BYOD與移動安全

李君

[摘 要] 移動互聯網目前在中國高速發展，“移動”已經成為我們工作生活的新方式。隨著智能終端的普及，BYOD（自帶設備辦公）在企業組織中的應用也越來越普遍。對于企業而言，BYOD的潮流為企業帶來了明顯的效益，降低了企業在移動終端上的成本投入，更好地提高了員工效率。而隨著BYOD潮流的推進，企業在使用BYOD的同時，也將面臨數據安全問題的嚴峻挑戰。解決移動接入安全問題，要從技術手段和管理政策兩個方面同時著手。

[關鍵詞] BYOD；安全；移動設備；管理

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 17. 040

[中圖分類號] TP309 [文獻標識碼] A [文章編號] 1673 - 0194（2014）17- 0067- 02

1 BYOD應用

BYOD（Bring Your Own Device）指攜帶自己的設備辦公，這些設備包括個人電腦、手機、平板等。隨著企業信息化水平和管理效能的不斷提升，基于傳統PC的辦公自動化系統已經明顯不能滿足高效率、快節奏的移動互聯時代的辦公需求。越來越多的平板電腦和智能手機等移動終端進入企業移動辦公過程中，用戶希望無論使用哪個設備都能不受時間、地點、網絡環境的限制無縫訪問公司的資源。特別是隨著企業“私有云”的不斷成型，每個員工、每個移動終端和每個業務系統都成為這個“云”的組成部分。BYOD的應用在為企業帶來好處的同時，也將帶來巨大的安全隱患，稍有不慎就會給企業帶來巨大損失。

2 移動設備安全管理

解決移動接入安全問題，要從技術手段和管理政策兩個方面同時著手，不能只重技術防護而忽視管理制度的建立。

2.1 技術手段

從技術控制手段上來看，目前主要有以下幾個方面：

（1）密切關注網絡安全。為了維護企業網絡的安全性，企業應該采取綜合的網絡保護方法。通過使用動態可管理的VPN和防火墻，加密所有的網絡通信，從而保護企業的數據不會在傳輸途中被截獲。采用面向移動的Web安全網關，它可以基于設備或云，通過惡意軟件過濾、信譽過濾、數據防泄露、應用可視化控制等手段，結合可行的策略控制，解決BYOD帶來的網絡安全風險。雖然VPN提供安全的遠程網絡連接，但添加網絡訪問控制機制是非常必要的，建立對網絡本身的控制，使企業在網絡發生任何損壞之前，能夠阻止來自于移動設備的惡意軟件的攻擊。這個機制依賴于執行網絡安全策略并控制終端、數據和用戶訪問行為，采取智能設計，在網絡上提供足夠的訪問控制，以確保只有在安全的條件下才能訪問網絡。

（2）使用移動設備管理（MDM）解決方案。選擇支持多個平臺（如Android，黑莓，iOS，Windows等）的移動設備管理產品，它提供了一個管理控制臺，可以從一個點管理所有的各種移動設備。MDM能使策略執行針對移動設備本身并提供遠程位置鎖定和數據擦除的能力，防止設備丟失或被盜。但是以終端為中心的安全控制方法會受到極大制約，目前業界一些廠商正在試圖將MDM和移動安全客戶端、移動Web安全網關和其他基于云的服務結合起來，建立強健的、高可用的架構，這種架構在今后可能會成為主流，它們已經開始推出集成的移動安全解決方案。

（3）強化身份和訪問管理。BYOD的風險很多緣于靜態密碼，這些靜態的密碼方便企業員工遠程訪問業務數據和系統。但企業應該考慮多因素身份驗證方法，加強安全性，同時繼續優先考慮可用性。一次性密碼和二度認證的策略可以保護企業的“大門”安全。單獨登錄各個應用程序需要不同的密碼，因為相同的密碼存在安全隱患。但是員工往往因為密碼太多而產生密碼疲勞癥。而單點登錄（SSO）工具讓員工使用單一密碼訪問企業門戶網站或者云應用，并且可以加入到SSL VPN配置中。

（4）保護用戶的數據，而不是用戶的設備。我們在選擇移動安全解決方案時，要專注于數據的訪問控制，保證數據不被惡意存儲到移動設備上，數據安全防護系統需要有批準和拒絕用戶試圖獲得特定數據的最終決定權。要使員工分清楚工作和生活數據，幾乎所有的BYOD方案都包含電子郵件、日歷以及通訊錄，員工應避免使用個人郵箱發送工作郵件。盡可能選用不會在設備中存儲數據的應用，將應用數據存儲至云端，可大大降低數據泄露的可能性。對于企業最核心的數據，可以采用虛擬桌面訪問方式，它創建了一個安全虛擬機，為進入企業網絡的移動設備訪問提供了一個安全窗口，確保數據的安全和業務連續性，它不允許數據在用戶的個人設備之間以及企業基礎設施之間流動。

2.2 管理制度

沒有一種解決方案可以獨自解決移動設備所帶來的挑戰。完善的安全解決方案將會是廣泛的產品組合，可以實時抵擋來自于移動設備的新的安全威脅，對遠程用戶執行安全合規檢查，并保護網絡、數據和客戶端的安全。技術控制手段是保障BYOD安全的第一步，第二步則是要制定一個管理制度，創建一個宏觀安全策略。

（1）制定管理制度，并堅持下去。要制定一個管理制度，闡明在員工使用移動設備接入公司網絡時，應該做什么和不該做什么，并嚴格執行和長期堅持下去。對于任何IT管理流程，技術解決方案只是一個方面，要讓員工明白管理制度同技術解決方案同樣重要。同時，不要讓自己或關鍵員工成為例外，如果你和你的優秀員工不遵守安全協議，其他人也會忽略你的制度，那么你的公司將面臨數據暴露給外部的威脅。

（2）當員工離職時，立即斷開員工與企業網絡的聯接。要明確什么樣的數據任何員工都可以訪問，什么樣的數據必須嚴格訪問控制。要確保員工不會獲得更多的公司數據而這些數據并不是他們工作需要的。此外，當員工離職時，必須立即斷開他與公司的聯接，并確保從其個人設備上擦除公司的數據。如果一個離職的員工還能通過個人設備進入原公司的工作網絡，則會給公司帶來巨大的災難。

（3）加強員工溝通，做好安全培訓。蓋特納最新的一份報告顯示，預計到2016年，由于企業移動管理規定的嚴格，20%的BYOD計劃將面臨失敗。企業員工不喜歡被監控，IT部門也會為政策的實施不力而煩惱。所以，建立一個平衡于企業數據安全與BYOD正常實行之間的政策并非易事。IT部門要與員工進行多方面的溝通，讓員工積極參與企業的BYOD計劃并積極介入管理政策的制定，這其中會有很多考量，也涉及很多法律法規。通過員工的參與，制訂出一個員工可以接受的BYOD方案。其次，僅僅一個政策并不足夠，還要加強對員工的安全培訓，教育引導設備使用者在不同地方使用數據時該如何保護數據。

總之，BYOD不只是一個技術問題，它也是一個要求企業IT部門和其他部門協作來有效整合業務戰略、安全政策和IT系統的商業問題。BYOD實施后，如果發生員工設備濫用或危及企業數據安全的事件，將導致員工個人設備上的數據被擦除，遵守公司的政策是每個員工應盡的職責。

主要參考文獻

[1]Colin Steele. BYOD的安全問題：概念與現實[EB/OL].趙寒坡，譯.http：//www.searchcio.com.cn/showcontent_71834.htm，2013-04-01.

[2]孔維維. 八大策略確保企業BYOD應用安全[EB/OL].http：//www.vsharing.com/k/net/2012-11/673268.html，2012-11-28.