遺失或被盜。MDM 通過鎖屏、清除密碼、下發(fā)策略強(qiáng)制加強(qiáng)密碼強(qiáng)度等遠(yuǎn)程指令來操作設(shè)備的訪問控制。

2） 數(shù)據(jù)自毀

通過 MDM 的“遠(yuǎn)程擦除”操作，可以強(qiáng)制銷毀移動(dòng)設(shè)備上的所有用戶數(shù)據(jù)。防止用戶隱私或企業(yè)數(shù)據(jù)泄露。

3） 應(yīng)用程序管理

對(duì)于“托管”設(shè)備，MDM 可以檢查設(shè)備上的應(yīng)用安裝情況，存儲(chǔ)空間大小，操作系統(tǒng)版本以及是否越獄等狀態(tài)，一旦發(fā)現(xiàn)設(shè)備上安裝可疑程序，即可通過安裝在設(shè)備上的MDM 代理服務(wù)終止企業(yè)應(yīng)用程序運(yùn)行。

2.6企業(yè)應(yīng)用商店

南方電網(wǎng)移動(dòng)安全平臺(tái)內(nèi)置企業(yè)應(yīng)用商店，所有企業(yè)移動(dòng)應(yīng)用均在企業(yè)應(yīng)用商店內(nèi)進(jìn)行發(fā)布，由企業(yè)代替操作系統(tǒng)廠商對(duì)應(yīng)用進(jìn)行管理。

同時(shí)，對(duì)于企業(yè)應(yīng)用商店中的應(yīng)用，可通過 MDM 進(jìn)行企業(yè)應(yīng)用的無線部署（OTA）或直接推送至終端桌面。通過企業(yè)應(yīng)用商店這一有力工具，無疑將極大地簡(jiǎn)化應(yīng)用的安裝和升級(jí)步驟，改善用戶體驗(yàn)。

2.7 HTML5 應(yīng)用程序

根據(jù)相關(guān)統(tǒng)計(jì)，3 年來移動(dòng)設(shè)備在網(wǎng)頁(yè)流量上貢獻(xiàn)的比例一直在高速增長(zhǎng)?？梢灶A(yù)料，Web 的未來是屬于移動(dòng)設(shè)備的。

HTML 5 是 W3C 組織推薦的下一代 HTML 標(biāo)準(zhǔn)，目標(biāo)是取代1999年所制定的HTML 4.01和XHTML 1.0 標(biāo)準(zhǔn)。到目前為止，所有的移動(dòng)設(shè)備都搭載了支持 HTML5 的瀏覽器，無論是 IE、Safari、FireFox還是 Opera。

通過 HTML 5 網(wǎng)頁(yè)，企業(yè)用戶可以充分利用移動(dòng)終端的瀏覽器（如Safari或IE）和網(wǎng)絡(luò)連接能力，來訪問企業(yè)服務(wù)，并實(shí)現(xiàn)“一次開發(fā)，跨平臺(tái)共享”的目的。

無疑，HTML5應(yīng)用程序在開發(fā)和維護(hù)成本上有著得天獨(dú)厚的優(yōu)勢(shì)。南方電網(wǎng)移動(dòng)安全接入平臺(tái)具有直接駁接HTML5 應(yīng)用的能力。通過企業(yè)應(yīng)用商店，可以輕松發(fā)布HTML5 應(yīng)用到移動(dòng)終端。

三、結(jié)論

BYOD 必將成為下一輪企業(yè)發(fā)展的新趨勢(shì)。于此同時(shí)，企業(yè)必將在 IT 安全和管理方面遭遇新的挑戰(zhàn)。南方電網(wǎng)移動(dòng)安全接入平臺(tái)借助“APN/SSL VPN 接入”、“物理設(shè)備認(rèn)證”、“企業(yè)應(yīng)用商店”、“數(shù)據(jù)加密”、“終端設(shè)備管理（MDM）”等諸多技術(shù)手段，從多方面解決企業(yè)辦公移動(dòng)化所引發(fā)的數(shù)據(jù)安全、設(shè)備安全和應(yīng)用安全問題，值得肯定。

參 考 文 獻(xiàn)

[1]錢煜明.BYOD企業(yè)移動(dòng)設(shè)備管理技術(shù)[J].中興通訊技術(shù)，2013，9（6）.

[2]許麗萍.BYO來襲把握移動(dòng)安全四大趨勢(shì)[J].上海信息化，2013，（6）.

[3]孫強(qiáng)強(qiáng).BYOD 在電力企業(yè)中的研究與應(yīng)用[J].現(xiàn)代計(jì)算機(jī)，2013，（4）.

[4]佚名.安全——移動(dòng)應(yīng)用平臺(tái)之痛[J].互聯(lián)網(wǎng)周刊，2013，10 （5） .