英文BYOD（Bring Your Own Device）,中文譯做“攜帶自己的設備”指現(xiàn)代工作環(huán)境中的一種現(xiàn)象，即為了工作簡便，攜帶自己（或由雇主提供）的便攜智能移動設備到工作辦公場所進行公私共用的一種辦公工作模式。這種工作模式因移動智能終端設備的普及而變得日益普遍，但對企業(yè)的安全管理人員而言，BYOD則是時下安全管理中的一個噩夢，因此國外有安全人員給BYOD另一個稱謂（Bring Your Own Disaster）即“帶來你自己的災難”。本文將就BYOD帶來的安全隱患，主流解決方案和現(xiàn)有方案的注意事項進行分析并供企業(yè)信息安全管理者進行參考。

1         BYOD帶來的安全隱患

究竟BYOD給企業(yè)信息安全帶來了怎樣的安全隱患并讓信息安全人員如此頭痛？讓我們先來分析BYOD給企業(yè)帶來的安全變化。
首先，BYOD使得安全管理人員感受到他們喪失了傳統(tǒng)意義的安全控制。設備在非工作時間將屬于企業(yè)員工私人擁有，安全管理人員不再擁有對設備的完全控制，設備的不可控將導致安全的不可控。
其次，BYOD設備由于其智能特性，它可通過WiFi、3G/4G通信網(wǎng)絡、USB端口連接、無線藍牙的方式接入企業(yè)網(wǎng)絡和工作終端。對管理安全人員而言，BYOD的接入在傳統(tǒng)的安全體系增加了諸多的安全隱患入口。
最后，BYOD的其它特性諸如存儲能力、錄音能力、拍照功能、GPS功能、終端位置定位等亦對安全管理人員提出了在傳統(tǒng)網(wǎng)絡安全防護之外新的安全管理要求。
以上改變無疑增加了企業(yè)在設備管理、用戶管理、網(wǎng)絡邊界防護、信息及應用監(jiān)控、數(shù)據(jù)防泄密、物理安全防護、合規(guī)滿足、法律糾紛、財務支出等諸多涉及企業(yè)信息化管理方面的負擔。信息安全人員自然也對BYOD的模式和應用感到頭痛。
盡管如此，由于BYOD可幫助企業(yè)員工靈活地選擇最佳的時間、地點和設備辦公，進而幫助提高企業(yè)靈活性、個人辦公效率和工作滿意度，越來越多的企業(yè)仍考慮并著手進行企業(yè)的BYOD應用。據(jù)Gartner公司2012的報告顯示約86%的企業(yè)計劃在其企業(yè)工作環(huán)境中部署使用BYOD。對于企業(yè)信息安全人員而言，除了順應這個潮流和趨勢外別無它法。因此采取怎樣的BYOD防護措施已成為信息安全人員的必須考慮的決策。

2         BYOD的主流安全解決方案

目前業(yè)界推出了兩種主流的BYOD安全防護解決方案，一種是Mobile Device Management（移動設備管理，簡稱MDM），另一種是Mobile Application Management（移動應用管理，簡稱MAM）。其它的還有一些在此兩者方案上的特定或改進方案，例如Mobile Content Management（移動內(nèi)容管理），Mobile File Management（移動文件管理），Mobile Information Management（移動信息管理）。
MDM是國外廠商（領先的廠家包括Good Technology、微軟、RIM和Sybase）提出的BYOD解決方案之一，MDM解決方案主要從以下幾個主要的措施方面對BYOD進行安全防護，這些措施如下表1所示，

措施分類	措施主要內(nèi)容
資產(chǎn)管理	l        設備錄入 l        資產(chǎn)明細 l        設備變更 l        設備遠程內(nèi)容擦除 l        設備備份與恢復
設備策略管理	l        應用訪問策略 l        組策略/位置策略 l        策略更新 l        合規(guī)檢查 l        加固策略
安全管理	l        設備賬戶與密碼 l        登錄超時與屏幕管理 l        登錄失敗管理 l        數(shù)據(jù)加密 l        設備功能模塊限制 l        網(wǎng)絡安全接入 l        設備越獄及root權限檢查 l        設備安全配置管理
監(jiān)控和報告	l        設備配置監(jiān)控 l        GPS管控和跟蹤 l        設備狀態(tài)管理 l        設備日志管理 l        設備遺失/退出報告管理

表1：MDM基本防護措施
 
MAM則是國外廠家（優(yōu)秀的廠家包括SAP，Citrix，App47，AirWatch，Mobilelron等）推出的另一個安全解決方案，MAM主要措施如下表2所示，

措施分類	措施主要內(nèi)容
應用管理	l        應用分發(fā) l        應用升級 l        應用數(shù)據(jù)備份與恢復
應用策略管理	l        應用訪問策略 l        組策略/位置策略 l        策略更新
安全管理	l        應用賬戶與密碼 l        應用安全認證管理 l        應用通信保護 l        應用數(shù)據(jù)加密 l        應用安全運行環(huán)境檢測 l        應用黑白名單管理 l        應用數(shù)據(jù)遠程擦除
監(jiān)控和報告	l        應用登錄審計 l        應用日志管理 l        應用安裝/刪除報告管理

表2：MAM基本防護措施
 
從表1和表2可以看出，兩種方案對BYOD的安全防護各有重點，一些功能上還有重疊。對于管理人員來說最好的方式是兩者均選擇，這樣才能較為全面對BYOD進行安全防護。目前國外已經(jīng)有不少廠家推出了兩種解決方案或者兩者結合的產(chǎn)品。這些廠家包括Citrix，Aruba，AirWatch，F(xiàn)iberlink以及MobileIron，產(chǎn)品包括Citrix EMM（包括XenMobile MDM和Citrix CloudGateway）；Aruba WorkSpace；AirWatch MAM- MDM-MCM—MEM-MBM系列產(chǎn)品；Fiberlink MaaS360以及Mobilelron Mobile IT Platform。這類產(chǎn)品的特點在于產(chǎn)品均提供了移動設備，移動應用、移動內(nèi)容以及移動云的管理，一些廠家例如Citrix、Aruba、AirWatch、Mobilelron甚至通過自己開發(fā)或整合APP商店資源在解決方案中向客戶提供大量自有的移動應用，客戶從而無需自行開發(fā)或者選擇網(wǎng)絡上公開但不安全的移動應用。

3         BYOD解決方案的注意事項

以上兩種安全解決方案以及混合方案的提出和應用的確解決了BYOD中存在的諸多安全隱患。但在現(xiàn)實使用過程中依舊存在著一些不足，作為尋求移動安全解決方案的最終用戶必須給予重視。這些不足包括：

1. 一些產(chǎn)品對終端操作系統(tǒng)的種類和版本支持有限。
2. MDM方案如果不和其它措施結合的話，難以檢測BYOD設備所處的工作環(huán)境、網(wǎng)絡環(huán)境或物理環(huán)境，并根據(jù)環(huán)境策略對特定的設備硬件和功能，例如攝像頭、錄音設備、藍牙、3G通信、位置服務等，進行功能的禁止或關閉。
3. 部分MDM和MAM方案獨立成形，不能與客戶已有的系統(tǒng)例如SIEM、Microsoft Exchange ActiveSync，網(wǎng)管系統(tǒng)等進行集成。
4. 在設備完全與網(wǎng)絡中斷的情況下（包括移動通訊和互聯(lián)網(wǎng)通信），遠程數(shù)據(jù)擦除功能可能難以奏效，進而也無法實現(xiàn)對公司敏感數(shù)據(jù)的保護。
5. 一些MDM和MAM方案的功能需要獲得終端操作系統(tǒng)的ROOT權限，而專為運營商開發(fā)的定制移動操作系統(tǒng)（尤其是Android和iOS系統(tǒng)）并不允許用戶獲取ROOT權限。因此方案廠家需要獲取運營商或定制開發(fā)商在代碼和權限方面的支持。
6. BYOD模式下由于終端上存在個人隱私數(shù)據(jù)，因此如何準確識別、妥善保護和避免誤刪除個人隱私數(shù)據(jù)是這些移動安全解決方案必須考慮的問題。
7. 一些MDM和MAM方案的策略靈活度以及合規(guī)符合程度可能未必能滿足客戶的要求。
8. 一些MDM方案對移動設備虛擬化（Mobile Device Virtualization）不提供支持或支持有限。
9. MAM方案因軟件版權的關系均存在難以對眾多第三方移動應用進行更深層次安全包裝加固和安全管理的問題。

4         小結

綜上分析，BYOD的安全保障與威脅應對是信息安全管理者一個棘手的問題，雖然市場上解決方案眾多，但因涉及個人用戶與第三方應用，這些解決方案仍存在一些不足。作為企業(yè)信息安全的負責人需要謹慎的分析企業(yè)內(nèi)部BYOD的應用、評估BYOD應用場景并慎重選擇相應的BYOD解決方案，在滿足業(yè)務應用需求的同時將風險降至最低。