可信計算技術為BYOD保駕護航

對企業來說，BYOD（自帶設備，Bring Your Own Device）已經不再是個別的行為，而是一種慣例。盡管能帶來很多便利，但也要關注它對企業安全的影響。BYOD有何風險，能給企業帶來哪些收益，采用BYOD時如何保證數據安全是每個企業都關心的問題。

企業要為員工提供最新、最先進的技術以保持競爭力。新技術帶來了更加多樣的設備和數據訪問方式，成為傳統PC平臺之外的新選擇，蘋果CEO Tim Cook稱之為“后PC時代”。這種轉變催生了BYOD，并迅速流行開來。BYOD指的是不僅僅使用個人電腦，還包括智能手機、平板電腦、黑莓、超輕薄筆記本電腦等硬件和軟件以及服務進行工作。

BYOD的技術也允許用戶使用非公司定制的軟件，這種效應稱為BYOS（自帶軟件，Bring Your Own Software）。比如，員工可以使用免費的公共的云存儲服務作為大文檔協作和傳輸的工具。

教育研究機構走在了BYOD應用的前列。以伊利諾伊大學內珀維爾校區為例，該校預計有17000臺便攜式電腦、平板電腦、PC、投影機、交互式白板、電子書、iPod等設備連接到學校的辦公大樓、主數據中心和備用數據中心。該校的BYOD項目采用了TCG（可信計算組，Trusted Computing Group）的相關標準，根據用戶的身份、設備配置和位置提供不同的網絡訪問功能，老師、學生和員工既可以使用個人的也可以使用學校的便攜式電腦和其他移動設備接入學校的無線局域網。

毫無疑問，BYOD能給員工和企業都帶來好處。員工可以按自己的喜好選擇設備，擁有更高的系統權限，只需攜帶一個設備就能同時滿足工作、生活、娛樂的需要，靈活性、移動性也更高。企業可以削減硬件采購的成本，減少開發、操作和維護支出，員工使用自己的設備更得心應手因而能提高工作的效率，而且成功的BYOD項目能帶給員工更多的滿意感。然而，BYOD帶來的風險也不容忽視。首當其沖的就是安全風險。員工使用自己的設備進行工作意味著員工的設備要接入單位網絡、處理甚至存儲單位的數據，敏感的企業數據將暴露甚至存儲在數以千計的、缺少控制的個人設備中。如果這些設備感染病毒、木馬等惡意軟件和代碼，單位網絡就可能遭到攻擊；一旦這些設備丟失或失竊，就可能造成數據丟失或泄露。

出于對數據安全的擔憂，IBM于2012年5月禁止其40萬員工使用兩種流行的消費級應用：云存儲服務Dropbox和蘋果iPhone的個人手機助手Siri。Siri是一款利用蘋果提供的服務把語音轉換成文本的應用，可以根據語音命令創建文本消息和電子郵件，而這些信息可能會包含敏感的私人信息。

然而，認為禁止使用個人設備就能解決安全問題的想法無疑是錯誤的。畢竟員工使用的是自己的設備，單位難以進行監視，也不可能禁止。員工可能在管理者眼皮底下使用“安全”的設備，如臺式機等。但可能管理者一轉身，他們就會立刻開始在暗處使用個人手機或平板電腦。

面對BYOD的洶涌大潮，企業只有采用正確的技術和管理措施，才能享受到BYOD帶來的好處而不會受到傷害。TCG開展了一系列的研究，發布了基于信任的訪問控制模型，針對計算機和服務器安全的可信平臺單元、針對移動設備的移動可信單元、針對數據安全的自加密驅動器和針對企業網絡的可信網絡連接和保證BYOD安全的策略，幫助企業應對BYOD的安全風險。

一、基于信任的訪問控制

BYOD最大的不同是員工擁有、操縱和管理設備。因此，應當根據信任程度的不同賦予不同的訪問權限。訪客的信任級別最低，訪問級別也最低。可信用戶使用可信設備時信任級別最高，因而訪問級別也最高。居中的則是不同信任級別的用戶，比如使用不安全設備的員工或者合作伙伴等等。

二、可信平臺模塊

（Trusted Platform Module，TPM）

TPM是內置在計算設備中的硬件安全組件，包含密碼運算部件和存儲部件，能完成完整性度量、數據加/解密、數字簽名以及安全存儲等功能。其內部的AIK密鑰僅對產生此密鑰的平臺是可用的，若用其私鑰加密要發送的信息，就可以確保消息源的真實性。同時，平臺的PCR值可以作為“可信度量值”來保證平臺的可信，相應的日志信息可以保證協議運行中消息的“新鮮性”，因而可以作為用戶和設備的身份認證、網絡訪問和數據保護的依據。此外，TPM在平臺間不可交換，它通過生成一個惟一的數字簽名來保護用戶數據，該簽名用于標記數據可被存取的惟一平臺和硬件，防止數據被其他設備讀取和使用。目前TPM已經應用于包括便攜式電腦在內的超過5億的終端上，安裝了TPM的平板業已上市，但移動設備還沒有全部安裝TPM。

自加密驅動器

（Self-Encrypting Drive，SED）

SED和其他存儲設備一樣用于數據存儲，但它能自動對所有用戶和系統數據進行加密，將數據與未授權的應用完全隔離。SED可以設置數據存儲的本地策略，而且還能避免軟件加密所固有的性能損失。除了提供安全存儲功能，SED還支持企業數據的遠程擦除。一旦企業發現數據泄露或設備失竊，也能通過遠程操作刪除設備中的數據，防止犯罪分子破解密譯設備中的信息。

可信網絡連接

（Trusted Network Connect，TNC）

TNC是建立在基于主機的可信計算技術上，主要目的是通過使用可信主機提供的終端技術，實現網絡訪問控制。TNC的主要思想是當終端訪問網路之前，要對終端的身份進行完整性檢測。如果滿足安全策略要求，則允許終端接入網絡；否則，則拒絕或對該終端進行隔離。當終端處于隔離狀態時，可以對該終端進行修復。當終端的完整性和其他屬性達到系統安全策略的要求時，才允許其接入網絡，這樣就大大提高了整個網絡系統的安全性及可信性。

TNC實現網絡和終端的可視化，幫助網絡管理員掌握誰在使用網絡、網絡傳輸的是什么內容、設備是否可否可信。TNC使用基于網絡的增強的訪問控制，根據身份驗證、設備和用戶行為來確定允許還是阻止網絡訪問，從而提供了多供應商環境下全方位的安全、網絡訪問控制和互操作。

移動可信單元

（Mobile Trusted Module，MTM）

隨著第三代移動通信（3G）時代的來臨，移動計算平臺的應用越來越廣泛，大量運行在傳統計算平臺上的應用被移植到移動計算平臺中。智能手機等移動計算平臺實際就是一個功能強大的嵌入式系統。由于移動計算平臺的應用環境復雜，除了終端用戶之外還具有多個利益相關者，如設備、通信、應用等服務的提供商，它們無法直接接觸到終端，不能像用戶那樣利用基于TPM的可信服務來驗證自身的可信性，需要為它們提供符合自身利益需求的可信服務。因此，MTM就應運而生了。

MTM以參考完整性測量值（reference integrity metrics，RIM）作為可信驗證的依據。一個RIM可以是一個軟件鏡像的SHA1哈希值，并包含在一個RIM證書之中，由RIM作者負責創建。每個MTM都存儲一系列用于認證RIM證書的密鑰。密鑰分為根密鑰和非根密鑰。持有根密鑰的一方負責給MTM提供RIM證書，非根密鑰用于對RIM證書進行認證，從而實現對移動設備的認證。因此，MTM的可靠性依賴于采用的加密算法和密鑰長度。此外，MTM還設計有位置隔離和自我防護功能，抵御攻擊的范圍和TPM相當。

MTM為移動平臺定義了兩種可信模塊，分別是移動遠程所有者可信模塊（Mobile Remote-owner Trusted Module，MRTM）和移動本地所有者可信模塊（Mobile Local-owner Trusted Module，MLTM）。移動遠程所有者是指為移動平臺提供服務（網絡信號、服務支持等）的利益相關者。他們只為移動平臺提供相關的服務，不能對設備進行直接的物理訪問。為了保證他們所提供的組件及服務的可信性，就需要MRTM，且禁止其休眠、失效或者被移除。移動本地所有者是指移動平臺的使用者，如用戶。他們對平臺具有控制權，在平臺啟動之后，可以通過平臺中的本地所有者可信模塊MLTM對用戶服務進行證明，類似于PC中的TPM，能夠休眠、失效或者被本地所有者安裝、移除，是可選擇使用的。

實施建議

再先進的技術也不能保證100%的安全。常言到，安全30%靠技術，70%靠管理。因而制定完善的管理措施，執行安全技術尤為重要。

安全評估。企業應當對用戶、設備、網絡、資源、地理位置和對策進行全面的評估以確定安全風險的來源。

削減風險。企業應當嘗試制定對策以削減風險。比如，企業可以要求員工在設備上運行安全代理，關閉不必要的端口和服務器，依據信任根集成和識別安全代理，在設備上創建安全沙箱或分區，為設備創建更安全的虛擬局域網，在設備上安裝遠程終端軟件以避免在本地存儲企業數據。如果使用得當的話，這些措施可以降低在安全評估中確定的風險。

訪問控制。企業根據策略、身份、設備配置和集成因素確定哪些訪問操作應當允許，哪些應當禁止。

監控和反應。如果有設備下載數據，企業應當監控設備的安全性并對安全威脅作出相應反應。比如，如果密碼輸入錯誤達到五次，則鎖定設備；當用戶報告設備丟失或失竊，抑或用戶失去權限時，則遠程刪除企業數據或取消用戶對加密數據的訪問。應當記錄事件（包括數據訪問）以便于審計。

-胡曉慶