【廉环话】漫谈信息安全设计与治理之BYOD技术篇

【.com 原创】上一期，廉哥留了个尾巴：就是BYOD(Bring Your Own Device)，是”IT消费化”的典型衍生品。咱说白了也就是：用自己的移动设备给公司干活，还在那里傻乐呵。虽然它在2015年已脱离了加德纳技术成熟度曲线，而且各大技术网站都已经是老生常谈的话题了，但是经过几年的技术迭代，却已在我神舟大地(其实全球都一样)成“你若盛开，蝴蝶自来!”的态势了。所以对于“爱总结爱思考”的廉哥来说，这样成熟和泛用的企业网络的再次拓展，咱岂能不涉猎的?这次就让我继续来为大家”拨洋葱”吧。

[[171197]]

正所谓“凡事预则立”，我直接从安全方面入手：

1设备策略层面

· 密码更新

注意是”自动更新”，这一点很重要，多年来的运维经验告诉廉哥，***选一款能和现有域集成的移动设备管理软件(MDM，业界所谓的BYOD 1.0)，实现屏幕锁与域帐户的密码同步与更新。毕竟用户大多不是电脑专业选手，而且从 best practice的角度来说，这将省去维护人员处理由于用户由于域密码更新而未能自动同步到移动设备上所导致的锁死的各种求助电话。

· 自动锁屏

这里实际上是两个概念：一个是企业通过MDM设定好移动设备在多长时间没触碰的情况下(即Timeout)自动锁屏;这个时间的把握***融合用户的接受度以及需遵从的规范。另一个概念是必要是企业对移动设备的远程锁屏，以阻止被继续盗用。这不但适用于设备被偷和丢失场合，也适合于用户离职时。密码复杂度的规定，这里就不赘述了。

· OS和Apps升级

常言道，“升不升是个问题!”不要操作系统一出新的就马上升级的，有经验的小伙伴都知道这往往是一个坑啊。有实力的企业，就组织IT人员做pilot吧。体验的重点是升级后，各种与工作相关特别是企业定制的那些Apps是否存在兼容性的问题;当然没实力的话，先hold几个月，就让其他企业先去“尝鲜”或“踩雷”吧。另外，扩展说明一下：同理，一些知名和常用Apps的更新包也可能存在类似的升级坑点和隐患。因此，把自动升级block掉，乃是极好的。

· 下载控制

比较强势的企业可以通过阻止下载的手段来禁止用户通过应用商店和浏览器进行随便。但是要注意到是：这毕竟是用户自己所有权的移动设备，而并非企业所配备，太严格了谁还陪你玩儿?上纲上线的说，这对”稳定军心”和”促进生产力”没好处哦。另外，对禁用设备上的摄像头以及截屏功能等安全管控策略也***慎用。那么怎么破?一.加强各种操作的系统日志管理;二.直接运用BYOD 2.0。君莫急，下文马上谈到。

另外，好学的您也许会追问，那么公司派发设备呢?那就比较easy啦，IT部门可以选择运用策略进行推送(类似微软的SCCM)，或是事先准备好一些权利受控的下载专用帐号，已备临时之需。当然， IT人员要在后台做好记录(若能自带则更好)，定期评估Apps的必要性，或是运用策略远程删除掉。

2网络接入层面

当前所广泛采用的有两种身份认证的接入方式：一种是无线加密协议、如802.1x，而另一种是SSL方式的Portal认证模式。还记得那个老段子吗?“等咱有了钱，我买两个肾6，一个玩游戏，一个臭显摆。”所以说在真实环境里，同一账号可能在不同场合、不同时段，甚至是相同时段在不同的终端上要求访问公司资源。因此认证时需要分配不同的控制策略，对于认证系统来看就是除了对账号信息的判断外，对接入场景的判断也是非常重要的。在实际环境中，网络接入的管控可以通过MAC地址，以及浏览器的HTTP_USER_AGENT头等来识别并收集移动设备的厂商、型号、操作系统等信息，进而匹配不同的应用场景，实施相应的管控策略。

3应用层面

如果说MDM专注于设备本身的管控的话，移动应用管理 (MAM)更着眼于移动设备上的软件和应用。对，MAM就是那个BYOD 2.0。常见的方法就是运用”沙盒”来将应用程序隔离在用户的设备上，并防止其内部数据被/向外部其他应用程序所访问。所有与企业工作相关的应用都被”包装”到了一个便于管控的集装箱里，移动用户要处理工作，就”快到碗里来”吧!

如今MAM的技术已经非常成熟了，用不着我在这里道貌岸然的瞎哔哔，哥只分享一些自己在选型和测试上的运维心得：

· 软件上能与企业现有AD、LDAP相集成，实现单点登录(SSO)是非常必要的，用户在各个应用间切换或同时使用时，若要屡次输入不同的密码，工作效率不但大打折扣，抱怨投诉也会滋生而出。

· 一般有MAM的都是一整套集工作文档编辑、浏览器、邮件、报表等功能为一体的App工具包套件，流行的说法是”生态链”。那么其是否支持常见文件类型就显得比较重要的。毕竟用户直接点开邮件附件并进行编辑、转存等操作是非常常见的。

· 大家还记得数月前百度网盘通过自动生成的iPhone文件夹capture用户智能手机的图片或文件，然后自动上次至云盘，且能被搜索到的案例吗?这边厢企业IT人员花大量防范资料外泄防护(DLP)，那边厢无形中文档被各种云应用自动分享出去了。估计哪个企业IT碰到这类事件都会怀着巨大的“心理阴影面积”，”整个人都不好了”。

· 另外，虽说现在3G/4G网络已普及，但是城市里有免费WI-FI的地方并不多(娱乐消费场所最多，你懂的)，加上我们根深蒂固的”省流量”和”蹭网”等观念，造就了我们在应用软件选型的时候，要注意它是否有针对移动网络延迟问题的各种流量优化，如：是否简化了图片密集型内容的交付，以及内容QoS的调整等。

4 数据层面

说到移动信息的管理(MIM)或者是移动内容的管理(MCM)，一般企业的各种移动应用与移动设备之间的往来数据有三种存放位置，即：服务端、移动端、云端。每种方式都有自身的效率与安全的利弊。

只要确保被适当加密，以及其文件格式等不被其他应用程序所轻易读取，那么机密数据存储在用户移动设备也不是不可以的。毕竟现在是大数据的云时代了，如上期我们聊到的无线网络，企业数据早就通过各种方式突破了有形的企业系统架构，而“能即时获取”的用户体验更被企业视为重要的竞争力之一。我们ITer正是要帮企业找准效率与安全的平衡点。

好了，技术上先谈这么多，其实在管理方面还有一大块呢：包括经费控制、风控、合规以及用户教育等。小伙伴们，是要下期接着讲BYOD的管理呢?还是等技术都讲完了，再放到后面进行庖丁解牛并泼墨重彩呢?我听您的，请给我打赏点赞的同时，留言告诉我吧。下期会!

【.com 原创稿件，转载请注明作者及出处。】