BYOD應用中的網絡安全策略方案

江 敏 李 赟

BYOD(Bring Your Own Device)指自帶設備進行辦公，這些設備包括個人電腦、手機、平板等智能終端，通過這些智能終端，員工可以在任何地方、任何地點進行收發企業郵件、訪問企業資源、對企業的業務進行處理，實現移動辦公。移動辦公是信息通信技術發展的結果，大量多元化的移動終端的出現，改變了人們傳統的生活與工作模式，打破了時間、地域的限制，給予人們更多的獲取信息的手段。特別是寬帶、3G移動通信技術的應用，使企業辦公進入了智能辦公時代。隨著鐵路體制改革，鐵路員工移動辦公的需求，也為鐵路信息化建設提出新的設想。

1 BYOD應用帶來的安全問題

無線技術和移動技術在鐵路信息化建設中已經應用得很成熟。鐵路大型的物流中心 (例如青藏那曲物流中心)，通過無線網絡實現PDA點貨、無線呼叫等業務。鐵路貨車列檢，列檢員配備了無線作業手持機，通過無線網絡開展語音傳輸、數據傳輸等業務。雖然PDA和列檢手持機這些移動設備，不是員工自帶設備，但也是通過智能終端對企業的業務進行處理，可以算是BYOD在鐵路行業中的應用。這些應用實施都應充分考慮接入、網絡及數據的安全。

如果在鐵路園區網部署BYOD，園區員工在訪問企業資源的同時，也給IT管理部門執行的統一安全策略即終端安全、網絡安全和數據安全帶來了新的挑戰。關注點可以細分為數據安全、接入安全、應用安全、威脅防護及設備管理。

1.數據安全。員工使用個人設備訪問辦公網絡，如何區分個人數據和企業數據，如何杜絕企業數據外泄，這是一個巨大挑戰。

2.接入安全。員工的移動設備接入，使得園區網絡對外無限延伸，但對于員工身份的安全認證及授權訪問需要著重考慮。

3.威脅防護。應避免Internet外聯鏈路的監聽以及員工移動終端自身有各類的安全問題，比如病毒、木馬。與園區內網終端不同，移動終端多屬于員工自己設備，很難強制實施和園區內網一樣的統一安全策略，這種情況下，如何防護可能由員工設備引入的惡意威脅也需要考慮。

4.設備管理。園區內員工大量內外網連入的移動終端，種類繁多，如何進行統一便捷的客戶端異構平臺的管理也是一個大問題。

2 統一的網絡安全策略

針對園區網絡部署BYOD帶來的安全問題，提出完善的網絡安全策略方案，通過實行統一策略，執行終端安全和管道安全，使員工自帶設備移動辦公得到全方位的安全防護。統一策略方案能夠根據不同用戶角色、不同設備類型、不同場所、不同時段、不同區域，采用不同的策略，確保對資源的安全訪問。統一策略方案實現與移動設備管理(MDM)方案的策略集成，提供涵蓋公司的單一策略來源 (有線網絡、無線網絡、遠程網絡、物理設備、虛擬設備)，對移動設備實施完善、準確的管理，能夠很好地對園區網絡進行安全防護。BYOD統一策略方案如圖1所示。

圖1 BYOD統一策略方案示意圖

2.1 訪問控制策略

把準入控制與識別終端的安全狀態相結合，通過合規檢查、動態控制及授權，對于不符合安全策略的終端進行隔離修復，強制終端用戶實施公司的安全策略。IT管理部門制定訪問控制策略，制定園區內員工使用何種設備、在何時、在何地、如何訪問總公司園區網絡的策略，控制接入網絡的終端用戶網絡訪問權限，實現最小授權訪問控制。有效防范非法終端對公司業務資源的訪問，確保業務正常運行，保護公司信息安全。

對于公司高層領導，根據其身份和角色定義，允許訪問所有的網絡資源。對于員工，提供相對寬松的模式，允許員工訪問完成工作必須的業務系統。對于少數的重要業務系統，禁止一般員工訪問。對于合作方員工，提供嚴格的控制模式，只允許合作方訪問特定的業務系統，禁止訪問重要的業務系統和一般的辦公系統，允許根據安全策略，定義是否允許合作方的員工通過公司園區網絡訪問互聯網。對于普通BYOD用戶，例如，員工使用自己的移動終端接入，只能訪問公司普通的業務資源，不能訪問公司重要的業務系統和重要的辦公系統。對于訪客，禁止訪問園區內部網絡資源，包括重要的業務系統、一般業務以及合作方共享系統等，只允許訪客訪問互聯網。

2.2 網絡安全加固策略

BYOD部署在園區網絡中，員工能夠從家里或公共地點連接互聯網或辦公室網絡，也會無意中將被感染的病毒、蠕蟲和間諜軟件帶進企業環境，從而威脅網絡安全。IT管理部門制定網絡安全加固策略，借助于從低端到高端全系列的安全產品和虛擬化技術，對硬件資源進行虛擬化處理，在將來可以考慮打造基于SDN架構的安全資源池，按需動態虛擬化為多個邏輯單元，分配給不同的用戶群，以此維護網絡的安全。

還可以通過配置檢查，檢測防病毒軟件的策略，檢查終端是否安裝了公司規定的殺毒軟件，以及殺毒軟件是否更新，作為判斷終端當前安全狀態的一個依據，阻止沒有部署殺毒軟件的終端或者殺毒軟件長期不更新的終端接入網絡。保證園區內網運行的終端殺毒軟件能夠及時更新并且有效運行，減少病毒感染和擴散的風險。通過配置檢查屏保策略、檢查文件共享策略、檢查賬戶安全策略等來彌補員工由于安全保密意識薄弱帶來的安全漏洞，保護信息安全。

2.3 行為監控策略

園區網絡除了外部黑客、病毒攻擊帶來的安全威脅外，移動存儲介質濫用、IM(即時通信)工具的使用、非工作時段的Web訪問、不安全的WiFi接入、個人外設使用等帶來的內部安全威脅也不容忽視。

IT管理部門制定的BYOD行為監控策略，可以管理Modem、ADSL、ISDN撥號設備，禁止員工使用撥號設備，防止終端繞過IT管理部門的監管連接互聯網，使得園區網絡直接面對來自互聯網的攻擊。確保所有互聯網出口流量都經過統一架設的出口網關，通過出口網關過濾不安全的網絡訪問，保障園區網絡的安全。還能提供Web訪問監控功能，記錄員工的Web網站訪問信息，上報服務器進行統一管理和審計。通過這樣的手段，一方面可以管理員工的上網行為，上班時間屏蔽一些與工作無關的網站;另一方面，提供審計和責任追溯的途徑。

2.4 MDM管理策略

為確保園區內員工移動設備上的數據合規，需要借助MDM管理策略，使IT管理員可以更加清楚地了解終端設備狀態，根據終端設備符合公司策略的情況，控制這些設備對公司業務的訪問;可以實現要求注冊、遠程鎖屏、禁止越獄、文件加密、遠程定位及遠程數據查出等，并能遠程卸載非法軟件、遠程擦除丟失或被盜移動設備上的數據;還可以利用桌面虛擬化技術，數據的編輯和保存，都在數據中心的云端進行，終端只是顯示，以此加強數據安全性。

3 有線無線融合的網絡

在園區網部署BYOD，需要強大的網絡做支撐。大量智能終端進入園區網絡，引起接入流量增加，VoIP、虛擬桌面、視頻會議應用的逐漸普及，要求園區的核心網絡擁有大容量轉發的能力、穩定的性能。千兆接入、萬兆匯聚、40GE核心將是建網標準，網絡核心需要具備更高轉發能力，匯聚節點需要更智能以接受策略頻繁變更，接入則需要更輕量和自動化。同時，網絡資源不應再受地域和業務形態限制，網絡會協同融合全網安全設備，適應BYOD移動化趨勢下的全面安全管理。

網絡資源全面虛擬化，有線、無線網絡向深度融合演進，比如從設備層面實現融合AC處理和以太交換為一體，把AP當成交換機的一個端口，統一網管、發現、配置等，通過這些方式大幅度降低管理的復雜度，讓網絡敏捷地為業務服務。

BYOD帶來的可移動性流量往往在小范圍內密集接入，所以無線接入網絡需要選擇全覆蓋、高速、高密的方案，比如支持基于終端自動逐包控制發送功率、限制低速率用戶接入、提供5 GHz/2.4 GHz雙頻智能混合接入，從而減少高密度時同頻用戶終端干擾，提高可用帶寬。由此可見，有線無線融合的網絡是BYOD的基礎。

4 結束語

BYOD雖然成為一種趨勢，但企業在考慮融合BYOD的過程中，還要考慮網絡、安全、策略和管理等多個方面。訪問控制、網絡安全加固、行為監控、MDM管理等形成統一網絡安全策略，能很好地對網絡進行安全防護。現在的網絡正從靜態走向動態，不僅要融合有線、無線網絡，還要重視安全等問題，才有利企業內BYOD的應用，推動移動辦公的發展。現在，銀行希望讓客戶經理開展移動營銷，醫院正在開展無線醫療，零售企業希望提供針對移動終端推送精準廣告和室內導航的增值服務，大型企業推行無邊界移動辦公，這些企業為將來部署BYOD提供了成功經驗。目前，有些部門已經開始嘗試為移動終端設備開發鐵路應用，一些員工可以率先體驗BYOD，也為鐵路信息化建設提供新的思路。

［1］ 王雪楊.優化IT基礎架構解決BYOD對網絡的挑戰［J］.中國 IT新媒體，2013(08).

［2］ 閆志坤.百家爭鳴BYOD解決方案大練兵.IT168 2013(02).

［3］ 佚名.談談如何構建泛BYOD融合網絡［J］.中關村在線，2013(12).

［4］ 吳偉.BYOD網絡部署，情景感知不可缺［J］.51CTO.com，2013(10).