陈姣 胡彩云
【摘要】 随着我国移动4G网络的逐步推进,BYOD成为未来企业发展的新趋势。在BYOD为我们带来便利的同时,也对企业信息安全提出了严峻挑战。本文针对BYOD带来的安全隐患进行了深入分析,提出了南方电网公司BYOD管理解决方案。
【关键词】 BYOD(Bring Your Own Device) MDM(Mobile Device Management) 安全接入平台 管理
引言
4G加速进入生活,BYOD如火如荼。调查数据显示,当前 70%的受访企业都会采用某种形式的BYOD计划,62%的员工日常工作中使用智能手机,56%的员工使用平板电脑。风靡全球的BYOD浪潮汹涌来袭,将对未来移动安全发展趋势带来怎样的影响?
概述
移动设备作为一种个人消费,已成为人们生活中不可或缺的产品。越来越多的用户希望自身携带的终端设备可以访问企业业务应用及相关内容,BYOD (Bring Your Own Device)应运而生。
BYOD 带来了全新的办公体验,如工作方式灵活,不受时间地点限制,办公效率提升,节省企业成本。总的来说,BYOD 已成为企业发展的必然趋势。与此同时,移动设备易携带、易丢失、个人消费应用和企业应用混用等特点,导致IT支持部门非常担心由此带来的安全和支持风险。
因此,各大厂商不失时机地推出各自的MDM、EMM或者 MAM 产品。例如,早在多年前,MacAfee就推出了 MacAfee MobileSecurity (MMS)以及面向企业的 MacAfee Enterpirse Mobility Management (EMM)移动终端管理平台, 以帮助个人及其所在企业全面应对移动安全威胁。赛门铁克则推出了 Symantec Mobile Security for Android 和 Symantec Mobile Management for Configuration Manager,来作为整体的移动安全解决方案,并以此应对来自企业 BYOD 的威胁。 此外,华为的 AnyOffice,360 的“天机”也都是同类产品。
南方电网公司为解决移动设备在企业办公中存在的安全问题,早在 2010 年就实施了自己的移动安全接入平台,并建立了《南方电网远程移动安全接入平台技术规范》,对企业如何进行移动信息化以及移动安全方面做出了积极探索。
一、BYOD 对企业 IT 提出挑战
1.1挑战一:安全
BYOD 在企业进行大规模应用的最大限制,就是移动终端的安全问题。这些问题包括:
1) 数据安全
智能终端易于携带、容易丢失,会导致敏感商业信息的泄漏,对数据安全构成极大威胁,给企业带来法规遵从的风险。此外, 移动终端易被他人非授权使用,产生拷贝、下载或打印企业内部敏感资料的风险。
2) 网络安全
由于自携带设备的特殊性,智能终端经常在不安全网络和企业网络之间来回切换,因此更容易遭受木马或病毒的侵害,从而将病毒或木马自动传播至企业网络,对内部网络安全构成极大威胁。
3) 应用安全
BYOD 设备来自于员工, 而非企业。员工可以任意下载和安装消费类应用,这极大地降低系统的可靠性,引入了安全风险,造成企业数据丢失或设备功能失效。
1.2挑战二:管理
当前数据显示,BYOD主要涉及智能手机和平板电脑, 但这种状况在2013年发生了改变。2013年,BYOD 设备不仅仅包括“后PC设备”,还包括了个人拥有的电脑。数量、种类繁多的BYOD设备,加上“随时、随地、随网”的使用环境,是 IT 管理工作的一个巨大挑战。
为了使移动设备安全地访问企业网络的内部资源,能够跨物理、虚拟、移动和云环境自由地共享数据,IT管理员需要考虑,如何统一管控众多非统一标准、分散各处的移动终端,避免企业机密数据外泄?包括为每种安全问题考虑和购买最新的工具,例如 MDM(移动设备管理)、系统漏洞管理、数据加密保护等安全解决方案,这无疑大大增加了 IT 管理工作的复杂性。
1.3挑战三:隐私
尊重和保护员工隐私是每个企业必须遵循的人性化管理原则之一。但是长久以来, 用户隐私在我国,尤其是移动领域中被窃取和滥用的现象非常突出。移动设备给企业带来很多优势,但这些设备的性质也使其更容易连接到个人的真实身份和数据。
一方面,APP厂商热衷于收集用户隐私数据。所谓的“大数据带来创新商业模式”,正是建立在实时用户分析的基础上,这将使移动数据收集变得越来越普遍, 带来非常严重的隐私问题。根据安管云开放平台检测结果显示,目前28.3%的应用软件含有广告,平均每个广告软件被植入2.66个广告平台的插件,而每个含广告软件大约有2种广告样式。广告条是目前移动端主要的广告样式,占比92.6%。基本上每条广告都能连接到外部网络,这些广告同时可能获取用户的位置信息和读取用户的手机号码。
一方面,相关监管机构和法律法规的缺失,进一步加剧了这种现象的发生。在可以预料的相当一段时间内,这种情况不会得到根本性的改善。
二、南方电网公司的BYOD 解决方案——移动安全接入平台
2.1网络接入
由于 WiFi 联盟认定的无线局域网安全机制具有天然漏洞,用户身份凭证易被盗取和滥用,南方电网移动安全接入平台禁止移动终端从办公网络(WiFi)进行接入,转而通过APN 或者 SSL APN 进行接入。
1) APN 接入
APN,全称Access Point Name(接入点名称),是手机通过运营商接入互联网时必须设置的一个名称。这个名称根据运营商和网络类型的不同而不同,比如中国移动的cmnet/ cmwap,中国联通的uninet/uniwap/3gnet/3gwap,中国电信的ctnet/ctwap。在日常生活中,我们通过在手机上设置这个接入点名称,就能使手机浏览网页并访问互联网。
在企业移动应用中,移动客户端当然也可以通过互联网来访问移动应用。但是,通过互联网来访问位于企业内部的企业数据和服务,相当于把整个企业内部网络暴露在公网中,这种做法并不安全。而使用“企业APN”则不同。企业APN也叫“专线APN”,是APN中的一种,不同的是,通过“企业APN”,移动终端接入的是企业内网,而不是互联网。这样,就把企业内网与互联网隔离开来,满足了企业在网络使用上的安全要求。
在移动安全接入平台中,移动终端被强制要求通过企业APN 来访问系统。终端用户需要向相关管理人员/部门提交APN 入网申请才可获得网络访问权限。通过平台内置的入网审核功能,移动终端对企业内网的访问是完全可控的。
2) SSL VPN
SSL-VPN 对比传统 VPN 而言是一种轻量级的VPN。在客户端和服务端各设置一个代理服务。由代理服务负责建立安全套接层(SSL)通道,然后将应用需要交互的数据通过加密 SSL 通道发送到对端,对端解密后交还给对应的服务或终端。服务端的 SSL-VPN 由于需要面向大量终端的请求,一般使用独立设备实现, 而终端侧一般将代理打包进应用,作为一个独立的进程,接收应用利用应用编程接口(API)发来的数据包,通过安全套接层管道发送给 SSL-VPN 网关设备。
为了保证数字内容的真实性不被篡改,需要在内容后附带一个加密指纹。加密指纹是使用密钥,对内容进行校验后用私钥加密,接收方使用公钥验证内容是否与签名符合。
使用证书进行数字内容加密。与签名流程类似,但目的不一样,签名是为了保证内容不被篡改,加密是为了保证只有拥有合法密钥的用户才能够阅读。因此加密使用的是密钥对中的公钥对内容进行加密处理, 生成密文后,只有通过合适的私钥才能够顺利解开密文。
2.2物理设备认证
UDID,是用于区分设备的 GUID 唯一编码。由于操作系统厂商的限制,获取设备物理编码(IMEI)变得不可能。因此移动安全接入平台根据一定的编码规则及设备的物理特性为每一台设备生成一个唯一的 UDID 码,用于识别移动终端。同时将该编码和特定用户进行绑定。
移动安全平台支持对入网设备的 MDN(手机号) 和UDID 进行绑定。针对首次入网的设备,系统将要求用户对该设备进行绑定。绑定是基于向该用户发送认证码短信来进行的,而用户接收短信的手机号信息来自于平台登录数据库,而短信的发送完全是由企业管理人员手动操作的。只有经过设备绑定的用户,才会被系统准入。一旦设备绑定完成,该用户的注册账户、设备 UDID 和 MDN将绑定到一起,任一信息不符用户都将无法登入平台。
此外,平台可对终端设备进行管理,如用户的移动终端不慎遗失,管理人员可通过管理后台的禁止该设备的登录。
2.3动态口令
用户在登录平台时需要输入动态口令。动态口灵每次都会随机生成,客户端不会进行缓存,并以短信的方式发送到用户的手机。
动态口令只在指定时间内有效,一旦失效只能再次请求新的动态口令。平台管理人员可以指定动态口令的有效时间,并随时查询动态口令的生成情况及有效状态。
2.4数据加密
对于在网络中传输的数据,移动安全接入平台也提供了相应的安全加密措施,包括客户端与平台之间的各种消息报文、交易信息和表单数据。对于这些高敏感数据,移动接入平台提供了一种“RSA 密钥对+AES 256位高强度加密”的复合网络传输加密机制。
RSA 和 AES 是属于两不同的加密算法:对称加密和非对称加密。顾名思义,对称加密算法,即加密与解密用的是同一把秘钥,例如:DES 和 AES;而非对称加密算法,加密与解密用的是不同的秘钥,例如 RSA。
显然,非对称加密比对称加密有着更高的安全性。因为对于对称加密,由于加密与解密的秘钥是同一把,通信的一方必须将秘钥和密文都传递过去,对方才能解密。而非对称加密则不然,只需传递密文与用于解密的公钥,对方即可解密,用于加密的私钥由己方保留不必传递给对方。RSA 算法的可靠性是基于数论中“大整数因式分解的难解性”。目前公认的观点认为:只要钥匙的长度足够长,用 RSA 加密的信息永远不可能被解破。
当然,由于非对称加密对 CPU 计算性能的依赖很大,在使用相同秘钥的情况下,非对称加密的运算速度比对称密码也要慢许多。此外,非对称加密长度能够加密的信息的长度往往受限于密钥长度。以 RSA 算法为例,1024 比特长度的密钥仅可加密大约 116 字节的信息,而 2048 比特的密钥仅可加密大约 245 字节的信息。
2.5终端管理
移动安全平台通过 MDM 进行移动终端的管理。包括:
1) 访问控制
移动设备本身的访问控制不高,通常没有安全保护(如使用简单的滑动锁)或仅有弱保护(如使用 9 点屏幕锁)。同时, 移动设备很容遗失或被盗。MDM 通过锁屏、清除密码、下发策略强制加强密码强度等远程指令来操作设备的访问控制。
2) 数据自毁
通过 MDM 的“远程擦除”操作,可以强制销毁移动设备上的所有用户数据。防止用户隐私或企业数据泄露。
3) 应用程序管理
对于“托管”设备,MDM 可以检查设备上的应用安装情况,存储空间大小,操作系统版本以及是否越狱等状态,一旦发现设备上安装可疑程序,即可通过安装在设备上的MDM 代理服务终止企业应用程序运行。
2.6企业应用商店
南方电网移动安全平台内置企业应用商店,所有企业移动应用均在企业应用商店内进行发布,由企业代替操作系统厂商对应用进行管理。
同时,对于企业应用商店中的应用,可通过 MDM 进行企业应用的无线部署(OTA)或直接推送至终端桌面。通过企业应用商店这一有力工具,无疑将极大地简化应用的安装和升级步骤,改善用户体验。
2.7 HTML5 应用程序
根据相关统计,3 年来移动设备在网页流量上贡献的比例一直在高速增长。可以预料,Web 的未来是属于移动设备的。
HTML 5 是 W3C 组织推荐的下一代 HTML 标准,目标是取代1999年所制定的HTML 4.01和XHTML 1.0 标准。到目前为止,所有的移动设备都搭载了支持 HTML5 的浏览器,无论是 IE、Safari、FireFox还是 Opera。
通过 HTML 5 网页,企业用户可以充分利用移动终端的浏览器(如Safari或IE)和网络连接能力,来访问企业服务,并实现“一次开发,跨平台共享”的目的。
无疑,HTML5应用程序在开发和维护成本上有着得天独厚的优势。南方电网移动安全接入平台具有直接驳接HTML5 应用的能力。通过企业应用商店,可以轻松发布HTML5 应用到移动终端。
三、结论
BYOD 必将成为下一轮企业发展的新趋势。于此同时,企业必将在 IT 安全和管理方面遭遇新的挑战。南方电网移动安全接入平台借助“APN/SSL VPN 接入”、“物理设备认证”、“企业应用商店”、“数据加密”、“终端设备管理(MDM)”等诸多技术手段,从多方面解决企业办公移动化所引发的数据安全、设备安全和应用安全问题,值得肯定。
参 考 文 献
[1]钱煜明.BYOD企业移动设备管理技术[J].中兴通讯技术,2013,9(6).
[2]许丽萍.BYO来袭把握移动安全四大趋势[J].上海信息化,2013,(6).
[3]孙强强.BYOD 在电力企业中的研究与应用[J].现代计算机,2013,(4).
[4]佚名.安全——移动应用平台之痛[J].互联网周刊,2013,10 (5) .