BYOD的安全風(fēng)險及應(yīng)對初探

文｜暢文丁 張煜東

引言

隨著智能移動設(shè)備的普及，越來越多的企業(yè)員工期望通過“使用自有設(shè)備”方式，在多種環(huán)境下利用碎片時間通過移動設(shè)備完成工作，這就是我們常說的BYOD（BringYourOwnDevice）。BYOD理念帶來更為自由便捷的辦公體驗的同時也為應(yīng)用和數(shù)據(jù)帶來了安全風(fēng)險，如何應(yīng)對這些安全風(fēng)險，筆者認(rèn)為是BYOD理念下移動互聯(lián)辦公應(yīng)用發(fā)展應(yīng)考慮的重要課題。

BYOD的特征及安全分析

隨著BYOD理念深入，越來越多的個人設(shè)備帶入到工作環(huán)境中，移動辦公突破了傳統(tǒng)辦公地域空間的限制，通過互聯(lián)網(wǎng)、移動網(wǎng)絡(luò)和WIFI訪問內(nèi)網(wǎng)資源，網(wǎng)絡(luò)傳輸安全是基礎(chǔ)；BYOD過程中，企業(yè)的內(nèi)部數(shù)據(jù)和應(yīng)用可能會直接暴露于互聯(lián)網(wǎng)；個人移動設(shè)備的便攜性帶來了設(shè)備和數(shù)據(jù)遺矢的可能性；移動設(shè)備可能會被“越獄”、“ROOT”等操作，識別設(shè)備合法使用者，保障終端安全是關(guān)鍵。

通過BYOD特征不難發(fā)現(xiàn)，從移動終端自身，到傳輸網(wǎng)絡(luò)，再到系統(tǒng)業(yè)務(wù)層、數(shù)據(jù)層，處處可能成為黑客或不法人員攻擊的目標(biāo)。在安全層面，BYOD面臨區(qū)別于傳統(tǒng)系統(tǒng)安全的新風(fēng)險和新挑戰(zhàn)。應(yīng)對BYOD安全風(fēng)險，應(yīng)從以下方面著重考慮，第一，要對終端的獲取、部署、運行和回收進(jìn)行全流程生命周期管理，保證設(shè)備接入安全；第二，在網(wǎng)絡(luò)傳輸層，應(yīng)建立“應(yīng)用到網(wǎng)關(guān)”、“設(shè)備到網(wǎng)關(guān)”兩級全數(shù)據(jù)安全鏈路；第三，在應(yīng)用安全方面，建立雙向安全機制，實現(xiàn)應(yīng)用的安全訪問，同時建立行為審計規(guī)則監(jiān)督用戶特定行為；第四，要對移動應(yīng)用的數(shù)據(jù)進(jìn)行定向集中管控，有必要采取數(shù)據(jù)傳輸、存儲加密技術(shù)。

BYOD安全風(fēng)險解決之道

BYOD安全風(fēng)險防范要從多方面入手綜合治理，企業(yè)內(nèi)部要制定相應(yīng)規(guī)章制度，要加強員工教育，在后臺應(yīng)用系統(tǒng)加強安全審計功能等等，下面主要針對三個關(guān)鍵技術(shù)層面的解決措施進(jìn)行分析探討。

BYOD的主動安全包括應(yīng)用、終端、數(shù)據(jù)三個方面，應(yīng)加強主動安全防護(hù)、建立行為審計規(guī)則、完善被動安全實施。技術(shù)層面講，終端虛擬化技術(shù)、移動設(shè)備管理（MDM）和數(shù)據(jù)云存儲技術(shù)有助于加強BYOD的主動安全和被動安全防護(hù)。

（一）終端虛擬化技術(shù)

BYOD用戶透過終端虛擬化的方式，以安全的VPN聯(lián)機方式接入內(nèi)網(wǎng)資源，系統(tǒng)即會推送虛擬桌面到用戶的移動設(shè)備，在獨立的環(huán)境中存取系統(tǒng)的數(shù)據(jù)，確保數(shù)據(jù)端到端的安全性。終端虛擬化包括桌面虛擬化和應(yīng)用虛擬化兩個方面，圖1以應(yīng)用虛擬化安全為例說明終端虛擬化工作原理。

應(yīng)用虛擬化終端通過SSL安全協(xié)議連接安全網(wǎng)關(guān)傳送鼠標(biāo)鍵盤操作指令，網(wǎng)絡(luò)上只傳輸客戶端的鍵盤、鼠標(biāo)動作以及顯示界面的刷新部分，不是完整的數(shù)據(jù)包，不會被網(wǎng)絡(luò)黑客監(jiān)聽，同時客戶端顯示信息不會駐留電腦中；128位的Secure ICA以及SSL加密技術(shù)控制每一個客戶端的權(quán)限，以保證應(yīng)用軟件和數(shù)據(jù)的安全。

桌面虛擬化在加密傳輸?shù)幕A(chǔ)上通過VDI協(xié)議實現(xiàn)桌面遠(yuǎn)程投送，數(shù)據(jù)在服務(wù)器端執(zhí)行，網(wǎng)絡(luò)中傳輸視頻流，從而保證BYOD運行環(huán)境安全。

終端虛擬化在服務(wù)器端將應(yīng)用與數(shù)據(jù)集中管理，網(wǎng)絡(luò)傳輸圖形、視頻數(shù)據(jù)，業(yè)務(wù)數(shù)據(jù)不落地從而實現(xiàn)BYOD安全風(fēng)險控制；通過實現(xiàn)端到端的網(wǎng)絡(luò)加速和優(yōu)化，多維度應(yīng)用層流量識別，以解決網(wǎng)絡(luò)丟包、延時造成的應(yīng)用訪問緩慢問題；通過內(nèi)存頁合并技術(shù)從而更大發(fā)揮服務(wù)器內(nèi)存利用率，提升虛擬終端部署密度。

終端虛擬化優(yōu)勢在于：

1.訪問靈活：用戶可從任何地方，通過任意網(wǎng)絡(luò)、任意客戶端訪問屬于自己的桌面/應(yīng)用環(huán)境；

2.簡化管理：應(yīng)用/桌面的管理和配置都統(tǒng)一在數(shù)據(jù)中心進(jìn)行，軟件更新、系統(tǒng)升級快速、有效；

3.數(shù)據(jù)安全：所有數(shù)據(jù)都存放在數(shù)據(jù)中心，網(wǎng)絡(luò)中傳輸?shù)膬H僅是圖像信息，有效實現(xiàn)核心數(shù)據(jù)防泄密。

但是終端虛擬化不能滿足BYOD終端應(yīng)用離線數(shù)據(jù)操作，針對外圍設(shè)備調(diào)用存在單向調(diào)用局限，對網(wǎng)絡(luò)基礎(chǔ)設(shè)施有較高要求。

（二）移動設(shè)備管理（MDM）技術(shù)

移動設(shè)備管理（MDM）技術(shù)是移動中間件一個重要部分，可以有效管理接入內(nèi)網(wǎng)的各種設(shè)備。通過部署MDM不僅實現(xiàn)完整的終端和網(wǎng)路管理，還實現(xiàn)了應(yīng)用和終端的安全管理，同時可以對用戶行為進(jìn)行分析，實現(xiàn)BYOD主動和被動安全管控（如圖2所示）。

終端設(shè)備通過3G、WIFI等網(wǎng)絡(luò)渠道接入MDM終端管理平臺層，MDM平臺層通過設(shè)備管理、應(yīng)用管理、數(shù)據(jù)管理等功能實現(xiàn)以下目標(biāo)：

1.移動應(yīng)用的安全、高效、便捷和集中管理;

2.用戶身份認(rèn)證（包括用戶名、密碼等多重綁定驗證）；

3.強密碼策略，可對設(shè)備進(jìn)行設(shè)置強密碼提醒，加強設(shè)備安全性；

4.設(shè)備鎖機、數(shù)據(jù)擦除等操作，保護(hù)設(shè)備和數(shù)據(jù)安全。

移動設(shè)備管理（MDM）實施過程中不僅需要涉及到傳統(tǒng)安全防護(hù)，更要針對移動設(shè)備數(shù)據(jù)安全、強身份認(rèn)證和應(yīng)用程序等移動系統(tǒng)全生命周期進(jìn)行全面的安全設(shè)計。通過移動設(shè)備管理（MDM）進(jìn)行移動設(shè)備應(yīng)用分發(fā)、提供統(tǒng)一推送通知，版本管理，安全性整合實時分析等功能以保障移動信息系統(tǒng)安全運行。

移動設(shè)備管理（MDM）的優(yōu)勢在于：

1.系統(tǒng)建設(shè)：開放性架構(gòu)設(shè)計，直接訪問后端系統(tǒng)，更好的整合利用原有系統(tǒng)基礎(chǔ)資源；

2.集中統(tǒng)一管理：后臺可以實時監(jiān)控每臺移動終端的情況，也可以對所有的移動終端進(jìn)行分組管理；

3.無縫用戶體驗： MDM平臺為移動信息系統(tǒng)建設(shè)提供基礎(chǔ)環(huán)境，更好發(fā)揮移動終端特性，對網(wǎng)絡(luò)環(huán)境無特殊要求，安全離線使用。

移動設(shè)備管理（MDM）的不足在于需要在傳統(tǒng)安全防護(hù)基礎(chǔ)上進(jìn)行移動系統(tǒng)安全設(shè)計。

（三）數(shù)據(jù)“云存儲”技術(shù)

BYOD理念下的移動應(yīng)用迅猛發(fā)展，會產(chǎn)生大量的移動應(yīng)用數(shù)據(jù)，這些數(shù)據(jù)數(shù)量巨大，更新頻繁，如果落地會存儲于多樣化的移動終端平臺，使得數(shù)據(jù)的拷貝轉(zhuǎn)移也更加方便，這就為移動應(yīng)用數(shù)據(jù)安全防護(hù)提出更高的要求?！霸拼鎯夹g(shù)”在為移動應(yīng)用提供數(shù)據(jù)訪問便捷的同時也可對數(shù)據(jù)進(jìn)行有效的集中管控和安全防護(hù)。數(shù)據(jù)存儲于云平臺可針對敏感和關(guān)鍵數(shù)據(jù)集中進(jìn)行訪問控制、存儲加密、安全審計以保證數(shù)據(jù)的完整性和防泄漏（如圖3所示）。

數(shù)據(jù)“云存儲”的優(yōu)勢在于：

1.數(shù)據(jù)使用便捷，移動終端使用者可隨時隨地共享、獲取和訪問所需數(shù)據(jù)；

2.數(shù)據(jù)可集中管控，數(shù)據(jù)在統(tǒng)一接口下進(jìn)行維護(hù)，提高敏感數(shù)據(jù)的安全性；

3.容量的可擴展性，用戶個人數(shù)據(jù)存儲空間不受終端限制，隨時獲取，按需使用，隨時擴展；

4.便于企業(yè)批量數(shù)字化，相關(guān)法規(guī)要求企業(yè)保存長達(dá)數(shù)年之久的記錄和數(shù)據(jù)，尤其是針對媒體行業(yè),具體鏡像記錄有時需要PB級的存儲空間，保存如此大量的數(shù)據(jù)可以說是一個挑戰(zhàn)。

云存儲不足之處在于龐大的數(shù)據(jù)存儲和傳輸受限于網(wǎng)絡(luò)帶寬的制約。

總之，BYOD工作理念為移動信息系統(tǒng)建設(shè)帶來了機遇和安全挑戰(zhàn)，在移動信息系統(tǒng)建設(shè)上既要用技術(shù)革新辦公業(yè)務(wù)流程和模式，但如果不能較好解決移動設(shè)備、系統(tǒng)應(yīng)用、業(yè)務(wù)數(shù)據(jù)的安全問題將制約未來BYOD深入廣泛的應(yīng)用和持續(xù)發(fā)展。