企業BYOD的應用潮流是不可逆的,越來越多的企業在追逐這個潮流。安全問題是隨之而來企業高管們需要慎重考慮的,他們正在投資構建諸如MDM(移動設備管理)、MAM(移動應用管理)的平臺,還要在設備連接到組織的網絡之前被組織的IT部門集中授權來執行安全設置。其實,除了這些方法之外,市面上主流的移動設備有其出廠即有的“原生態”安全保護方法。本文將為讀者們介紹這些非常容易被忽視的“原生態”方法。
應用內置的安全功能
今天最常見的基于蘋果iOS平臺和谷歌Android平臺的設備,是和應用程序商店聯系的,應用程序商店旨在提供一種方法,通過該方法,在應用程序發布以供下載之前,程序開發商應該是要被蘋果或谷歌驗證的以及其應用程序是要受到蘋果或谷歌審查的。此外,iOS和Android作為操作系統是用于使設備上的應用程序彼此隔離的。因此,除非用戶允許,應用程序之間是禁止共享數據的。這種配置背后的意圖是,如果一個流氓或惡意應用程序將被下載到設備上,僅會限制該應用程序的曝光,流氓應用程序將無法從另一個程序上獲取設備上的數據。
繞過操作系統軟件里的內在控制的越獄iOS設備或獲得根權限的Android設備,打破了這種模式,避開了預期的應用程序隔離。為此,越獄和獲得根權限的設備都對企業網絡構成了嚴重威脅。如果移動設備的安全性可疑,無論是設備上的數據,還是移動設備正在訪問的任何網絡,都存在風險。
一旦設備越獄或獲得根權限,用戶可以從蘋果應用商店,谷歌市場,或Android市場以外的其他服務下載或側面加載第三方應用程序。側面加載的意思是安裝不是從官方的應用程序源獲得的應用程序到移動設備(特別是Android設備)。因為這些第三方應用程序的完整性尚未審核,用戶可能會有意或無意地從設備或從其所連接到的公司網絡下載竊取信息和數據的惡意程序。
用好移動設備的密碼
許多設備(包括Windows Mobile、奔邁、蘋果iOS和Android系統)提供了在設備上設置PIN碼或密碼的選項,使設備的所有者保護它,不讓其他有可能想訪問設備數據的人訪問。但是你同樣也可以在設備上啟用加密設置,這是針對大多數新的iOS設備的情況。許多移動設備制造商也提供了增強的密碼設定功能,包括但不限于:
·密碼長度
·密碼復雜性
·鎖屏寬限期
·歷史密碼
·密碼使用期限
·允許的登陸失敗嘗試次數
許多標準和行業合規框架(連同一般推薦的最佳實踐)要求強制密碼,密碼最小長度,密碼的復雜性,歷史密碼,屏幕鎖和其他內置安全設置。在一個組織中,一臺移動設備的強化標準應該用于指定安全地部署移動設備所需的選項。許多移動設備的管理和安全供應商賦予了組織在設備上執行標準化的安全設置的能力。這些政策不僅應該被強制執行,而且應該被監控以確定是否任何用戶能在設備上手動禁用所需的設置。如果發現設備不符合組織的政策規定,應該用安全管理產品來隔離設備,同時用戶需要采取適當的措施來更正設備上的安全設置,或者是消除它以提供一個干凈的安裝平臺。
同樣重要的是要注意到,四位PIN不是與生俱來就安全的,是可以被強力攻擊到的。例如,在2012年的黑客大會Defcon 20年會上,viaForensics機構表明,可以用PIN碼或密碼強力攻擊工具破解Android系統的加密技術。因此,相對于PIN碼來說,堅決首選口令或字母數字密碼。
不可忽視的加密
當前許多移動設備提供了內置的加密,但是加密選項通常在缺省情況下是禁用的。iOS系統使用基于硬件的AES 256位加密。蘋果公司表示,“把密鑰固化到ROM芯片中以防止它們被篡改或被繞過,同時保證只有通過AES引擎才可以訪問到他們。” 作為一個額外的安全層,蘋果也使用數據保護,來保護閃存和硬件密鑰。數據保護要求用戶在設備上設置一個密碼,手動設置一個或者是執行安全策略強加一個密碼來保護電子郵件和附件。
Android提供了滿空間的文件系統AES128位加密,以源于用戶PIN碼或密碼的密鑰為基礎。Android系統加密可以應用到設備上,也可選擇應用到SD卡上。最終用戶必須啟用加密。如果尚未設置密碼或PIN碼,在用戶可以啟用加密(加密的密碼或密碼提供了種子密鑰)之前,用戶需要先設置設備密碼或設備PIN碼,然后在啟用加密之前用戶會被提醒一個截止時間。作為一個額外的安全措施,組織的管理員可以利用Android API來要求滿足特定的復雜度要求的密碼。
三星有一系列的三星SAFE(三星批準用于企業的)Android設備,可以為企業提供增強的安全性能。這些設備使用FIPS 140 - 2標準兼具AES 256位加密,以保護設備。如果啟用,它需要一個六位的包含字母數字的密碼,可以是通過MDM策略,微軟的同步軟件或是手動的方式來啟用。
京公網安備 11010502049343號