張源

BYOD已成現(xiàn)代人們工作的新潮流，企業(yè)資源訪問方便快捷、工作效率大幅提高，然而這也為企業(yè)信息安全帶來了新的挑戰(zhàn)。針對這個安全問題，本文就此提出了四種具有安全防護

功能的安全管理策略，實現(xiàn)對企業(yè)數(shù)據的安全保障。

隨著信息科技技術的不斷發(fā)展，BYOD進入了人們的生活工作中。BYOD（Bring Your Own Device）是指隨身攜帶終端設備辦公，這些終端設備主要包括筆記本電腦、智能手機以及平板電腦等輕便易攜帶的移動智能終端，能夠讓員工不受時間地域限制隨時隨地輕松辦公，如收發(fā)郵件、訪問各方資源、處理公司業(yè)務等，可謂無處不辦公。然而在享受其利的同時，由于網絡的多元化以及移動設備的多樣化，企業(yè)信息安全受到一定的潛在風險，如何防范這種潛在風險是企業(yè)需首要解決的難題。

BYOD下企業(yè)面臨的挑戰(zhàn)

安全挑戰(zhàn)。在外部網絡環(huán)境中，員工無法確保自己的移動設備運行在安全的網絡之下，當借助于安全性未知的網絡進行網頁瀏覽、郵件收發(fā)以及應用下載等各種形式的資源訪問時，移動設備極易受到非法攻擊，如被植入“木馬”或病毒侵害。當移動設備再次訪問員工所屬企業(yè)內部信息資源時，就會對企業(yè)內部數(shù)據造成嚴重威脅，可能導致企業(yè)敏感數(shù)據被惡意篡改或竊取。比如員工在移動設備上下載安裝各類應用軟件，其可靠性難以保證，如果存在安全隱患，輕則使移動設備出現(xiàn)異常，重則丟失重要數(shù)據。同時還由于移動設備易被盜竊，所以容易導致企業(yè)信息泄露。

管理挑戰(zhàn)。BYOD下員工能夠利用移動設備通過移動、虛擬以及云環(huán)境實現(xiàn)企業(yè)內部資源的共享，然而這些移動設備存在標準不統(tǒng)一的特征，并且以非集中形式縱橫分散，這在很大程度上增加了對移動設備的管理難度，因此對其進行有效的管控存在相當?shù)奶魬?zhàn)性。如果能實現(xiàn)對移動設備的統(tǒng)一管理，不僅能夠將其企業(yè)部署消耗的成本，還能夠有效保障敏感數(shù)據的機密性。這就更增加了IT管理員的工作復雜程度，各種網絡安全問題已讓IT管理員忙得焦頭爛額，IT管理員不得不使用最新軟件來保障抵御非法攻擊，這些軟件具有管理移動設備、系統(tǒng)漏洞以及對數(shù)據進行加密的功能，所以新舊軟件共同合作運行，IT管理員的網絡管理就變得更為復雜了。

基礎設施挑戰(zhàn)。企業(yè)自開發(fā)往往成本較高，所以將業(yè)務遷移向移動環(huán)境進行部署有助于縮減企業(yè)成本，而這樣的話，安全性難以評估的移動環(huán)境對于企業(yè)IT部門來說就是應很大的挑戰(zhàn)。BYOD重新部署了IT鏈，尤其是當無線接入時，如何對無線網絡進行合理部署以實現(xiàn)無線網絡的動態(tài)可擴展性是一個值得深思的問題。比如當大量用戶攜帶者自己的移動設備接入無線網絡，其中很多移動設備都會長時間連接網絡，移動設備上的各種資源信息隨時都處于不斷更新之中，無線網絡接入點幾乎處理飽和狀態(tài)，因而極大地增加了對移動設備的安全管理與完善工作。BOYD帶來的新挑戰(zhàn)需要全新的解決之道，傳統(tǒng)策略已顯然不能滿足日益變化的網絡的需求。

網絡安全策略

端點準入策略。當移動設備提出接入請求后，首先對其合法性進行驗證。使用安全客戶端將用戶相關信息傳到策略服務器以對用戶身份合法性進行驗證，如果身份驗證不通過則拒絕其接入網絡，通過身份驗證的客戶繼續(xù)接受安全認證，由安全策略服務器對用戶相關信息進行驗證判斷其是否合法，如果判斷為不合法，則用戶被隔離。安全策略有企業(yè)管理員制定，如果移動設備不合符先關制定規(guī)則時，訪問將受到制約。

目前H3C的EAD、思科的NAC以及諾頓的SEP都是比較理想的端點接入策略。

桌面虛擬化策略。端點準入成功后，還應預防移動設備非法對數(shù)據進行復制。由于桌面虛擬化，一切操作處理都是在后端服務器上執(zhí)行完成，數(shù)據不會保留在移動設備上，這樣就有效避免了數(shù)據被復制，在很大程度上保障了BYOD的安全可靠性。桌面虛擬化將訪問分為前臺和后臺，前臺主要負責顯示瀏覽，后臺則主要負責存儲數(shù)據，這樣就能夠有效管控下載、復制、外接、存盤等操作，進而大幅提高了企業(yè)信息的安全性；并且桌面虛擬化后，不會受到木馬或者病毒的侵害。

目前VMWare、Hyper-V以及Citrix都是比較實用的桌面虛擬系統(tǒng)。

身份認證及識別策略。企業(yè)內部機要數(shù)據需加以身份認證保護。保障數(shù)據安全除了知曉密鑰之外，還需對用戶進行二次認證，這時就需要USBKey數(shù)字證書，如此就應用到了加密技術。加密技術主要涉及到對傳輸?shù)臄?shù)據進行加解密，以及數(shù)字簽名并對簽名予以驗證，以保障信息的機要性、可靠性、以及用戶身份的真實性、簽名的正確性。數(shù)字證書存放在USBKey中，能夠有效防止被復制的可能。

行為審計監(jiān)督策略。痕跡管理作為一種文檔管理方法可為企業(yè)機要數(shù)據建立行為審計系統(tǒng)，使用這個系統(tǒng)可以實現(xiàn)監(jiān)督目的，同時還能夠對操作步驟及內容進行記錄。當發(fā)現(xiàn)敏感數(shù)據被惡意篡改時，可通過記錄功能低操作步驟及內容進行追蹤，通過搜集與評估審計證據實現(xiàn)安全保障，保護數(shù)據安全。完善的行為審計監(jiān)督體系能有效地對網絡進行全方位的管理控制。

在BYOD這種趨勢的帶動下，人們的生活工作模式已逐漸趨于多樣化，從各個方面享受科技先進技術帶來的便利，然而BYOD既有利又有弊，企業(yè)在融合BYOD的同時還應全面綜合地考慮網絡安全以及管理策略等問題。防護網絡安全首要任務便是建立一個良好的網絡安全策略。現(xiàn)代網絡已走過靜態(tài)邁入動態(tài)，在融合有線網絡與無線網絡的同時，還應對網絡安全予以高度重視，這樣才有助于使BYOD在企業(yè)中得到長期且安全地應用與發(fā)展，并使企業(yè)受到BYOD的積極反饋。

（作者單位：蘭山區(qū)煙草專賣局（營銷部））