BYOD时代的安全威胁分析与应对研究

1 BYOD时代的到来

随着通信技术和移动互联网的高速发展，移动终端与移动应用已经深入到政府、企事业单位的日常工作之中，越来越多的员工开始使用移动终端来处理工作，由此带来的是办公的便利性和企业办公效率的提高。

BYOD是指带自己的终端上班，终端包括个人电脑、智能手机、PAD等移动终端设备。据Gartner最新报告预测，2016年将有38%的企业停止提供企业设备给员工，全球大约一半的企业将在2017年之前启用BYOD计划并且不再向员工提供计算设备。最终只有15%的企业将永远不会迁移到BYOD模式。我们已进入了BYOD的时代，这种趋势已不可逆转。

2 BYOD时代的信息安全威胁

2.1 移动智能终端的安全威胁

由于移动智能终端本身的开放性、灵活性，以及移动设备的种类繁多、操作系统多样化、应用移动化，这些都会对信息安全造成极大的威胁。近年来，随着移动互联网的发展和利益的驱动，针对移动智能终端的病毒和木马也层出不穷，攻击的方式也不断更新，令人防不胜防。比如恶意软件可以在用户不知情的情况下，获取用户信息、读取和删除用户的数据等。同时，由于移动终端是随身携带的，从而存在丢失、被盗的风险，随之存放在移动终端内的用户资料、企业的内部数据就很有可能泄露，造成不可估量的损失。

2.2 无线网络接入的安全威胁

在有线网络的架构下，电脑通过有线网络接入，它的位置基本上是固定的，IP地址、MAC地址可以与交换机的端口进行绑定，即便是笔记本电脑，因为同样需要插网线，能够接入的范围也可以控制，有着明显的网络边界，终端在网络中是可控的。在BYOD时代，移动智能终端是采用无线的方式接入企业网络，网络的边界变得模糊，若不加限制，可能会让不明用户接入到企业的网络中，甚至是恶意攻击者接入到内部的网络，那对内部的信息安全的威胁也就可想而知了。

2.3 用户角色的多样化带来的安全威胁

在固定有线网络中，由于电脑相对固定，使用电脑的人员也相对固定，用户角色管理比较简单。而在 BYOD时代，随着业务需求的增加，需要接入企业网络的角色比以往明显增加，以后未知的角色还会不断增加；接入的场景又分有线、无线、内网、外网等。对于这些不同的角色，企业能够访问的资源是不同的，需要不同的策略和认证方式。另外还需要考虑的时间、地点等其它因素。用户角色的多样化必然会增加了管理的复杂性，攻击者可能利用其中的漏洞进行角色的转换，从而提升自己的管理权限，进一步窃取企业内部的数据。

2.4 常用的应对策略

2.4.1 移动智能终端的安全保护

在 BYOD发展的初期，为了应对安全威胁，首先尝试用对待笔记本和固定电脑的办法来解决移动安全问题。但是，在面对各类移动操作系统时，这种方法便存在许多不足。

现在，专门针对BYOD的MDM（移动设备管理）应对策略逐渐被应用于内部的管理和安全防护中。MDM能提供完整的移动终端生命周期（从注册、激活、使用、直至淘汰）各个环节的管理，能实现用户及设备管理，配置管理，安全管理，资产管理等功能。当设备丢失或被盗时，可以远程锁定设备、远程擦除设备上的数据，从而达到最大程度地保护数据的目的。当终端使用者违反安全策略时，能够及时通知企业管理者，对违反者进行警示，严重的直接禁用其 BYOD 的功能，并清除相关数据。

2.4.2 安全认证与终端接入控制

身份管理是安全管理的重要组成部分。只有通过身份的认证，并根据认证的结果赋予相应的权限，才能有效地划分用户的可操作的范围和分配可读取的数据。

为了安全，不是所有的移动终端都能参与BYOD，企业必须限制终端接入的类型、操作系统；另一方面，管理员通过掌握允许接入的终端的类型和操作系统等有关信息，才能对可能存在的安全风险进行评估。比如：当一名用户需要使用自带的移动终端接入企业内部网络时，无论是在什么场景接入，首先必须进行统一的安全认证，判断用户的身份。然后系统在获取该移动终端的类型和操作系统等有关信息，才根据安全策略给予接入，赋予其相应的访问权限，同时记录此次接入的全部信息，方便过后的审计。

2.4.3 数据的防泄漏与数据的安全加密

当前，许多企业最核心的价值之一就是数据，攻击者最终的目标也是窃取企业的关键数据。因此，数据的安全是 BYOD时代必须重点解决的问题。

首先，要将个人的数据与企业的数据进行充分隔离。企业单位应准确定义出自己需要保护的数据类型，个人的移动终端需要访问这些数据时，必须安装 BYOD软件，将企业的数据进行集中存放，使个人与企业的数据相互之间处于一个相对隔离的环境，防止数据的泄漏。其次，对企业数据进行严格的控制，规定员工必须服从企业的策略，有责任保护企业数据安全，员工在使用BYOD软件应当签署保密协议。

同时，由于移动终端是通过无线网络进行通信的，因此，保证数据的安全存储与传输显得尤为重要。数据不仅在存储时要加密，而且在传输的过程中要对数据流进行加密。企业自主开发的APP应用应该减少数据的本地存储，尽量使用远程读取的方法，不在终端上存储，从而降低数据泄漏的风险。

3 进一步加强DYOD安全防护的几点思考

3.1 解决BYOD安全与效率的问题

为了应对 BYOD的安全风险，有些企业规定不得在个人移动终端上运行敏感的应用，不允许移动接入组织内网等，这样虽然能提高安全等级。但过于严格的安全措施却会损害员工的积极性。因此，制定安全策略时不应搞一刀切，应根据员工访问的权限、接入的场景分配安全策略，寻找自由与安全的平衡点。首先，不强制访问员工的个人数据，保护个人的私隐。只有当员工的移动终端接入内部网络时，才根据其权限在安全策略的控制下访问已授权的数据，同时，在移动终端上设置的“安全集装箱”，数据必须运行其中，使企业数据与个人数据是相互隔离的，在最大程度上确保了安全性与效率的统一。

采用虚拟化技术。系统和数据都存储在后台服务器端，前端设备与虚拟机之间传输的只是键盘、鼠标动作以及显示界面的刷新部分，而非完整的数据包。由于终端只显示数据，没有存储数据，因此也就不存在数据丢失或泄露的问题，也不会对个人的数据产生影响，在保证内部数据的安全性的同时不影响个人的使用设备的自由。

3.2 建立综合防护体系

针对 BYOD安全应对措施仍比较分散，有的注重移动终端的安全防护，有的强调无线网络的安全，各自为战，缺乏统一的安全防护规划；还有的虽然安全防护的策略很多，但是用户的操作非常复杂，降低了工作的效率同时，也存在着安全的隐患。因此，必须建立综合的防护体系，统一接入、统一策略、统一管理，才能实现终端到服务端的立体防护。

首先，通过统一的移动安全客户端软件实现统一接入。该软件是用户和网络、应用的唯一交互界面，是一个安全的移动办公工作台，集成了“安全集装箱”、安全浏览器、虚拟桌面等应用，既可满足移动办公的通用需求，又能保障企业员工安全、高效地接入和访问企业内网。同时，使用统一的基于环境感知的网络接入控制。接入终端是使用什么设备（What device）、什么身份（Who）、在哪里（Where）、什么时间（When）和采取什么方式接入（How）等信息都能被环境感知，从而实现细粒度访问控制策略。IT部门可通过统一策略管理平台，基于一个用户角色，一次性配置多套策略模版，统一分发到移动客户端，实现精确的网络访问控制。统一策略管理不仅保证了单一策略来源，安全策略在全网范围还能保持一致性，确保企业安全策略统一实现。

3.3 软件定义网络保护BYOD安全

基于 OpenF1ow 的 SDN（软件定义网络）技术是将网络的数据平面和控制平面分离开，通过部署中央控制器来实现对网络的管控，为未来网络的发展提供了一种新的解决思路。

在SDN网络安全架构中，在很多细化的BYOD场景中，安全策略不必强求统一，可以基于用户的属性分配不同的策略，如不同部门的员工有规定的访问资源区域；实习员工限于访问某服务器上的特定服务，而不能访问该服务器上的其他服务，在一些高安全级别的场景中，还需要将这些端口级别的服务访问数据动态有序地牵引到多个安全防护设备中等。同时部署简单，即使是复杂的网络控制，也只需一个集中的安全控制平台、一个SDN 控制器和一个有足够多端口的 SDN 交换机即可实现。而且是可扩展的，可根据所需接入的区域，按需增加无线路由器，也可根据接入规模增加 SDN 交换机。实现 SDN 环境的无线接入后，可以根据接入用户的身份等属性，做更细粒度的安全检查，以适用于 SDN 环境的访问控制机制。

软件定义网络是解决移动终端访问异构网络资源的一种有效的方法，它能将访问策略与具体控制分离，动态根据访问主体和被访问客体决定访问策略，以及按需编排访问控制设备，从而为企业提供了新的安全保障措施。

在 BYOD时代，移动安全和管理本质上要解决的问题可以概括为：身份和设备可识别、关键数据不泄密、设备可管理，最终目标是让攻击者进不来，看不到、拿不走数据，最后逃不掉。同时，移动安全问题又是一个动态发展的过程，这需要在今后不断地进行研究，才能制定出适合自己本单位的企业安全应对策略。