企业移动设备安全管理方法与实践.docVIP

企业移动设备安全管理方法与实践 首先归纳了移动设备(主要指智能手机和平板电脑等)斯的功能特性，分析由新的特性所引入的脆弱性及其对应的安全威胁，从而比较全面地总结了移动设备的安全风险，并参考相关资料总结出移动设备安全管理的最佳实践以及移动设备管理系统的核心功能要求，供企业的lT安全管理人员参考。 　　1、引言 　　这里所谓的移动设备主要是指智能手机和平板电脑两大类可以用于移动办公的电子终端设备。随着移动设备的普及，很多企业的员工开始使用这种新型的移动设备作为办公终端。据Gartner统计，2010年第四季度，智能手机(1亿部)的销量首次超过PC(9200万台)，2010年智能手机增长72%。2010年平板电脑的销量1700万台，Gartner预计201 1年将达4500万台。而随着云计算技术和3G甚至4G无线数据通信服务的广泛应用，更加便携和随时在线的移动设备会更加普及。新型办公终端的引入，为企业内部的信息安全带来了新的挑战。本文从归纳移动设备的功能特性入手，分析该类设备的安全风险，并在此基础上总结出移动设备安全管理的最佳实践，供企业的IT安全管理人员参考。 　　2、移动设备风险分析 　　2.1移动设备的特性 　　移动设备在几何尺寸、物理特性、计算能力、应用场景等方面与以往的台式或膝上设备(台式或笔记本计算机)都发生了较大变化。主要体现在： 　　(1)体积小重量轻，更便于携带； 　　(2)持续供电能力相对较低； 　　(3)CPU的计算能力相对较低； 　　(4)具有多种通讯接口，如USB、LAN、WIFI、蓝牙、3G无线数据通讯、GPS等； 　　(5)在移动的环境中使用； 　　(6)缺少本地的技术支持； 　　(7)操作系统种类繁多，如Android、iOS、Symbian、Windows Mobile等。 　　2.2移动设备的信息资产 　　移动设备是个人专用产品，而且通常有十多种应用在上面运行，如电话、电子邮件、Et程、访问互联网、通讯录、任务管理、消息(文本/图片/视频)、聊天、VPN、文件管理、存储、社交网络、位置服务、移动商务。使用这些应用或服务时，肯定涉及大量的个人信息，如：银行账户、邮件内容、消息内容、账户和密码、联系人信息、网站访问足迹、个人行程安排等等。除此以外，移动设备上可能还存储与工作相关的文档和数据。 　　2.3移动设备的脆弱性 　　移动设备的最主要的特性就是便携性，因此它的物理安全脆弱性要远比台式设备高，很容易遗失或被盗。 　　移动设备使用的操作系统种类和版本繁多，很多都存在漏洞。目前移动设备的主流操作系统有iOS(苹果公司开发的，基于苹果OSX的操作系统)和Android(谷歌公司开发的，Linttx和基于Java平台的Dalvik两种操作系统的结合体)。以ioS为例，从发行到现在共发现了200多个漏洞，其中大部分属于低风险漏洞，利用这些漏洞，一般只能取得某个应用程序的控箭J权限。也有些漏洞可以导致非常严重的问题，攻击者甚至可以实现对设备的管理员级控制，这样就可以获取设备中几乎所有的数据和服务。iPad2的iOS越狱行为(获得系统的超级用户权限，以便随意擦写任何区域的运行状态，进而安装和运行第三方程序)，是利用浏览器访问越狱网站触发PDF字体处理上的缓冲区溢出漏洞，获得对设备的完全控制。整个越狱过程本质上和黑客攻击的原理完全一致，只是越狱过程是设备使用者自愿利用漏洞。理论上一个经过越狱的系统，就是一个证实存在漏洞的系统。Android系统的情况也很类似，目前已发现的18个漏洞中修补了14个，另外未修补的4个中只有一个是高危漏洞，在Android V2.3得到修复。但是未升级到2.3版本的设备将存在高危风险。 　　移动设备上的通讯接口比固定使用的设备上的通讯接口要多，因此这些种类繁多的通讯接口都可能成为新的攻击面。而有些通讯没有经过身份认证和加密，很容易受到攻击。例如，GPS通讯很容易受到干扰和欺诈。 　　有些脆弱性是由于系统的配置不当引起的。原则上设备上暂时不用的端口，应该配置成关闭。例如，在不使用蓝牙的时候，应该关闭蓝牙设置。应该配置身份认证选项，使得系统启动后需要身份认证才能继续使用设备。 　　2.4针对移动设备的安全威胁 　　对移动设备的安全威胁，大致可以分为三大类物理威胁、操作系统威胁和网络威胁。偷盗行为和看管疏忽是针对移动设备物理安全的最大威胁。容易发生设备遗失的场所主要包括：高等院校、汽车、图书馆、机场、宾馆和会议中心、办公室、医院。 　　恶意代码是移动设备的最大威胁，这些恶意代码主要表现为病毒、僵尸程序和间谍软件或三者的混合体。病毒的主要作用是在用户不知道的情况下滥用网络，如拨打高收费电话或发送多媒体短信，以消耗用户的费用，套取非法收益。僵尸程序主要是作为黑客控制被攻陷系统的代理，攻击者可以用