链 接

让BYOD搭上虚拟化的快车

在BYOD的浪潮下，企业如何保护数据?首先，CIO们需要问自己一个问题：企业是否在意没有受到管控的设备连入公司网络?如果答案是肯定的话，IT部门就要利用企业的资源来保护数据安全，降低业务数据被恶意访问的风险。

一部安全的设备需要拥有以下这些特征：加固的安全设置、安全登录方法、强验证协议、合适的访问控制、开启基于主机的防火墙、版本最新的反恶意软件软件、安全配置软件、打上最新补丁的软件、合适的本地和网络安全权限，以及经过配置并且启用的审计策略。

我们之所以要管理设备，是因为我们想要减小发生恶意事件的可能性。BYOD看上去却阻挠了这些美好的想法。在大多数情况下，未受到管理的设备要比受到集中管理的设备泄漏数据的风险更高。那么，在不进行设备管理的情况下，又该如何确保数据安全?

最简单的解决办法就是拒绝未受到管理的设备访问受保护的数据，这也是近几年来最常见的对策。但是在很多企业环境中，就算落实了“拒绝未受到管理的设备访问受保护的数据”这条规则，未受到管理的设备照样在访问公司数据。这很明显是一个数据保护方面的漏洞。

如果未受到管理的设备无论如何都要访问企业数据，那么怎样才能最有效地保护数据呢?简单的办法就是，禁止在未受到管理的设备上存储数据，无论是暂时存储还是长期存储。那样一来，攻击者想窃取远程数据的难度会大得多。

我们可以采取的一个办法是，使用传统的客户机/服务器模式。所有数据都保留在服务器端，只有结果才发送到用户端——如今通常使用浏览器。这是个好办法。唯一的问题是，其仍然让未受到管理的计算机直接访问前端系统，而前端系统一般都会连接中间件和后端服务器。一旦未受到管理的设备被攻击者控制，攻击者就可以钻这个安全漏洞的空子，访问并且危及整个内网的所有计算机。

面对未受到管理的设备，一种更好的解决办法是，只将数据返回结果呈现给用户，这样设备几乎无法访问内网中的任何计算机。市面上已经有众多这样的解决方案，比如VDI(虚拟桌面基础架构)、终端服务(Terminal Services)和虚拟网络计算(VNC)等。

如果通过未受到管理的设备只能访问最终呈现的画面，那么攻击者基本上搞不了多大破坏。攻击者也许能获取一些直接显示出来的数据，但他们无法访问字符串、HTML代码或者其他能够畅行无阻访问后端数据的宝贵信息。

(责任编辑：)