可信計算技術(shù)為BYOD保駕護(hù)航

對企業(yè)來說，BYOD（自帶設(shè)備，Bring Your Own Device）已經(jīng)不再是個別的行為，而是一種慣例。盡管能帶來很多便利，但也要關(guān)注它對企業(yè)安全的影響。BYOD有何風(fēng)險，能給企業(yè)帶來哪些收益，采用BYOD時如何保證數(shù)據(jù)安全是每個企業(yè)都關(guān)心的問題。

企業(yè)要為員工提供最新、最先進(jìn)的技術(shù)以保持競爭力。新技術(shù)帶來了更加多樣的設(shè)備和數(shù)據(jù)訪問方式，成為傳統(tǒng)PC平臺之外的新選擇，蘋果CEO Tim Cook稱之為“后PC時代”。這種轉(zhuǎn)變催生了BYOD，并迅速流行開來。BYOD指的是不僅僅使用個人電腦，還包括智能手機、平板電腦、黑莓、超輕薄筆記本電腦等硬件和軟件以及服務(wù)進(jìn)行工作。

BYOD的技術(shù)也允許用戶使用非公司定制的軟件，這種效應(yīng)稱為BYOS（自帶軟件，Bring Your Own Software）。比如，員工可以使用免費的公共的云存儲服務(wù)作為大文檔協(xié)作和傳輸?shù)墓ぞ摺?/p>

教育研究機構(gòu)走在了BYOD應(yīng)用的前列。以伊利諾伊大學(xué)內(nèi)珀維爾校區(qū)為例，該校預(yù)計有17000臺便攜式電腦、平板電腦、PC、投影機、交互式白板、電子書、iPod等設(shè)備連接到學(xué)校的辦公大樓、主數(shù)據(jù)中心和備用數(shù)據(jù)中心。該校的BYOD項目采用了TCG（可信計算組，Trusted Computing Group）的相關(guān)標(biāo)準(zhǔn)，根據(jù)用戶的身份、設(shè)備配置和位置提供不同的網(wǎng)絡(luò)訪問功能，老師、學(xué)生和員工既可以使用個人的也可以使用學(xué)校的便攜式電腦和其他移動設(shè)備接入學(xué)校的無線局域網(wǎng)。

毫無疑問，BYOD能給員工和企業(yè)都帶來好處。員工可以按自己的喜好選擇設(shè)備，擁有更高的系統(tǒng)權(quán)限，只需攜帶一個設(shè)備就能同時滿足工作、生活、娛樂的需要，靈活性、移動性也更高。企業(yè)可以削減硬件采購的成本，減少開發(fā)、操作和維護(hù)支出，員工使用自己的設(shè)備更得心應(yīng)手因而能提高工作的效率，而且成功的BYOD項目能帶給員工更多的滿意感。然而，BYOD帶來的風(fēng)險也不容忽視。首當(dāng)其沖的就是安全風(fēng)險。員工使用自己的設(shè)備進(jìn)行工作意味著員工的設(shè)備要接入單位網(wǎng)絡(luò)、處理甚至存儲單位的數(shù)據(jù)，敏感的企業(yè)數(shù)據(jù)將暴露甚至存儲在數(shù)以千計的、缺少控制的個人設(shè)備中。如果這些設(shè)備感染病毒、木馬等惡意軟件和代碼，單位網(wǎng)絡(luò)就可能遭到攻擊；一旦這些設(shè)備丟失或失竊，就可能造成數(shù)據(jù)丟失或泄露。

出于對數(shù)據(jù)安全的擔(dān)憂，IBM于2012年5月禁止其40萬員工使用兩種流行的消費級應(yīng)用：云存儲服務(wù)Dropbox和蘋果iPhone的個人手機助手Siri。Siri是一款利用蘋果提供的服務(wù)把語音轉(zhuǎn)換成文本的應(yīng)用，可以根據(jù)語音命令創(chuàng)建文本消息和電子郵件，而這些信息可能會包含敏感的私人信息。

然而，認(rèn)為禁止使用個人設(shè)備就能解決安全問題的想法無疑是錯誤的。畢竟員工使用的是自己的設(shè)備，單位難以進(jìn)行監(jiān)視，也不可能禁止。員工可能在管理者眼皮底下使用“安全”的設(shè)備，如臺式機等。但可能管理者一轉(zhuǎn)身，他們就會立刻開始在暗處使用個人手機或平板電腦。

面對BYOD的洶涌大潮，企業(yè)只有采用正確的技術(shù)和管理措施，才能享受到BYOD帶來的好處而不會受到傷害。TCG開展了一系列的研究，發(fā)布了基于信任的訪問控制模型，針對計算機和服務(wù)器安全的可信平臺單元、針對移動設(shè)備的移動可信單元、針對數(shù)據(jù)安全的自加密驅(qū)動器和針對企業(yè)網(wǎng)絡(luò)的可信網(wǎng)絡(luò)連接和保證BYOD安全的策略，幫助企業(yè)應(yīng)對BYOD的安全風(fēng)險。

一、基于信任的訪問控制

BYOD最大的不同是員工擁有、操縱和管理設(shè)備。因此，應(yīng)當(dāng)根據(jù)信任程度的不同賦予不同的訪問權(quán)限。訪客的信任級別最低，訪問級別也最低。可信用戶使用可信設(shè)備時信任級別最高，因而訪問級別也最高。居中的則是不同信任級別的用戶，比如使用不安全設(shè)備的員工或者合作伙伴等等。

二、可信平臺模塊

（Trusted Platform Module，TPM）

TPM是內(nèi)置在計算設(shè)備中的硬件安全組件，包含密碼運算部件和存儲部件，能完成完整性度量、數(shù)據(jù)加/解密、數(shù)字簽名以及安全存儲等功能。其內(nèi)部的AIK密鑰僅對產(chǎn)生此密鑰的平臺是可用的，若用其私鑰加密要發(fā)送的信息，就可以確保消息源的真實性。同時，平臺的PCR值可以作為“可信度量值”來保證平臺的可信，相應(yīng)的日志信息可以保證協(xié)議運行中消息的“新鮮性”，因而可以作為用戶和設(shè)備的身份認(rèn)證、網(wǎng)絡(luò)訪問和數(shù)據(jù)保護(hù)的依據(jù)。此外，TPM在平臺間不可交換，它通過生成一個惟一的數(shù)字簽名來保護(hù)用戶數(shù)據(jù)，該簽名用于標(biāo)記數(shù)據(jù)可被存取的惟一平臺和硬件，防止數(shù)據(jù)被其他設(shè)備讀取和使用。目前TPM已經(jīng)應(yīng)用于包括便攜式電腦在內(nèi)的超過5億的終端上，安裝了TPM的平板業(yè)已上市，但移動設(shè)備還沒有全部安裝TPM。

自加密驅(qū)動器

（Self-Encrypting Drive，SED）

SED和其他存儲設(shè)備一樣用于數(shù)據(jù)存儲，但它能自動對所有用戶和系統(tǒng)數(shù)據(jù)進(jìn)行加密，將數(shù)據(jù)與未授權(quán)的應(yīng)用完全隔離。SED可以設(shè)置數(shù)據(jù)存儲的本地策略，而且還能避免軟件加密所固有的性能損失。除了提供安全存儲功能，SED還支持企業(yè)數(shù)據(jù)的遠(yuǎn)程擦除。一旦企業(yè)發(fā)現(xiàn)數(shù)據(jù)泄露或設(shè)備失竊，也能通過遠(yuǎn)程操作刪除設(shè)備中的數(shù)據(jù)，防止犯罪分子破解密譯設(shè)備中的信息。

可信網(wǎng)絡(luò)連接

（Trusted Network Connect，TNC）

TNC是建立在基于主機的可信計算技術(shù)上，主要目的是通過使用可信主機提供的終端技術(shù)，實現(xiàn)網(wǎng)絡(luò)訪問控制。TNC的主要思想是當(dāng)終端訪問網(wǎng)路之前，要對終端的身份進(jìn)行完整性檢測。如果滿足安全策略要求，則允許終端接入網(wǎng)絡(luò)；否則，則拒絕或?qū)υ摻K端進(jìn)行隔離。當(dāng)終端處于隔離狀態(tài)時，可以對該終端進(jìn)行修復(fù)。當(dāng)終端的完整性和其他屬性達(dá)到系統(tǒng)安全策略的要求時，才允許其接入網(wǎng)絡(luò)，這樣就大大提高了整個網(wǎng)絡(luò)系統(tǒng)的安全性及可信性。

TNC實現(xiàn)網(wǎng)絡(luò)和終端的可視化，幫助網(wǎng)絡(luò)管理員掌握誰在使用網(wǎng)絡(luò)、網(wǎng)絡(luò)傳輸?shù)氖鞘裁磧?nèi)容、設(shè)備是否可否可信。TNC使用基于網(wǎng)絡(luò)的增強的訪問控制，根據(jù)身份驗證、設(shè)備和用戶行為來確定允許還是阻止網(wǎng)絡(luò)訪問，從而提供了多供應(yīng)商環(huán)境下全方位的安全、網(wǎng)絡(luò)訪問控制和互操作。

移動可信單元

（Mobile Trusted Module，MTM）

隨著第三代移動通信（3G）時代的來臨，移動計算平臺的應(yīng)用越來越廣泛，大量運行在傳統(tǒng)計算平臺上的應(yīng)用被移植到移動計算平臺中。智能手機等移動計算平臺實際就是一個功能強大的嵌入式系統(tǒng)。由于移動計算平臺的應(yīng)用環(huán)境復(fù)雜，除了終端用戶之外還具有多個利益相關(guān)者，如設(shè)備、通信、應(yīng)用等服務(wù)的提供商，它們無法直接接觸到終端，不能像用戶那樣利用基于TPM的可信服務(wù)來驗證自身的可信性，需要為它們提供符合自身利益需求的可信服務(wù)。因此，MTM就應(yīng)運而生了。

MTM以參考完整性測量值（reference integrity metrics，RIM）作為可信驗證的依據(jù)。一個RIM可以是一個軟件鏡像的SHA1哈希值，并包含在一個RIM證書之中，由RIM作者負(fù)責(zé)創(chuàng)建。每個MTM都存儲一系列用于認(rèn)證RIM證書的密鑰。密鑰分為根密鑰和非根密鑰。持有根密鑰的一方負(fù)責(zé)給MTM提供RIM證書，非根密鑰用于對RIM證書進(jìn)行認(rèn)證，從而實現(xiàn)對移動設(shè)備的認(rèn)證。因此，MTM的可靠性依賴于采用的加密算法和密鑰長度。此外，MTM還設(shè)計有位置隔離和自我防護(hù)功能，抵御攻擊的范圍和TPM相當(dāng)。

MTM為移動平臺定義了兩種可信模塊，分別是移動遠(yuǎn)程所有者可信模塊（Mobile Remote-owner Trusted Module，MRTM）和移動本地所有者可信模塊（Mobile Local-owner Trusted Module，MLTM）。移動遠(yuǎn)程所有者是指為移動平臺提供服務(wù)（網(wǎng)絡(luò)信號、服務(wù)支持等）的利益相關(guān)者。他們只為移動平臺提供相關(guān)的服務(wù)，不能對設(shè)備進(jìn)行直接的物理訪問。為了保證他們所提供的組件及服務(wù)的可信性，就需要MRTM，且禁止其休眠、失效或者被移除。移動本地所有者是指移動平臺的使用者，如用戶。他們對平臺具有控制權(quán)，在平臺啟動之后，可以通過平臺中的本地所有者可信模塊MLTM對用戶服務(wù)進(jìn)行證明，類似于PC中的TPM，能夠休眠、失效或者被本地所有者安裝、移除，是可選擇使用的。

實施建議

再先進(jìn)的技術(shù)也不能保證100%的安全。常言到，安全30%靠技術(shù)，70%靠管理。因而制定完善的管理措施，執(zhí)行安全技術(shù)尤為重要。

安全評估。企業(yè)應(yīng)當(dāng)對用戶、設(shè)備、網(wǎng)絡(luò)、資源、地理位置和對策進(jìn)行全面的評估以確定安全風(fēng)險的來源。

削減風(fēng)險。企業(yè)應(yīng)當(dāng)嘗試制定對策以削減風(fēng)險。比如，企業(yè)可以要求員工在設(shè)備上運行安全代理，關(guān)閉不必要的端口和服務(wù)器，依據(jù)信任根集成和識別安全代理，在設(shè)備上創(chuàng)建安全沙箱或分區(qū)，為設(shè)備創(chuàng)建更安全的虛擬局域網(wǎng)，在設(shè)備上安裝遠(yuǎn)程終端軟件以避免在本地存儲企業(yè)數(shù)據(jù)。如果使用得當(dāng)?shù)脑挘@些措施可以降低在安全評估中確定的風(fēng)險。

訪問控制。企業(yè)根據(jù)策略、身份、設(shè)備配置和集成因素確定哪些訪問操作應(yīng)當(dāng)允許，哪些應(yīng)當(dāng)禁止。

監(jiān)控和反應(yīng)。如果有設(shè)備下載數(shù)據(jù)，企業(yè)應(yīng)當(dāng)監(jiān)控設(shè)備的安全性并對安全威脅作出相應(yīng)反應(yīng)。比如，如果密碼輸入錯誤達(dá)到五次，則鎖定設(shè)備；當(dāng)用戶報告設(shè)備丟失或失竊，抑或用戶失去權(quán)限時，則遠(yuǎn)程刪除企業(yè)數(shù)據(jù)或取消用戶對加密數(shù)據(jù)的訪問。應(yīng)當(dāng)記錄事件（包括數(shù)據(jù)訪問）以便于審計。

-胡曉慶