移動(dòng)支付在剛剛過(guò)去的春節(jié)掀起了2016中國(guó)互聯(lián)網(wǎng)第一陣風(fēng)潮,隨之而來(lái)的是安全圈的一片質(zhì)疑聲。首先我們需要強(qiáng)調(diào)的是產(chǎn)品體驗(yàn)與安全機(jī)制是兩個(gè)層面的問(wèn)題。春節(jié)前夕,筆者發(fā)起了關(guān)于移動(dòng)安全話題的討論,從企業(yè)安全和用戶安全角度,移動(dòng)設(shè)備本身帶來(lái)的便捷性就是一把雙刃劍,如果說(shuō)移動(dòng)設(shè)備和移動(dòng)應(yīng)用提供給開(kāi)發(fā)者無(wú)數(shù)的機(jī)遇,那么也正意味著有更多的諸如后門(mén)之類的可乘之機(jī)開(kāi)放給了攻擊者。
傳統(tǒng)用戶對(duì)于移動(dòng)安全的認(rèn)知主要停留在應(yīng)用層面,很多用戶認(rèn)為,移動(dòng)安全問(wèn)題與公眾的意識(shí)有關(guān),一方面很多人根本不在乎隱私,覺(jué)得自己的信息泄露也也沒(méi)多大影響;另一方面,很多人喜歡沾小便宜,整個(gè)社會(huì)都是這樣,用著免費(fèi)的東西就感覺(jué)是賺到了,為了幾分錢(qián)的紅包便不顧一切,用APP也一切向免費(fèi)看,只要是APP就敢裝,只要免費(fèi)的就敢用,特別對(duì)于掛著“安全”稱號(hào)的東西,從來(lái)深信不疑;還有一個(gè)愛(ài)炫耀的心理,走到哪兒拍到哪兒,安全根本不當(dāng)成一回事。這些方面,造成了現(xiàn)在安全問(wèn)題比較突出、但是沒(méi)人關(guān)心的現(xiàn)象,用戶一味追求免費(fèi)好用,廠商一味追求廣告、隱私賺錢(qián),各取所需。
就目前行業(yè)發(fā)展而言,移動(dòng)設(shè)備最突出的應(yīng)用領(lǐng)域在于支付問(wèn)題。盡管移動(dòng)支付和傳統(tǒng)業(yè)務(wù)形成閉環(huán)還有待時(shí)日,但是安全防護(hù)必須未雨綢繆,盡管針對(duì)于Apple pay安全方面的質(zhì)疑很多,顯然在數(shù)據(jù)傳輸方面的加密技術(shù)已經(jīng)十分成熟,產(chǎn)品體驗(yàn)和底層安全問(wèn)題的差異在于安全可能來(lái)自于開(kāi)發(fā)工具本身,產(chǎn)品體驗(yàn)只是停留在用戶行為中,斷網(wǎng)、宕機(jī)等安全問(wèn)題解決方案屢見(jiàn)不鮮,針對(duì)開(kāi)發(fā)工具以及發(fā)布平臺(tái)本身“潛伏”的安全問(wèn)題也形成了很大威脅。
在今年的RSA上IOT安全也引發(fā)了新的技術(shù)浪潮,安全在用戶無(wú)感知的狀態(tài)下已經(jīng)提前部署,
物聯(lián)網(wǎng)、移動(dòng)設(shè)備、企業(yè)安全邊界都屬于移動(dòng)安全的范疇,隨著遠(yuǎn)程通信和辦公業(yè)務(wù)向終端和云端遷移,必要的安全防護(hù)手段是必須的。針對(duì)移動(dòng)安全筆者針對(duì)傳統(tǒng)IT企業(yè)、互聯(lián)網(wǎng)安全公司以及專業(yè)安全企業(yè)進(jìn)行了采訪。業(yè)內(nèi)專家各抒己見(jiàn),從不同層面闡釋了移動(dòng)安全的本質(zhì)。本期@安全圈將圍繞“解析移動(dòng)安全”進(jìn)行深入探討。
首先,我們來(lái)看國(guó)內(nèi)最大的互聯(lián)網(wǎng)安全企業(yè)奇虎360產(chǎn)品經(jīng)理薛歡如何看待移動(dòng)安全。
1,移動(dòng)端安全威脅的主要特征是什么,與傳統(tǒng)安全威脅相比有哪些共性?
設(shè)備的移動(dòng)性,丟失的風(fēng)險(xiǎn);設(shè)備丟失后,從移動(dòng)OS本身的漏洞來(lái)竊取其中數(shù)據(jù)。這點(diǎn)與傳統(tǒng)的電腦安全相似,但設(shè)備本身的風(fēng)險(xiǎn)大于電腦。另外,隨著移動(dòng)設(shè)備逐漸成為人體的新器官,在個(gè)人生活和工作中起著不可或缺的作用,其應(yīng)用的廣泛性和全面性使其自身具有更高價(jià)值。恰恰這種高價(jià)值,已成為例如制作木馬傳播木馬等黑色產(chǎn)業(yè)鏈牟取非法利益的對(duì)象。
與傳統(tǒng)安全危險(xiǎn)相比,黑客都會(huì)進(jìn)行資產(chǎn)侵害和盜取個(gè)人隱私的行為,但移動(dòng)終端的侵害目的更加利益化更加赤裸直白,遠(yuǎn)不再像傳統(tǒng)PC時(shí)代黑客還會(huì)單純的炫耀技術(shù)。
2,安全審計(jì)和數(shù)據(jù)加密如何與移動(dòng)安全解決方案結(jié)合?
審計(jì)與加密有相對(duì)的矛盾性,數(shù)據(jù)加密了,就不容易做審計(jì)。若果想使其完美結(jié)合,就要在服務(wù)端加以管控,通過(guò)還原數(shù)據(jù)流量的方法加以審查,同時(shí)還應(yīng)在應(yīng)用程序的開(kāi)發(fā)初期,把安全需求考慮進(jìn)去。
3,遠(yuǎn)程辦公的安全隱患有哪些?應(yīng)該如何應(yīng)對(duì)潛在的安全威脅?
安全隱患在于企業(yè)對(duì)數(shù)據(jù)的可控性。有別于移動(dòng)數(shù)據(jù)本身的安全,設(shè)備的安全,員工的安全意識(shí),也是要考慮的安全隱患。另外遠(yuǎn)程辦公其實(shí)相當(dāng)于給內(nèi)網(wǎng)打開(kāi)一個(gè)口子,建立一個(gè)安全通道,如何穿透內(nèi)網(wǎng)并保證內(nèi)網(wǎng)和數(shù)據(jù)通道的安全性,需要全面的安全風(fēng)險(xiǎn)考量和技術(shù)支持。
4,移動(dòng)安全解決方案涵蓋范圍廣泛,如何從身份認(rèn)證,通信加密,應(yīng)用加密等專業(yè)角度審視企業(yè)安全。
這些安全手段在傳統(tǒng)的安全產(chǎn)品中都有涉及,同時(shí)也是黑客進(jìn)攻的主要手段。目前身份認(rèn)證,通信加密,數(shù)據(jù)加密,都是相對(duì)成熟的技術(shù),如果能確實(shí)落實(shí),已經(jīng)能做到相對(duì)安全。同時(shí),如果能從數(shù)據(jù)本身出發(fā),對(duì)終端的使用行為加以分析,預(yù)判,可以從未知的角度和風(fēng)險(xiǎn)防范角度對(duì)企業(yè)安全予以加強(qiáng)。
5,企業(yè)針對(duì)內(nèi)部終端設(shè)備應(yīng)該設(shè)置何種程度的安全管控?
根據(jù)不同業(yè)務(wù)應(yīng)用來(lái)設(shè)計(jì)不同的安全管控策略,安全性加強(qiáng)的代價(jià)會(huì)是用戶使用體驗(yàn)上的妥協(xié)。如何權(quán)衡才是企業(yè)著重考慮的問(wèn)題。
6,除去企業(yè)用戶之外,公眾可能會(huì)面臨哪些廣泛存在的移動(dòng)安全威脅,移動(dòng)支付或者是無(wú)線安全?
公共Wi-Fi,騷擾信息,釣魚(yú)短信,詐騙電話,吸費(fèi)木馬,移動(dòng)支付陷阱,設(shè)備惡意偷盜,欺詐二維碼等,基本與移動(dòng)終端本身的安全問(wèn)題相似。
7,移動(dòng)安全如何與云查殺向結(jié)合?
云查殺,或是說(shuō)云數(shù)據(jù),是安全防衛(wèi)的新趨勢(shì)。對(duì)于可預(yù)知的安全問(wèn)題在認(rèn)知范圍內(nèi)通過(guò)技術(shù)手段,只要準(zhǔn)備到位,大多都可以預(yù)防。但是對(duì)于未知的威脅,傳統(tǒng)的手段這種后知后覺(jué)的方法,就顯得有些力不從心。通過(guò)和大數(shù)據(jù)的結(jié)合,通過(guò)行為分析,威脅感知技術(shù),從另外一個(gè)維度,用另外一種思想,考慮安全問(wèn)題。
綜上所述,互聯(lián)網(wǎng)企業(yè)顯然關(guān)注的是安全和業(yè)務(wù)的并行能力,移動(dòng)安全與公眾息息相關(guān)的還是傳統(tǒng)詐騙、騷擾等行為。顯然,360在此方面的積累和造詣已經(jīng)年深日久。根據(jù)不同企業(yè)的業(yè)務(wù)需求以及不同人群的使用習(xí)慣去制定相關(guān)的安全策略是互聯(lián)網(wǎng)安全機(jī)制的落地的切入點(diǎn),云查殺的結(jié)合也引申出新的攻擊防范方式。
中國(guó)數(shù)據(jù)安全第一股企業(yè)明朝萬(wàn)達(dá)如何從數(shù)據(jù)安全層面解讀移動(dòng)安全?
移動(dòng)端的安全威脅本質(zhì)和傳統(tǒng)安全威脅沒(méi)有不同,僅增加了移動(dòng)特征,這個(gè)特征導(dǎo)致了一些新的安全威脅,例如設(shè)備丟失、設(shè)備接入不可信網(wǎng)絡(luò)、攻擊設(shè)備易接入等。
安全審計(jì)與數(shù)據(jù)加密和關(guān)系解讀
在移動(dòng)安全解決方案中,安全審計(jì)也是重要的組成部分,對(duì)于移動(dòng)設(shè)備的位置、行為綜合安全審計(jì)是重要的組成部分,根據(jù)位置和移動(dòng)設(shè)備的行為,可以審計(jì)出一些更加細(xì)節(jié)的安全威脅和行為。例如在不恰當(dāng)?shù)奈恢脠?zhí)行一個(gè)敏感操作,可以很容易判斷出一個(gè)非法行為。
在移動(dòng)安全解決方案中,數(shù)據(jù)加密是一個(gè)核心和必備的功能。由于移動(dòng)特性導(dǎo)致設(shè)備易丟失,物理容易被攻擊者接觸,此時(shí)對(duì)于核心數(shù)據(jù)的加密是保障數(shù)據(jù)不泄露的最后一道防線。
BYOD的潛在的安全威脅如何得到合理管控?
遠(yuǎn)程辦公的安全隱患集中在于人員可信和數(shù)據(jù)泄露兩個(gè)方面,因此遠(yuǎn)程辦公業(yè)務(wù)場(chǎng)景中,應(yīng)加強(qiáng)人員的身份認(rèn)證和全過(guò)程的數(shù)據(jù)保護(hù)。具體措施有采用多因素的身份認(rèn)證和多種身份認(rèn)證策略,加強(qiáng)對(duì)設(shè)備和人員的綁定關(guān)系,加強(qiáng)數(shù)據(jù)傳輸過(guò)程的加密,加強(qiáng)數(shù)據(jù)落地和使用過(guò)程的加密,增加遠(yuǎn)程數(shù)據(jù)擦除等丟失應(yīng)急措施等。
根據(jù)企業(yè)性質(zhì)和終端性質(zhì)不同,應(yīng)設(shè)置不同程度的安全管控措施。如果企業(yè)應(yīng)用數(shù)據(jù)敏感度不高,都采用BYOD模式,那么對(duì)于終端設(shè)備采用松散的注冊(cè)管理即可,加強(qiáng)應(yīng)用自身的安全防護(hù)。如果企業(yè)數(shù)據(jù)敏感度高,設(shè)備都是企業(yè)自有,那么對(duì)終端設(shè)備應(yīng)采用較強(qiáng)的安全管控措施,例如定位、綁定、強(qiáng)制安全措施、強(qiáng)制白名單應(yīng)用、強(qiáng)制加密等。
淺析移動(dòng)安全的未來(lái)
公眾在移動(dòng)設(shè)備上做的各種敏感操作都會(huì)遇到廣泛的安全威脅,例如各類型的賬號(hào)竊取、偽造網(wǎng)站釣魚(yú)、偽造或惡意短信、虛構(gòu)促銷騙取信息等。這些威脅都是從非移動(dòng)端,根據(jù)移動(dòng)設(shè)備和應(yīng)用特性延伸出來(lái)的。
云查殺本質(zhì)是利用大數(shù)據(jù)和集體智慧形成的惡意程序判斷結(jié)果,在移動(dòng)上,一方面需要個(gè)體貢獻(xiàn)數(shù)據(jù)和判斷,一方面也需要利用其他大樣本個(gè)體的判斷結(jié)果來(lái)輔助自己的判斷。在移動(dòng)安全上,實(shí)時(shí)傳遞各類型樣本是不現(xiàn)實(shí)和耗費(fèi)流量的行為,因此需要考慮如何縮小傳遞數(shù)據(jù),節(jié)約流量而又能達(dá)到良好的效果。
艾瑞咨詢數(shù)據(jù)顯示,2008-2012年,移動(dòng)支付用戶規(guī)模從0.86億戶增長(zhǎng)到2.86億 戶,年均復(fù)合增長(zhǎng)率達(dá)35.04%;移動(dòng)支付交易規(guī)模從275億元增長(zhǎng)到1511億元,年均復(fù)合增長(zhǎng)率達(dá)到53.10%。預(yù)計(jì)到2017年,中國(guó)移動(dòng)支付市場(chǎng)交易規(guī)模將突破2萬(wàn)億元。
統(tǒng)計(jì)顯示,用戶在使用移動(dòng)支付時(shí),對(duì)資金安全問(wèn)題的關(guān)注程度極高。高達(dá)56.8%的手機(jī)銀行用戶希望有更多的安全措施,對(duì)資金安全的擔(dān)憂也導(dǎo)致移動(dòng)支付進(jìn)一步推廣的阻力較大。然而,移動(dòng)支付系統(tǒng)分類方式繁雜,技術(shù)手段迥異,對(duì)于分析移動(dòng)支付系統(tǒng)的安全需求造成了障礙。因此,有必要建立統(tǒng)一的適用于移動(dòng)支付的安全模型,并在此基礎(chǔ)上對(duì)移動(dòng)支付業(yè)務(wù)系統(tǒng)的安全要求進(jìn)行分析。
與基于封閉專用網(wǎng)絡(luò)的核心業(yè)務(wù)系統(tǒng)不同,電子銀行必須抵御開(kāi)放網(wǎng)絡(luò)帶來(lái)的病毒侵襲、黑客入侵、信息泄漏……等等各種安全風(fēng)險(xiǎn)。然而,開(kāi)放網(wǎng)絡(luò)等并不在銀行控制范圍之內(nèi),銀行難以主動(dòng)部署防控措施,也很難保證采取措施的效能,更難控制由此帶來(lái)的風(fēng)險(xiǎn)及危害。基于這樣的實(shí)際情況,從架構(gòu)上將電子銀行系統(tǒng)分為前端、通信網(wǎng)絡(luò)、后端三部分。不同的前端、通信網(wǎng)絡(luò)以及后端的組合形成了多種多樣的電子銀行業(yè)務(wù)渠道。典型的電子銀行渠道包括網(wǎng)上銀行渠道、手機(jī)銀行渠道、電話銀行渠道、自助終端渠道等等。在渠道架構(gòu)中,前端部署和實(shí)施安全保障措施,后端進(jìn)行校驗(yàn)鑒別,通信網(wǎng)絡(luò)只負(fù)責(zé)傳遞數(shù)據(jù),由此可規(guī)避開(kāi)放網(wǎng)絡(luò)帶來(lái)的潛在風(fēng)險(xiǎn)以及控制風(fēng)險(xiǎn)的難度。除此之外,渠道之間相對(duì)獨(dú)立,渠道與核心業(yè)務(wù)系統(tǒng)通過(guò)后端隔離開(kāi)來(lái)。如果某個(gè)渠道發(fā)生安全事件關(guān)閉對(duì)應(yīng)的后端,即可將該渠道從系統(tǒng)中“切除”,避免危及核心系統(tǒng),同時(shí)不至于影響其他渠道。
金融IC 卡內(nèi)置CPU 芯片,可存儲(chǔ)用戶指紋、照片、身份證、密碼等多種信息,具有獨(dú)立運(yùn)算、加解密和存儲(chǔ)能力。金融行業(yè)標(biāo)準(zhǔn)JR/T 0025《中國(guó)金融集成電路(IC)卡規(guī)范》(以下簡(jiǎn)稱《規(guī)范》)規(guī)定了金融IC卡與終端的接口、借記/貸記等金融業(yè)務(wù)應(yīng)用的交易流程以及金融業(yè)務(wù)應(yīng)用初始化等方面的要求。金融IC卡能夠獨(dú)立完成《規(guī)范》在報(bào)文及指令中融入的完整性校驗(yàn)、信源認(rèn)證等安全措施所需的密碼運(yùn)算,并且為密鑰、PIN碼、運(yùn)算過(guò)程等敏感信息和敏感行為提供足夠的安全防護(hù)。因此,金融IC卡有條件承擔(dān)除用戶交互之外的支付前端子系統(tǒng)的行為。與此同時(shí),可以將支付中心看作核心支付子系統(tǒng),而將金融IC卡通過(guò)移動(dòng)終端、支付設(shè)備進(jìn)而與支付中心之間的通信作為通信網(wǎng)絡(luò)處理。這意味著除了人機(jī)交互部分之外,可以不在移動(dòng)終端部署額外的安全防護(hù)措施,金融IC卡基本能夠保證近場(chǎng)支付的安全性。
具備交互功能、支持移動(dòng)終端應(yīng)用的智能密碼鑰匙,是保障遠(yuǎn)程移動(dòng)支付系統(tǒng)安全性的重要組成部分。根據(jù)密碼行業(yè)技術(shù)指南GM/Z 0001-2013《密碼術(shù)語(yǔ)》的定義,智能密碼鑰匙是“實(shí)現(xiàn)密碼運(yùn)算、密鑰管理功能,提供密碼服務(wù)的終端密碼設(shè)備,一般使用USB接口形態(tài)”。在遠(yuǎn)程移動(dòng)支付系統(tǒng)中,移動(dòng)設(shè)備承擔(dān)了支付前端子系統(tǒng)的角色,負(fù)責(zé)根據(jù)與用戶交互的結(jié)果生成支付指令。這與手機(jī)銀行客戶端的功能十分相似(在實(shí)際應(yīng)用中,遠(yuǎn)程移動(dòng)支付往往是通過(guò)手機(jī)銀行完成的)?梢员日宅F(xiàn)有較為成熟的網(wǎng)上銀行來(lái)評(píng)估其安全需求。金融行業(yè)標(biāo)準(zhǔn)JR/T 0068-2012《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》規(guī)定“USB Key應(yīng)能防劫持,具有屏幕顯示或語(yǔ)音提示以及按鍵確認(rèn)等確認(rèn)功能,可對(duì)交易指令完整性進(jìn)行校驗(yàn)、對(duì)交易指令合法性進(jìn)行鑒別、對(duì)關(guān)鍵交易數(shù)據(jù)進(jìn)行輸入、確認(rèn)和保護(hù)”。因此,遠(yuǎn)程移動(dòng)支付系統(tǒng)也應(yīng)當(dāng)使用防劫持的智能密碼鑰匙來(lái)保障系統(tǒng)的安全。
傳統(tǒng)安全廠商飛塔對(duì)于移動(dòng)安全有著自己獨(dú)到的見(jiàn)解。
移動(dòng)安全-傳統(tǒng)安全威脅的延展
動(dòng)端安全威脅的主要概括為三類:應(yīng)用安全,隨著越來(lái)越多的互聯(lián)網(wǎng)和傳統(tǒng)行業(yè)使用了移動(dòng)端應(yīng)用,比如目前針對(duì)APP的各類的病毒木馬,對(duì)移動(dòng)APP的逆向及破解,甚至APP后端的安全接口問(wèn)題。
系統(tǒng)安全,系統(tǒng)自身的存在的漏洞層出不窮,包括Android、iOS系統(tǒng)和芯片、設(shè)備及驅(qū)動(dòng)本身的各種漏洞挖掘,例如權(quán)限提升漏洞等,讓越來(lái)越的系統(tǒng)安全問(wèn)題暴露出來(lái)
內(nèi)容安全,移動(dòng)應(yīng)用程序正成為新的數(shù)據(jù)泄露主體,包括各類訂票、社交、瀏覽器、論壇等APP,以及互聯(lián)網(wǎng)金融發(fā)展形成的第三方支付、P2P網(wǎng)貸等多種的金融模式對(duì)客戶信息發(fā)生的數(shù)據(jù)泄露。
移動(dòng)端的安全實(shí)際上是傳統(tǒng)安全威脅的延展,共性也非常多,比如 1. 跟傳統(tǒng)安全一樣,面臨越來(lái)越多的0day漏洞和攻擊; 2. 傳統(tǒng)的PC平臺(tái)和手機(jī)的ios,andriod 雖然是不同的平臺(tái),但是平臺(tái)以及平臺(tái)上的應(yīng)用漏洞以及平臺(tái)的漏洞被利用進(jìn)行破壞及竊取,3. 基于傳統(tǒng)行業(yè)安全的黑色產(chǎn)業(yè)鏈經(jīng)過(guò)簡(jiǎn)單修改可以復(fù)制利用到新的移動(dòng)互聯(lián)網(wǎng)領(lǐng)域。
安全審計(jì)移動(dòng)安全解決方案的耦合
安全審計(jì)和數(shù)據(jù)加密其實(shí)并不止限于傳統(tǒng)安全,對(duì)于移動(dòng)安全解決方案尤為重要,F(xiàn)ortinet的移動(dòng)客戶端Forticlient支持在防火墻FortiGate上注冊(cè)后起到終端管控的作用,我們可以在FortiGate防火墻上對(duì)所有終端的行為進(jìn)行審計(jì)并發(fā)送至我們專有的安全審計(jì)設(shè)備FortiAnalyzer;
傳統(tǒng)PC終端使用的數(shù)據(jù)加密基本是使用用戶到端的,同樣在移動(dòng)端我們也可以復(fù)制這種方式,在移動(dòng)端安裝Forticlient連接遠(yuǎn)端防火墻FortiGate 使用SSLVPN或IPsec進(jìn)行數(shù)據(jù)加密,從而實(shí)現(xiàn)移動(dòng)終端的數(shù)據(jù)加密。
Fortinet如何實(shí)現(xiàn)遠(yuǎn)程辦公防護(hù)?
遠(yuǎn)程辦公的安全隱患體現(xiàn)在幾個(gè)方面幾個(gè),一,客戶端的身份憑據(jù)的泄露,如何驗(yàn)證并確保移動(dòng)端的真實(shí)身份,二.數(shù)據(jù)在傳輸過(guò)程中的安全,網(wǎng)絡(luò)是否可靠?是否有加密?是否有可能會(huì)被監(jiān)聽(tīng)及竊取,三.遠(yuǎn)端應(yīng)用服務(wù)器是否足夠安全,有沒(méi)有對(duì)應(yīng)的安全保護(hù)措施。
了解了遠(yuǎn)程辦公的隱患,那我們就可以很好的對(duì)癥下藥,從身份識(shí)別的角度來(lái)看,我們可以通過(guò)用戶口令和Fortitoken動(dòng)態(tài)令牌或證書(shū)的方式來(lái)確?蛻舳说恼鎸(shí)身份;數(shù)據(jù)傳輸我們可以利用IPSec/SSL的加密特性來(lái)進(jìn)行數(shù)據(jù)傳輸,保證數(shù)據(jù)的可靠性。最后呢也是最重要的遠(yuǎn)端應(yīng)用服務(wù)器,實(shí)際上大部分都是傳統(tǒng)的安全領(lǐng)域,比如Web應(yīng)用,IPS,0day漏洞&攻擊,F(xiàn)ortinet有諸多非常優(yōu)秀的解決方案,比如FortiGate(防火墻), FortiWeb(Web應(yīng)用防火墻),F(xiàn)ortiSandbox(沙盒)產(chǎn)品之間的安全聯(lián)動(dòng),虛擬化以及云安全解決方案等等,完全可以對(duì)后端起到完好的保護(hù)效果
企業(yè)針對(duì)內(nèi)部終端設(shè)備應(yīng)該設(shè)置何種程度的安全管控?
針對(duì)于內(nèi)部的終端設(shè)備設(shè)備,我們認(rèn)為至少需要具備以下幾種防護(hù)措施,
1. 安全隔離,對(duì)于移動(dòng)終端使用內(nèi)部企業(yè)網(wǎng)絡(luò)資源進(jìn)行相應(yīng)的網(wǎng)絡(luò)訪問(wèn)控制與隔離;
2. 病毒防護(hù),Fortinet致力于移動(dòng)終端安全,在病毒防護(hù)方面,F(xiàn)ortinet 幾乎參加所有VB100 對(duì)比,檢測(cè)結(jié)果識(shí)別率,結(jié)合我們防火墻FortiGate在反病毒方面的優(yōu)勢(shì)以及FortiGuard移動(dòng)安全服務(wù),可以有效的針對(duì)所有移動(dòng)端的流量進(jìn)行病毒和安全檢查。
3. 惡意網(wǎng)址攔截,通過(guò)FortiGate上的FortiGuard網(wǎng)絡(luò)全球網(wǎng)址分類有效保護(hù)內(nèi)部終端遠(yuǎn)離惡意網(wǎng)站訪問(wèn)。
4. 數(shù)據(jù)泄露防護(hù),針對(duì)企業(yè)內(nèi)部涉及到的內(nèi)部關(guān)鍵信息,如員工編號(hào),電話號(hào)碼,郵件信息等等進(jìn)行數(shù)據(jù)防泄漏。
公眾可能會(huì)面臨哪些廣泛存在的移動(dòng)安全威脅?
Fortinet認(rèn)為,在移動(dòng)端面臨的各類安全威脅,移動(dòng)端的各類支付的APP的安全,比如 電商、支付、理財(cái)、團(tuán)購(gòu)、銀行的各類支付目前都有相應(yīng)的APP病毒;那么這些病毒都會(huì)存在竊取用戶銀行帳號(hào)密碼,轉(zhuǎn)發(fā)用戶短信、讀取用戶通訊錄等隱私風(fēng)險(xiǎn);
公共WIFI以及終端應(yīng)用涉及到的信息泄露,當(dāng)我們連接公共的WIFI的時(shí)候,很有可能這個(gè)WIFI是個(gè)偽造者提供的,終端用戶接入到該WIFI,偽造者就會(huì)盜取用戶的密碼、竊取他們的身份信息、或是獲取他們的銀行賬戶等。
勒索軟件/惡意軟件,終端用戶下載某些偽裝的游戲外掛或者付費(fèi)破解,一旦運(yùn)行之后會(huì)將手機(jī)鎖定,需要支付Q幣進(jìn)行解鎖。
移動(dòng)安全如何與云查殺向結(jié)合?
移動(dòng)安全和云查殺相結(jié)合可以分為2個(gè)方面,一方面企業(yè)在云端部署了的應(yīng)用提供給移動(dòng)終端應(yīng)用服務(wù),包括許多企業(yè)部署了自己的云業(yè)務(wù),包含了公有云,私有云,以及混合云。Fortinet與目前主流的公有云平臺(tái)如amzon、微軟、Ctrix都有比較深度結(jié)合的虛擬化解決方案,在私有云我們也有Vmware,Openstack,KVM上相對(duì)應(yīng)同樣的虛擬化產(chǎn)品,其中就包括了云病毒查殺,0day的攻擊&漏洞的沙盒檢測(cè)及攔截,惡意網(wǎng)址攔截等一系列的安全措施。
另一方面,移動(dòng)終端上的惡意軟件或者惡意網(wǎng)址的訪問(wèn),在移動(dòng)終端和FortiGate防火墻聯(lián)動(dòng)之后,可以通過(guò)FortiGate進(jìn)行初次查殺及過(guò)濾,可疑文件則上傳至云端進(jìn)行云查詢及云的沙盒檢測(cè),最終通過(guò)我們的FortiGuard網(wǎng)絡(luò)來(lái)進(jìn)行攔截。在15年的Q4,F(xiàn)ortinet全球每分鐘攔截4.4萬(wàn)次的僵尸網(wǎng)絡(luò)&CC攻擊,13萬(wàn)次的惡意軟件,18萬(wàn)次惡意網(wǎng)站訪問(wèn),55萬(wàn)次網(wǎng)絡(luò)入侵行為。
小結(jié):移動(dòng)安全解決方案的涵蓋范圍非常廣泛,同樣企業(yè)對(duì)于自身的安全防護(hù)愈加重視,那么如今的安全形勢(shì),并非像以往一樣可以通過(guò)某一個(gè)點(diǎn)的形式完全解決,必須通過(guò)完整的安全構(gòu)建來(lái)體現(xiàn)和考量,除了問(wèn)題3提到的FortiGate,F(xiàn)ortiWeb,F(xiàn)ortisandbox之間的安全聯(lián)動(dòng)以外,在身份認(rèn)證方面,我們有統(tǒng)一的安全認(rèn)證平臺(tái)FortiAuthenticator,不僅如此,F(xiàn)ortinet在終端安全,無(wú)線安全,企業(yè)的一體化安全解決方案,APT邊界安全,數(shù)據(jù)中心應(yīng)用安全以及云安全都有對(duì)應(yīng)完整的解決方案。
移動(dòng)辦公已經(jīng)逐漸普及,在BYOD盛行的當(dāng)下如何保證移動(dòng)辦公設(shè)備的安全性成為眾多安全企業(yè)的攻堅(jiān)課題。
在虛擬化領(lǐng)域深耕多年的亞信安全科技在2015年提出虛擬化移動(dòng)安全解決方案。亞信安全移動(dòng)安全專家劉政平認(rèn)為,移動(dòng)安全具備各種不同層面的解決方案,從Gartner的分析報(bào)告來(lái)看,加密技術(shù)和應(yīng)用安全都是在企業(yè)中廣泛探討的技術(shù),綜合而言,單一的認(rèn)證技術(shù)并不足以保證移動(dòng)設(shè)備的安全性,因此,需要融合多種方式的認(rèn)證。政府廣泛采用的VPN加密、支付類的應(yīng)用加密技術(shù)、本地加殼技術(shù)都屬于傳統(tǒng)安全技術(shù)范疇。 越來(lái)越多的數(shù)據(jù)向云端遷移的大背景下很多業(yè)務(wù)數(shù)據(jù)都是通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)的,因此移動(dòng)安全的探討也是建立在這一理念的基礎(chǔ)之上的。亞信安全的虛擬化移動(dòng)安全技術(shù)采用了類似于docker虛擬技術(shù),在移動(dòng)終端上虛擬安卓系統(tǒng),其實(shí)際業(yè)務(wù)數(shù)據(jù)是保存在云端的。通過(guò)圖像方式,用戶在虛擬機(jī)中看到的是來(lái)自于數(shù)據(jù)中心的圖片影像。這一虛擬化技術(shù)不同于傳統(tǒng)的堆疊式安全防御,并沒(méi)有一味的增加安全防護(hù)的門(mén)檻,而是利用既有的數(shù)據(jù)中心和網(wǎng)絡(luò)虛擬化技術(shù)解決安全問(wèn)題。
盡管虛擬化技術(shù)并沒(méi)有全面普及,但是隨著移動(dòng)技術(shù)的發(fā)展,未來(lái)5G技術(shù)的傳輸速度將對(duì)虛擬化技術(shù)提供強(qiáng)有力的支撐。針對(duì)無(wú)線WiFi安全問(wèn)題,劉政平認(rèn)為企業(yè)內(nèi)網(wǎng)邊界依舊需要通過(guò)無(wú)線網(wǎng)絡(luò)加密方式解決。亞信安全預(yù)測(cè),隨著移動(dòng)支付的普及,在2016年移動(dòng)支付領(lǐng)域的安全問(wèn)題將是問(wèn)題多發(fā)區(qū)域。對(duì)于頻繁出現(xiàn)的開(kāi)發(fā)平臺(tái)出現(xiàn)的安全問(wèn)題,劉政平進(jìn)一步指出第三方開(kāi)發(fā)來(lái)源的安全意識(shí)問(wèn)題亟待解決,很多開(kāi)發(fā)人員并不注重安全問(wèn)題,這也使得開(kāi)發(fā)工具本身存在可乘之機(jī)。
在技術(shù)發(fā)展趨勢(shì)上看,虛擬化技術(shù)不斷發(fā)展的今天,云和端的防護(hù)手段都是十分必要的,很多黑客利用移動(dòng)端漏洞攻擊云端,因此云端的防護(hù)將是未來(lái)企業(yè)安全防護(hù)的重點(diǎn)。由于
物聯(lián)網(wǎng)基礎(chǔ)本身的非開(kāi)放性,移動(dòng)安全專家們對(duì)于
物聯(lián)網(wǎng)本身的走向還十分謹(jǐn)慎。從亞信安全產(chǎn)品來(lái)看,虛擬化移動(dòng)安全解決方案已經(jīng)開(kāi)始在行業(yè)和一些政府涉密單位落地,基于移動(dòng)安全辦公的相關(guān)產(chǎn)品也將進(jìn)一步在市場(chǎng)中普及。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:移動(dòng)安全技術(shù)如何未雨綢繆?
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121519411.html