BYOD時(shí)代的安全威脅分析與應(yīng)對(duì)研究

1 BYOD時(shí)代的到來(lái)

隨著通信技術(shù)和移動(dòng)互聯(lián)網(wǎng)的高速發(fā)展，移動(dòng)終端與移動(dòng)應(yīng)用已經(jīng)深入到政府、企事業(yè)單位的日常工作之中，越來(lái)越多的員工開(kāi)始使用移動(dòng)終端來(lái)處理工作，由此帶來(lái)的是辦公的便利性和企業(yè)辦公效率的提高。

BYOD是指帶自己的終端上班，終端包括個(gè)人電腦、智能手機(jī)、PAD等移動(dòng)終端設(shè)備。據(jù)Gartner最新報(bào)告預(yù)測(cè)，2016年將有38%的企業(yè)停止提供企業(yè)設(shè)備給員工，全球大約一半的企業(yè)將在2017年之前啟用BYOD計(jì)劃并且不再向員工提供計(jì)算設(shè)備。最終只有15%的企業(yè)將永遠(yuǎn)不會(huì)遷移到BYOD模式。我們已進(jìn)入了BYOD的時(shí)代，這種趨勢(shì)已不可逆轉(zhuǎn)。

2 BYOD時(shí)代的信息安全威脅

2.1 移動(dòng)智能終端的安全威脅

由于移動(dòng)智能終端本身的開(kāi)放性、靈活性，以及移動(dòng)設(shè)備的種類(lèi)繁多、操作系統(tǒng)多樣化、應(yīng)用移動(dòng)化，這些都會(huì)對(duì)信息安全造成極大的威脅。近年來(lái)，隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展和利益的驅(qū)動(dòng)，針對(duì)移動(dòng)智能終端的病毒和木馬也層出不窮，攻擊的方式也不斷更新，令人防不勝防。比如惡意軟件可以在用戶(hù)不知情的情況下，獲取用戶(hù)信息、讀取和刪除用戶(hù)的數(shù)據(jù)等。同時(shí)，由于移動(dòng)終端是隨身攜帶的，從而存在丟失、被盜的風(fēng)險(xiǎn)，隨之存放在移動(dòng)終端內(nèi)的用戶(hù)資料、企業(yè)的內(nèi)部數(shù)據(jù)就很有可能泄露，造成不可估量的損失。

2.2 無(wú)線網(wǎng)絡(luò)接入的安全威脅

在有線網(wǎng)絡(luò)的架構(gòu)下，電腦通過(guò)有線網(wǎng)絡(luò)接入，它的位置基本上是固定的，IP地址、MAC地址可以與交換機(jī)的端口進(jìn)行綁定，即便是筆記本電腦，因?yàn)橥瑯有枰寰W(wǎng)線，能夠接入的范圍也可以控制，有著明顯的網(wǎng)絡(luò)邊界，終端在網(wǎng)絡(luò)中是可控的。在BYOD時(shí)代，移動(dòng)智能終端是采用無(wú)線的方式接入企業(yè)網(wǎng)絡(luò)，網(wǎng)絡(luò)的邊界變得模糊，若不加限制，可能會(huì)讓不明用戶(hù)接入到企業(yè)的網(wǎng)絡(luò)中，甚至是惡意攻擊者接入到內(nèi)部的網(wǎng)絡(luò)，那對(duì)內(nèi)部的信息安全的威脅也就可想而知了。

2.3 用戶(hù)角色的多樣化帶來(lái)的安全威脅

在固定有線網(wǎng)絡(luò)中，由于電腦相對(duì)固定，使用電腦的人員也相對(duì)固定，用戶(hù)角色管理比較簡(jiǎn)單。而在 BYOD時(shí)代，隨著業(yè)務(wù)需求的增加，需要接入企業(yè)網(wǎng)絡(luò)的角色比以往明顯增加，以后未知的角色還會(huì)不斷增加；接入的場(chǎng)景又分有線、無(wú)線、內(nèi)網(wǎng)、外網(wǎng)等。對(duì)于這些不同的角色，企業(yè)能夠訪問(wèn)的資源是不同的，需要不同的策略和認(rèn)證方式。另外還需要考慮的時(shí)間、地點(diǎn)等其它因素。用戶(hù)角色的多樣化必然會(huì)增加了管理的復(fù)雜性，攻擊者可能利用其中的漏洞進(jìn)行角色的轉(zhuǎn)換，從而提升自己的管理權(quán)限，進(jìn)一步竊取企業(yè)內(nèi)部的數(shù)據(jù)。

2.4 常用的應(yīng)對(duì)策略

2.4.1 移動(dòng)智能終端的安全保護(hù)

在 BYOD發(fā)展的初期，為了應(yīng)對(duì)安全威脅，首先嘗試用對(duì)待筆記本和固定電腦的辦法來(lái)解決移動(dòng)安全問(wèn)題。但是，在面對(duì)各類(lèi)移動(dòng)操作系統(tǒng)時(shí)，這種方法便存在許多不足。

現(xiàn)在，專(zhuān)門(mén)針對(duì)BYOD的MDM（移動(dòng)設(shè)備管理）應(yīng)對(duì)策略逐漸被應(yīng)用于內(nèi)部的管理和安全防護(hù)中。MDM能提供完整的移動(dòng)終端生命周期（從注冊(cè)、激活、使用、直至淘汰）各個(gè)環(huán)節(jié)的管理，能實(shí)現(xiàn)用戶(hù)及設(shè)備管理，配置管理，安全管理，資產(chǎn)管理等功能。當(dāng)設(shè)備丟失或被盜時(shí)，可以遠(yuǎn)程鎖定設(shè)備、遠(yuǎn)程擦除設(shè)備上的數(shù)據(jù)，從而達(dá)到最大程度地保護(hù)數(shù)據(jù)的目的。當(dāng)終端使用者違反安全策略時(shí)，能夠及時(shí)通知企業(yè)管理者，對(duì)違反者進(jìn)行警示，嚴(yán)重的直接禁用其 BYOD 的功能，并清除相關(guān)數(shù)據(jù)。

2.4.2 安全認(rèn)證與終端接入控制

身份管理是安全管理的重要組成部分。只有通過(guò)身份的認(rèn)證，并根據(jù)認(rèn)證的結(jié)果賦予相應(yīng)的權(quán)限，才能有效地劃分用戶(hù)的可操作的范圍和分配可讀取的數(shù)據(jù)。

為了安全，不是所有的移動(dòng)終端都能參與BYOD，企業(yè)必須限制終端接入的類(lèi)型、操作系統(tǒng)；另一方面，管理員通過(guò)掌握允許接入的終端的類(lèi)型和操作系統(tǒng)等有關(guān)信息，才能對(duì)可能存在的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估。比如：當(dāng)一名用戶(hù)需要使用自帶的移動(dòng)終端接入企業(yè)內(nèi)部網(wǎng)絡(luò)時(shí)，無(wú)論是在什么場(chǎng)景接入，首先必須進(jìn)行統(tǒng)一的安全認(rèn)證，判斷用戶(hù)的身份。然后系統(tǒng)在獲取該移動(dòng)終端的類(lèi)型和操作系統(tǒng)等有關(guān)信息，才根據(jù)安全策略給予接入，賦予其相應(yīng)的訪問(wèn)權(quán)限，同時(shí)記錄此次接入的全部信息，方便過(guò)后的審計(jì)。

2.4.3 數(shù)據(jù)的防泄漏與數(shù)據(jù)的安全加密

當(dāng)前，許多企業(yè)最核心的價(jià)值之一就是數(shù)據(jù)，攻擊者最終的目標(biāo)也是竊取企業(yè)的關(guān)鍵數(shù)據(jù)。因此，數(shù)據(jù)的安全是 BYOD時(shí)代必須重點(diǎn)解決的問(wèn)題。

首先，要將個(gè)人的數(shù)據(jù)與企業(yè)的數(shù)據(jù)進(jìn)行充分隔離。企業(yè)單位應(yīng)準(zhǔn)確定義出自己需要保護(hù)的數(shù)據(jù)類(lèi)型，個(gè)人的移動(dòng)終端需要訪問(wèn)這些數(shù)據(jù)時(shí)，必須安裝 BYOD軟件，將企業(yè)的數(shù)據(jù)進(jìn)行集中存放，使個(gè)人與企業(yè)的數(shù)據(jù)相互之間處于一個(gè)相對(duì)隔離的環(huán)境，防止數(shù)據(jù)的泄漏。其次，對(duì)企業(yè)數(shù)據(jù)進(jìn)行嚴(yán)格的控制，規(guī)定員工必須服從企業(yè)的策略，有責(zé)任保護(hù)企業(yè)數(shù)據(jù)安全，員工在使用BYOD軟件應(yīng)當(dāng)簽署保密協(xié)議。

同時(shí)，由于移動(dòng)終端是通過(guò)無(wú)線網(wǎng)絡(luò)進(jìn)行通信的，因此，保證數(shù)據(jù)的安全存儲(chǔ)與傳輸顯得尤為重要。數(shù)據(jù)不僅在存儲(chǔ)時(shí)要加密，而且在傳輸?shù)倪^(guò)程中要對(duì)數(shù)據(jù)流進(jìn)行加密。企業(yè)自主開(kāi)發(fā)的APP應(yīng)用應(yīng)該減少數(shù)據(jù)的本地存儲(chǔ)，盡量使用遠(yuǎn)程讀取的方法，不在終端上存儲(chǔ)，從而降低數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。

3 進(jìn)一步加強(qiáng)DYOD安全防護(hù)的幾點(diǎn)思考

3.1 解決BYOD安全與效率的問(wèn)題

為了應(yīng)對(duì) BYOD的安全風(fēng)險(xiǎn)，有些企業(yè)規(guī)定不得在個(gè)人移動(dòng)終端上運(yùn)行敏感的應(yīng)用，不允許移動(dòng)接入組織內(nèi)網(wǎng)等，這樣雖然能提高安全等級(jí)。但過(guò)于嚴(yán)格的安全措施卻會(huì)損害員工的積極性。因此，制定安全策略時(shí)不應(yīng)搞一刀切，應(yīng)根據(jù)員工訪問(wèn)的權(quán)限、接入的場(chǎng)景分配安全策略，尋找自由與安全的平衡點(diǎn)。首先，不強(qiáng)制訪問(wèn)員工的個(gè)人數(shù)據(jù)，保護(hù)個(gè)人的私隱。只有當(dāng)員工的移動(dòng)終端接入內(nèi)部網(wǎng)絡(luò)時(shí)，才根據(jù)其權(quán)限在安全策略的控制下訪問(wèn)已授權(quán)的數(shù)據(jù)，同時(shí)，在移動(dòng)終端上設(shè)置的“安全集裝箱”，數(shù)據(jù)必須運(yùn)行其中，使企業(yè)數(shù)據(jù)與個(gè)人數(shù)據(jù)是相互隔離的，在最大程度上確保了安全性與效率的統(tǒng)一。

采用虛擬化技術(shù)。系統(tǒng)和數(shù)據(jù)都存儲(chǔ)在后臺(tái)服務(wù)器端，前端設(shè)備與虛擬機(jī)之間傳輸?shù)闹皇擎I盤(pán)、鼠標(biāo)動(dòng)作以及顯示界面的刷新部分，而非完整的數(shù)據(jù)包。由于終端只顯示數(shù)據(jù)，沒(méi)有存儲(chǔ)數(shù)據(jù)，因此也就不存在數(shù)據(jù)丟失或泄露的問(wèn)題，也不會(huì)對(duì)個(gè)人的數(shù)據(jù)產(chǎn)生影響，在保證內(nèi)部數(shù)據(jù)的安全性的同時(shí)不影響個(gè)人的使用設(shè)備的自由。

3.2 建立綜合防護(hù)體系

針對(duì) BYOD安全應(yīng)對(duì)措施仍比較分散，有的注重移動(dòng)終端的安全防護(hù)，有的強(qiáng)調(diào)無(wú)線網(wǎng)絡(luò)的安全，各自為戰(zhàn)，缺乏統(tǒng)一的安全防護(hù)規(guī)劃；還有的雖然安全防護(hù)的策略很多，但是用戶(hù)的操作非常復(fù)雜，降低了工作的效率同時(shí)，也存在著安全的隱患。因此，必須建立綜合的防護(hù)體系，統(tǒng)一接入、統(tǒng)一策略、統(tǒng)一管理，才能實(shí)現(xiàn)終端到服務(wù)端的立體防護(hù)。

首先，通過(guò)統(tǒng)一的移動(dòng)安全客戶(hù)端軟件實(shí)現(xiàn)統(tǒng)一接入。該軟件是用戶(hù)和網(wǎng)絡(luò)、應(yīng)用的唯一交互界面，是一個(gè)安全的移動(dòng)辦公工作臺(tái)，集成了“安全集裝箱”、安全瀏覽器、虛擬桌面等應(yīng)用，既可滿(mǎn)足移動(dòng)辦公的通用需求，又能保障企業(yè)員工安全、高效地接入和訪問(wèn)企業(yè)內(nèi)網(wǎng)。同時(shí)，使用統(tǒng)一的基于環(huán)境感知的網(wǎng)絡(luò)接入控制。接入終端是使用什么設(shè)備（What device）、什么身份（Who）、在哪里（Where）、什么時(shí)間（When）和采取什么方式接入（How）等信息都能被環(huán)境感知，從而實(shí)現(xiàn)細(xì)粒度訪問(wèn)控制策略。IT部門(mén)可通過(guò)統(tǒng)一策略管理平臺(tái)，基于一個(gè)用戶(hù)角色，一次性配置多套策略模版，統(tǒng)一分發(fā)到移動(dòng)客戶(hù)端，實(shí)現(xiàn)精確的網(wǎng)絡(luò)訪問(wèn)控制。統(tǒng)一策略管理不僅保證了單一策略來(lái)源，安全策略在全網(wǎng)范圍還能保持一致性，確保企業(yè)安全策略統(tǒng)一實(shí)現(xiàn)。

3.3 軟件定義網(wǎng)絡(luò)保護(hù)BYOD安全

基于 OpenF1ow 的 SDN（軟件定義網(wǎng)絡(luò)）技術(shù)是將網(wǎng)絡(luò)的數(shù)據(jù)平面和控制平面分離開(kāi)，通過(guò)部署中央控制器來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的管控，為未來(lái)網(wǎng)絡(luò)的發(fā)展提供了一種新的解決思路。

在SDN網(wǎng)絡(luò)安全架構(gòu)中，在很多細(xì)化的BYOD場(chǎng)景中，安全策略不必強(qiáng)求統(tǒng)一，可以基于用戶(hù)的屬性分配不同的策略，如不同部門(mén)的員工有規(guī)定的訪問(wèn)資源區(qū)域；實(shí)習(xí)員工限于訪問(wèn)某服務(wù)器上的特定服務(wù)，而不能訪問(wèn)該服務(wù)器上的其他服務(wù)，在一些高安全級(jí)別的場(chǎng)景中，還需要將這些端口級(jí)別的服務(wù)訪問(wèn)數(shù)據(jù)動(dòng)態(tài)有序地牽引到多個(gè)安全防護(hù)設(shè)備中等。同時(shí)部署簡(jiǎn)單，即使是復(fù)雜的網(wǎng)絡(luò)控制，也只需一個(gè)集中的安全控制平臺(tái)、一個(gè)SDN 控制器和一個(gè)有足夠多端口的 SDN 交換機(jī)即可實(shí)現(xiàn)。而且是可擴(kuò)展的，可根據(jù)所需接入的區(qū)域，按需增加無(wú)線路由器，也可根據(jù)接入規(guī)模增加 SDN 交換機(jī)。實(shí)現(xiàn) SDN 環(huán)境的無(wú)線接入后，可以根據(jù)接入用戶(hù)的身份等屬性，做更細(xì)粒度的安全檢查，以適用于 SDN 環(huán)境的訪問(wèn)控制機(jī)制。

軟件定義網(wǎng)絡(luò)是解決移動(dòng)終端訪問(wèn)異構(gòu)網(wǎng)絡(luò)資源的一種有效的方法，它能將訪問(wèn)策略與具體控制分離，動(dòng)態(tài)根據(jù)訪問(wèn)主體和被訪問(wèn)客體決定訪問(wèn)策略，以及按需編排訪問(wèn)控制設(shè)備，從而為企業(yè)提供了新的安全保障措施。

在 BYOD時(shí)代，移動(dòng)安全和管理本質(zhì)上要解決的問(wèn)題可以概括為：身份和設(shè)備可識(shí)別、關(guān)鍵數(shù)據(jù)不泄密、設(shè)備可管理，最終目標(biāo)是讓攻擊者進(jìn)不來(lái)，看不到、拿不走數(shù)據(jù)，最后逃不掉。同時(shí)，移動(dòng)安全問(wèn)題又是一個(gè)動(dòng)態(tài)發(fā)展的過(guò)程，這需要在今后不斷地進(jìn)行研究，才能制定出適合自己本單位的企業(yè)安全應(yīng)對(duì)策略。