当前企业信息安全面临的两个重要威胁以及对策浅析

介绍了APT形势下的IT系统安全防护，比较了传统网络攻击与APT攻击的差异，同时阐述了BYOD所带来的安全威胁的特征与危害。并探讨了这2种信息安全威胁传统防御方式的缺陷以及相应的对策。

APT BYOD 信息安全

1 前言

众所周知，信息网络是现代社会的“神经系统”，现实社会与虚拟网络相互渗透与交织，其广度和深度都是空前的。与此同时，如何防御针对企业的APT攻击和如何防御通过BYOD办公终端窃取企业敏感信息成为业界关注的信息安全热点，本文介绍了这2种信息安全威胁的特征与危害、传统防御方式的缺陷以及未来对策。

2 APT形势下的IT系统安全防护

近几年，APT（Advanced Persistent Threat，高级持续性攻击）等新型攻击的发展给传统信息系统防护带来严峻挑战，其具有明确的目标性和长期的行为隐蔽性。

2.1 APT的特征与危害

与传统网络攻击相比，APT攻击的特征与危害如表1所示，可见APT攻击给企业的信息安全带来了前所未有的威胁，加强企业信息安全迫切需要采取新的措施。

2.2 传统安全体系的缺陷

目前，传统网络安全体系应对APT攻击非常的无力与低效，从APT攻击的原理方面分析，主要原因如表2所示。

2.3 未来的对策

为提高APT等新型攻击安全防护能力，应增强主动防御及纵深防御的能力，并引入大数据分析、沙箱检测等技术，提升对新型威胁的发现和应对能力。

（1）主动防御

开展APT安全防御，应首先以企业资产价值为出发点，分析和划定潜在的APT对象，并对这些IT资产采取差异化的保护策略（重点资产重点保护）。同时，强化和改善现有的网络安全基础设施，主动防御，防患于未然，提升安全基线，将SQL注入漏洞、明文密码等常见的安全隐患清除，这样就可以提高攻击门槛，极大延缓APT在企业网络中的渗透速度，降低安全风险。

由于APT攻击具有长期的潜伏性，为了增加攻击者通过侦听盗窃信息的难度，需要采用等级保护的策略将机密业务流量与普通流量隔离。另外，要部署良好的密钥管理体系，做好关键数据信息的加密（这是抵御APT攻击最后的防线）。

由于APT攻击者在盗取了内部员工账号之后，通常在非工作时段进行非法活动，因此需要将员工账号的在线激活时间与其工作时间进行关联，以迅速发现异常情况;对应用程序、端口、E-mail等实施“白名单”策略：只允许员工安装和运行白名单内的应用程序，严禁目的地IP地址或网络端口跳变的应用程序;只允许流量在白名单指定的端口范围内发送;白名单之外的邮件发送者产生的邮件均设定为非法邮件，一律屏蔽。

（2）提升安全检测能力，及时发现并阻止APT攻击

引入大数据分析技术，对网络、系统、终端中的各种安全日志历史数据进行全面的可视化分析，实现业务逻辑审计，及时发现异常行为。为了保护核心数据的安全，可有针对性地部署数据防泄密系统，对流出的数据进行细粒度管控，防止敏感信息的外传。

同时，部署沙箱（Sandbox）等系统，提高对新型威胁的发现和应对能力。要检测恶意代码，最大的敌人就是利用0day（零时差）漏洞的恶意代码，“0day”意味着没有特征，常规的恶意代码检测技术束手无策。沙箱的优势是可以构造一个模拟的执行环境，让可疑文件在其中运行起来，通过这个可疑文件触发的外在行为来判断是否为恶意代码。

APT攻击是在不断提升和演变的过程中，因此防御体系也必须是动态可提升的，一成不变的防御体系无法完成防护信息系统的重任，必须根据APT攻击的发展情况进行不断的调整。目前在APT防御方面还存在很多不足，检测的方法还在不断摸索和提升，防御APT不可能一帆风顺、一蹴而就，信息系统在应对APT方面还需要很长的时间来完善和成熟。

3 BYOD安全防护

BYOD（Bring Your Own Device，自带办公设备）指携带自己的设备（个人电脑、平板、手机等）办公。随着企业信息化水平不断提升和运行效率标准的提高，基于传统PC的办公系统已经无法适应移动互联时代高效率、快节奏的需求。越来越多的移动终端进入企业移动办公的领域，用户都希望能不受终端、空间、时间、网络环境的限制开展工作。特别是随着云计算技术的不断成熟，每个员工、终端和业务系统都可以成为“云”的组成部分，BYOD已经成为了一种潮流和时尚。据权威机构Gartner预测，2017年将有50%企业员工自带设备上班进行业务办公。

BYOD的应用在为企业带来好处的同时，也将带来巨大的安全隐患，BYOD的大量应用，为黑客创建了更多的网络入口，使得企业机密数据增加了新的泄密途径，给企业业务系统带来安全隐患，稍有不慎便会给企业带来不可估量的损失。因此，BYOD安全是企业移动信息化发展需要解决的重要问题。

3.1 BYOD安全架

构简介

BYOD整体安全架构如图1所示。通常，企业会通过BYOD管理系统对员工自带的移动设备进行配置和管理，以便这些移动设备能安全地通过无线网络访问企业的核心业务。

（1）移动设备管理

对于部署了BYOD的企业而言，MDM（Mobile Device Management，移动设备管理）是在保障设备安全方面必不可少的解决方案，是管理员工自带设备的基础技术手段。MDM的核心功能是对设备的额外干预，企业通过制订安全策略向携带个人设备办公的员工明确在公司可以做和禁止做的事情、应该和不应该安装运行的应用程序。IT部门可以通过MDM系统监视个人设备的使用情况，在对用户位置监控（GPS定位、IP地址定位）和数据加密的基础上限制设备功能（如强制锁屏、关闭摄像头、非法URL访问过滤、恶意Web页面访问控制、防病毒、防木马传播、恶意邮件过滤等）。

（2）移动应用和内容管理

企业IT部门需要管理和保护传输到员工个人设备的移动应用与内容。例如，很多企业的BYOD安全方案都可以远程擦除移动设备中的数据，强制设置查看邮件密码和查看内部机密文件密码等。此外，还应该考虑转换或升级某些员工常用的应用程序。例如，员工如果没能及时对某些软件进行安全更新，就可能导致企业数据泄漏，需要定期监测并强制升级。

（3）标识和接入管理

很多员工的移动设备都默认设置成可以自动发现并连接开放无线AP（无需任何密码就可访问），安全风险显而易见。由于BYOD的普及，企业应该增强其Wi-Fi网络接入的管控能力，强制员工在访问企业资源时一定要启用VPN，以确保业务在传输到个人办公设备的同时，敏感数据不会泄露。这意味着MDM的网络解决方案能够根据用户身份以及设备类型来确保正确的授权访问。

（4）安全远程访问

安全远程访问可以使个人设备从外网安全地登录到企业网络（内网）。但是，BYOD用户通常不具备数据通信的专业知识，无法有效地在自己的移动终端上建立安全的VPN通道。因此，IT部门需要利用MDM解决方案中的功能，对员工设备进行远程配置，尽量为员工减少操作复杂性。

3.2 安全风险

相比传统的企业办公环境，BYOD非常容易引发安全及管理风险，迫使企业安全部门必须采取相应的措施来降低风险，在员工工作效率与安全措施之间需要达到一个平衡。下面介绍3种常见的BYOD安全风险。

（1）设备丢失

由于体积小，移动设备非常容易丢失或被盗窃。在员工移动设备上存储有大量机密的客户数据（敏感的客户信息、企业邮件、商业机密等），这些信息的泄露会严重影响企业的正常运转与业务开展。设备丢失的危害性甚至超过内部员工泄密的情况。虽然一些企业部署了远程数据擦除功能，但是一些员工基于隐私的考虑不愿意让企业IT部门完全控制自己的终端，这就需要在移动设备中将公司数据和员工个人数据有效隔离，在远程删除时只删除公司的数据。

（2）破解和Root设备

员工通过一些技术手段来强行破解移动设备的权限设置或取得超级用户权限，破解是为了移除设备制造商的一些限制，但是这些限制往往是为了改善安全而设的。破解和ROOT设备会导致设备受到恶意软件攻击的风险大增。超级用户权限也使得用户可以安装和运行一些具有潜在恶意行为的软件。

（3）恶意应用泛滥

企业缺少移动应用的有效管理手段，员工可以在设备上任意下载和安装来源不明的应用软件，这将会极大地降低终端操作系统的可靠性，这些未知的应用程序可以访问公司的数据，对信息安全构成巨大威胁。

（4）APP过度授权

虽然应用软件开发者通常在程序安装前会向用户说明需要调用的手机权限、功能和数据。但遗憾的是绝大多数用户在安装应用前都不太关注授权要求，通常会不加思索就点“同意”。这就为很多窃取个人隐私和手机应用数据的无德厂商和黑客打开了方便之门。那些授权请求数量过多的应用往往会导致联系人、使用者的位置信息以及机器内重要数据的泄漏。很多第三方应用商店已经成为恶意软件、木马软件和流氓软件的温床，在治理BYOD安全问题时首先要做的事情就是切断各种刷机、第三方应用市场的通道，统一使用正规的应用商店或企业自有移动应用商店，同时根据应用授权请求情况设立移动应用白名单。

（5）云存储服务

移动云存储服务也是企业数据泄漏的巨大隐患。例如IBM就禁止员工使用Dropbox这样的公共云存储服务，但是堵不如疏，最好的办法是提供安全的替代方案。企业可以尝试部署开源私有云存储方案。棱镜门事件后，私有云产品创新加速，例如德国公司Protonet推出了面向中小企业的私有云一体机，市场上也出现了私人云Plu品。

3.3 未来对策

BYOD的安全未来将主要通过2方面来实现安全提升。

首先，提升移动智能终端的运行环境安全。业界目前主要基于虚拟化技术构建安全区，隔离安全与非安全应用，从而保障BYOD应用运行环境的安全。其中，基于硬件扩展的虚拟化，如可信执行环境TEE，由于产业链不够成熟、成本较高，目前局限应用于高安全场合。业界更多考虑基于Hypervisor的软件虚拟化及应用容器等实现技术。另外，通过桌面虚拟化、应用虚拟化技术提供隔离环境，避免在终端上运行重要应用、存储关键数据也是一个重要发展方向。

其次，将移动智能终端纳入企业终端管理系统，实施统一安全策略。BYOD设备管理重点是将企业信息化管控能力延伸到移动设备甚至APP，可以使管理员集中配置、管理企业设备和员工自带设备，并以一种集中、基于角色的方式与IT资源集成，充分发挥对终端管理的功能。未来，BYOD设备管理将从“MDM（Mobile Device Management，移动设备管理）”转移到“EMM（Enterprise Mobile Management，企业移动管理）”。MDM关注的重心是如何保证企业员工安全地使用企业数据和企业应用，安全方案主要是建立在容器、沙箱的模式上，主要目的是隔离企业管理的数据，并不关心员工使用的是否是个人设备。而EMM更专注于员工相互交流和跨平台应用管理，通过情景感知，基于与内容相关的管理属性，例如角色、时间、位置以及内容的类型等，智能调度安全策略。由于只管理设备上的企业内容和应用，既能有效保护用户隐私，同时也减轻了企业管理压力。

4 结束语

传统的信息安全措施无法有效应对APT攻击，也难以适应BYOD办公潮流，需要新的技术和体系，本文对这2个热点问题进行了阐述和剖析，希望能够为相关人士提供一定的参考。

参考文献：

[1] 中国电信股份有限公司. 中国电信信息基础设施安全技术白皮书[Z]. 2014.

[2] 张帅. 对APT攻击的检测与防御[J]. 信息安全与技术， 2011（9）： 125-127.

[3] 刘东鑫，刘国荣，王帅，等. 面向企业网的APT攻击特征分析及防御技术探讨[J]. 电信科学， 2013（12）： 158-163.

[4] 国炜，宁华，修德利. BYOD安全技术分析[J]. 互联网天地， 2014（3）.

[5] 任永学，李晓宇，盛杰成，等. 企业移动信息化发展研究[J]. 邮电设计技术， 2014（10）.