淺談BYOD時代下的企業(yè)信息安全

李永祥

[摘 要] 智能終端的普及為我們的工作和生活帶來了極大的便利，與此同時企業(yè)信息安全面臨著新的挑戰(zhàn)。面對多樣的終端、多元的設計標準，如何保障企業(yè)信息安全成為新的焦點問題。本文主要探討企業(yè)信息安全管理中的BYOD管理策略。

[關(guān)鍵詞] BYOD； 信息安全； 管理

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 01. 042

[中圖分類號] TP393 [文獻標識碼] A [文章編號] 1673 - 0194（2014）01- 0081- 01

當前，各種智能產(chǎn)品成為我們工作、生活消遣的必備工具。過去，企業(yè)為了應對外來接入設備而采取了很多安全策略，而隨著智能終端的普及，大量的應用隨之產(chǎn)生，傳統(tǒng)的安全策略在這些新鮮事物面前顯得束手無策。由于智能終端的多樣性和網(wǎng)絡通道的多元化，使得信息訪問共享和溝通呈現(xiàn)復雜多樣性，加上缺乏統(tǒng)一的設計標準，使IT安全管理面臨新的挑戰(zhàn)。在享受BYOD（Bring Your Own Device，攜帶自己的辦公設備）給我們帶來便利的同時，如何防范存在的安全隱患成了企業(yè)信息化進程中遇到的難題。

本文主要探討企業(yè)信息安全管理中的BYOD管理策略。

1 建立健全端點準入機制

面對請求接入用戶，首先是驗證用戶的合法性。我們采用的軟件是諾頓的SEP，用戶終端試圖接入網(wǎng)絡時，首先通過安全客戶端上傳用戶信息至安全策略服務器進行用戶身份認證，非法用戶將被拒絕接入網(wǎng)絡，合法用戶將被要求進行安全狀態(tài)認證，由安全策略服務器驗證用戶信息是否合法，不合法用戶將被隔離。管理員設定本企業(yè)安全策略，當接入設備不符合設定要求時，訪問將被限制，對非法用戶實施“實時源頭”隔離。

目前業(yè)界比較好的端點準入解決方案有H3C的EAD，諾頓的SEP、思科的網(wǎng)絡準入控制（NAC）等。

2 構(gòu)建面向BYOD安全的虛擬化桌面架構(gòu)

端點準入后還要防止接入設備將數(shù)據(jù)非法復制，當然傳統(tǒng)加密方式可以解決部分問題，我們采取的是利用VMWare構(gòu)建的企業(yè)虛擬桌面技術(shù)來保障數(shù)據(jù)和信息的安全。在虛擬化桌面架構(gòu)中，在后端服務器上運行操作系統(tǒng)及應用，由于不在終端上保留數(shù)據(jù)，保障了數(shù)據(jù)不會被輕而易舉地復制，這提升了BYOD的安全性。桌面虛擬化使“工作桌面”和數(shù)據(jù)完全留在后臺，前臺只是顯示。復制、下載、存盤、外接設備等每一個動作都可以加以管控，最大限度保護了企業(yè)信息的安全，同時，虛擬化后的桌面托管在安全性更高的服務器端，不會再被病毒或木馬感染。

目前業(yè)界較好的虛擬化桌面解決方案有VMWare、Citrix、微軟的Hyper-V等。

3 重要數(shù)據(jù)做好身份認證和識別

對于企業(yè)重要的數(shù)據(jù)，采取身份認證的方式加以保護，如我們采用了USBKey PKI數(shù)字證書的方式對重要數(shù)據(jù)進行統(tǒng)一身份認證。除數(shù)據(jù)訪問的密鑰需要知道外，用戶還需要USBKey身份證書進行二次認證，提高數(shù)據(jù)的安全性。以數(shù)字證書為核心的加密技術(shù)，可以對網(wǎng)絡上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認性，從而保障網(wǎng)絡應用的安全性。USB Key作為數(shù)字證書的存儲介質(zhì)，可以保證數(shù)字證書不被復制，并可以實現(xiàn)所有數(shù)字證書的功能。

4 健全行為審計監(jiān)督機制

痕跡管理是傳統(tǒng)的文檔管理方式，這種管理方式也適用于企業(yè)信息安全管理。我們對企業(yè)的重要數(shù)據(jù)或信息系統(tǒng)建立了行為審計系統(tǒng)，通過行為審計系統(tǒng)來監(jiān)督、記錄操作步驟和操作內(nèi)容。在重要數(shù)據(jù)被篡改時，實現(xiàn)操作步驟和操作內(nèi)容可追溯，通過收集和評價審計證據(jù)來保護資產(chǎn)的安全，維護數(shù)據(jù)的完整性，使問題發(fā)生后可以快速跟蹤作出判斷等。通過健全的行為審計監(jiān)督機制對互聯(lián)網(wǎng)進行全面控制管理，規(guī)范內(nèi)網(wǎng)人員上網(wǎng)行為，強化網(wǎng)絡安全，保護重要機密。

目前業(yè)界行為審計解決方案有綠盟、紅熊貓等。

以上4種技術(shù)共同構(gòu)建起目前企業(yè)的信息安全架構(gòu)，當外來設備進入企業(yè)網(wǎng)絡時，先進行端點準入驗證，通過后訪問企業(yè)數(shù)據(jù)時需要使用虛擬桌面進行訪問，同時對訪問過程全過程監(jiān)控監(jiān)督留下痕跡，如需訪問重要數(shù)據(jù)還需要USBKey進行身份認證。這種安全架構(gòu)有效地保障了在BYOD設備接入的同時企業(yè)信息安全不會受到影響。

面對BYOD的快速發(fā)展，我們應積極應對，及時作出調(diào)整，消除這些安全隱患，確保企業(yè)信息安全。