淺談BYOD時(shí)代下的企業(yè)信息安全

李永祥

[摘 要] 智能終端的普及為我們的工作和生活帶來(lái)了極大的便利，與此同時(shí)企業(yè)信息安全面臨著新的挑戰(zhàn)。面對(duì)多樣的終端、多元的設(shè)計(jì)標(biāo)準(zhǔn)，如何保障企業(yè)信息安全成為新的焦點(diǎn)問(wèn)題。本文主要探討企業(yè)信息安全管理中的BYOD管理策略。

[關(guān)鍵詞] BYOD； 信息安全； 管理

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 01. 042

[中圖分類號(hào)] TP393 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2014）01- 0081- 01

當(dāng)前，各種智能產(chǎn)品成為我們工作、生活消遣的必備工具。過(guò)去，企業(yè)為了應(yīng)對(duì)外來(lái)接入設(shè)備而采取了很多安全策略，而隨著智能終端的普及，大量的應(yīng)用隨之產(chǎn)生，傳統(tǒng)的安全策略在這些新鮮事物面前顯得束手無(wú)策。由于智能終端的多樣性和網(wǎng)絡(luò)通道的多元化，使得信息訪問(wèn)共享和溝通呈現(xiàn)復(fù)雜多樣性，加上缺乏統(tǒng)一的設(shè)計(jì)標(biāo)準(zhǔn)，使IT安全管理面臨新的挑戰(zhàn)。在享受BYOD（Bring Your Own Device，攜帶自己的辦公設(shè)備）給我們帶來(lái)便利的同時(shí)，如何防范存在的安全隱患成了企業(yè)信息化進(jìn)程中遇到的難題。

本文主要探討企業(yè)信息安全管理中的BYOD管理策略。

1 建立健全端點(diǎn)準(zhǔn)入機(jī)制

面對(duì)請(qǐng)求接入用戶，首先是驗(yàn)證用戶的合法性。我們采用的軟件是諾頓的SEP，用戶終端試圖接入網(wǎng)絡(luò)時(shí)，首先通過(guò)安全客戶端上傳用戶信息至安全策略服務(wù)器進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)，合法用戶將被要求進(jìn)行安全狀態(tài)認(rèn)證，由安全策略服務(wù)器驗(yàn)證用戶信息是否合法，不合法用戶將被隔離。管理員設(shè)定本企業(yè)安全策略，當(dāng)接入設(shè)備不符合設(shè)定要求時(shí)，訪問(wèn)將被限制，對(duì)非法用戶實(shí)施“實(shí)時(shí)源頭”隔離。

目前業(yè)界比較好的端點(diǎn)準(zhǔn)入解決方案有H3C的EAD，諾頓的SEP、思科的網(wǎng)絡(luò)準(zhǔn)入控制（NAC）等。

2 構(gòu)建面向BYOD安全的虛擬化桌面架構(gòu)

端點(diǎn)準(zhǔn)入后還要防止接入設(shè)備將數(shù)據(jù)非法復(fù)制，當(dāng)然傳統(tǒng)加密方式可以解決部分問(wèn)題，我們采取的是利用VMWare構(gòu)建的企業(yè)虛擬桌面技術(shù)來(lái)保障數(shù)據(jù)和信息的安全。在虛擬化桌面架構(gòu)中，在后端服務(wù)器上運(yùn)行操作系統(tǒng)及應(yīng)用，由于不在終端上保留數(shù)據(jù)，保障了數(shù)據(jù)不會(huì)被輕而易舉地復(fù)制，這提升了BYOD的安全性。桌面虛擬化使“工作桌面”和數(shù)據(jù)完全留在后臺(tái)，前臺(tái)只是顯示。復(fù)制、下載、存盤、外接設(shè)備等每一個(gè)動(dòng)作都可以加以管控，最大限度保護(hù)了企業(yè)信息的安全，同時(shí)，虛擬化后的桌面托管在安全性更高的服務(wù)器端，不會(huì)再被病毒或木馬感染。

目前業(yè)界較好的虛擬化桌面解決方案有VMWare、Citrix、微軟的Hyper-V等。

3 重要數(shù)據(jù)做好身份認(rèn)證和識(shí)別

對(duì)于企業(yè)重要的數(shù)據(jù)，采取身份認(rèn)證的方式加以保護(hù)，如我們采用了USBKey PKI數(shù)字證書(shū)的方式對(duì)重要數(shù)據(jù)進(jìn)行統(tǒng)一身份認(rèn)證。除數(shù)據(jù)訪問(wèn)的密鑰需要知道外，用戶還需要USBKey身份證書(shū)進(jìn)行二次認(rèn)證，提高數(shù)據(jù)的安全性。以數(shù)字證書(shū)為核心的加密技術(shù)，可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性，以及交易實(shí)體身份的真實(shí)性，簽名信息的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。USB Key作為數(shù)字證書(shū)的存儲(chǔ)介質(zhì)，可以保證數(shù)字證書(shū)不被復(fù)制，并可以實(shí)現(xiàn)所有數(shù)字證書(shū)的功能。

4 健全行為審計(jì)監(jiān)督機(jī)制

痕跡管理是傳統(tǒng)的文檔管理方式，這種管理方式也適用于企業(yè)信息安全管理。我們對(duì)企業(yè)的重要數(shù)據(jù)或信息系統(tǒng)建立了行為審計(jì)系統(tǒng)，通過(guò)行為審計(jì)系統(tǒng)來(lái)監(jiān)督、記錄操作步驟和操作內(nèi)容。在重要數(shù)據(jù)被篡改時(shí)，實(shí)現(xiàn)操作步驟和操作內(nèi)容可追溯，通過(guò)收集和評(píng)價(jià)審計(jì)證據(jù)來(lái)保護(hù)資產(chǎn)的安全，維護(hù)數(shù)據(jù)的完整性，使問(wèn)題發(fā)生后可以快速跟蹤作出判斷等。通過(guò)健全的行為審計(jì)監(jiān)督機(jī)制對(duì)互聯(lián)網(wǎng)進(jìn)行全面控制管理，規(guī)范內(nèi)網(wǎng)人員上網(wǎng)行為，強(qiáng)化網(wǎng)絡(luò)安全，保護(hù)重要機(jī)密。

目前業(yè)界行為審計(jì)解決方案有綠盟、紅熊貓等。

以上4種技術(shù)共同構(gòu)建起目前企業(yè)的信息安全架構(gòu)，當(dāng)外來(lái)設(shè)備進(jìn)入企業(yè)網(wǎng)絡(luò)時(shí)，先進(jìn)行端點(diǎn)準(zhǔn)入驗(yàn)證，通過(guò)后訪問(wèn)企業(yè)數(shù)據(jù)時(shí)需要使用虛擬桌面進(jìn)行訪問(wèn)，同時(shí)對(duì)訪問(wèn)過(guò)程全過(guò)程監(jiān)控監(jiān)督留下痕跡，如需訪問(wèn)重要數(shù)據(jù)還需要USBKey進(jìn)行身份認(rèn)證。這種安全架構(gòu)有效地保障了在BYOD設(shè)備接入的同時(shí)企業(yè)信息安全不會(huì)受到影響。

面對(duì)BYOD的快速發(fā)展，我們應(yīng)積極應(yīng)對(duì)，及時(shí)作出調(diào)整，消除這些安全隱患，確保企業(yè)信息安全。