对企业来说,BYOD(自带设备,Bring Your Own Device)已经不再是个别的行为,而是一种惯例。尽管能带来很多便利,但也要关注它对企业安全的影响。BYOD有何风险,能给企业带来哪些收益,采用BYOD时如何保证数据安全是每个企业都关心的问题。
企业要为员工提供最新、最先进的技术以保持竞争力。新技术带来了更加多样的设备和数据访问方式,成为传统PC平台之外的新选择,苹果CEO Tim Cook称之为“后PC时代”。这种转变催生了BYOD,并迅速流行开来。BYOD指的是不仅仅使用个人电脑,还包括智能手机、平板、黑莓、超轻薄本等硬件和软件以及服务进行工作。
BYOD的技术也允许用户使用非公司定制的软件,这种效应称为BYOS(自带软件,Bring Your Own Software)。比如,员工可以使用免费的公共的云存储服务作为大文档协作和传输的工具。
教育研究机构走在了BYOD应用的前列。以伊利诺伊大学内珀维尔校区为例,该校预计有17000台便携式电脑、平板、PC、投影机、交互式白板、电子书、iPod等设备连接到学校的办公大楼、主数据中心和备用数据中心。该校的BYOD项目采用了TCG(可信计算组,Trusted Computing Group)的相关标准,根据用户的身份、设备配置和位置提供不同的网络访问功能,老师、学生和员工既可以使用个人的也可以使用学校的便携式电脑和其它移动设备接入学校的无线局域网。
毫无疑问,BYOD能给员工和企业都带来好处。员工可以按自己的喜好选择设备,拥有更高的系统权限,只需携带一个设备就能同时满足工作、生活、娱乐的需要,灵活性、移动性也更高。企业可以削减硬件采购的成本,减少开发、操作和维护支出,员工使用自己的设备更得心应手因而能提高工作的效率,而且成功的BYOD项目能带给员工更多的满意感。然而,BYOD带来的风险也不容忽视。首当其冲的就是安全风险。员工使用自己的设备进行工作意味着员工的设备要接入单位网络、处理甚至存储单位的数据,敏感的企业数据将暴露甚至存储在数以千计的、缺少控制的个人设备中。如果这些设备感染病毒、木马等恶意软件和代码,单位网络就可能遭到攻击;一旦这些设备丢失或失窃,就可能造成数据丢失或泄露。
出于对数据安全的担忧,IBM于2012年5月禁止其40万员工使用两种流行的消费级应用:云存储服务Dropbox和苹果iPhone的个人手机助手Siri。Siri是一款利用苹果提供的服务把语音转换成文本的应用,可以根据语音命令创建文本消息和电子邮件,而这些信息可能会包含敏感的私人信息。
然而,认为禁止使用个人设备就能解决安全问题的想法无疑是错误的。毕竟员工使用的是自己的设备,单位难以进行监视,也不可能禁止。员工可能在管理者眼皮底下使用“安全”的设备,如台式机等。但可能管理者一转身,他们就会立刻开始在暗处使用个人手机或平板电脑。
面对BYOD的汹涌大潮,企业只有采用正确的技术和管理措施,才能享受到BYOD带来的好处而不会受到伤害。TCG开展了一系列的研究,发布了基于信任的访问控制模型,针对计算机和服务器安全的可信平台单元、针对移动设备的移动可信单元、针对数据安全的自加密驱动器和针对企业网络的可信网络连接和保证BYOD安全的策略,帮助企业应对BYOD的安全风险。
一、基于信任的访问控制
BYOD最大的不同是员工拥有、操纵和管理设备。因此,应当根据信任程度的不同赋予不同的访问权限。访客的信任级别最低,访问级别也最低。可信用户使用可信设备时信任级别最高,因而访问级别也最高。居中的则是不同信任级别的用户,比如使用不安全设备的员工或者合作伙伴等等。
二、可信平台模块(Trusted Platform Module,TPM)
TPM是内置在计算设备中的硬件安全组件,包含密码运算部件和存储部件,能完成完整性度量、数据加/解密、数字签名以及安全存储等功能。其内部的AIK密钥对仅对产生此密钥的平台是可用的,若用其私钥加密要发送的信息,就可以确保消息源的真实性。同时,平台的PCR值可以作为“可信度量值”来保证平台的可信,相应的日志信息可以保证协议运行中消息的“新鲜性”,因而可以作为用户和设备的身份认证、网络访问和数据保护的依据。此外,TPM在平台间不可交换,它通过生成一个唯一的数字签名来保护用户数据,该签名用于标记数据可被存取的唯一平台和硬件,防止数据被其它设备读取和使用。目前TPM已经应用于包括便携式电脑在内的超过5亿的终端上,安装了TPM的平板业已上市,但移动设备还没有全部安装TPM。
三、自加密驱动器(Self-Encrypting Drive,SED)
SED和其它存储设备一样用于数据存储,但它能自动对所有用户和系统数据进行加密,将数据与未授权的应用完全隔离。SED可以设置数据存储的本地策略,而且还能避免软件加密所固有的性能损失。除了提供安全存储功能,SED还支持企业数据的远程擦除。一旦企业发现数据泄露或设备失窃,也能通过远程操作删除设备中的数据,防止犯罪分子破解密译设备中的信息。
四、可信网络连接(Trusted Network Connect,TNC)
TNC是建立在基于主机的可信计算技术上,主要目的是通过使用可信主机提供的终端技术,实现网络访问控制。TNC的主要思想是当终端访问网路之前,要对终端的身份进行完整性检测。如果满足安全策略要求,则允许终端接入网络;否则,则拒绝或对该终端进行隔离。当终端处于隔离状态时,可以对该终端进行修复。当终端的完整性和其他属性达到系统安全策略的要求时,才允许其接入网络,这样就大大提高了整个网络系统的安全性及可信性。
TNC实现网络和终端的可视化,帮助网络管理员掌握谁在使用网络、网络传输的是什么内容、设备是否可否可信。TNC使用基于网络的增强的访问控制,根据身份验证、设备和用户行为来确定允许还是阻止网络访问,从而提供了多供应商环境下全方位的安全、网络访问控制和互操作。
五、移动可信单元(Mobile Trusted Module,MTM)
随着第三代移动通信(3G)时代的来临,移动计算平台的应用越来越广泛,大量运行在传统计算平台上的应用被移植到移动计算平台中。智能手机等移动计算平台实际就是一个功能强大的嵌入式系统。由于移动计算平台的应用环境复杂,除了终端用户之外还具有多个利益相关者,如设备、通信、应用等服务的提供商,它们无法直接接触到终端,不能像用户那样利用基于TPM的可信服务来验证自身的可信性,需要为它们提供符合自身利益需求的可信服务。因此,MTM就应运而生了。
MTM以参考完整性测量值(reference integrity metrics,RIM)作为可信验证的依据。一个RIM可以是一个软件镜像的SHA1哈希值,并包含在一个RIM证书之中,由RIM作者负责创建。每个MTM都存储一系列用于认证RIM证书的密钥。密钥分为根密钥和非根密钥。持有根密钥的一方负责给MTM提供RIM证书,非根密钥用于对RIM证书进行认证,从而实现对移动设备的认证。因此,MTM的可靠性依赖于采用的加密算法和密钥长度。此外,MTM还设计有位置隔离和自我防护功能,抵御攻击的范围和TPM相当。
MTM为移动平台定义了两种可信模块,分别是移动远程所有者可信模块(Mobile Remote-owner Trusted Module,MRTM)和移动本地所有者可信模块(Mobile Local-owner Trusted Module,MLTM)。移动远程所有者是指为移动平台提供服务(网络信号、服务支持等)的利益相关者。他们只为移动平台提供相关的服务,不能对设备进行直接的物理访问。为了保证他们所提供的组件及服务的可信性,就需要MRTM,且禁止其休眠、失效或者被移除。移动本地所有者是指移动平台的使用者,如用户。他们对平台具有控制权,在平台启动之后,可以通过平台中的本地所有者可信模块MLTM对用户服务进行证明,类似于PC中的TPM,能够休眠、失效或者被本地所有者安装、移除,是可选择使用的。
六、实施建议
再先进的技术也不能保证100%的安全。常言到,安全30%靠技术,70%靠管理。因而制定完善的管理措施,执行安全技术尤为重要。
安全评估。企业应当对用户、设备、网络、资源、地理位置和对策进行全面的评估以确定安全风险的来源。
削减风险。企业应当尝试制定对策以削减风险。比如,企业可以要求员工在设备上运行安全代理,关闭不必要的端口和服,依据信任根集成和识别安全代理,在设备上创建安全沙箱或分区,为设备创建更安全的虚拟局域网,在设备上安装远程终端软件以避免在本地存储企业数据。如果使用得当的话,这些措施可以降低在安全评估中确定的风险。
访问控制。企业根据策略、身份、设备配置和集成因素确定哪些访问操作应当允许,哪些应当禁止。
监控和反应。如果有设备下载数据,企业应当监控设备的安全性并对安全威胁作出相应反应。比如,如果密码输入错误达到五次,则锁定设备;当用户报告设备丢失或失窃,抑或用户失去权限时,则远程删除企业数据或取消用户对加密数据的访问。应当记录事件(包括数据访问)以便于审计。
CIO之家 www.ciozj.com 公众号:imciow