没有灵丹妙药可以独自解决移动设备所带来的安全挑战，完善的安全解决方案将会是广泛的产品组合。

文/华为SecoSpace战略与业务发展部高级营销经理 潘伟

针对BYOD带来的安全隐患，企业必须实施有效的控制手段和策略。企业需要考虑的问题涵盖了技术方案、技术支持、业务流程、HR管理、财务规章和法律责任等多个方面。那么首先，有哪些技术方案和安全策略可供选择？

BYOD 6大安全控制手段

大多数企业首先会通过明确的政策来决定BYOD计划的实施程度，有的选择限制访问某些数据或应用程序，有的会选择要求员工在自己的设备上安装特定的软件。企业将决定允许哪些终端可以和网络连接、相关策略和可以接受的用户行为。企业还必须决定实施哪些技术控制手段以执行企业的政策。至少，企业必须回答某些问题，例如支持什么样的设备和移动操作系统？如何分配和管理员工设备上的应用程序等等。技术控制可以以网络为中心，或以设备为中心，并没有放之四海皆准的单一手段。可供选择的技术控制手段有如下几种：

● 移动设备管理（MDM）。对个人设备匹配相应的安全策略管理能力是采纳MDM的驱动力之一。 MDM能使策略执行针对移动设备本身并提供远程位置锁定和数据擦除的能力，防止设备丢失或被盗。

● 网络访问控制（NAC）。这种技术的一个主要优点是，建立对网络本身的控制，使企业在网络发生任何损坏之前，能够阻止来自于移动设备的恶意软件的攻击。NAC依赖于网络执行安全策略并控制终端、数据和用户访问行为，它需要相当的智能设计以在网络上提供足够的访问控制粒度。

● 安全Web网关（SWG）。面向移动的Web安全网关也许是MDM的完美补充。它可以基于设备或云，通过恶意软件过滤、信誉过滤、数据防泄漏（DLP）、应用可视化控制等手段，结合可行的策略控制，解决BYOD带来的网络安全风险。

● 移动安全客户端（ESC）。它是传统防恶意软件客户端的移动性延伸，是终端上反恶意软件、身份认证（如802.1X）、VPN和远程擦除功能的组合。

● 身份和访问管理（IAM）。它是使企业能够执行合规和加强基础设施安全的策略平台，同时可简化企业的业务操作。通常情况下，它包含了一个完整的配置和认证系统，用来对网络中形形色色的移动访问角色提供永久或临时的认证。它会收集实时的来自网络和用户的上下文信息，强制执行安全策略，并根据预设的条件触发，预先自动生成管控决策。

● 虚拟桌面基础设施（VDI）。它创建了一个可以托管应用程序和数据的安全虚拟机（VM），为进入企业网络的移动设备访问VDI提供了一个安全窗口，确保数据的安全和业务连续性，因为VDI不允许数据在用户的个人设备之间以及与企业基础设施之间流动。

没有灵丹妙药可以独自解决移动设备所带来的挑战。完善的安全解决方案将会是广泛的产品组合，可以实时抵挡来自于移动设备的新的安全威胁，对远程用户执行安全合规，并保护网络、数据和客户端的安全。如果制定政策和审视技术控制手段是获取BYOD安全的第一步，第二步则是创建一个战略架构远景。

首先， 让我们从MDM开始。一方面，市场驱动厂商追求广泛的、跨平台的MDM覆盖策略，使得原来因为缺乏MDM安全策略定义和实现标准所造成的适应性的广度和差异化欠佳的情况有所改善。另一方面，由于针对移动平台的恶意软件层出不穷，提高移动设备安全性的呼声也越来越高，企业需要MDM结合恶意软件防护来确保业务的连续性。许多企业这样做了，却失于偏颇，因为他们没有采取相应的网络可视化监控手段。此外，基于设备的恶意软件防护，会受到设备和移动操作系统的限制。想象一下，如果员工用合法的智能手机或平板电脑访问互联网上的恶意信息怎么办？在那一刻企业该怎样去及时阻止移动终端接入可疑的网站或应用程序？