BYOD時(shí)代下的企業(yè)信息安全

文| 張?jiān)?/p>

BYOD時(shí)代下的企業(yè)信息安全

文| 張?jiān)?/p>

BYOD已成現(xiàn)代人們工作的新潮流，企業(yè)資源訪問方便快捷、工作效率大幅提高，然而這也為企業(yè)信息安全帶來了新的挑戰(zhàn)。針對(duì)這個(gè)安全問題，本文就此提出了四種具有安全防護(hù)功能的安全管理策略，實(shí)現(xiàn)對(duì)企業(yè)數(shù)據(jù)的安全保障。

隨著信息科技技術(shù)的不斷發(fā)展，BYOD進(jìn)入了人們的生活工作中。BYOD（Bring Your Own Device）是指隨身攜帶終端設(shè)備辦公，這些終端設(shè)備主要包括筆記本電腦、智能手機(jī)以及平板電腦等輕便易攜帶的移動(dòng)智能終端，能夠讓員工不受時(shí)間地域限制隨時(shí)隨地輕松辦公，如收發(fā)郵件、訪問各方資源、處理公司業(yè)務(wù)等，可謂無處不辦公。然而在享受其利的同時(shí)，由于網(wǎng)絡(luò)的多元化以及移動(dòng)設(shè)備的多樣化，企業(yè)信息安全受到一定的潛在風(fēng)險(xiǎn)，如何防范這種潛在風(fēng)險(xiǎn)是企業(yè)需首要解決的難題。

BYOD下企業(yè)面臨的挑戰(zhàn)

安全挑戰(zhàn)。在外部網(wǎng)絡(luò)環(huán)境中，員工無法確保自己的移動(dòng)設(shè)備運(yùn)行在安全的網(wǎng)絡(luò)之下，當(dāng)借助于安全性未知的網(wǎng)絡(luò)進(jìn)行網(wǎng)頁瀏覽、郵件收發(fā)以及應(yīng)用下載等各種形式的資源訪問時(shí)，移動(dòng)設(shè)備極易受到非法攻擊，如被植入“木馬”或病毒侵害。當(dāng)移動(dòng)設(shè)備再次訪問員工所屬企業(yè)內(nèi)部信息資源時(shí)，就會(huì)對(duì)企業(yè)內(nèi)部數(shù)據(jù)造成嚴(yán)重威脅，可能導(dǎo)致企業(yè)敏感數(shù)據(jù)被惡意篡改或竊取。比如員工在移動(dòng)設(shè)備上下載安裝各類應(yīng)用軟件，其可靠性難以保證，如果存在安全隱患，輕則使移動(dòng)設(shè)備出現(xiàn)異常，重則丟失重要數(shù)據(jù)。同時(shí)還由于移動(dòng)設(shè)備易被盜竊，所以容易導(dǎo)致企業(yè)信息泄露。

管理挑戰(zhàn)。BYOD下員工能夠利用移動(dòng)設(shè)備通過移動(dòng)、虛擬以及云環(huán)境實(shí)現(xiàn)企業(yè)內(nèi)部資源的共享，然而這些移動(dòng)設(shè)備存在標(biāo)準(zhǔn)不統(tǒng)一的特征，并且以非集中形式縱橫分散，這在很大程度上增加了對(duì)移動(dòng)設(shè)備的管理難度，因此對(duì)其進(jìn)行有效的管控存在相當(dāng)?shù)奶魬?zhàn)性。如果能實(shí)現(xiàn)對(duì)移動(dòng)設(shè)備的統(tǒng)一管理，不僅能夠?qū)⑵淦髽I(yè)部署消耗的成本，還能夠有效保障敏感數(shù)據(jù)的機(jī)密性。這就更增加了IT管理員的工作復(fù)雜程度，各種網(wǎng)絡(luò)安全問題已讓IT管理員忙得焦頭爛額，IT管理員不得不使用最新軟件來保障抵御非法攻擊，這些軟件具有管理移動(dòng)設(shè)備、系統(tǒng)漏洞以及對(duì)數(shù)據(jù)進(jìn)行加密的功能，所以新舊軟件共同合作運(yùn)行，IT管理員的網(wǎng)絡(luò)管理就變得更為復(fù)雜了。

基礎(chǔ)設(shè)施挑戰(zhàn)。企業(yè)自開發(fā)往往成本較高，所以將業(yè)務(wù)遷移向移動(dòng)環(huán)境進(jìn)行部署有助于縮減企業(yè)成本，而這樣的話，安全性難以評(píng)估的移動(dòng)環(huán)境對(duì)于企業(yè)IT部門來說就是應(yīng)很大的挑戰(zhàn)。BYOD重新部署了IT鏈，尤其是當(dāng)無線接入時(shí)，如何對(duì)無線網(wǎng)絡(luò)進(jìn)行合理部署以實(shí)現(xiàn)無線網(wǎng)絡(luò)的動(dòng)態(tài)可擴(kuò)展性是一個(gè)值得深思的問題。比如當(dāng)大量用戶攜帶者自己的移動(dòng)設(shè)備接入無線網(wǎng)絡(luò)，其中很多移動(dòng)設(shè)備都會(huì)長(zhǎng)時(shí)間連接網(wǎng)絡(luò)，移動(dòng)設(shè)備上的各種資源信息隨時(shí)都處于不斷更新之中，無線網(wǎng)絡(luò)接入點(diǎn)幾乎處理飽和狀態(tài)，因而極大地增加了對(duì)移動(dòng)設(shè)備的安全管理與完善工作。BOYD帶來的新挑戰(zhàn)需要全新的解決之道，傳統(tǒng)策略已顯然不能滿足日益變化的網(wǎng)絡(luò)的需求。

網(wǎng)絡(luò)安全策略

端點(diǎn)準(zhǔn)入策略。當(dāng)移動(dòng)設(shè)備提出接入請(qǐng)求后，首先對(duì)其合法性進(jìn)行驗(yàn)證。使用安全客戶端將用戶相關(guān)信息傳到策略服務(wù)器以對(duì)用戶身份合法性進(jìn)行驗(yàn)證，如果身份驗(yàn)證不通過則拒絕其接入網(wǎng)絡(luò)，通過身份驗(yàn)證的客戶繼續(xù)接受安全認(rèn)證，由安全策略服務(wù)器對(duì)用戶相關(guān)信息進(jìn)行驗(yàn)證判斷其是否合法，如果判斷為不合法，則用戶被隔離。安全策略有企業(yè)管理員制定，如果移動(dòng)設(shè)備不合符先關(guān)制定規(guī)則時(shí)，訪問將受到制約。

目前H3C的EAD、思科的NAC以及諾頓的SEP都是比較理想的端點(diǎn)接入策略。

桌面虛擬化策略。端點(diǎn)準(zhǔn)入成功后，還應(yīng)預(yù)防移動(dòng)設(shè)備非法對(duì)數(shù)據(jù)進(jìn)行復(fù)制。由于桌面虛擬化，一切操作處理都是在后端服務(wù)器上執(zhí)行完成，數(shù)據(jù)不會(huì)保留在移動(dòng)設(shè)備上，這樣就有效避免了數(shù)據(jù)被復(fù)制，在很大程度上保障了BYOD的安全可靠性。桌面虛擬化將訪問分為前臺(tái)和后臺(tái)，前臺(tái)主要負(fù)責(zé)顯示瀏覽，后臺(tái)則主要負(fù)責(zé)存儲(chǔ)數(shù)據(jù)，這樣就能夠有效管控下載、復(fù)制、外接、存盤等操作，進(jìn)而大幅提高了企業(yè)信息的安全性；并且桌面虛擬化后，不會(huì)受到木馬或者病毒的侵害。

目前VMWare、Hyper-V以及Citrix都是比較實(shí)用的桌面虛擬系統(tǒng)。

身份認(rèn)證及識(shí)別策略。企業(yè)內(nèi)部機(jī)要數(shù)據(jù)需加以身份認(rèn)證保護(hù)。保障數(shù)據(jù)安全除了知曉密鑰之外，還需對(duì)用戶進(jìn)行二次認(rèn)證，這時(shí)就需要USBKey數(shù)字證書，如此就應(yīng)用到了加密技術(shù)。加密技術(shù)主要涉及到對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加解密，以及數(shù)字簽名并對(duì)簽名予以驗(yàn)證，以保障信息的機(jī)要性、可靠性、以及用戶身份的真實(shí)性、簽名的正確性。數(shù)字證書存放在USBKey中，能夠有效防止被復(fù)制的可能。

行為審計(jì)監(jiān)督策略。痕跡管理作為一種文檔管理方法可為企業(yè)機(jī)要數(shù)據(jù)建立行為審計(jì)系統(tǒng)，使用這個(gè)系統(tǒng)可以實(shí)現(xiàn)監(jiān)督目的，同時(shí)還能夠?qū)Σ僮鞑襟E及內(nèi)容進(jìn)行記錄。當(dāng)發(fā)現(xiàn)敏感數(shù)據(jù)被惡意篡改時(shí)，可通過記錄功能低操作步驟及內(nèi)容進(jìn)行追蹤，通過搜集與評(píng)估審計(jì)證據(jù)實(shí)現(xiàn)安全保障，保護(hù)數(shù)據(jù)安全。完善的行為審計(jì)監(jiān)督體系能有效地對(duì)網(wǎng)絡(luò)進(jìn)行全方位的管理控制。

在BYOD這種趨勢(shì)的帶動(dòng)下，人們的生活工作模式已逐漸趨于多樣化，從各個(gè)方面享受科技先進(jìn)技術(shù)帶來的便利，然而BYOD既有利又有弊，企業(yè)在融合BYOD的同時(shí)還應(yīng)全面綜合地考慮網(wǎng)絡(luò)安全以及管理策略等問題。防護(hù)網(wǎng)絡(luò)安全首要任務(wù)便是建立一個(gè)良好的網(wǎng)絡(luò)安全策略。現(xiàn)代網(wǎng)絡(luò)已走過靜態(tài)邁入動(dòng)態(tài)，在融合有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)的同時(shí)，還應(yīng)對(duì)網(wǎng)絡(luò)安全予以高度重視，這樣才有助于使BYOD在企業(yè)中得到長(zhǎng)期且安全地應(yīng)用與發(fā)展，并使企業(yè)受到BYOD的積極反饋。

蘭山區(qū)煙草專賣局（營銷部））