BYOD時代的移動信息安全

摘 要：目前，企業IT最重要的方向之一是BYOD，它在生產率和節約成本方面有巨大潛力利益，同時BYOD的興起帶來各種各樣的安全以及后勤管理阻礙。BYOD模式對于提升企業工作效率和滿足員工個性化需求方面具有巨大的優勢，但也不可避免地帶來新的安全威脅。本文討論BYOD的趨勢對于IT來說威脅，IT管理員應該注意的問題。

關鍵詞：BYOD，信息安全，終端設備

中圖分類號：TN929 文獻標識碼：A 文章編號：1674-7712 （2013） 20-0000-01

一、什么是BYOD

BYOD（Bring Your Own Device）：指攜帶自己的設備辦公，這些設備包括個人電腦，手機，平板等多種移動智能的終端設備。BYOD近年來一直呈線性方式在增長。它向人們展現了一個更現代化的辦公場景。個人移動設備已經滲透到了世界各地的企業，這使得企業員工能夠在任何地方工作。可以這樣說，現在BYOD已經成為現實，并將持續一段時間。BYOD的對立面是數據保護，需要確保員工在攜帶自己的設備到工作場所辦公時，企業的機密數據已經得到了充分的保護，同時仍然是易于訪問的。而要確保企業的信息和記錄符合相關的隱私法律以及行業內和地區性的某些具體的隱私條例，是數據保護的一個重要組成部分，而這也是常常在BYOD策略中未被提及的。傳統的企業信息安全范式必須被打破，企業要從實際的移動業務系統建設需要出發，構建一個技術平臺，從數據、應用、網絡和設備等多個層面來整體管理BYOD時代的信息安全。

二、BYOD的安全隱患

當BYOD安全性和便捷性不能兼容時，我們該如何應對？ 目前看來，BYOD已經勢不可擋，那么自帶設備辦公的安全性在一段時間內都會是一個非常重要的挑戰。BYOD環境存在較多安全隱患，如：（1）它通過移動網絡鏈路接入，處在一個開放的網絡環境之中，而傳統重要的信息系統都是要通過企業內網接入；（2）BYOD使用的環境與傳統信息化模式是不一樣，傳統的大部分時間都是在固定的辦公場所，因此，設備丟失可能性非常小，而BYOD通常使用的移動智能終端，是更加容易丟失；（3）BYOD使用的個人設備上往往同時安裝很多個人的APP，而個人APP的惡意軟件太多了，這必將企業數據置于安全隱患之中。

可以看到BYOD對于業務的安全威脅是很大，根據 Gartner 預測到2017年有半數的公司將會要求員工使用他們自有設備進行辦公。這實際上并不利于可持續發展，同時還會迫使員工繞開企業的政策和規則工作。要保證企業實施安全的BYOD策略實現安全的移動文件訪問和協作。我們要尋求出路。

三、整體規劃構建BYOD安全平臺

移動安全有和企業的整個移動信息化分不開，因此企業首先需要明確哪些業務將要放在移動信息化的范疇之中，先把業務整理清楚，然后不管在移動安全，還是整個移動APP應用平臺上，都要以平臺的方式來建設。移動安全有和企業的整個移動信息化分不開，因此企業首先需要明確哪些業務將要放在移動信息化的范疇之中，先把業務整理清楚，然后不管在移動安全，還是整個移動APP應用平臺上，都要以平臺的方式來建設。首先要有移動應用管理，即MAM（Mobile Application Management）。企業級的移動應用發布，如果通過公共平臺發布，很容易中木馬等病毒威脅，員工要獲取可信可控的APP，可以通過結合企業內部App Store的MAM技術。其次是鏈路與網絡安全。除了新技術，包括傳統的防火墻、VPN等方式也要升級。再者，在數據安全方面，包括數據在本地落地要有必要的保護，防止木馬，防止第三人拿到設備看到企業的數據。最后，輔助性的終端管理，即MDM。如果有些企業可能需要禁止不安全的WIFI，可以做到當企業級應用開始運行的時候，才會啟用該策略，當企業級應用關閉時，就是個人設備作為滿足個人的需求使用，無須干涉。綜上可以這樣做：（1）創建安全策略用于移動設備。這個安全策略需要圍繞著設備，數據和文件三個方面展開。可以采用一些簡單而又有效的方法。使用設備密碼來是保護數據安全?？梢圆捎冒踩腣PN，密碼鎖，活動目錄監控或者端點安全，適當制定移動安全策略并且付諸實施。（2）執行管理政策。其實目前包部分企業都有自己的安全策略，根有數據顯示，41%的企業都擁有一套BYOD政策。

分析比例圖，可以看出，并不是每個人都使用的是安全BYOD，80%的企業并沒有對員工進行過BYOD隱私風險培訓， 要讓員工了解BYOD所涉及的隱私風險，企業的數據可以稍微安全些，企業的管理更加得心應手。此外對目前不好做的，不確定的策略，先觀測與分析，比如監測郵件服務的訪問日志，判斷有多少移動設備訪問郵件系統，這些設備的變化情況如何，根據這些數據進一步決策。

四、總結

個人移動設備已經滲透到了世界各地的企業，這使得企業員工能夠在任何地方工作。接受BOYD才能企業前進，但企業在接受的同時必須制定計劃解決內部問題。評估企業內的法規限制，知道安全風險，制定強健的BYOD策略，減輕風險，從物理上限制特定的設備來使用一些特定功能，配置移動安全功能。選擇符合安全法規的產品，以確保安全并避免投資浪費，以保護移動設備的安全并在一個更廣泛的個人用戶終端安全平臺獲得更多的安全保障。

參考文獻：

[1]郭紹青，石大維.信息技術支持的校本培訓研究[J].現代教育技術，2011，04.

[2]Buyya，Rajkumar.Chee Shin Yeo， Srikumar Venugopal. Market-Oriented Cloud Computing：Vision，Hype，and Reality for Delivering IT Services as Computing Utilities（PDF）.Department of Computer Science and Software Engineering，The University of Melbourne，Australia.9.2008，07，31.

[3]韓桂云.淺談IT環境下企業會計信息系統內部控制[J].現代商業，2009，32.

[基金項目]吉林省教育廳“十二五”科學技術研究基金資助項目（吉教科合字[2012]第371號）。