1、引言

　　這里所謂的移動設(shè)備主要是指智能手機(jī)和平板電腦兩大類可以用于移動辦公的電子終端設(shè)備。隨著移動設(shè)備的普及，很多企業(yè)的員工開始使用這種新型的移動設(shè)備作為辦公終端。據(jù)Gartner統(tǒng)計，2010年第四季度，智能手機(jī)(1億部)的銷量首次超過PC(9200萬臺)，2010年智能手機(jī)增長72%。2010年平板電腦的銷量1700萬臺，Gartner預(yù)計201 1年將達(dá)4500萬臺。而隨著云計算技術(shù)和3G甚至4G無線數(shù)據(jù)通信服務(wù)的廣泛應(yīng)用，更加便攜和隨時在線的移動設(shè)備會更加普及。新型辦公終端的引入，為企業(yè)內(nèi)部的信息安全帶來了新的挑戰(zhàn)。本文從歸納移動設(shè)備的功能特性入手，分析該類設(shè)備的安全風(fēng)險，并在此基礎(chǔ)上總結(jié)出移動設(shè)備安全管理的最佳實踐，供企業(yè)的IT安全管理人員參考。

　　2、移動設(shè)備風(fēng)險分析

　　2.1移動設(shè)備的特性

　　移動設(shè)備在幾何尺寸、物理特性、計算能力、應(yīng)用場景等方面與以往的臺式或膝上設(shè)備(臺式或筆記本計算機(jī))都發(fā)生了較大變化。主要體現(xiàn)在：

　　(1)體積小重量輕，更便于攜帶；

　　(2)持續(xù)供電能力相對較低；

　　(3)CPU的計算能力相對較低；

　　(4)具有多種通訊接口，如USB、LAN、WIFI、藍(lán)牙、3G無線數(shù)據(jù)通訊、GPS等；

　　(5)在移動的環(huán)境中使用；

　　(6)缺少本地的技術(shù)支持；

　　(7)操作系統(tǒng)種類繁多，如Android、iOS、Symbian、Windows Mobile等。

　　2.2移動設(shè)備的信息資產(chǎn)

　　移動設(shè)備是個人專用產(chǎn)品，而且通常有十多種應(yīng)用在上面運行，如電話、電子郵件、Et程、訪問互聯(lián)網(wǎng)、通訊錄、任務(wù)管理、消息(文本/圖片/視頻)、聊天、VPN、文件管理、存儲、社交網(wǎng)絡(luò)、位置服務(wù)、移動商務(wù)。使用這些應(yīng)用或服務(wù)時，肯定涉及大量的個人信息，如：銀行賬戶、郵件內(nèi)容、消息內(nèi)容、賬戶和密碼、聯(lián)系人信息、網(wǎng)站訪問足跡、個人行程安排等等。除此以外，移動設(shè)備上可能還存儲與工作相關(guān)的文檔和數(shù)據(jù)。

　　2.3移動設(shè)備的脆弱性

　　移動設(shè)備的最主要的特性就是便攜性，因此它的物理安全脆弱性要遠(yuǎn)比臺式設(shè)備高，很容易遺失或被盜。

　　移動設(shè)備使用的操作系統(tǒng)種類和版本繁多，很多都存在漏洞。目前移動設(shè)備的主流操作系統(tǒng)有iOS(蘋果公司開發(fā)的，基于蘋果OSX的操作系統(tǒng))和Android(谷歌公司開發(fā)的，Linttx和基于Java平臺的Dalvik兩種操作系統(tǒng)的結(jié)合體)。以ioS為例，從發(fā)行到現(xiàn)在共發(fā)現(xiàn)了200多個漏洞，其中大部分屬于低風(fēng)險漏洞，利用這些漏洞，一般只能取得某個應(yīng)用程序的控箭J權(quán)限。也有些漏洞可以導(dǎo)致非常嚴(yán)重的問題，攻擊者甚至可以實現(xiàn)對設(shè)備的管理員級控制，這樣就可以獲取設(shè)備中幾乎所有的數(shù)據(jù)和服務(wù)。iPad2的iOS越獄行為(獲得系統(tǒng)的超級用戶權(quán)限，以便隨意擦寫任何區(qū)域的運行狀態(tài)，進(jìn)而安裝和運行第三方程序)，是利用瀏覽器訪問越獄網(wǎng)站觸發(fā)PDF字體處理上的緩沖區(qū)溢出漏洞，獲得對設(shè)備的完全控制。整個越獄過程本質(zhì)上和黑客攻擊的原理完全一致，只是越獄過程是設(shè)備使用者自愿利用漏洞。理論上一個經(jīng)過越獄的系統(tǒng)，就是一個證實存在漏洞的系統(tǒng)。Android系統(tǒng)的情況也很類似，目前已發(fā)現(xiàn)的18個漏洞中修補(bǔ)了14個，另外未修補(bǔ)的4個中只有一個是高危漏洞，在Android V2.3得到修復(fù)。但是未升級到2.3版本的設(shè)備將存在高危風(fēng)險。

　　移動設(shè)備上的通訊接口比固定使用的設(shè)備上的通訊接口要多，因此這些種類繁多的通訊接口都可能成為新的攻擊面。而有些通訊沒有經(jīng)過身份認(rèn)證和加密，很容易受到攻擊。例如，GPS通訊很容易受到干擾和欺詐。

　　有些脆弱性是由于系統(tǒng)的配置不當(dāng)引起的。原則上設(shè)備上暫時不用的端口，應(yīng)該配置成關(guān)閉。例如，在不使用藍(lán)牙的時候，應(yīng)該關(guān)閉藍(lán)牙設(shè)置。應(yīng)該配置身份認(rèn)證選項，使得系統(tǒng)啟動后需要身份認(rèn)證才能繼續(xù)使用設(shè)備。

　　2.4針對移動設(shè)備的安全威脅

　　對移動設(shè)備的安全威脅，大致可以分為三大類物理威脅、操作系統(tǒng)威脅和網(wǎng)絡(luò)威脅。偷盜行為和看管疏忽是針對移動設(shè)備物理安全的最大威脅。容易發(fā)生設(shè)備遺失的場所主要包括：高等院校、汽車、圖書館、機(jī)場、賓館和會議中心、辦公室、醫(yī)院。

　　惡意代碼是移動設(shè)備的最大威脅，這些惡意代碼主要表現(xiàn)為病毒、僵尸程序和間諜軟件或三者的混合體。病毒的主要作用是在用戶不知道的情況下濫用網(wǎng)絡(luò)，如撥打高收費電話或發(fā)送多媒體短信，以消耗用戶的費用，套取非法收益。僵尸程序主要是作為黑客控制被攻陷系統(tǒng)的代理，攻擊者可以用來發(fā)動拒絕服務(wù)攻擊。

　　間諜軟件可以用獲取系統(tǒng)上的機(jī)密信息。例如2006年9月，有人發(fā)現(xiàn)塞班操作系統(tǒng)上運行著一種稱為A callano的間諜軟件。這種問諜軟件把所有收發(fā)的短信息導(dǎo)向一個外部的號碼。這樣就會允許別人安裝間諜軟件監(jiān)視受害人的短信流量。2006年4月，一款叫做Flexispy的商業(yè)軟件上市。這款軟件可以遠(yuǎn)程激活設(shè)備的麥克風(fēng)監(jiān)控電話內(nèi)容。盡管這款軟件的初衷是用來監(jiān)控配偶或是不聽話的孩子，但也可以作為公司的監(jiān)聽工具。它會在用戶不知情的情況下，發(fā)送日志信息到中央服務(wù)器。黑客也可以藉此訪問實體設(shè)備安裝軟件，讀取機(jī)密的信息，從服務(wù)器上檢查日志信息，并實施竊聽。

　　這些威脅與臺式終端上的完全類似。所不同的是，這些惡意代碼的傳播途徑更加豐富一些，主要包括：

　　(1)通過文本短信和多媒體短信傳播

　　病毒可以通過影響智能電話的文本傳輸能力和PIM數(shù)據(jù)，將病毒傳播到其他手機(jī)上。在支持MMS文本功能的手機(jī)上，Mabir病毒就可以通過回復(fù)短信實現(xiàn)傳播。在西班牙，Commwarrior病毒可以將病毒發(fā)送到手機(jī)中聯(lián)系人的手機(jī)上。

　　(2)藍(lán)牙

　　藍(lán)牙設(shè)備在處于“可發(fā)現(xiàn)”模式時會給竊聽者提供敏感信息，他們會通過這些信息來訪問你的設(shè)備。BlueBug攻擊可以讓攻擊者在被攻擊的藍(lán)牙手機(jī)上撥打電話、發(fā)送和接收短信、閱讀和編寫電話簿聯(lián)系人、偷聽電話內(nèi)容以及連接至互聯(lián)網(wǎng)。BlueDump攻擊通過藍(lán)牙設(shè)備的配對信息破解PIN碼。BlueSmack攻擊通過發(fā)送“ping—of—death”消息，可以使藍(lán)牙設(shè)備崩潰。BlueStab攻擊利用特殊格式的名字在藍(lán)牙設(shè)備自動發(fā)現(xiàn)時造成設(shè)備崩潰。BlueSnarf可以讓攻擊者從藍(lán)牙設(shè)備上獲取聯(lián)系人信息和日程數(shù)據(jù)。

　　(3)播放被精心修改過的多媒體文件

　　這種攻擊方式在固定設(shè)備時代就存在，通過誘騙受害人在移動設(shè)備上播放被精心修改過的音頻或視頻文件，造成播放軟件造成軟件甚至系統(tǒng)的崩潰。

　　(4)通過與PC機(jī)互聯(lián)

　　移動設(shè)備經(jīng)常需要與PC機(jī)互聯(lián)，進(jìn)行數(shù)據(jù)同步。如果PC機(jī)上安裝了惡意程序，它會通過兩者間的互聯(lián)通路入侵到移動設(shè)備上，竊取數(shù)據(jù)。

　　(5)安裝未經(jīng)安全檢驗的第三方應(yīng)用程序

　　有些攻擊者在移動應(yīng)用軟件在線市場散布含有惡意代碼的應(yīng)用，或是篡改經(jīng)過安全認(rèn)證的應(yīng)用并在網(wǎng)絡(luò)上分發(fā)。移動設(shè)備使用者如果隨意從網(wǎng)絡(luò)上下載應(yīng)用并安裝，很容易感染惡意代碼。欺騙的網(wǎng)絡(luò)連接是針對移動設(shè)備的網(wǎng)絡(luò)層的威脅。移動設(shè)備的網(wǎng)絡(luò)連接通常是無線鏈路。攻擊者可以設(shè)置偽裝的無線接入站點，引誘用戶設(shè)備與偽裝的接入站點進(jìn)行連接，從而監(jiān)聽用戶的互聯(lián)網(wǎng)通訊或?qū)嵤┽烎~攻擊。通過偽造GPS信號對目標(biāo)設(shè)備進(jìn)行GPS欺詐攻擊。

　　3、移動設(shè)備安全策略與最佳實踐

　　3.1物理安全策略

　　在機(jī)場、圖書館等公共場所中，注意看管好自己的物品，不要讓移動設(shè)備離開自己的視線。不要將移動設(shè)備存放在沒有人照看的汽車中，以防被盜。其他一些防盜措施包括：

　　(1)記錄設(shè)備的有關(guān)的細(xì)節(jié)信息：如電話號碼、品牌型號、顏色外觀、設(shè)備ID號、GSM手機(jī)的IMEI號碼、PIN號碼等。

　　(2)用記號筆在設(shè)備和電池上做上標(biāo)記。如可以寫下住址的單元號碼、生日日期等等。

　　(3)啟用PIN或者安全鎖密碼，鎖住移動設(shè)備

　　(4)將移動設(shè)備的IMEI號碼在運營商那里進(jìn)行注冊，一旦設(shè)備被盜，可以申請運營商阻斷被盜設(shè)備。這樣做的風(fēng)險是即使找回被盜設(shè)備也無法繼續(xù)使用了。

　　另外，采取一定技術(shù)手段，一旦移動設(shè)備被盜，可以順利地定位被盜設(shè)備的位置。例如可以在移動設(shè)備上安裝追蹤定位軟件，當(dāng)被盜設(shè)備接入互聯(lián)網(wǎng)，它會悄悄地與公司的監(jiān)控中心聯(lián)系，公司可以在權(quán)威部門的配合下追蹤并收回被盜設(shè)備。

　　3.2網(wǎng)絡(luò)安全策略

　　在網(wǎng)絡(luò)接入層對移動設(shè)備進(jìn)行準(zhǔn)入認(rèn)證。安裝了指定客戶端安全檢查軟件的移動設(shè)備才準(zhǔn)予接入網(wǎng)絡(luò)。這個策略與固定終端網(wǎng)絡(luò)環(huán)境下的要求是一致的。所不同的是，對于移動設(shè)備多數(shù)情況下使用無線鏈路，為了避免移動設(shè)備接入到欺詐網(wǎng)絡(luò)，對無線設(shè)備的準(zhǔn)入控制應(yīng)該是雙向的，即符合準(zhǔn)入條件的可以接入企業(yè)內(nèi)網(wǎng)，同時也不能隨便接入未經(jīng)認(rèn)證的網(wǎng)絡(luò)。這種阻止移動終端接入非認(rèn)證網(wǎng)絡(luò)的工作機(jī)制同樣是依靠客戶端軟件與認(rèn)證服務(wù)器之間的通訊進(jìn)行準(zhǔn)入判斷。

　　3.3操作系統(tǒng)及應(yīng)用程序安全策略

　　操作系統(tǒng)的安全策略主要包括三個方面，一是正確進(jìn)行配置，避免因為配置缺陷而遭受攻擊。二是避免隨意安裝未經(jīng)安全認(rèn)證的應(yīng)用程序。三是及時進(jìn)行系統(tǒng)更新和應(yīng)用程序的版本升級。為了實現(xiàn)上述目標(biāo)，應(yīng)該：

　　(1)在企業(yè)內(nèi)部建立移動設(shè)備的應(yīng)用程序庫，程序庫中的應(yīng)用程序都是經(jīng)驗過安全驗證，證實沒有安全問題的。移動設(shè)備只能從應(yīng)用程序庫中下載安裝程序。

　　(2)為移動設(shè)備提供轉(zhuǎn)譯服務(wù)，避免在移動設(shè)備的本地打開附件。

　　(3)此外還應(yīng)對移動設(shè)備的配置定期進(jìn)行滲透測試和配置核查，以及時發(fā)現(xiàn)移動設(shè)備上的各種脆弱性。

　　3.4數(shù)據(jù)安全策略

　　數(shù)據(jù)安全策略的目的是防止靜止和傳輸中的數(shù)據(jù)泄露。這些策略包括數(shù)據(jù)存儲和清除以及通信數(shù)據(jù)的加密兩個方面：

　　(1)企業(yè)應(yīng)該明確規(guī)定機(jī)密數(shù)據(jù)范圍以及可存放于移動設(shè)備的數(shù)據(jù)的范圍。

　　(2)要求機(jī)密數(shù)據(jù)必須存儲于加密空間。

　　(3)支持遠(yuǎn)程刪除丟失或遭竊設(shè)備中的數(shù)據(jù)。

　　(4)對重要業(yè)務(wù)系統(tǒng)的訪問需要通過加密通道。

　　(5)從公網(wǎng)訪問企業(yè)內(nèi)網(wǎng)，必須通過VPN鏈路。

　　3.5安全管理策略與實踐

　　在固定終端設(shè)備中的一些安全管理要求，同樣適用于對移動設(shè)備的管理。例如對密碼口令設(shè)置的要求(口令的強(qiáng)度要求以及更換周期等)。

　　應(yīng)該以書面形式將前述的各個層面的安全策略以正式的文檔公布出來，并要求使用移動設(shè)備的員工簽訂安全責(zé)任書，以正式明確相關(guān)義務(wù)。

　　落實執(zhí)行前述安全策略，需要有一套IT支撐系統(tǒng)，從技術(shù)上保證對移動設(shè)備的統(tǒng)一監(jiān)控和管理。通常稱這個系統(tǒng)稱為移動設(shè)備管理(MDM，Mobile Device Management)系統(tǒng)。下一章將簡述MDM系統(tǒng)應(yīng)具備的主要功能。

　　4、MDM系統(tǒng)的核心功能要求

　　MDM系統(tǒng)已經(jīng)成為國際公認(rèn)的新的產(chǎn)品門類，這個領(lǐng)域里的廠商也接近10家，各家的產(chǎn)品功能在細(xì)節(jié)上雖有差異，但公認(rèn)的核心功能包括：

　　(1)設(shè)備跟蹤定位

　　移動設(shè)備丟失后，監(jiān)控中心可以根據(jù)監(jiān)控到的信息，追蹤到設(shè)備的實際位置。

　　(2)聲音告警及歸還信息提示

　　設(shè)備如果丟失，能發(fā)出告警聲音震懾盜竊者。同時提供聯(lián)絡(luò)方式，以便撿拾移動設(shè)備的人可以根據(jù)地址歸還設(shè)備。

　　(3)網(wǎng)絡(luò)準(zhǔn)入控制

　　提供雙重網(wǎng)絡(luò)準(zhǔn)入控制，未經(jīng)認(rèn)證無法接入辦公網(wǎng)，同時不能接入到不可信任的網(wǎng)絡(luò)。

　　(4)提供可信的應(yīng)用程序下載以及附件轉(zhuǎn)譯服務(wù)

　　為移動設(shè)備提供可信軟件下載和郵件轉(zhuǎn)譯服務(wù)，避免在移動設(shè)備的本地打開附件。

　　(5)遠(yuǎn)程數(shù)據(jù)刪除

　　遠(yuǎn)程刪除丟失或遭竊設(shè)備中的數(shù)據(jù)，通過門戶、移動Web門戶或來自好友設(shè)備的短信即可實現(xiàn)。支持對移動設(shè)備和SD卡的全部數(shù)據(jù)的遠(yuǎn)程管理。

　　(6)數(shù)據(jù)加密存儲、集中備份和自動恢復(fù)

　　將公司指定的機(jī)密數(shù)據(jù)和個人信息數(shù)據(jù)存放于加密空間。

　　(7)應(yīng)用日志

　　對通話、短信、彩信、網(wǎng)絡(luò)瀏覽等活動記錄下日志并進(jìn)行審計，以便發(fā)現(xiàn)濫用行為。

　　(8)集中監(jiān)控和用戶自服務(wù)門戶

　　可以讓用戶通過門戶和簡單的設(shè)備界面快速執(zhí)行所需的安全任務(wù)、備份、定位、擦除等功能。

　　5、結(jié)束語

　　隨著云計算和無線寬帶數(shù)據(jù)通信的推廣普及，移動設(shè)備的發(fā)展會呈現(xiàn)四大趨勢，一是保有數(shù)量會加速增長，二是移動終端會逐步取代傳統(tǒng)的固定終端。三是智能手機(jī)會與現(xiàn)有的平板電腦融合成一個綜合性的多功能個人移動信息終端。四是多功能個人信息終端的操作系統(tǒng)在市場大潮的沖刷淘汰下，剩下2-3種主流的系統(tǒng)。

　　在這種的大發(fā)展趨勢下，移動信息終端的安全問題還會層出不窮，針對個人信息終端的安全管理將成為企業(yè)IT運維人員重點關(guān)注的問題。移動設(shè)備管理系統(tǒng)已經(jīng)成為一個專門的安全產(chǎn)品門類。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：企業(yè)移動設(shè)備安全管理方法與實踐

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112153887.html