韩强 张建沼

摘  要：随着智能终端的普及，BYOD应用也越多越流行，数据安全也变得越来越重视。文章分析了BYOD应用安全管控的技术方法，比较不同BYOD安全解决方案的优缺点，让BYOD管理者根据自身需求选择最优技术方案。

关键词：BYOD;安全管控;应用重打包

中图分类号：TP309         文献标志码：A       文章编号：2095-2945（2019）26-0135-02

Abstract： With the popularity of intelligent terminals， more and more BYOD applications are becoming more and more popular， and data security is becoming more and more important. This paper analyzes the technical methods of BYOD application security control and compares the advantages and disadvantages of different BYOD security solutions， thus allowing BYOD managers to choose the best technical scheme according to their own needs.

Keywords： BYOD; security control; application repackaging

引言

當前企业公司、集团部门、机关事业等单位职员的BYOD（Bring Your Own Device：自带设备办公）形式越来越流行，已成为当下一种潮流，非常受欢迎。办公人员通过智能手机直接接入企业内网，访问本单位的专有资源。Gartne研究表明：2017年将近50%的公司不再给自家员工提供办公设备，员工自带设备办公（BYOD策略），2018年将近70%的办公人群参加此潮流，实现BYOD策略工作方式。然而BYOD的流行充满着机会和挑战，机会是它可提高生产力和工作效益以及降低办公设备的成本;挑战是它的安全性能，若此设备丢失、员工离职或设备带有恶意病毒软件，则企业内网将面临数据泄露和财产损失等安全威胁。那么如何提高BYOD应用的安全管控，将是一项信息安全技术的研究热点。

1 BYOD安全管控现状

1.1 数据标记追踪策略

为了方便查询或跟踪数据，人们通常对数据加以标记如分类标注、画框、注释、进度标注等方式，这给数据安全检测提供了一个方式：数据标记追踪策略。如TaintDroid通过Android手机系统中的Dalvik虚拟机程序，加入隐私流代码标记，来追踪监视检测某隐私信息的数据传播。又如ContentScope项目中通过数据流标记路径敏感方式，对手机中的BYOD应用程序中的内容污染或被动泄露的数据，可追踪找出安全问题。当然，现在数据标记方法很多，有通过修改手机中的操作系统，如应用服务系统，也有通过Content污染数据的跟踪方法或通过分散数据的方式实现数据安全策略。

1.2 基于权限的控制管理

现在BYOD设备中的权限细粒度的管控，就是防止数据通信过程的信息泄露问题。目前流行采用应用程序重写方案，此方案可移植性较强可应用于Android手机的各应用程序中。如通过Davis等应用程序中的Dalvik字节码重写方案，实现敏感数据的拦截API功能;Retroskeleton通过应用程序中的行为重写方案，实现静态或动态干涉方法，改进数据访问行为的多样性，从而拦截上层API的异常数据。

1.3 基于角色的权限访问控制

对于BYOD应用程序来说，灵活、简单和多层次的RBAC（Role-based Access Control，基于角色权限访问控制）方案，受到广泛应用。如Damiani等提出用户位置识别来分配相应的角色和权限访问控制，Vaidya等提出一种无监督学习构建角色的权限访问控制，而Rohrer等实现在金融健康等敏感环境中的RBAC具体问题，但实现机制涉及中间件的修改，缺乏评估的系统原型。

综上所述，BYOD应用安全管控方法都有一定的局限性，比如虚拟化的方法有点欠缺，应用方案缺乏移植性，这些方法针对性差，没有BYOD应用场景，无法为智能手机实现自由上网的安全保障。

2 BYOD应用安全管控的解决方案

2.1 构建BYOD安全管控平台

BYOD的本质就是方便职员自由接入公司内网进行自由办公。因此构建一套完整的BYOD安全管理体系平台，更好为企业移动信息化战略提供综合管理的服务，其主要功能有移动设备管理（MDM）、应用管理（MAM）、移动内容管理（MCM）、移动用户管理（MUM）等。

其中MDM主要用于移动设备的配置管理和安全检测管理，提供一体化的设备注册、激活、注销、丢失、淘汰和越狱控制能力;包括对恶意软件检测、反病毒软件的数据预防、应用设备数据加密等功能;而MAM主要用于移动设备的应用程序管理，提供移动应用的终端绑定、权限管理、统计分析等服务，支持黑白名单策略，包括应用版权、访问敏感数据的安全处理，同时方便职员办公，对职员的个人应用数据设置权限。MCM主要检测敏感数据，防止敏感数据访问和复制，提供终端文档加密能力。实现用户数据与敏感数据隔离，若发现被恶意控制，则清理敏感数据。移动用户管理MUM为移动应用提供标准的注册、认证、登出等统一接入能力，为移动业务提供帐号关联、单点登录支撑。BYOD平台结构如图1所示。

2.2 BYOD安全管控技术方法

本文提出的BYOD安全管控方案主要集中在安卓手机系统。为了安全保证，BYOD管理员采用动态灵活的配置数据访问控制策略，因此BYOD安全管控解决方案主要有以下三种类型：

（1）应用程序重打包。这种方法就是将应用程序重新装入新的程序中，BYOD管理员将企业管理代码嵌入到现有的Android应用程序，属于应用程序二次开发的过程。当然它不需要给应用程序开发人员支付额外的开发成本，也完全适合企业内网对应用程序的操作系统版本要求。但是这种方法无法重写级别高的应用程序，如基于反编译技术APP。

（2）软件开发工具包SDK。SDK都是一些特定的软件包、软件框架、硬件平台、操作系统等建立应用软件时的开发工具的集合。包括用于调试和其他用途的实用工具、示例代码、支持性的技术注解或者其他的为基本参考资料澄清疑点的支持文档。

（3）修改操作系統。这里的操作系统，特指手机Android系统，负责管理与配置数据安全的基本任务。BYOD管理者可直接将MAM特性嵌入于操作系统代码中，不需要应用程序开发人员的协作，也不怕反编译程序技术。但是它依赖性强，不适用于广泛移植。

2.3 BYOD安全管控方案对比

针对上面现有MAM三种类型的BYOD安全解决方法，从其适用系统、数据隔离方式、是否多实体管理、是否采用RBAC、管理粒度如何、数据共享情况、可移植性等方面进行比较，对比结果如表1所示。

从表中数据显示出，目前BYOD平台方案都解决了数据隔离的功能，但只有Citrix实现加密功能，即对敏感数据检测机制。所有BYOD解决方案对数据共享从而降低数据使用率。还有方案中缺乏细粒度动态的权限控制，因此缺乏高度机密数据分析处理能力;有些实现RBAC、多实体管理的功能，缺乏数据共享的监管能力。只有Android L实现自主控制访问，但其移植性比较差。

3 结束语

综上可知，现有的BYOD解决方案都有不足之处，企业需要开发新的BYOD安全管控平台，保障BYOD应用的安全性，同时满足企业的需求。这样的BYOD安全管控平台必须具备企业数据与用户数据的隔离功能、企业应用间的数据共享功能、用户角色的多实体管理功能、可实现细粒度的访问控制功能、还有动态灵活的权限配置功能。

参考文献：

[1]中国信息通信研究院.2016年移动智能终端暨智能硬件白皮书[EB/OL].[2016-12-24].http：www.catr.cn.kxyj/qwfb/bps/201610/t20161026-2181168.htm.

[2]徐军.自带设备（BYOD）安全机制研究[D].厦门：厦门大学，2014.

[3]郭冠宇.BYOD场景下移动应用安全管控的研究与实现[D].杭州：浙江大学，2017.

[4]黄寿孟.基于超网络模型的混合教学知识传播研究[J].信息与电脑：理论版，2019（5）：37-39.

[5]黄寿孟.基于Flex的数据通信技术研究与应用[J].中国现代教育装备，2016（17）：12-15.