企業(yè)BYOD的應(yīng)用潮流是不可逆的,越來(lái)越多的企業(yè)在追逐這個(gè)潮流。安全問題是隨之而來(lái)企業(yè)高管們需要慎重考慮的,他們正在投資構(gòu)建諸如MDM(移動(dòng)設(shè)備管理)、MAM(移動(dòng)應(yīng)用管理)的平臺(tái),還要在設(shè)備連接到組織的網(wǎng)絡(luò)之前被組織的IT部門集中授權(quán)來(lái)執(zhí)行安全設(shè)置。其實(shí),除了這些方法之外,市面上主流的移動(dòng)設(shè)備有其出廠即有的“原生態(tài)”安全保護(hù)方法。本文將為讀者們介紹這些非常容易被忽視的“原生態(tài)”方法。
應(yīng)用內(nèi)置的安全功能
今天最常見的基于蘋果iOS平臺(tái)和谷歌Android平臺(tái)的設(shè)備,是和應(yīng)用程序商店聯(lián)系的,應(yīng)用程序商店旨在提供一種方法,通過該方法,在應(yīng)用程序發(fā)布以供下載之前,程序開發(fā)商應(yīng)該是要被蘋果或谷歌驗(yàn)證的以及其應(yīng)用程序是要受到蘋果或谷歌審查的。此外,iOS和Android作為操作系統(tǒng)是用于使設(shè)備上的應(yīng)用程序彼此隔離的。因此,除非用戶允許,應(yīng)用程序之間是禁止共享數(shù)據(jù)的。這種配置背后的意圖是,如果一個(gè)流氓或惡意應(yīng)用程序?qū)⒈幌螺d到設(shè)備上,僅會(huì)限制該應(yīng)用程序的曝光,流氓應(yīng)用程序?qū)o(wú)法從另一個(gè)程序上獲取設(shè)備上的數(shù)據(jù)。
繞過操作系統(tǒng)軟件里的內(nèi)在控制的越獄iOS設(shè)備或獲得根權(quán)限的Android設(shè)備,打破了這種模式,避開了預(yù)期的應(yīng)用程序隔離。為此,越獄和獲得根權(quán)限的設(shè)備都對(duì)企業(yè)網(wǎng)絡(luò)構(gòu)成了嚴(yán)重威脅。如果移動(dòng)設(shè)備的安全性可疑,無(wú)論是設(shè)備上的數(shù)據(jù),還是移動(dòng)設(shè)備正在訪問的任何網(wǎng)絡(luò),都存在風(fēng)險(xiǎn)。
一旦設(shè)備越獄或獲得根權(quán)限,用戶可以從蘋果應(yīng)用商店,谷歌市場(chǎng),或Android市場(chǎng)以外的其他服務(wù)下載或側(cè)面加載第三方應(yīng)用程序。側(cè)面加載的意思是安裝不是從官方的應(yīng)用程序源獲得的應(yīng)用程序到移動(dòng)設(shè)備(特別是Android設(shè)備)。因?yàn)檫@些第三方應(yīng)用程序的完整性尚未審核,用戶可能會(huì)有意或無(wú)意地從設(shè)備或從其所連接到的公司網(wǎng)絡(luò)下載竊取信息和數(shù)據(jù)的惡意程序。
用好移動(dòng)設(shè)備的密碼
許多設(shè)備(包括Windows Mobile、奔邁、蘋果iOS和Android系統(tǒng))提供了在設(shè)備上設(shè)置PIN碼或密碼的選項(xiàng),使設(shè)備的所有者保護(hù)它,不讓其他有可能想訪問設(shè)備數(shù)據(jù)的人訪問。但是你同樣也可以在設(shè)備上啟用加密設(shè)置,這是針對(duì)大多數(shù)新的iOS設(shè)備的情況。許多移動(dòng)設(shè)備制造商也提供了增強(qiáng)的密碼設(shè)定功能,包括但不限于:
·密碼長(zhǎng)度
·密碼復(fù)雜性
·鎖屏寬限期
·歷史密碼
·密碼使用期限
·允許的登陸失敗嘗試次數(shù)
許多標(biāo)準(zhǔn)和行業(yè)合規(guī)框架(連同一般推薦的最佳實(shí)踐)要求強(qiáng)制密碼,密碼最小長(zhǎng)度,密碼的復(fù)雜性,歷史密碼,屏幕鎖和其他內(nèi)置安全設(shè)置。在一個(gè)組織中,一臺(tái)移動(dòng)設(shè)備的強(qiáng)化標(biāo)準(zhǔn)應(yīng)該用于指定安全地部署移動(dòng)設(shè)備所需的選項(xiàng)。許多移動(dòng)設(shè)備的管理和安全供應(yīng)商賦予了組織在設(shè)備上執(zhí)行標(biāo)準(zhǔn)化的安全設(shè)置的能力。這些政策不僅應(yīng)該被強(qiáng)制執(zhí)行,而且應(yīng)該被監(jiān)控以確定是否任何用戶能在設(shè)備上手動(dòng)禁用所需的設(shè)置。如果發(fā)現(xiàn)設(shè)備不符合組織的政策規(guī)定,應(yīng)該用安全管理產(chǎn)品來(lái)隔離設(shè)備,同時(shí)用戶需要采取適當(dāng)?shù)拇胧﹣?lái)更正設(shè)備上的安全設(shè)置,或者是消除它以提供一個(gè)干凈的安裝平臺(tái)。
同樣重要的是要注意到,四位PIN不是與生俱來(lái)就安全的,是可以被強(qiáng)力攻擊到的。例如,在2012年的黑客大會(huì)Defcon 20年會(huì)上,viaForensics機(jī)構(gòu)表明,可以用PIN碼或密碼強(qiáng)力攻擊工具破解Android系統(tǒng)的加密技術(shù)。因此,相對(duì)于PIN碼來(lái)說(shuō),堅(jiān)決首選口令或字母數(shù)字密碼。
不可忽視的加密
當(dāng)前許多移動(dòng)設(shè)備提供了內(nèi)置的加密,但是加密選項(xiàng)通常在缺省情況下是禁用的。iOS系統(tǒng)使用基于硬件的AES 256位加密。蘋果公司表示,“把密鑰固化到ROM芯片中以防止它們被篡改或被繞過,同時(shí)保證只有通過AES引擎才可以訪問到他們。” 作為一個(gè)額外的安全層,蘋果也使用數(shù)據(jù)保護(hù),來(lái)保護(hù)閃存和硬件密鑰。數(shù)據(jù)保護(hù)要求用戶在設(shè)備上設(shè)置一個(gè)密碼,手動(dòng)設(shè)置一個(gè)或者是執(zhí)行安全策略強(qiáng)加一個(gè)密碼來(lái)保護(hù)電子郵件和附件。
Android提供了滿空間的文件系統(tǒng)AES128位加密,以源于用戶PIN碼或密碼的密鑰為基礎(chǔ)。Android系統(tǒng)加密可以應(yīng)用到設(shè)備上,也可選擇應(yīng)用到SD卡上。最終用戶必須啟用加密。如果尚未設(shè)置密碼或PIN碼,在用戶可以啟用加密(加密的密碼或密碼提供了種子密鑰)之前,用戶需要先設(shè)置設(shè)備密碼或設(shè)備PIN碼,然后在啟用加密之前用戶會(huì)被提醒一個(gè)截止時(shí)間。作為一個(gè)額外的安全措施,組織的管理員可以利用Android API來(lái)要求滿足特定的復(fù)雜度要求的密碼。
三星有一系列的三星SAFE(三星批準(zhǔn)用于企業(yè)的)Android設(shè)備,可以為企業(yè)提供增強(qiáng)的安全性能。這些設(shè)備使用FIPS 140 - 2標(biāo)準(zhǔn)兼具AES 256位加密,以保護(hù)設(shè)備。如果啟用,它需要一個(gè)六位的包含字母數(shù)字的密碼,可以是通過MDM策略,微軟的同步軟件或是手動(dòng)的方式來(lái)啟用。
京公網(wǎng)安備 11010502049343號(hào)