BYOD应用中的网络安全策略方案
2020-07-10
来源:布克知识网
2014年3月 第50卷第3期 铁道通信信号 RAILWAY SIGNALLING&COMMUNICAT10N March 2014 V0l_50 No.3 BYOD应用中的网络安全策略方案 江摘敏 李费 要:BYOD移动办公给人们带来了灵活方便访问企业资源、提高工作效率等好处,但同时也 会带来数据、接入、网络等方面的安全问题。使用基于统一网络安全策略,可以对移动设备实施 完善的管理,从而能够很好地对网络进行安全防护。 关键词:BYOD;MDM;网络安全加固策略 Abstract:BYOD or Bring Your Own Device,has brou ght people the flexibility to access corporate re— sources.improve efficiency and other benefits.On the other hand,it also causes issues in data,access, and network security.Based on uniied network securfity policies,it is possible to conduct sound manage— ment over mobile devices and enable good security protection of the network. Key words:BYOD;MDM;Strategy for strengthening network security BYOD(Bring Your Own Device)指自带设备 应用。这些应用实施都应充分考虑接入、网络及数 据的安全。 如果在铁路园区网部署BYOD,园区员工在访 问企业资源的同时,也给IT管理部门执行的统一 安全策略即终端安全、网络安全和数据安全带来了 新的挑战。关注点可以细分为数据安全、接入安 全、应用安全、威胁防护及设备管理。 进行办公,这些设备包括个人电脑、手机、平板等 智能终端,通过这些智能终端,员工可以在任何地 方、任何地点进行收发企业邮件、访问企业资源、 对企业的业务进行处理,实现移动办公。移动办公 是信息通信技术发展的结果,大量多元化的移动终 端的出现,改变了人们传统的生活与工作模式,打 破了时间、地域的限制,给予人们更多的获取信息 的手段。特别是宽带、3G移动通信技术的应用, 使企业办公进入了智能办公时代。随着铁路体制改 革,铁路员工移动办公的需求,也为铁路信息化建 设提出新的设想。 1.数据安全。员工使用个人设备访问办公网 络,如何区分个人数据和企业数据,如何杜绝企业 数据外泄,这是一个巨大挑战。 2.接人安全。员工的移动设备接入,使得园 区网络对外无限延伸,但对于员工身份的安全认证 及授权访问需要着重考虑。 1 BYOD应用带来的安全问题 无线技术和移动技术在铁路信息化建设中已经 应用得很成熟。铁路大型的物流中心(例如青藏 那曲物流中心),通过无线网络实现PDA点货、无 线呼叫等业务。铁路货车列检,列检员配备了无线 3.威胁防护。应避免Intemet外联链路的监听 以及员工移动终端自身有各类的安全问题,比如病 毒、木马。与园区内网终端不同,移动终端多属于 员工自己设备,很难强制实施和园区内网一样的统 一安全策略,这种情况下,如何防护可能由员工设 4.设备管理。园区内员工大量内外网连人的 作业手持机,通过无线网络开展语音传输、数据传 输等业务。虽然PDA和列检手持机这些移动设备, 不是员工自带设备,但也是通过智能终端对企业的 备引入的恶意威胁也需要考虑。 移动终端,种类繁多,如何进行统一便捷的客户端 异构平台的管理也是一个大问题。 业务进行处理,可以算是BYOD在铁路行业中的 2统一的网络安全策略 江敏:铁道部信息技术中心李赞:铁道部信息技术中心收稿日期:2013.12.24 工程师工程师100083北京 100083北京 针对园区网络部署BYOD带来的安全问题, 提出完善的网络安全策略方案,通过实行统一策 一59— 铁道通信信号2014年第50卷第3期 略,执行终端安全和管道安全,使员工自带设备移 许合作方访问特定的业务系统,禁止访问重要的业 动办公得到全方位的安全防护。统一策略方案能够 务系统和一般的办公系统,允许根据安全策略,定 根据不同用户角色、不同设备类型、不同场所、不 义是否允许合作方的员工通过公司园区网络访问互 同时段、不同区域,采用不同的策略,确保对资源 联网。对于普通BYOD用户,例如,员工使用自 的安全访问。统一策略方案实现与移动设备管理 己的移动终端接人,只能访问公司普通的业务资 (MDM)方案的策略集成,提供涵盖公司的单一策 源,不能访问公司重要的业务系统和重要的办公系 略来源(有线网络、无线网络、远程网络、物理 统。对于访客,禁止访问园区内部网络资源,包括 设备、虚拟设备),对移动设备实施完善、准确的 重要的业务系统、一般业务以及合作方共享系统 管理,能够很好地对园区网络进行安全防护。 等,只允许访客访问互联网。 BYOD统一策略方案如图1所示。 2.2网络安全加固策略 2.1访问控制策略 BYOD部署在园区网络中,员工能够从家里或 把准人控制与识别终端的安全状态相结合,通 公共地点连接互联网或办公室网络,也会无意中将 过合规检查、动态控制及授权,对于不符合安全策 被感染的病毒、蠕虫和间谍软件带进企业环境,从 略的终端进行隔离修复,强制终端用户实施公司的 而威胁网络安全。rr管理部门制定网络安全加固 安全策略。IT管理部门制定访问控制策略,制定 策略,借助于从低端到高端全系列的安全产品和虚 园区内员工使用何种设备、在何时、在何地、如何 拟化技术,对硬件资源进行虚拟化处理,在将来可 访问总公司园区网络的策略,控制接入网络的终端 以考虑打造基于SDN架构的安全资源池,按需动 用户网络访问权限,实现最小授权访问控制。有效 态虚拟化为多个逻辑单元,分配给不同的用户群, 防范非法终端对公司业务资源的访问,确保业务正 以此维护网络的安全。 常运行,保护公司信息安全。 还可以通过配置检查,检测防病毒软件的策 对于公司高层领导,根据其身份和角色定义, 略,检查终端是否安装了公司规定的杀毒软件,以 允许访问所有的网络资源。对于员工,提供相对宽 及杀毒软件是否更新,作为判断终端当前安全状态 松的模式,允许员工访问完成工作必须的业务系 的一个依据,阻止没有部署杀毒软件的终端或者杀 统。对于少数的重要业务系统,禁止一般员工访 毒软件长期不更新的终端接入网络。保证园区内网 问。对于合作方员工,提供严格的控制模式,只允 运行的终端杀毒软件能够及时更新并且有效运行, 认证授权 接入控制 链路安全 威 防平台数拳保 应用安全 图1 BYOD统一策略方案示意图 一60一 RAILWAY SIGNALLING&COMMUNICATION Vo1.50 No.3 20l4 减少病毒感染和扩散的风险。通过配置检查屏保策 略、检查文件共享策略、检查账户安全策略等来弥 补员工由于安全保密意识薄弱带来的安全漏洞,保 护信息安全。 2.3行为监控策略 园区网络除了外部黑客、病毒攻击带来的安全 威胁外,移动存储介质滥用、IM(即时通信)工 具的使用、非工作时段的Web访问、不安全的 WiFi接人、个人外设使用等带来的内部安全威胁 也不容忽视。 IT管理部门制定的BYOD行为监控策略,可 以管理Modem、ADSL、ISDN拨号设备,禁止员工 使用拨号设备,防止终端绕过IT管理部门的监管 连接互联网,使得园区网络直接面对来自互联网的 攻击。确保所有互联网出口流量都经过统一架设的 出口网关,通过出口网关过滤不安全的网络访问, 保障园区网络的安全。还能提供Web访问监控功 能,记录员工的Web网站访问信息,上报服务器 进行统一管理和审计。通过这样的手段,一方面可 以管理员工的上网行为,上班时间屏蔽一些与工作 无关的网站;另一方面,提供审计和责任追溯的 途径。 2.4 MDM管理策略 为确保园区内员工移动设备上的数据合规,需 要借助MDM管理策略,使IT管理员可以更加清楚 地了解终端设备状态,根据终端设备符合公司策略 的情况,控制这些设备对公司业务的访问;可以实 现要求注册、远程锁屏、禁止越狱、文件加密、远 程定位及远程数据查出等,并能远程卸载非法软 件、远程擦除丢失或被盗移动设备上的数据;还可 以利用桌面虚拟化技术,数据的编辑和保存,都在 数据中心的云端进行,终端只是显示,以此加强数 据安全性。 3有线无线融合的网络 在园区网部署BYOD,需要强大的网络做支 撑。大量智能终端进入园区网络,引起接人流量增 加,VoIP、虚拟桌面、视频会议应用的逐渐普及, 要求园区的核心网络拥有大容量转发的能力、稳定 的性能。千兆接人、万兆汇聚、40GE核心将是建 网标准,网络核心需要具备更高转发能力,汇聚节 点需要更智能以接受策略频繁变更,接人则需要更 轻量和自动化。同时,网络资源不应再受地域和业 务形态限制,网络会协同融合全网安全设备,适应 BYOD移动化趋势下的全面安全管理。 网络资源全面虚拟化,有线、无线网络向深度 融合演进,比如从设备层面实现融合AC处理和以 太交换为一体,把AP当成交换机的一个端口,统 一网管、发现、配置等,通过这些方式大幅度降低 管理的复杂度,让网络敏捷地为业务服务。 BYOD带来的可移动性流量往往在小范围内密 集接入,所以无线接入网络需要选择全覆盖、高 速、高密的方案,比如支持基于终端自动逐包控制 发送功率、限制低速率用户接人、提供5 GHz/ 2.4 GHz双频智能混合接入,从而减少高密度时同 频用户终端干扰,提高可用带宽。由此可见,有线 无线融合的网络是BYOD的基础。 4结束语 BYOD虽然成为一种趋势,但企业在考虑融合 BYOD的过程中,还要考虑网络、安全、策略和管 理等多个方面。访问控制、网络安全加固、行为监 控、MDM管理等形成统一网络安全策略,能很好 地对网络进行安全防护。现在的网络正从静态走向 动态,不仅要融合有线、无线网络,还要重视安全 等问题,才有利企业内BYOD的应用,推动移动 办公的发展。现在,银行希望让客户经理开展移动 营销,医院正在开展无线医疗,零售企业希望提供 针对移动终端推送精准广告和室内导航的增值服 务,大型企业推行无边界移动办公,这些企业为将 来部署BYOD提供了成功经验。目前,有些部门 已经开始尝试为移动终端设备开发铁路应用,一些 员工可以率先体验BYOD,也为铁路信息化建设提 供新的思路。 参考文献 [1] 王雪杨.优化IT基础架构解决BYOD对网络的挑战 [J].中国IT新媒体,2013(08). [2] 闫志坤.百家争鸣BYOD解决方案大练兵.IT168 2013(02). [3]佚名.谈谈如何构建泛BYOD融合网络[J].中关村 在线,2013(12). [4]吴伟.BYOD网络部署,情景感知不可缺[J].51CTO. com,2013(10). (责任编辑:诸红) 一61—