王大鵬

摘 要：隨著Android、IOS和Windows Phone等移動(dòng)操作系統(tǒng)的出現(xiàn)，傳統(tǒng)移動(dòng)設(shè)備的功能得到了極大的豐富，基于上述系統(tǒng)的支持，這些設(shè)備（如智能手機(jī)、平板電腦等）的功能甚至替代了個(gè)人電腦的事務(wù)處理能力。隨著移動(dòng)操作系統(tǒng)的快速發(fā)展，智能設(shè)備目前在市場上的占有率超過了65%，智能設(shè)備信息安全逐步成為人們面對的主要問題。本文就智能設(shè)備在企業(yè)環(huán)境下應(yīng)用可能存在的信息安全隱患進(jìn)行系統(tǒng)地研究，揭示智能設(shè)備的安全問題，并對其試探性地提出應(yīng)對措施，為企業(yè)安全專員等人士提供有益的啟示。

關(guān)鍵詞：移動(dòng)設(shè)備；企業(yè)環(huán)境；信息安全

傳統(tǒng)移動(dòng)設(shè)備的系統(tǒng)一般都是直接基于底層功能芯片開發(fā)的用戶操作接口（UI），應(yīng)用程序同系統(tǒng)固件出廠一次性燒錄到ROM中，軟件行為無法修改，用戶只能簡單地使用這些應(yīng)用。因此，傳統(tǒng)移動(dòng)設(shè)備的漏洞較少，即便被攻擊者利用，由于設(shè)備功能單一，竊取的信息也相對匱乏，所以這類移動(dòng)設(shè)備的安全問題并不突出。相比之下，移動(dòng)智能設(shè)備的系統(tǒng)基于硬件驅(qū)動(dòng)的硬件抽象層之上，構(gòu)建完整的操作系統(tǒng)軟件棧，提供完整的軟件運(yùn)行環(huán)境和軟件功能。用戶安裝使用的軟件都是面向操作系統(tǒng)層面上的操作。而且，其功能也相當(dāng)豐富，為攻擊者提供了廣闊的運(yùn)作空間，便于利用漏洞獲取豐富的信息資源。

1 移動(dòng)智能系統(tǒng)發(fā)展現(xiàn)狀

目前，主流的移動(dòng)系統(tǒng)主要是Android、IOS和Windows Phone，其他還包括Tizen、黑莓OS、Palm、Symbian及Ubuntu。其中，Android占據(jù)約75%的智能系統(tǒng)市場份額。IOS早期占據(jù)主導(dǎo)位置，隨著Android的快速發(fā)展，目前占有約20%的份額。Windows Phone全系版本約占4%的份額。此外，其他系統(tǒng)也躋身于競爭激烈的移動(dòng)智能系統(tǒng)平臺(tái)行列，如Tizen。

2 企業(yè)環(huán)境下移動(dòng)智能設(shè)備存在的安全隱患

2.1 缺少移動(dòng)設(shè)備監(jiān)管控制

員工在企業(yè)使用自己的智能設(shè)備增加了企業(yè)信息資源遭受攻擊的風(fēng)險(xiǎn)，由于缺少對員工個(gè)人設(shè)備的有效監(jiān)管，一旦員工設(shè)備被盜丟失或脫離視線范圍，可能導(dǎo)致企業(yè)信息落入惡意攻擊者手中。

2.2 缺乏移動(dòng)設(shè)備安全審核

很多企業(yè)并不限制在企業(yè)中使用個(gè)人設(shè)備處理個(gè)人或公司業(yè)務(wù)，當(dāng)員工使用個(gè)人設(shè)備訪問企業(yè)資源時(shí)，會(huì)埋下企業(yè)信息泄漏隱患。對企業(yè)來說，員工個(gè)人設(shè)備沒有經(jīng)過企業(yè)安全審核，對企業(yè)安全來說是不可靠的。

2.3 缺乏網(wǎng)絡(luò)連接安全審核

移動(dòng)設(shè)備網(wǎng)絡(luò)連接方式多樣，如Wi-Fi、藍(lán)牙等。如果員工在企業(yè)使用設(shè)備連接未經(jīng)企業(yè)安全驗(yàn)證的開放網(wǎng)絡(luò)上網(wǎng)，可能導(dǎo)致攻擊者通過開放網(wǎng)絡(luò)發(fā)起網(wǎng)絡(luò)嗅探、竊聽等攻擊，竊聽員工通話，甚至?xí)h內(nèi)容。

2.4 缺乏下載軟件安全審核

員工可在個(gè)人設(shè)備上下載任意軟件，即便企業(yè)為員工配發(fā)安全審核或定制的設(shè)備，員工仍可自由下載軟件，而這些沒有經(jīng)過企業(yè)安全審核的軟件難保沒有以竊取企業(yè)資源或監(jiān)聽為目的的惡意軟件。

2.5 缺乏移動(dòng)設(shè)備位置服務(wù)限制

員工設(shè)備上位置服務(wù)會(huì)暴漏員工的位置，使攻擊者根據(jù)員工位置信息實(shí)施有針對性的攻擊，如統(tǒng)計(jì)或估計(jì)員工的活動(dòng)，預(yù)測企業(yè)商務(wù)業(yè)務(wù)動(dòng)向。

2.6 連接未經(jīng)審核的同步源

移動(dòng)智能設(shè)備一般都有同步用戶數(shù)據(jù)的功能，使用戶可在多個(gè)移動(dòng)設(shè)備、個(gè)人電腦上通過帳號實(shí)現(xiàn)日常業(yè)務(wù)的無縫操作。因此，當(dāng)員工將工作業(yè)務(wù)數(shù)據(jù)同步到未經(jīng)企業(yè)審核的同步源時(shí)，會(huì)使企業(yè)資源遭受泄漏風(fēng)險(xiǎn)。

2.7 缺乏對設(shè)備軟件及系統(tǒng)漏洞的管理

員工個(gè)人設(shè)備的軟件及其搭載的操作系統(tǒng)，需要經(jīng)常的更新版本或修補(bǔ)漏洞。但對員工來說，可能因?yàn)槭韬龌蛉狈Π踩庾R不能或不會(huì)及時(shí)更新或修補(bǔ)已發(fā)布的系統(tǒng)/軟件補(bǔ)丁，導(dǎo)致企業(yè)資源暴漏在安全風(fēng)險(xiǎn)之下。

3 企業(yè)環(huán)境移動(dòng)智能設(shè)備安全舉措

3.1 約束移動(dòng)設(shè)備功能

限制員工及其設(shè)備上的軟件使用照相機(jī)、GPS等功能，配置無線和虛擬專用網(wǎng)，將設(shè)備使用或違規(guī)操作記錄發(fā)送到企業(yè)服務(wù)器，提供可用軟件白名單，阻止root后設(shè)備訪問企業(yè)資源和網(wǎng)絡(luò)。

3.2 數(shù)據(jù)保護(hù)

要求員工加密個(gè)人設(shè)備存儲(chǔ)器、使保護(hù)資源僅能使用配置好的VPN網(wǎng)絡(luò)訪問，并配置強(qiáng)大的通信加密機(jī)制。此外，在丟失或被盜的設(shè)備上使用遠(yuǎn)程擦除功能。

3.3 訪問控制

增加設(shè)備用戶的身份驗(yàn)證，并為軟件配置啟動(dòng)密碼驗(yàn)證。合理配置設(shè)備密碼激活時(shí)間間隔，比如，設(shè)備閑置幾分鐘后應(yīng)當(dāng)重新輸入PIN碼/密碼驗(yàn)證使用者的身份。

3.4 系統(tǒng)監(jiān)管

針對軟件實(shí)施管控，審核軟件市場，并僅能從審核通過的軟件市場下載安裝、更新軟件。僅能安裝可靠軟件，即擁有可信來源的數(shù)字簽名。禁止使用基于公共云的軟件/資源備份或恢復(fù)服務(wù)。此外，企業(yè)安全專員還應(yīng)定期提供移動(dòng)設(shè)備系統(tǒng)及應(yīng)用軟件漏洞補(bǔ)丁，定期開展移動(dòng)設(shè)備安全掃描、安全強(qiáng)化和加密等措施。

3.5 完善責(zé)任制度及人員培訓(xùn)

加強(qiáng)對員工的移動(dòng)智能設(shè)備安全教育培訓(xùn)。通過教育培訓(xùn)，使其了解各種安全風(fēng)險(xiǎn)，理解企業(yè)安全管控制度并認(rèn)真遵守。設(shè)置年度員工移動(dòng)設(shè)備信息安全培訓(xùn)與測試，強(qiáng)化安全意識，同時(shí)，吸收好的安全建議或做法。此外，完善獎(jiǎng)懲機(jī)制，防止在移動(dòng)設(shè)備上執(zhí)行未經(jīng)批準(zhǔn)的行為（例如，訪問有害的網(wǎng)站，下載惡意代碼等）。