當前移動智能終端的能力日進千里，企業(yè)移動解決方案隨著移動互聯(lián)網(wǎng)的發(fā)展?jié)u漸成熟，BYOD(攜帶自己的設(shè)備辦公)也趁勢走俏。BYOD模式對于提升企業(yè)工作效率和滿足員工個性化需求方面具有莫大的優(yōu)勢，但也不可避免地帶來新的安全威脅。

為幫助企業(yè)解答B(yǎng)YOD的安全困惑，并走上高效、安全的移動信息化之路，近日記者采訪了知名移動信息化安全專家、北京明朝萬達科技有限公司(以下簡稱“明朝萬達”)董事長兼總裁王志海，探討了在BYOD時代企業(yè)信息安全存在的安全隱患，以及企業(yè)應當如何來防范這些新的安全威脅。

從BYOD工作模式的特點出發(fā)，王志海分析了傳統(tǒng)應對方式存在的一些不足之處。并表示：BYOD是移動信息化一個重要的部分，不能將BYOD安全與移動信息安全割裂，還要把移動安全置于整個企業(yè)的移動信息化策略之中考慮。

換言之，傳統(tǒng)的企業(yè)信息安全范式必須被打破，企業(yè)要從實際的移動業(yè)務系統(tǒng)建設(shè)需要出發(fā)，構(gòu)建一個技術(shù)平臺，從數(shù)據(jù)、應用、網(wǎng)絡(luò)和設(shè)備等多個層面來整體管理BYOD時代的信息安全。

BYOD：三大安全隱患待解

我國BYOD的安全形勢不容樂觀。根據(jù)產(chǎn)業(yè)情報研究所(MIC)針對國內(nèi)企業(yè)移動資安投資需求的調(diào)查結(jié)果顯示，85%以上的企業(yè)認為，有必要鎖定BYOD行為，再加強企業(yè)內(nèi)部的移動資安防護。但目前只有12%的大型企業(yè)建置移動安全解決方案，60%以上的大型企業(yè)表示，將在考量BYOD的資安問題下增加對移動資安的投資。

BYOD究竟如何不安全？王志海指出，相比傳統(tǒng)信息化的模式，BYOD環(huán)境主要存在三個方面的安全隱患：首先是通過移動網(wǎng)絡(luò)鏈路接入，天然處在一個開放的網(wǎng)絡(luò)，而傳統(tǒng)重要的信息系統(tǒng)都是通過企業(yè)內(nèi)網(wǎng)接入;其次，使用的環(huán)境與傳統(tǒng)信息化模式不一樣，傳統(tǒng)的大部分時間都在固定的辦公場所，設(shè)備丟失可能性很小，BYOD通常使用移動智能終端，更加容易丟失;第三，BYOD使用的個人設(shè)備上往往同時安裝很多個人的APP，而個人APP市場上的惡意軟件多如牛毛，這就將企業(yè)數(shù)據(jù)置于安全隱患之中。

他進一步解釋說，鏈路接入方面，除了傳統(tǒng)的防火墻，還要防止VPN、鏈路加密、接入認證等方面的安全，畢竟通過運營商網(wǎng)絡(luò)，還有通過公用WIFI接入，如果沒有加密技術(shù)的保護，任何人都可能無障礙地訪問到企業(yè)的數(shù)據(jù)。而在終端方面，因為有很多企業(yè)數(shù)據(jù)如包含企業(yè)重要信息的電子郵件，落到個人手機上，這樣不管是惡意軟件或者設(shè)備丟失，都有可能發(fā)生信息泄密的問題。

MIC的調(diào)查佐證了王志海的觀點。調(diào)查發(fā)現(xiàn)，將近4%的大型企業(yè)曾經(jīng)遭遇過移動資安事件，主要是受到“設(shè)備失竊(42.1%)、員工將機密資料存于手機設(shè)備后外泄(36.8%)、以拍照方式外泄(31.6%)”等因素所引起。

傳統(tǒng)局限：未關(guān)注數(shù)據(jù)安全

雖然上述調(diào)查數(shù)據(jù)顯示移動安全事件的比例并不大，但斯諾登的陰影讓我們難以安心：若BYOD的應用真正普及之后，傳統(tǒng)的防護措施將會捉襟見肘，大抵算是開門揖盜了。

對于傳統(tǒng)安防措施的不足之處，王志海從技術(shù)角度分析了其不足之處。首先，他認為，傳統(tǒng)的安全防護軟件通常聚焦于防病毒、防火墻、IDS、鏈路加密等，并沒有真正關(guān)注到數(shù)據(jù)，當數(shù)據(jù)落地到BYOD設(shè)備上，就再也無法進行管理。另一方面，現(xiàn)在的惡意軟件很難用傳統(tǒng)被動防護的方式來防御，一些看似合理讀取數(shù)據(jù)，往往會侵害到企業(yè)的信息安全，卻不能被傳統(tǒng)防毒措施所查殺。再者，比如IPsecVPN甚至一些SSLVPN，也難以兼容復雜多樣的移動終端操作系統(tǒng)。

而從設(shè)備管理角度來說，BYOD最大的特色是使用個人的設(shè)備，而目前比較受到關(guān)注的是MDM(移動設(shè)備管理)的管理方式。但王志海指出，MDM用傳統(tǒng)的企業(yè)管理PC的模式來管控這些個人的設(shè)備，在個人設(shè)備上安裝和企業(yè)設(shè)備一樣的監(jiān)控系統(tǒng)，由于涉及到個人設(shè)備大量的個人隱私，會導致最終用戶的反感，從而影響B(tài)YOD的設(shè)備實際使用量，這就違反了BYOD部署的初衷。

也就是說，這種方式只是把個人設(shè)備當成一個整體來管，沒有真正關(guān)注BYOD時代企業(yè)最關(guān)心的應用和企業(yè)的數(shù)據(jù)。

避免誤區(qū)：純MDM本質(zhì)上傷害BYOD

從實踐來說，王志海認為，國內(nèi)的企業(yè)做得還并不完善，由于缺乏整體規(guī)劃，終端安全方面的實踐固然還存在不足，數(shù)據(jù)安全方面也處于開始反思、整理、上升的階段。

由于BYOD時代接入企業(yè)業(yè)務系統(tǒng)的移動設(shè)備的情況相當復雜，企業(yè)也感受到，不論在設(shè)備的管理和維護還是企業(yè)的信息安全方面，都給企業(yè)IT部門帶來了相當大的挑戰(zhàn)。在此背景下，許多供應商提供了移動設(shè)備管理的MDM解決方案，有一些部署MDM解決方案的企業(yè)也自認為具有應對BYOD的遠見。

然而，王志海強調(diào)，沒有關(guān)注到企業(yè)數(shù)據(jù)的MDM，是治標不治本的，不能作為移動安全防護的主力軍。“單純的MDM本質(zhì)上對BYOD是一種傷害，并不是一種助力。”王志海表示，“要慎重采用。”他認為，對MDM的一些公開的宣傳與用戶的需求有些脫節(jié)。

另外一個誤區(qū)就是跨平臺性。例如，一些企業(yè)做移動信息化，出于各種各樣的原因，往往會找開發(fā)移動應用廠商順便做安全的東西，或者是找終端硬件供應商同時提供一些安全的產(chǎn)品。王志海指出，這樣的做法在初期可能會節(jié)省成本并縮短部署時間，但由于設(shè)備和移動應用的更新很快，這種安全產(chǎn)品往往會很快就跟不上企業(yè)更新?lián)Q代之后的實際需求。

王志海強調(diào)，明智的策略是明確目標，進行總體規(guī)劃，關(guān)注企業(yè)應用和應用中的數(shù)據(jù)安全，把邊界給明確。另外，企業(yè)移動信息安全是一個整體，安全同時包括了BYOD設(shè)備和企業(yè)的設(shè)備、還包括一些企業(yè)的物聯(lián)網(wǎng)設(shè)備，都是通過移動互聯(lián)網(wǎng)接入，因此，企業(yè)應當從整體來規(guī)劃。

明智策略：整體規(guī)劃構(gòu)建安全平臺

如何進行整體規(guī)劃呢？王志海指出，移動安全有和企業(yè)的整個移動信息化分不開，因此企業(yè)首先需要明確哪些業(yè)務將要放在移動信息化的范疇之中，先把業(yè)務整理清楚，然后不管在移動安全，還是整個移動APP應用平臺上，都要以平臺的方式來建設(shè)。

他認為，技術(shù)平臺更重要的含義是把一些安全管理的規(guī)范落實到平臺上，要求所有的移動應用按照規(guī)范接入到企業(yè)內(nèi)部的信息系統(tǒng)中來。

企業(yè)移動安全平臺應當包括哪些內(nèi)容？王志海說，首先是MAM(Mobile Application Management，移動應用管理)。企業(yè)級的移動應用發(fā)布，如果通過公共的AppStore或者安卓商店，很容易中木馬，員工要獲取可信可控的APP，可以通過結(jié)合企業(yè)內(nèi)部App Store的MAM技術(shù)。

其次是鏈路和網(wǎng)絡(luò)安全。除了新技術(shù)，包括傳統(tǒng)的防火墻、VPN等方式也要升級。VPN在沒有入口、跨平臺、跨設(shè)備的情況下如何使用？王志海說，VPN要作為應用級的安全鏈路，這就打破了傳統(tǒng)簡單的IP層鏈路跨設(shè)備能力弱的瓶頸。

對于一些有更高級的要求的企業(yè)，王志海建議，可以要求一旦接入企業(yè)內(nèi)部網(wǎng)絡(luò)時斷開其他的網(wǎng)絡(luò)，以防止木馬擺渡。

第三，數(shù)據(jù)安全方面，包括數(shù)據(jù)在本地落地的保護，防止木馬，防止第三人拿到設(shè)備看到企業(yè)的數(shù)據(jù)，王志海之處，一旦設(shè)備丟失，應當可以遠程銷毀。

最后，輔助性的終端管理，即MDM。比如有些企業(yè)可能需要禁止不安全的WIFI，王志海認為，可以做到當企業(yè)級應用開始運行的時候，才會啟用該策略，當企業(yè)級應用關(guān)閉時，就是個人設(shè)備作為滿足個人的需求使用，無須干涉。

基本原則：勿忘獨立性與合規(guī)性

建設(shè)移動安全平臺需要注意的事項，王志海指出，應當堅持兩個基本的原則，首先是移動安全管理的獨立性，即獨立于軟硬件的廠商，對各種應用和各種終端平臺，都可以支撐。其次，要考慮合規(guī)性，尤其是一些大型的國企，必須選擇符合安全法規(guī)的產(chǎn)品，以確保安全并避免投資浪費