企業(yè)環(huán)境下移動(dòng)智能設(shè)備信息安全研究

王大鵬

摘 要：隨著Android、IOS和Windows Phone等移動(dòng)操作系統(tǒng)的出現(xiàn)，傳統(tǒng)移動(dòng)設(shè)備的功能得到了極大的豐富，基于上述系統(tǒng)的支持，這些設(shè)備（如智能手機(jī)、平板電腦等）的功能甚至替代了個(gè)人電腦的事務(wù)處理能力。隨著移動(dòng)操作系統(tǒng)的快速發(fā)展，智能設(shè)備目前在市場(chǎng)上的占有率超過(guò)了65%，智能設(shè)備信息安全逐步成為人們面對(duì)的主要問(wèn)題。本文就智能設(shè)備在企業(yè)環(huán)境下應(yīng)用可能存在的信息安全隱患進(jìn)行系統(tǒng)地研究，揭示智能設(shè)備的安全問(wèn)題，并對(duì)其試探性地提出應(yīng)對(duì)措施，為企業(yè)安全專(zhuān)員等人士提供有益的啟示。

關(guān)鍵詞：移動(dòng)設(shè)備；企業(yè)環(huán)境；信息安全

傳統(tǒng)移動(dòng)設(shè)備的系統(tǒng)一般都是直接基于底層功能芯片開(kāi)發(fā)的用戶(hù)操作接口（UI），應(yīng)用程序同系統(tǒng)固件出廠(chǎng)一次性燒錄到ROM中，軟件行為無(wú)法修改，用戶(hù)只能簡(jiǎn)單地使用這些應(yīng)用。因此，傳統(tǒng)移動(dòng)設(shè)備的漏洞較少，即便被攻擊者利用，由于設(shè)備功能單一，竊取的信息也相對(duì)匱乏，所以這類(lèi)移動(dòng)設(shè)備的安全問(wèn)題并不突出。相比之下，移動(dòng)智能設(shè)備的系統(tǒng)基于硬件驅(qū)動(dòng)的硬件抽象層之上，構(gòu)建完整的操作系統(tǒng)軟件棧，提供完整的軟件運(yùn)行環(huán)境和軟件功能。用戶(hù)安裝使用的軟件都是面向操作系統(tǒng)層面上的操作。而且，其功能也相當(dāng)豐富，為攻擊者提供了廣闊的運(yùn)作空間，便于利用漏洞獲取豐富的信息資源。

1 移動(dòng)智能系統(tǒng)發(fā)展現(xiàn)狀

目前，主流的移動(dòng)系統(tǒng)主要是Android、IOS和Windows Phone，其他還包括Tizen、黑莓OS、Palm、Symbian及Ubuntu。其中，Android占據(jù)約75%的智能系統(tǒng)市場(chǎng)份額。IOS早期占據(jù)主導(dǎo)位置，隨著Android的快速發(fā)展，目前占有約20%的份額。Windows Phone全系版本約占4%的份額。此外，其他系統(tǒng)也躋身于競(jìng)爭(zhēng)激烈的移動(dòng)智能系統(tǒng)平臺(tái)行列，如Tizen。

2 企業(yè)環(huán)境下移動(dòng)智能設(shè)備存在的安全隱患

2.1 缺少移動(dòng)設(shè)備監(jiān)管控制

員工在企業(yè)使用自己的智能設(shè)備增加了企業(yè)信息資源遭受攻擊的風(fēng)險(xiǎn)，由于缺少對(duì)員工個(gè)人設(shè)備的有效監(jiān)管，一旦員工設(shè)備被盜丟失或脫離視線(xiàn)范圍，可能導(dǎo)致企業(yè)信息落入惡意攻擊者手中。

2.2 缺乏移動(dòng)設(shè)備安全審核

很多企業(yè)并不限制在企業(yè)中使用個(gè)人設(shè)備處理個(gè)人或公司業(yè)務(wù)，當(dāng)員工使用個(gè)人設(shè)備訪(fǎng)問(wèn)企業(yè)資源時(shí)，會(huì)埋下企業(yè)信息泄漏隱患。對(duì)企業(yè)來(lái)說(shuō)，員工個(gè)人設(shè)備沒(méi)有經(jīng)過(guò)企業(yè)安全審核，對(duì)企業(yè)安全來(lái)說(shuō)是不可靠的。

2.3 缺乏網(wǎng)絡(luò)連接安全審核

移動(dòng)設(shè)備網(wǎng)絡(luò)連接方式多樣，如Wi-Fi、藍(lán)牙等。如果員工在企業(yè)使用設(shè)備連接未經(jīng)企業(yè)安全驗(yàn)證的開(kāi)放網(wǎng)絡(luò)上網(wǎng)，可能導(dǎo)致攻擊者通過(guò)開(kāi)放網(wǎng)絡(luò)發(fā)起網(wǎng)絡(luò)嗅探、竊聽(tīng)等攻擊，竊聽(tīng)員工通話(huà)，甚至?xí)h內(nèi)容。

2.4 缺乏下載軟件安全審核

員工可在個(gè)人設(shè)備上下載任意軟件，即便企業(yè)為員工配發(fā)安全審核或定制的設(shè)備，員工仍可自由下載軟件，而這些沒(méi)有經(jīng)過(guò)企業(yè)安全審核的軟件難保沒(méi)有以竊取企業(yè)資源或監(jiān)聽(tīng)為目的的惡意軟件。

2.5 缺乏移動(dòng)設(shè)備位置服務(wù)限制

員工設(shè)備上位置服務(wù)會(huì)暴漏員工的位置，使攻擊者根據(jù)員工位置信息實(shí)施有針對(duì)性的攻擊，如統(tǒng)計(jì)或估計(jì)員工的活動(dòng)，預(yù)測(cè)企業(yè)商務(wù)業(yè)務(wù)動(dòng)向。

2.6 連接未經(jīng)審核的同步源

移動(dòng)智能設(shè)備一般都有同步用戶(hù)數(shù)據(jù)的功能，使用戶(hù)可在多個(gè)移動(dòng)設(shè)備、個(gè)人電腦上通過(guò)帳號(hào)實(shí)現(xiàn)日常業(yè)務(wù)的無(wú)縫操作。因此，當(dāng)員工將工作業(yè)務(wù)數(shù)據(jù)同步到未經(jīng)企業(yè)審核的同步源時(shí)，會(huì)使企業(yè)資源遭受泄漏風(fēng)險(xiǎn)。

2.7 缺乏對(duì)設(shè)備軟件及系統(tǒng)漏洞的管理

員工個(gè)人設(shè)備的軟件及其搭載的操作系統(tǒng)，需要經(jīng)常的更新版本或修補(bǔ)漏洞。但對(duì)員工來(lái)說(shuō)，可能因?yàn)槭韬龌蛉狈Π踩庾R(shí)不能或不會(huì)及時(shí)更新或修補(bǔ)已發(fā)布的系統(tǒng)/軟件補(bǔ)丁，導(dǎo)致企業(yè)資源暴漏在安全風(fēng)險(xiǎn)之下。

3 企業(yè)環(huán)境移動(dòng)智能設(shè)備安全舉措

3.1 約束移動(dòng)設(shè)備功能

限制員工及其設(shè)備上的軟件使用照相機(jī)、GPS等功能，配置無(wú)線(xiàn)和虛擬專(zhuān)用網(wǎng)，將設(shè)備使用或違規(guī)操作記錄發(fā)送到企業(yè)服務(wù)器，提供可用軟件白名單，阻止root后設(shè)備訪(fǎng)問(wèn)企業(yè)資源和網(wǎng)絡(luò)。

3.2 數(shù)據(jù)保護(hù)

要求員工加密個(gè)人設(shè)備存儲(chǔ)器、使保護(hù)資源僅能使用配置好的VPN網(wǎng)絡(luò)訪(fǎng)問(wèn)，并配置強(qiáng)大的通信加密機(jī)制。此外，在丟失或被盜的設(shè)備上使用遠(yuǎn)程擦除功能。

3.3 訪(fǎng)問(wèn)控制

增加設(shè)備用戶(hù)的身份驗(yàn)證，并為軟件配置啟動(dòng)密碼驗(yàn)證。合理配置設(shè)備密碼激活時(shí)間間隔，比如，設(shè)備閑置幾分鐘后應(yīng)當(dāng)重新輸入PIN碼/密碼驗(yàn)證使用者的身份。

3.4 系統(tǒng)監(jiān)管

針對(duì)軟件實(shí)施管控，審核軟件市場(chǎng)，并僅能從審核通過(guò)的軟件市場(chǎng)下載安裝、更新軟件。僅能安裝可靠軟件，即擁有可信來(lái)源的數(shù)字簽名。禁止使用基于公共云的軟件/資源備份或恢復(fù)服務(wù)。此外，企業(yè)安全專(zhuān)員還應(yīng)定期提供移動(dòng)設(shè)備系統(tǒng)及應(yīng)用軟件漏洞補(bǔ)丁，定期開(kāi)展移動(dòng)設(shè)備安全掃描、安全強(qiáng)化和加密等措施。

3.5 完善責(zé)任制度及人員培訓(xùn)

加強(qiáng)對(duì)員工的移動(dòng)智能設(shè)備安全教育培訓(xùn)。通過(guò)教育培訓(xùn)，使其了解各種安全風(fēng)險(xiǎn)，理解企業(yè)安全管控制度并認(rèn)真遵守。設(shè)置年度員工移動(dòng)設(shè)備信息安全培訓(xùn)與測(cè)試，強(qiáng)化安全意識(shí)，同時(shí)，吸收好的安全建議或做法。此外，完善獎(jiǎng)懲機(jī)制，防止在移動(dòng)設(shè)備上執(zhí)行未經(jīng)批準(zhǔn)的行為（例如，訪(fǎng)問(wèn)有害的網(wǎng)站，下載惡意代碼等）。