重慶煙草行業(yè)制訂的信息行業(yè)“十二五”規(guī)劃提出了以建設(shè)“智慧渝煙”為目標(biāo),以利用新技術(shù)為手段,以構(gòu)建應(yīng)用平臺(tái)為支撐,以三大系統(tǒng)建設(shè)和信息資源利用為重點(diǎn),統(tǒng)籌規(guī)劃、系統(tǒng)設(shè)計(jì)、整體推進(jìn),不斷提升重慶煙草信息化水平,為重慶煙草實(shí)現(xiàn)“卷煙上水平,對(duì)標(biāo)升位次”發(fā)揮支撐作用的信息化發(fā)展總體思路。作為“智慧渝煙”應(yīng)用平臺(tái)在移動(dòng)終端的上的子系統(tǒng)(圖1),重慶煙草移動(dòng)云平臺(tái)將于年內(nèi)正式上線運(yùn)行。
圖1 移動(dòng)云平臺(tái)
要實(shí)現(xiàn)重慶煙草由企業(yè)信息化向信息化企業(yè)的轉(zhuǎn)變,移動(dòng)信息化勢(shì)在必行,同時(shí)也意味為著行業(yè)信息化應(yīng)用巨大的改變,能夠在移動(dòng)過(guò)程中通過(guò)平板電腦和智能手機(jī)訪問(wèn)電子郵件、應(yīng)用和數(shù)據(jù),員工將更加滿意,工作起來(lái)也會(huì)更加高效。盡管移動(dòng)設(shè)備帶來(lái)了效率的提高,但也給企業(yè)帶來(lái)了新的安全問(wèn)題,若處理不當(dāng),移動(dòng)設(shè)備的安全漏洞會(huì)給企業(yè)帶來(lái)重大損失。由中央防火墻保護(hù)的僅限于PC網(wǎng)絡(luò)的安全概念已經(jīng)顯得落后,游離于保護(hù)之外的移動(dòng)終端上的敏感數(shù)據(jù)泄漏和安全風(fēng)險(xiǎn)隨時(shí)可能發(fā)生;移動(dòng)設(shè)備還會(huì)感染上病毒和惡意軟件,這樣就會(huì)將其散播到公司的網(wǎng)絡(luò)中;移動(dòng)設(shè)備很容易丟失或被盜,直接威脅到存儲(chǔ)和訪問(wèn)過(guò)的數(shù)據(jù)。本文試圖通過(guò)對(duì)移動(dòng)云平臺(tái)的使用管理策略和技術(shù)策略兩個(gè)方面論述如果在移動(dòng)信息化過(guò)程中最大限度確保行業(yè)的信息安全。
一、移動(dòng)云平臺(tái)現(xiàn)狀簡(jiǎn)介
重慶煙草移動(dòng)云平臺(tái)是重慶煙草“智慧渝煙”應(yīng)用平臺(tái)在移動(dòng)終端上的子系統(tǒng)(圖1)。按照《重慶煙草行業(yè)“十二五”信息化總體規(guī)劃》的部署堅(jiān)持“智能化”、“一體化”“平臺(tái)+應(yīng)用”的技術(shù)路線,“智慧渝煙”應(yīng)用平臺(tái)并于2012年正式上線,初步實(shí)現(xiàn)了“系統(tǒng)集成、資源整合、信息分享”的目標(biāo)。移動(dòng)云平臺(tái)是堅(jiān)持平臺(tái)+組件的技術(shù)理念,遵從智慧渝煙應(yīng)用平臺(tái)一體化設(shè)計(jì),將智慧渝煙從PC 端B/S應(yīng)用向移動(dòng)終端應(yīng)用延展而來(lái)的移動(dòng)APP,能夠滿足領(lǐng)導(dǎo)和員工的移動(dòng)辦公需求,帶動(dòng)工作模式轉(zhuǎn)變,進(jìn)一步提高工作效率。
移動(dòng)云平臺(tái)采用云-管-端設(shè)計(jì)理念,基于智慧渝煙應(yīng)用平臺(tái)的云中心,構(gòu)建移動(dòng)管控平臺(tái),實(shí)現(xiàn)客戶端五大應(yīng)用。集成了移動(dòng)OA、內(nèi)網(wǎng)信息、數(shù)據(jù)看板、日程管理、企業(yè)郵箱、溝通協(xié)作、網(wǎng)盤(pán)、云筆記等功能(圖2)。
圖2 移動(dòng)云平臺(tái)設(shè)計(jì)理念
二、可能存在的信息安全隱患
從設(shè)計(jì)構(gòu)架上看,因?yàn)橛幸苿?dòng)管控平臺(tái)作為“云”和“終端”的中間管控“代理”,通過(guò)合理的策略設(shè)計(jì)可以拒絕和過(guò)濾大部分來(lái)自終端的非法請(qǐng)求和操作,即從“端”到“云”的攻擊和不安全行為是較容易識(shí)別和防范的,“云”端的安全級(jí)別也應(yīng)該是較高的。從終端管理上來(lái)看,使用移動(dòng)云平臺(tái)的設(shè)備采用了審批準(zhǔn)入制度,將賬號(hào)和設(shè)備綁定以及嚴(yán)禁移動(dòng)終端“越獄”限制應(yīng)用程序獲得更好系統(tǒng)權(quán)限等方式確保信息安全。通過(guò)對(duì)以上兩個(gè)方面的研究結(jié)合目前移動(dòng)終端普遍面臨的信息安全問(wèn)題,找出移動(dòng)云平臺(tái)可能存在的信息安全隱患并通過(guò)管理或者技術(shù)的手段予以克服,是信息管理人員必須重視及認(rèn)真對(duì)待的問(wèn)題。在筆者看來(lái),目前階段的移動(dòng)云平臺(tái)可能存在以下幾方面的信息安全隱患。
(一)終端軟件環(huán)境不可控性帶來(lái)潛在的數(shù)據(jù)泄密的風(fēng)險(xiǎn)
從移動(dòng)云平臺(tái)的構(gòu)架上分析,通過(guò)云端以及管控平臺(tái)到達(dá)終端的數(shù)據(jù)因?yàn)榻K端的不可控性帶來(lái)數(shù)據(jù)泄密的可能性極大,但從平臺(tái)目前支持的ios 和Android 兩大主流操作系統(tǒng)本身的信息安全狀況看,發(fā)生終端數(shù)據(jù)泄密的可能性相當(dāng)高。
以Android 為例,就有研究人員發(fā)現(xiàn)Google Play 商店中有應(yīng)用程序有錯(cuò)誤的加密,防毒應(yīng)用程序因?yàn)镾SL 防護(hù)不足,黑客可以輕易下載惡意病毒憑證。目前,官方Google Play 商店有1.85 億供使用者下載,這些使用者的網(wǎng)絡(luò)銀行資料、社交網(wǎng)站資料、電子郵件與即時(shí)訊息內(nèi)容都暴露在危險(xiǎn)中。另有研究人員從Google Play 市場(chǎng)中下載了13500 項(xiàng)免費(fèi)應(yīng)用程序后透過(guò)靜態(tài)均衡分析發(fā)現(xiàn)共41 項(xiàng)應(yīng)用程序持續(xù)泄露敏感資訊,只要將手機(jī)連上WLAN,科學(xué)家就能輕松打破安全機(jī)制,因此所有網(wǎng)站與使用者間的憑證都受到影響。所謂官方的Google Play 尚且如此,更何況數(shù)以千記的其他第三方“黑市場(chǎng)”提供的應(yīng)用程序下載。最近爆出的美國(guó)“棱鏡”計(jì)劃,揭示互聯(lián)網(wǎng)的危險(xiǎn)性,同時(shí)也證明美國(guó)IT 巨頭并不可靠,當(dāng)前市場(chǎng)上大約95% 移動(dòng)智能終端使用的是IOS、Android、Windows Phone 操作系統(tǒng),這些操作系統(tǒng)都掌握在美國(guó)巨型高科技企業(yè)手中,移動(dòng)智能終端上的信息很可能會(huì)被非法竊取和監(jiān)聽(tīng)。
如果說(shuō)Android 是因?yàn)槠涓叨乳_(kāi)放的特性帶來(lái)信息安全的隱患,那么ios 平臺(tái)相對(duì)的封閉和蘋(píng)果App Store 相對(duì)google play更嚴(yán)格的審查制度是否能帶來(lái)更好的安全特性呢?據(jù)最新的研究表明,App Store 里的App 比Google Play 里的App 帶有更大的隱私威脅!
據(jù)Appthority 最近于舊金山RSA 會(huì)議發(fā)布的最新研究結(jié)果顯示,60%的ios App 會(huì)跟廣告商和第三方分析網(wǎng)絡(luò)分享數(shù)據(jù),其中60%的ios App 會(huì)收集用戶地理數(shù)據(jù),54%的App 會(huì)收集用戶聯(lián)系人列表,14%的App 會(huì)抽取你的日程表信息。相對(duì)Android 來(lái)說(shuō),數(shù)據(jù)分別是42%、20%以及0%。而對(duì)于未加密數(shù)據(jù),幾乎100% 的iOSAPp 會(huì)發(fā)送未加密數(shù)據(jù)給廣告方。當(dāng)用戶隱私這類最基本的數(shù)據(jù)都無(wú)法保護(hù)的時(shí)候,一款A(yù)pp 如果要獲取終端上的其他數(shù)據(jù)用戶也很難發(fā)現(xiàn),特別是那些“越獄”或者是ROOT 過(guò)的可以安裝非官方版本應(yīng)用程序的終端設(shè)備更是如此。
由此可以想見(jiàn)當(dāng)移動(dòng)云平臺(tái)開(kāi)放BYOD(Bring Your Own Device)設(shè)備接入的時(shí)候,因大量的員工私人智能終端的接入而帶來(lái)的終端上各類令人不安的應(yīng)用程序引起的數(shù)據(jù)泄密隱患必須引起足夠的重視。
(二)移動(dòng)終端丟失導(dǎo)致的公司敏感數(shù)據(jù)的損失和非法的接入
移動(dòng)設(shè)備丟失造成的硬件和軟件的損失相比包含在里面的信息可能不值一提。如果通過(guò)移動(dòng)云平臺(tái)下載到終端的數(shù)據(jù)損失可能導(dǎo)致行業(yè)敏感信息的外泄和潛在的社會(huì)問(wèn)題甚至拾到設(shè)備的人可以嘗試非法接入移動(dòng)云平臺(tái)獲取行業(yè)內(nèi)網(wǎng)的數(shù)據(jù)。許多國(guó)家的政府都出臺(tái)了相關(guān)規(guī)定規(guī)范公司的這種信息管理行為,可是目前我國(guó)尚未有類似的相關(guān)法律法規(guī)。
現(xiàn)在看來(lái),如果某位員工的移動(dòng)終端遺失,那么其設(shè)備上是否保存有行業(yè)相關(guān)信息? 這類信息是否會(huì)被拾到者輕松查看或者傳播? 拾到者是否能夠非法接入移動(dòng)云平臺(tái)? 這一系列問(wèn)題必須通過(guò)安全管理手段予以解決。
(三)惡意軟件或者病毒導(dǎo)致的工作效率的下降
近年來(lái),隨著智能終端設(shè)備的爆發(fā)式增長(zhǎng),以前只是電腦上運(yùn)行的惡意軟件和病毒早已把目標(biāo)指向了智能終端設(shè)備。使用Wi-Fi和藍(lán)牙連接,惡意軟件可以通過(guò)點(diǎn)對(duì)點(diǎn)進(jìn)行傳播。病毒可以通過(guò)影響智能電話的整體文本能力和PIM 數(shù)據(jù)傳播到其他手機(jī)上。移動(dòng)軟件還可以利用欺騙手段造成受害人金融損失,有時(shí)還會(huì)由于基于移動(dòng)互聯(lián)網(wǎng)的網(wǎng)絡(luò)釣魚(yú)事件造成個(gè)人機(jī)密信息的遺失,這也被稱作移動(dòng)網(wǎng)絡(luò)釣魚(yú)。
這些惡意軟件和病毒要么旨在竊取用戶數(shù)據(jù)或者騙取用戶通訊費(fèi)用,要么旨在傳播擴(kuò)散造成移動(dòng)網(wǎng)絡(luò)阻塞。因?yàn)槠浔举|(zhì)是大量占用系統(tǒng)資源和產(chǎn)生各種非法鏈接,必定會(huì)造成終端設(shè)備的性能下降和費(fèi)用流失,也可能會(huì)因?yàn)榇罅糠欠ㄟB接請(qǐng)求造成移動(dòng)云平臺(tái)管控平臺(tái)的性能下降和網(wǎng)絡(luò)阻塞從而造成終端或者整個(gè)平臺(tái)的工作效率下降。
(四)黑客事件導(dǎo)致的工作效率的下降
除了由惡意軟件、垃圾郵件、病毒造成的威脅之外,移動(dòng)設(shè)備還會(huì)成為黑客和DoS 攻擊的對(duì)象,其借助的是移動(dòng)操作系統(tǒng)的漏洞。例如,一種叫做“頭顱”的惡意軟件會(huì)使移動(dòng)設(shè)備上的應(yīng)用程序失靈。用戶不能收發(fā)郵件和消息,日歷功能也會(huì)停止,也不排除會(huì)有黑客利用現(xiàn)有移動(dòng)操作系統(tǒng)的漏洞對(duì)通過(guò)云平臺(tái)對(duì)行業(yè)內(nèi)網(wǎng)發(fā)動(dòng)網(wǎng)絡(luò)攻擊和入侵,畢竟在如今的移動(dòng)互聯(lián)網(wǎng)中黑客攻擊已經(jīng)是大規(guī)模泛濫了。
三、可供參考的解決思路
針對(duì)以上提到的各種安全隱患,要實(shí)現(xiàn)移動(dòng)與平臺(tái)的信息安全就需要信息化管理人員做好針對(duì)性的信息安全策劃。安全是人、流程和技術(shù)三合一體的產(chǎn)物。要想實(shí)現(xiàn)最大程度的安全,這三方面的因素都需要考慮。為了防止移動(dòng)終端和云平臺(tái)及行業(yè)網(wǎng)絡(luò)免于數(shù)據(jù)和效率的損失,可考慮采取如下措施。
(一)制定、完善使用移動(dòng)設(shè)備的管理制度
首先,需要考慮使用移動(dòng)設(shè)備時(shí)的法律和兼容性相關(guān)的問(wèn)題,企業(yè)的制度必須和相關(guān)法律法規(guī)保持一致性,同時(shí)制度的執(zhí)行不是被隔離的,應(yīng)該包括各個(gè)部門(mén)的通力合作。
其次,隨著員工擁有移動(dòng)設(shè)備數(shù)量的激增和對(duì)移動(dòng)辦公的需求越來(lái)越高,越來(lái)越多的用戶也開(kāi)始使用BYOD 工作。為了控制安全風(fēng)險(xiǎn),移動(dòng)云平臺(tái)需要就BYOD的使用設(shè)立一套清晰的規(guī)章,應(yīng)該嚴(yán)格慎重地審批接入的設(shè)備,不管是誰(shuí)使用移動(dòng)設(shè)備,誰(shuí)就是該設(shè)備信息安全的直接負(fù)責(zé)人,對(duì)接入的移動(dòng)設(shè)備都要加以控制和備案。
最后,應(yīng)該在規(guī)章制度中嚴(yán)格限制接入的終端設(shè)備“越獄”或者是“root”,因?yàn)槿〉酶呦到y(tǒng)權(quán)限的設(shè)備能夠安裝的來(lái)源不確定的第三方應(yīng)用的安全風(fēng)險(xiǎn)相對(duì)官方渠道獲取的應(yīng)用來(lái)說(shuō)會(huì)高得多。
(二)需要強(qiáng)化用戶和設(shè)備訪問(wèn)數(shù)據(jù)時(shí)的授權(quán)功能
針對(duì)設(shè)備丟失帶來(lái)的非法使用問(wèn)題,移動(dòng)設(shè)備的數(shù)據(jù)需要防止未經(jīng)授權(quán)的人士訪問(wèn)。密碼保護(hù)是必須的,移動(dòng)設(shè)備要設(shè)置開(kāi)機(jī)密碼確保用戶不是非法的使用者。同時(shí),需要一個(gè)好的移動(dòng)安全解決方案確保管理人員建立和執(zhí)行安全政策的連貫性。例如,管理人員要能夠防范惡意的登錄嘗試:如5 次平臺(tái)系統(tǒng)密碼錯(cuò)誤,要求重啟設(shè)備,然后要求用戶提供開(kāi)機(jī)密碼繼續(xù);要求用戶再次輸入平臺(tái)密碼;若仍舊連續(xù)5 次密碼錯(cuò)誤,則自動(dòng)卸載移動(dòng)云平臺(tái)App,同時(shí)清除所有緩存數(shù)據(jù),并在管控平臺(tái)鎖定該設(shè)備的ID 登陸權(quán)限,直至管理員解鎖。為實(shí)現(xiàn)最大限度的保護(hù),還可以使用特殊的軟件刪除數(shù)據(jù)防止數(shù)據(jù)被非法恢復(fù),通過(guò)預(yù)設(shè)存儲(chǔ)條件進(jìn)行數(shù)據(jù)清除,即使在無(wú)線網(wǎng)絡(luò)斷開(kāi)的時(shí)候管理人員也可以及時(shí)刪除數(shù)據(jù)。
(三)使用數(shù)據(jù)加密和網(wǎng)絡(luò)數(shù)據(jù)傳輸加密
為了防止設(shè)備丟失以及不安全軟件造成的數(shù)據(jù)泄露,數(shù)據(jù)加密是保護(hù)數(shù)據(jù)最有效的方法?紤]加密的內(nèi)容應(yīng)該有內(nèi)網(wǎng)信息、提供下載的文件、行業(yè)聯(lián)系人信息、日程表,以及客戶資料等。加密不僅僅應(yīng)用于設(shè)備上的存儲(chǔ)媒介,管理人員要根據(jù)文件的不同實(shí)施不同的加密,使用不同的加密算法。
加密的強(qiáng)度依賴于其所使用的加密算法。目前市面上有很多加密算法。加密算法分為兩種類型——密鑰和公鑰算法。密鑰算法提供了機(jī)密,而公鑰算法提供機(jī)密和授權(quán)。使用最廣泛的密鑰算法是AES(高級(jí)加密標(biāo)準(zhǔn))和3DES(三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn))。但是,越高的加密意味著更高的能源消耗,需要設(shè)計(jì)人員可以在安全要求和系統(tǒng)性能之間尋找到平衡點(diǎn)。同時(shí)應(yīng)準(zhǔn)備兩套系統(tǒng)數(shù)據(jù)加密方案,在發(fā)生加密被破解的情況下實(shí)現(xiàn)快速替換以減少損失。綜合的解決方案不僅包括滿足適當(dāng)標(biāo)準(zhǔn)和認(rèn)證的加密,提供加密算法和密鑰長(zhǎng)度的彈性,還要能夠安全的使用密鑰管理訪問(wèn)數(shù)據(jù),同時(shí)如果脫離移動(dòng)云平臺(tái),即使數(shù)據(jù)已經(jīng)被下載到終端設(shè)備,通過(guò)其他軟件仍然是不能查看這些文件的。這套方案可以集成在云平臺(tái)的移動(dòng)管控平臺(tái)中,并可以被不斷改進(jìn)和修正。
即使設(shè)備上的數(shù)據(jù)經(jīng)過(guò)加密,數(shù)據(jù)在移動(dòng)互聯(lián)網(wǎng)傳輸過(guò)程中同樣也需要加密。通過(guò)加密傳輸中的數(shù)據(jù),防止數(shù)據(jù)在從設(shè)備到服務(wù)器的傳輸過(guò)程中被黑客截獲。例如,SSL(加密套接字協(xié)議層)協(xié)議可以保證數(shù)據(jù)在傳輸過(guò)程中的安全。SSL以其簡(jiǎn)潔實(shí)用深受歡迎,同時(shí)SSL不需要在設(shè)備上安裝額外的軟件。
(四)在終端設(shè)備上必須安裝安全軟件或者殺毒軟件
行業(yè)在保護(hù)臺(tái)式機(jī)和筆記本安全的時(shí)候做得足夠到位。但一旦開(kāi)放BYOD 的接入則使得移動(dòng)終端游離于保護(hù)之外,當(dāng)他們與行業(yè)網(wǎng)絡(luò)連接的時(shí)候,就有可能感染行業(yè)網(wǎng)絡(luò)系統(tǒng)。為了給移動(dòng)設(shè)備提供臺(tái)式機(jī)和筆記本同等程度的保護(hù),移動(dòng)設(shè)備上也需要安裝殺毒軟件防止病毒感染。同時(shí)移動(dòng)數(shù)據(jù)應(yīng)該實(shí)時(shí)掃描。這不僅僅包括移動(dòng)設(shè)備上的數(shù)據(jù),還有外部存儲(chǔ)卡上的數(shù)據(jù),還要能夠掃描特定的文件類型和ZIP、CAB 等壓縮文件和APK 等應(yīng)用安裝程序。如果有條件,行業(yè)甚至可以和國(guó)內(nèi)知名安全軟件廠商合作,定制符合移動(dòng)云平臺(tái)的安全軟件并集成在App 中,若無(wú)法實(shí)現(xiàn)則應(yīng)該通過(guò)管理手段強(qiáng)制要求接入設(shè)備安裝安全軟件以降低風(fēng)險(xiǎn)。
(五)在管控端部署防火墻和入侵檢測(cè)系統(tǒng)(IDS)
面對(duì)有可能發(fā)生的黑客入侵和網(wǎng)絡(luò)攻擊,目前最好的辦法依然是在管控平臺(tái)部署防火墻和入侵檢測(cè)系統(tǒng)(IDS)。一旦激活,防火墻就會(huì)限制流量類型和源流量,對(duì)阻止端口進(jìn)行掃描是必須的,因?yàn)楹诳屯ǔ@枚丝趻呙枵页雎┒。企業(yè)中使用的防火墻和IDS 可以根據(jù)需要由管理員設(shè)置。通過(guò)管控平臺(tái),管理人員可以過(guò)濾特定IP 地址,端口或是協(xié)議的的流量。IDS 在移動(dòng)設(shè)備上的部署可以通過(guò)確定網(wǎng)絡(luò)流量的類型阻止DoS 之類的網(wǎng)絡(luò)攻擊。
(六)提高用戶的安全意識(shí),加強(qiáng)安全培訓(xùn)
提高安全保護(hù)主要考慮到人的因素,流程還有技術(shù)因素,還有對(duì)于移動(dòng)設(shè)備造成的網(wǎng)絡(luò)威脅的綜合性培訓(xùn)。用戶需要具備辨別不安全的應(yīng)用以及了解一些針對(duì)設(shè)備的潛在的威脅,同時(shí)還應(yīng)具備使用移動(dòng)安全軟件的能力。
系統(tǒng)用戶培訓(xùn)的建議:不要從非信任的渠道下載應(yīng)用程序;不要與陌生人共享應(yīng)用程序;在不使用的時(shí)候關(guān)閉藍(lán)牙、wifi 以及數(shù)據(jù)連接功能;備份以及必要時(shí)刪除設(shè)備上的文件數(shù)據(jù);及時(shí)更新設(shè)備上的軟件(操作系統(tǒng)、安全軟件等等)。
四、結(jié)束語(yǔ)
本文從系統(tǒng)構(gòu)架以及管理思路上分析了重慶煙草移動(dòng)云平臺(tái)信息安全所面臨的需要引起重視的問(wèn)題,同時(shí)根據(jù)自己的理解提出了一些解決方案,希望能夠?yàn)樾袠I(yè)信息安全建設(shè)建言獻(xiàn)策,同時(shí)也希望能夠與同行進(jìn)行交流共同提高,確保重慶煙草行業(yè)信息化建設(shè)持續(xù)健康發(fā)展。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:論移動(dòng)云平臺(tái)的信息安全管理
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839513010.html