江 敏 李 赟

BYOD(Bring Your Own Device)指自带设备进行办公，这些设备包括个人电脑、手机、平板等智能终端，通过这些智能终端，员工可以在任何地方、任何地点进行收发企业邮件、访问企业资源、对企业的业务进行处理，实现移动办公。移动办公是信息通信技术发展的结果，大量多元化的移动终端的出现，改变了人们传统的生活与工作模式，打破了时间、地域的限制，给予人们更多的获取信息的手段。特别是宽带、3G移动通信技术的应用，使企业办公进入了智能办公时代。随着铁路体制改革，铁路员工移动办公的需求，也为铁路信息化建设提出新的设想。

1 BYOD应用带来的安全问题

无线技术和移动技术在铁路信息化建设中已经应用得很成熟。铁路大型的物流中心 (例如青藏那曲物流中心)，通过无线网络实现PDA点货、无线呼叫等业务。铁路货车列检，列检员配备了无线作业手持机，通过无线网络开展语音传输、数据传输等业务。虽然PDA和列检手持机这些移动设备，不是员工自带设备，但也是通过智能终端对企业的业务进行处理，可以算是BYOD在铁路行业中的应用。这些应用实施都应充分考虑接入、网络及数据的安全。

如果在铁路园区网部署BYOD，园区员工在访问企业资源的同时，也给IT管理部门执行的统一安全策略即终端安全、网络安全和数据安全带来了新的挑战。关注点可以细分为数据安全、接入安全、应用安全、威胁防护及设备管理。

1.数据安全。员工使用个人设备访问办公网络，如何区分个人数据和企业数据，如何杜绝企业数据外泄，这是一个巨大挑战。

2.接入安全。员工的移动设备接入，使得园区网络对外无限延伸，但对于员工身份的安全认证及授权访问需要着重考虑。

3.威胁防护。应避免Internet外联链路的监听以及员工移动终端自身有各类的安全问题，比如病毒、木马。与园区内网终端不同，移动终端多属于员工自己设备，很难强制实施和园区内网一样的统一安全策略，这种情况下，如何防护可能由员工设备引入的恶意威胁也需要考虑。

4.设备管理。园区内员工大量内外网连入的移动终端，种类繁多，如何进行统一便捷的客户端异构平台的管理也是一个大问题。

2 统一的网络安全策略

针对园区网络部署BYOD带来的安全问题，提出完善的网络安全策略方案，通过实行统一策略，执行终端安全和管道安全，使员工自带设备移动办公得到全方位的安全防护。统一策略方案能够根据不同用户角色、不同设备类型、不同场所、不同时段、不同区域，采用不同的策略，确保对资源的安全访问。统一策略方案实现与移动设备管理(MDM)方案的策略集成，提供涵盖公司的单一策略来源 (有线网络、无线网络、远程网络、物理设备、虚拟设备)，对移动设备实施完善、准确的管理，能够很好地对园区网络进行安全防护。BYOD统一策略方案如图1所示。

图1 BYOD统一策略方案示意图

2.1 访问控制策略

把准入控制与识别终端的安全状态相结合，通过合规检查、动态控制及授权，对于不符合安全策略的终端进行隔离修复，强制终端用户实施公司的安全策略。IT管理部门制定访问控制策略，制定园区内员工使用何种设备、在何时、在何地、如何访问总公司园区网络的策略，控制接入网络的终端用户网络访问权限，实现最小授权访问控制。有效防范非法终端对公司业务资源的访问，确保业务正常运行，保护公司信息安全。

对于公司高层领导，根据其身份和角色定义，允许访问所有的网络资源。对于员工，提供相对宽松的模式，允许员工访问完成工作必须的业务系统。对于少数的重要业务系统，禁止一般员工访问。对于合作方员工，提供严格的控制模式，只允许合作方访问特定的业务系统，禁止访问重要的业务系统和一般的办公系统，允许根据安全策略，定义是否允许合作方的员工通过公司园区网络访问互联网。对于普通BYOD用户，例如，员工使用自己的移动终端接入，只能访问公司普通的业务资源，不能访问公司重要的业务系统和重要的办公系统。对于访客，禁止访问园区内部网络资源，包括重要的业务系统、一般业务以及合作方共享系统等，只允许访客访问互联网。

2.2 网络安全加固策略

BYOD部署在园区网络中，员工能够从家里或公共地点连接互联网或办公室网络，也会无意中将被感染的病毒、蠕虫和间谍软件带进企业环境，从而威胁网络安全。IT管理部门制定网络安全加固策略，借助于从低端到高端全系列的安全产品和虚拟化技术，对硬件资源进行虚拟化处理，在将来可以考虑打造基于SDN架构的安全资源池，按需动态虚拟化为多个逻辑单元，分配给不同的用户群，以此维护网络的安全。

还可以通过配置检查，检测防病毒软件的策略，检查终端是否安装了公司规定的杀毒软件，以及杀毒软件是否更新，作为判断终端当前安全状态的一个依据，阻止没有部署杀毒软件的终端或者杀毒软件长期不更新的终端接入网络。保证园区内网运行的终端杀毒软件能够及时更新并且有效运行，减少病毒感染和扩散的风险。通过配置检查屏保策略、检查文件共享策略、检查账户安全策略等来弥补员工由于安全保密意识薄弱带来的安全漏洞，保护信息安全。

2.3 行为监控策略

园区网络除了外部黑客、病毒攻击带来的安全威胁外，移动存储介质滥用、IM(即时通信)工具的使用、非工作时段的Web访问、不安全的WiFi接入、个人外设使用等带来的内部安全威胁也不容忽视。

IT管理部门制定的BYOD行为监控策略，可以管理Modem、ADSL、ISDN拨号设备，禁止员工使用拨号设备，防止终端绕过IT管理部门的监管连接互联网，使得园区网络直接面对来自互联网的攻击。确保所有互联网出口流量都经过统一架设的出口网关，通过出口网关过滤不安全的网络访问，保障园区网络的安全。还能提供Web访问监控功能，记录员工的Web网站访问信息，上报服务器进行统一管理和审计。通过这样的手段，一方面可以管理员工的上网行为，上班时间屏蔽一些与工作无关的网站;另一方面，提供审计和责任追溯的途径。

2.4 MDM管理策略

为确保园区内员工移动设备上的数据合规，需要借助MDM管理策略，使IT管理员可以更加清楚地了解终端设备状态，根据终端设备符合公司策略的情况，控制这些设备对公司业务的访问;可以实现要求注册、远程锁屏、禁止越狱、文件加密、远程定位及远程数据查出等，并能远程卸载非法软件、远程擦除丢失或被盗移动设备上的数据;还可以利用桌面虚拟化技术，数据的编辑和保存，都在数据中心的云端进行，终端只是显示，以此加强数据安全性。

3 有线无线融合的网络

在园区网部署BYOD，需要强大的网络做支撑。大量智能终端进入园区网络，引起接入流量增加，VoIP、虚拟桌面、视频会议应用的逐渐普及，要求园区的核心网络拥有大容量转发的能力、稳定的性能。千兆接入、万兆汇聚、40GE核心将是建网标准，网络核心需要具备更高转发能力，汇聚节点需要更智能以接受策略频繁变更，接入则需要更轻量和自动化。同时，网络资源不应再受地域和业务形态限制，网络会协同融合全网安全设备，适应BYOD移动化趋势下的全面安全管理。

网络资源全面虚拟化，有线、无线网络向深度融合演进，比如从设备层面实现融合AC处理和以太交换为一体，把AP当成交换机的一个端口，统一网管、发现、配置等，通过这些方式大幅度降低管理的复杂度，让网络敏捷地为业务服务。

BYOD带来的可移动性流量往往在小范围内密集接入，所以无线接入网络需要选择全覆盖、高速、高密的方案，比如支持基于终端自动逐包控制发送功率、限制低速率用户接入、提供5 GHz/2.4 GHz双频智能混合接入，从而减少高密度时同频用户终端干扰，提高可用带宽。由此可见，有线无线融合的网络是BYOD的基础。

4 结束语

BYOD虽然成为一种趋势，但企业在考虑融合BYOD的过程中，还要考虑网络、安全、策略和管理等多个方面。访问控制、网络安全加固、行为监控、MDM管理等形成统一网络安全策略，能很好地对网络进行安全防护。现在的网络正从静态走向动态，不仅要融合有线、无线网络，还要重视安全等问题，才有利企业内BYOD的应用，推动移动办公的发展。现在，银行希望让客户经理开展移动营销，医院正在开展无线医疗，零售企业希望提供针对移动终端推送精准广告和室内导航的增值服务，大型企业推行无边界移动办公，这些企业为将来部署BYOD提供了成功经验。目前，有些部门已经开始尝试为移动终端设备开发铁路应用，一些员工可以率先体验BYOD，也为铁路信息化建设提供新的思路。

［1］ 王雪杨.优化IT基础架构解决BYOD对网络的挑战［J］.中国 IT新媒体，2013(08).

［2］ 闫志坤.百家争鸣BYOD解决方案大练兵.IT168 2013(02).

［3］ 佚名.谈谈如何构建泛BYOD融合网络［J］.中关村在线，2013(12).

［4］ 吴伟.BYOD网络部署，情景感知不可缺［J］.51CTO.com，2013(10).