英文BYOD（Bring Your Own Device）,中文譯做“攜帶自己的設(shè)備”指現(xiàn)代工作環(huán)境中的一種現(xiàn)象，即為了工作簡便，攜帶自己（或由雇主提供）的便攜智能移動設(shè)備到工作辦公場所進(jìn)行公私共用的一種辦公工作模式。這種工作模式因移動智能終端設(shè)備的普及而變得日益普遍，但對企業(yè)的安全管理人員而言，BYOD則是時下安全管理中的一個噩夢，因此國外有安全人員給BYOD另一個稱謂（Bring Your Own Disaster）即“帶來你自己的災(zāi)難”。本文將就BYOD帶來的安全隱患，主流解決方案和現(xiàn)有方案的注意事項(xiàng)進(jìn)行分析并供企業(yè)信息安全管理者進(jìn)行參考。

1         BYOD帶來的安全隱患

究竟BYOD給企業(yè)信息安全帶來了怎樣的安全隱患并讓信息安全人員如此頭痛？讓我們先來分析BYOD給企業(yè)帶來的安全變化。
首先，BYOD使得安全管理人員感受到他們喪失了傳統(tǒng)意義的安全控制。設(shè)備在非工作時間將屬于企業(yè)員工私人擁有，安全管理人員不再擁有對設(shè)備的完全控制，設(shè)備的不可控將導(dǎo)致安全的不可控。
其次，BYOD設(shè)備由于其智能特性，它可通過WiFi、3G/4G通信網(wǎng)絡(luò)、USB端口連接、無線藍(lán)牙的方式接入企業(yè)網(wǎng)絡(luò)和工作終端。對管理安全人員而言，BYOD的接入在傳統(tǒng)的安全體系增加了諸多的安全隱患入口。
最后，BYOD的其它特性諸如存儲能力、錄音能力、拍照功能、GPS功能、終端位置定位等亦對安全管理人員提出了在傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)之外新的安全管理要求。
以上改變無疑增加了企業(yè)在設(shè)備管理、用戶管理、網(wǎng)絡(luò)邊界防護(hù)、信息及應(yīng)用監(jiān)控、數(shù)據(jù)防泄密、物理安全防護(hù)、合規(guī)滿足、法律糾紛、財(cái)務(wù)支出等諸多涉及企業(yè)信息化管理方面的負(fù)擔(dān)。信息安全人員自然也對BYOD的模式和應(yīng)用感到頭痛。
盡管如此，由于BYOD可幫助企業(yè)員工靈活地選擇最佳的時間、地點(diǎn)和設(shè)備辦公，進(jìn)而幫助提高企業(yè)靈活性、個人辦公效率和工作滿意度，越來越多的企業(yè)仍考慮并著手進(jìn)行企業(yè)的BYOD應(yīng)用。據(jù)Gartner公司2012的報(bào)告顯示約86%的企業(yè)計(jì)劃在其企業(yè)工作環(huán)境中部署使用BYOD。對于企業(yè)信息安全人員而言，除了順應(yīng)這個潮流和趨勢外別無它法。因此采取怎樣的BYOD防護(hù)措施已成為信息安全人員的必須考慮的決策。

2         BYOD的主流安全解決方案

目前業(yè)界推出了兩種主流的BYOD安全防護(hù)解決方案，一種是Mobile Device Management（移動設(shè)備管理，簡稱MDM），另一種是Mobile Application Management（移動應(yīng)用管理，簡稱MAM）。其它的還有一些在此兩者方案上的特定或改進(jìn)方案，例如Mobile Content Management（移動內(nèi)容管理），Mobile File Management（移動文件管理），Mobile Information Management（移動信息管理）。
MDM是國外廠商（領(lǐng)先的廠家包括Good Technology、微軟、RIM和Sybase）提出的BYOD解決方案之一，MDM解決方案主要從以下幾個主要的措施方面對BYOD進(jìn)行安全防護(hù)，這些措施如下表1所示，

措施分類	措施主要內(nèi)容
資產(chǎn)管理	l        設(shè)備錄入 l        資產(chǎn)明細(xì) l        設(shè)備變更 l        設(shè)備遠(yuǎn)程內(nèi)容擦除 l        設(shè)備備份與恢復(fù)
設(shè)備策略管理	l        應(yīng)用訪問策略 l        組策略/位置策略 l        策略更新 l        合規(guī)檢查 l        加固策略
安全管理	l        設(shè)備賬戶與密碼 l        登錄超時與屏幕管理 l        登錄失敗管理 l        數(shù)據(jù)加密 l        設(shè)備功能模塊限制 l        網(wǎng)絡(luò)安全接入 l        設(shè)備越獄及root權(quán)限檢查 l        設(shè)備安全配置管理
監(jiān)控和報(bào)告	l        設(shè)備配置監(jiān)控 l        GPS管控和跟蹤 l        設(shè)備狀態(tài)管理 l        設(shè)備日志管理 l        設(shè)備遺失/退出報(bào)告管理

表1：MDM基本防護(hù)措施
 
MAM則是國外廠家（優(yōu)秀的廠家包括SAP，Citrix，App47，AirWatch，Mobilelron等）推出的另一個安全解決方案，MAM主要措施如下表2所示，

措施分類	措施主要內(nèi)容
應(yīng)用管理	l        應(yīng)用分發(fā) l        應(yīng)用升級 l        應(yīng)用數(shù)據(jù)備份與恢復(fù)
應(yīng)用策略管理	l        應(yīng)用訪問策略 l        組策略/位置策略 l        策略更新
安全管理	l        應(yīng)用賬戶與密碼 l        應(yīng)用安全認(rèn)證管理 l        應(yīng)用通信保護(hù) l        應(yīng)用數(shù)據(jù)加密 l        應(yīng)用安全運(yùn)行環(huán)境檢測 l        應(yīng)用黑白名單管理 l        應(yīng)用數(shù)據(jù)遠(yuǎn)程擦除
監(jiān)控和報(bào)告	l        應(yīng)用登錄審計(jì) l        應(yīng)用日志管理 l        應(yīng)用安裝/刪除報(bào)告管理

表2：MAM基本防護(hù)措施
 
從表1和表2可以看出，兩種方案對BYOD的安全防護(hù)各有重點(diǎn)，一些功能上還有重疊。對于管理人員來說最好的方式是兩者均選擇，這樣才能較為全面對BYOD進(jìn)行安全防護(hù)。目前國外已經(jīng)有不少廠家推出了兩種解決方案或者兩者結(jié)合的產(chǎn)品。這些廠家包括Citrix，Aruba，AirWatch，F(xiàn)iberlink以及MobileIron，產(chǎn)品包括Citrix EMM（包括XenMobile MDM和Citrix CloudGateway）；Aruba WorkSpace；AirWatch MAM- MDM-MCM—MEM-MBM系列產(chǎn)品；Fiberlink MaaS360以及Mobilelron Mobile IT Platform。這類產(chǎn)品的特點(diǎn)在于產(chǎn)品均提供了移動設(shè)備，移動應(yīng)用、移動內(nèi)容以及移動云的管理，一些廠家例如Citrix、Aruba、AirWatch、Mobilelron甚至通過自己開發(fā)或整合APP商店資源在解決方案中向客戶提供大量自有的移動應(yīng)用，客戶從而無需自行開發(fā)或者選擇網(wǎng)絡(luò)上公開但不安全的移動應(yīng)用。

3         BYOD解決方案的注意事項(xiàng)

以上兩種安全解決方案以及混合方案的提出和應(yīng)用的確解決了BYOD中存在的諸多安全隱患。但在現(xiàn)實(shí)使用過程中依舊存在著一些不足，作為尋求移動安全解決方案的最終用戶必須給予重視。這些不足包括：

1. 一些產(chǎn)品對終端操作系統(tǒng)的種類和版本支持有限。
2. MDM方案如果不和其它措施結(jié)合的話，難以檢測BYOD設(shè)備所處的工作環(huán)境、網(wǎng)絡(luò)環(huán)境或物理環(huán)境，并根據(jù)環(huán)境策略對特定的設(shè)備硬件和功能，例如攝像頭、錄音設(shè)備、藍(lán)牙、3G通信、位置服務(wù)等，進(jìn)行功能的禁止或關(guān)閉。
3. 部分MDM和MAM方案獨(dú)立成形，不能與客戶已有的系統(tǒng)例如SIEM、Microsoft Exchange ActiveSync，網(wǎng)管系統(tǒng)等進(jìn)行集成。
4. 在設(shè)備完全與網(wǎng)絡(luò)中斷的情況下（包括移動通訊和互聯(lián)網(wǎng)通信），遠(yuǎn)程數(shù)據(jù)擦除功能可能難以奏效，進(jìn)而也無法實(shí)現(xiàn)對公司敏感數(shù)據(jù)的保護(hù)。
5. 一些MDM和MAM方案的功能需要獲得終端操作系統(tǒng)的ROOT權(quán)限，而專為運(yùn)營商開發(fā)的定制移動操作系統(tǒng)（尤其是Android和iOS系統(tǒng)）并不允許用戶獲取ROOT權(quán)限。因此方案廠家需要獲取運(yùn)營商或定制開發(fā)商在代碼和權(quán)限方面的支持。
6. BYOD模式下由于終端上存在個人隱私數(shù)據(jù)，因此如何準(zhǔn)確識別、妥善保護(hù)和避免誤刪除個人隱私數(shù)據(jù)是這些移動安全解決方案必須考慮的問題。
7. 一些MDM和MAM方案的策略靈活度以及合規(guī)符合程度可能未必能滿足客戶的要求。
8. 一些MDM方案對移動設(shè)備虛擬化（Mobile Device Virtualization）不提供支持或支持有限。
9. MAM方案因軟件版權(quán)的關(guān)系均存在難以對眾多第三方移動應(yīng)用進(jìn)行更深層次安全包裝加固和安全管理的問題。

4         小結(jié)

綜上分析，BYOD的安全保障與威脅應(yīng)對是信息安全管理者一個棘手的問題，雖然市場上解決方案眾多，但因涉及個人用戶與第三方應(yīng)用，這些解決方案仍存在一些不足。作為企業(yè)信息安全的負(fù)責(zé)人需要謹(jǐn)慎的分析企業(yè)內(nèi)部BYOD的應(yīng)用、評估BYOD應(yīng)用場景并慎重選擇相應(yīng)的BYOD解決方案，在滿足業(yè)務(wù)應(yīng)用需求的同時將風(fēng)險(xiǎn)降至最低。