王大鹏
摘 要:随着Android、IOS和Windows Phone等移动操作系统的出现,传统移动设备的功能得到了极大的丰富,基于上述系统的支持,这些设备(如智能手机、平板电脑等)的功能甚至替代了个人电脑的事务处理能力。随着移动操作系统的快速发展,智能设备目前在市场上的占有率超过了65%,智能设备信息安全逐步成为人们面对的主要问题。本文就智能设备在企业环境下应用可能存在的信息安全隐患进行系统地研究,揭示智能设备的安全问题,并对其试探性地提出应对措施,为企业安全专员等人士提供有益的启示。
关键词:移动设备;企业环境;信息安全
传统移动设备的系统一般都是直接基于底层功能芯片开发的用户操作接口(UI),应用程序同系统固件出厂一次性烧录到ROM中,软件行为无法修改,用户只能简单地使用这些应用。因此,传统移动设备的漏洞较少,即便被攻击者利用,由于设备功能单一,窃取的信息也相对匮乏,所以这类移动设备的安全问题并不突出。相比之下,移动智能设备的系统基于硬件驱动的硬件抽象层之上,构建完整的操作系统软件栈,提供完整的软件运行环境和软件功能。用户安装使用的软件都是面向操作系统层面上的操作。而且,其功能也相当丰富,为攻击者提供了广阔的运作空间,便于利用漏洞获取丰富的信息资源。
1 移动智能系统发展现状
目前,主流的移动系统主要是Android、IOS和Windows Phone,其他还包括Tizen、黑莓OS、Palm、Symbian及Ubuntu。其中,Android占据约75%的智能系统市场份额。IOS早期占据主导位置,随着Android的快速发展,目前占有约20%的份额。Windows Phone全系版本约占4%的份额。此外,其他系统也跻身于竞争激烈的移动智能系统平台行列,如Tizen。
2 企业环境下移动智能设备存在的安全隐患
2.1 缺少移动设备监管控制
员工在企业使用自己的智能设备增加了企业信息资源遭受攻击的风险,由于缺少对员工个人设备的有效监管,一旦员工设备被盗丢失或脱离视线范围,可能导致企业信息落入恶意攻击者手中。
2.2 缺乏移动设备安全审核
很多企业并不限制在企业中使用个人设备处理个人或公司业务,当员工使用个人设备访问企业资源时,会埋下企业信息泄漏隐患。对企业来说,员工个人设备没有经过企业安全审核,对企业安全来说是不可靠的。
2.3 缺乏网络连接安全审核
移动设备网络连接方式多样,如Wi-Fi、蓝牙等。如果员工在企业使用设备连接未经企业安全验证的开放网络上网,可能导致攻击者通过开放网络发起网络嗅探、窃听等攻击,窃听员工通话,甚至会议内容。
2.4 缺乏下载软件安全审核
员工可在个人设备上下载任意软件,即便企业为员工配发安全审核或定制的设备,员工仍可自由下载软件,而这些没有经过企业安全审核的软件难保没有以窃取企业资源或监听为目的的恶意软件。
2.5 缺乏移动设备位置服务限制
员工设备上位置服务会暴漏员工的位置,使攻击者根据员工位置信息实施有针对性的攻击,如统计或估计员工的活动,预测企业商务业务动向。
2.6 连接未经审核的同步源
移动智能设备一般都有同步用户数据的功能,使用户可在多个移动设备、个人电脑上通过帐号实现日常业务的无缝操作。因此,当员工将工作业务数据同步到未经企业审核的同步源时,会使企业资源遭受泄漏风险。
2.7 缺乏对设备软件及系统漏洞的管理
员工个人设备的软件及其搭载的操作系统,需要经常的更新版本或修补漏洞。但对员工来说,可能因为疏忽或缺乏安全意识不能或不会及时更新或修补已发布的系统/软件补丁,导致企业资源暴漏在安全风险之下。
3 企业环境移动智能设备安全举措
3.1 约束移动设备功能
限制员工及其设备上的软件使用照相机、GPS等功能,配置无线和虚拟专用网,将设备使用或违规操作记录发送到企业服务器,提供可用软件白名单,阻止root后设备访问企业资源和网络。
3.2 数据保护
要求员工加密个人设备存储器、使保护资源仅能使用配置好的VPN网络访问,并配置强大的通信加密机制。此外,在丢失或被盗的设备上使用远程擦除功能。
3.3 访问控制
增加设备用户的身份验证,并为软件配置启动密码验证。合理配置设备密码激活时间间隔,比如,设备闲置几分钟后应当重新输入PIN码/密码验证使用者的身份。
3.4 系统监管
针对软件实施管控,审核软件市场,并仅能从审核通过的软件市场下载安装、更新软件。仅能安装可靠软件,即拥有可信来源的数字签名。禁止使用基于公共云的软件/资源备份或恢复服务。此外,企业安全专员还应定期提供移动设备系统及应用软件漏洞补丁,定期开展移动设备安全扫描、安全强化和加密等措施。
3.5 完善责任制度及人员培训
加强对员工的移动智能设备安全教育培训。通过教育培训,使其了解各种安全风险,理解企业安全管控制度并认真遵守。设置年度员工移动设备信息安全培训与测试,强化安全意识,同时,吸收好的安全建议或做法。此外,完善奖惩机制,防止在移动设备上执行未经批准的行为(例如,访问有害的网站,下载恶意代码等)。