BYOD与移动安全

[摘 要] 移动互联网目前在中国高速发展，“移动”已经成为我们工作生活的新方式。随着智能终端的普及，BYOD（自带设备办公）在企业组织中的应用也越来越普遍。对于企业而言，BYOD的潮流为企业带来了明显的效益，降低了企业在移动终端上的成本投入，更好地提高了员工效率。而随着BYOD潮流的推进，企业在使用BYOD的同时，也将面临数据安全问题的严峻挑战。解决移动接入安全问题，要从技术手段和管理政策两个方面同时着手。

[关键词] BYOD；安全；移动设备；管理

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 17. 040

[中图分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194（2014）17- 0067- 02

1 BYOD应用

BYOD（Bring Your Own Device）指携带自己的设备办公，这些设备包括个人电脑、手机、平板等。随着企业信息化水平和管理效能的不断提升，基于传统PC的办公自动化系统已经明显不能满足高效率、快节奏的移动互联时代的办公需求。越来越多的平板电脑和智能手机等移动终端进入企业移动办公过程中，用户希望无论使用哪个设备都能不受时间、地点、网络环境的限制无缝访问公司的资源。特别是随着企业“私有云”的不断成型，每个员工、每个移动终端和每个业务系统都成为这个“云”的组成部分。BYOD的应用在为企业带来好处的同时，也将带来巨大的安全隐患，稍有不慎就会给企业带来巨大损失。

2 移动设备安全管理

解决移动接入安全问题，要从技术手段和管理政策两个方面同时着手，不能只重技术防护而忽视管理制度的建立。

2.1 技术手段

从技术控制手段上来看，目前主要有以下几个方面：

（1）密切关注网络安全。为了维护企业网络的安全性，企业应该采取综合的网络保护方法。通过使用动态可管理的VPN和防火墙，加密所有的网络通信，从而保护企业的数据不会在传输途中被截获。采用面向移动的Web安全网关，它可以基于设备或云，通过恶意软件过滤、信誉过滤、数据防泄露、应用可视化控制等手段，结合可行的策略控制，解决BYOD带来的网络安全风险。虽然VPN提供安全的远程网络连接，但添加网络访问控制机制是非常必要的，建立对网络本身的控制，使企业在网络发生任何损坏之前，能够阻止来自于移动设备的恶意软件的攻击。这个机制依赖于执行网络安全策略并控制终端、数据和用户访问行为，采取智能设计，在网络上提供足够的访问控制，以确保只有在安全的条件下才能访问网络。

（2）使用移动设备管理（MDM）解决方案。选择支持多个平台（如Android，黑莓，iOS，Windows等）的移动设备管理产品，它提供了一个管理控制台，可以从一个点管理所有的各种移动设备。MDM能使策略执行针对移动设备本身并提供远程位置锁定和数据擦除的能力，防止设备丢失或被盗。但是以终端为中心的安全控制方法会受到极大制约，目前业界一些厂商正在试图将MDM和移动安全客户端、移动Web安全网关和其他基于云的服务结合起来，建立强健的、高可用的架构，这种架构在今后可能会成为主流，它们已经开始推出集成的移动安全解决方案。

（3）强化身份和访问管理。BYOD的风险很多缘于静态密码，这些静态的密码方便企业员工远程访问业务数据和系统。但企业应该考虑多因素身份验证方法，加强安全性，同时继续优先考虑可用性。一次性密码和二度认证的策略可以保护企业的“大门”安全。单独登录各个应用程序需要不同的密码，因为相同的密码存在安全隐患。但是员工往往因为密码太多而产生密码疲劳症。而单点登录（SSO）工具让员工使用单一密码访问企业门户网站或者云应用，并且可以加入到SSL VPN配置中。

（4）保护用户的数据，而不是用户的设备。我们在选择移动安全解决方案时，要专注于数据的访问控制，保证数据不被恶意存储到移动设备上，数据安全防护系统需要有批准和拒绝用户试图获得特定数据的最终决定权。要使员工分清楚工作和生活数据，几乎所有的BYOD方案都包含电子邮件、日历以及通讯录，员工应避免使用个人邮箱发送工作邮件。尽可能选用不会在设备中存储数据的应用，将应用数据存储至云端，可大大降低数据泄露的可能性。对于企业最核心的数据，可以采用虚拟桌面访问方式，它创建了一个安全虚拟机，为进入企业网络的移动设备访问提供了一个安全窗口，确保数据的安全和业务连续性，它不允许数据在用户的个人设备之间以及企业基础设施之间流动。

2.2 管理制度

没有一种解决方案可以独自解决移动设备所带来的挑战。完善的安全解决方案将会是广泛的产品组合，可以实时抵挡来自于移动设备的新的安全威胁，对远程用户执行安全合规检查，并保护网络、数据和客户端的安全。技术控制手段是保障BYOD安全的第一步，第二步则是要制定一个管理制度，创建一个宏观安全策略。

（1）制定管理制度，并坚持下去。要制定一个管理制度，阐明在员工使用移动设备接入公司网络时，应该做什么和不该做什么，并严格执行和长期坚持下去。对于任何IT管理流程，技术解决方案只是一个方面，要让员工明白管理制度同技术解决方案同样重要。同时，不要让自己或关键员工成为例外，如果你和你的优秀员工不遵守安全协议，其他人也会忽略你的制度，那么你的公司将面临数据暴露给外部的威胁。

（2）当员工离职时，立即断开员工与企业网络的联接。要明确什么样的数据任何员工都可以访问，什么样的数据必须严格访问控制。要确保员工不会获得更多的公司数据而这些数据并不是他们工作需要的。此外，当员工离职时，必须立即断开他与公司的联接，并确保从其个人设备上擦除公司的数据。如果一个离职的员工还能通过个人设备进入原公司的工作网络，则会给公司带来巨大的灾难。

（3）加强员工沟通，做好安全培训。盖特纳最新的一份报告显示，预计到2016年，由于企业移动管理规定的严格，20%的BYOD计划将面临失败。企业员工不喜欢被监控，IT部门也会为政策的实施不力而烦恼。所以，建立一个平衡于企业数据安全与BYOD正常实行之间的政策并非易事。IT部门要与员工进行多方面的沟通，让员工积极参与企业的BYOD计划并积极介入管理政策的制定，这其中会有很多考量，也涉及很多法律法规。通过员工的参与，制订出一个员工可以接受的BYOD方案。其次，仅仅一个政策并不足够，还要加强对员工的安全培训，教育引导设备使用者在不同地方使用数据时该如何保护数据。

总之，BYOD不只是一个技术问题，它也是一个要求企业IT部门和其他部门协作来有效整合业务战略、安全政策和IT系统的商业问题。BYOD实施后，如果发生员工设备滥用或危及企业数据安全的事件，将导致员工个人设备上的数据被擦除，遵守公司的政策是每个员工应尽的职责。

主要参考文献

[1]Colin Steele. BYOD的安全问题：概念与现实[EB/OL].赵寒坡，译.，2012-11-28.