企業環境下移動智能設備信息安全研究

王大鵬

摘 要：隨著Android、IOS和Windows Phone等移動操作系統的出現，傳統移動設備的功能得到了極大的豐富，基于上述系統的支持，這些設備（如智能手機、平板電腦等）的功能甚至替代了個人電腦的事務處理能力。隨著移動操作系統的快速發展，智能設備目前在市場上的占有率超過了65%，智能設備信息安全逐步成為人們面對的主要問題。本文就智能設備在企業環境下應用可能存在的信息安全隱患進行系統地研究，揭示智能設備的安全問題，并對其試探性地提出應對措施，為企業安全專員等人士提供有益的啟示。

關鍵詞：移動設備；企業環境；信息安全

傳統移動設備的系統一般都是直接基于底層功能芯片開發的用戶操作接口（UI），應用程序同系統固件出廠一次性燒錄到ROM中，軟件行為無法修改，用戶只能簡單地使用這些應用。因此，傳統移動設備的漏洞較少，即便被攻擊者利用，由于設備功能單一，竊取的信息也相對匱乏，所以這類移動設備的安全問題并不突出。相比之下，移動智能設備的系統基于硬件驅動的硬件抽象層之上，構建完整的操作系統軟件棧，提供完整的軟件運行環境和軟件功能。用戶安裝使用的軟件都是面向操作系統層面上的操作。而且，其功能也相當豐富，為攻擊者提供了廣闊的運作空間，便于利用漏洞獲取豐富的信息資源。

1 移動智能系統發展現狀

目前，主流的移動系統主要是Android、IOS和Windows Phone，其他還包括Tizen、黑莓OS、Palm、Symbian及Ubuntu。其中，Android占據約75%的智能系統市場份額。IOS早期占據主導位置，隨著Android的快速發展，目前占有約20%的份額。Windows Phone全系版本約占4%的份額。此外，其他系統也躋身于競爭激烈的移動智能系統平臺行列，如Tizen。

2 企業環境下移動智能設備存在的安全隱患

2.1 缺少移動設備監管控制

員工在企業使用自己的智能設備增加了企業信息資源遭受攻擊的風險，由于缺少對員工個人設備的有效監管，一旦員工設備被盜丟失或脫離視線范圍，可能導致企業信息落入惡意攻擊者手中。

2.2 缺乏移動設備安全審核

很多企業并不限制在企業中使用個人設備處理個人或公司業務，當員工使用個人設備訪問企業資源時，會埋下企業信息泄漏隱患。對企業來說，員工個人設備沒有經過企業安全審核，對企業安全來說是不可靠的。

2.3 缺乏網絡連接安全審核

移動設備網絡連接方式多樣，如Wi-Fi、藍牙等。如果員工在企業使用設備連接未經企業安全驗證的開放網絡上網，可能導致攻擊者通過開放網絡發起網絡嗅探、竊聽等攻擊，竊聽員工通話，甚至會議內容。

2.4 缺乏下載軟件安全審核

員工可在個人設備上下載任意軟件，即便企業為員工配發安全審核或定制的設備，員工仍可自由下載軟件，而這些沒有經過企業安全審核的軟件難保沒有以竊取企業資源或監聽為目的的惡意軟件。

2.5 缺乏移動設備位置服務限制

員工設備上位置服務會暴漏員工的位置，使攻擊者根據員工位置信息實施有針對性的攻擊，如統計或估計員工的活動，預測企業商務業務動向。

2.6 連接未經審核的同步源

移動智能設備一般都有同步用戶數據的功能，使用戶可在多個移動設備、個人電腦上通過帳號實現日常業務的無縫操作。因此，當員工將工作業務數據同步到未經企業審核的同步源時，會使企業資源遭受泄漏風險。

2.7 缺乏對設備軟件及系統漏洞的管理

員工個人設備的軟件及其搭載的操作系統，需要經常的更新版本或修補漏洞。但對員工來說，可能因為疏忽或缺乏安全意識不能或不會及時更新或修補已發布的系統/軟件補丁，導致企業資源暴漏在安全風險之下。

3 企業環境移動智能設備安全舉措

3.1 約束移動設備功能

限制員工及其設備上的軟件使用照相機、GPS等功能，配置無線和虛擬專用網，將設備使用或違規操作記錄發送到企業服務器，提供可用軟件白名單，阻止root后設備訪問企業資源和網絡。

3.2 數據保護

要求員工加密個人設備存儲器、使保護資源僅能使用配置好的VPN網絡訪問，并配置強大的通信加密機制。此外，在丟失或被盜的設備上使用遠程擦除功能。

3.3 訪問控制

增加設備用戶的身份驗證，并為軟件配置啟動密碼驗證。合理配置設備密碼激活時間間隔，比如，設備閑置幾分鐘后應當重新輸入PIN碼/密碼驗證使用者的身份。

3.4 系統監管

針對軟件實施管控，審核軟件市場，并僅能從審核通過的軟件市場下載安裝、更新軟件。僅能安裝可靠軟件，即擁有可信來源的數字簽名。禁止使用基于公共云的軟件/資源備份或恢復服務。此外，企業安全專員還應定期提供移動設備系統及應用軟件漏洞補丁，定期開展移動設備安全掃描、安全強化和加密等措施。

3.5 完善責任制度及人員培訓

加強對員工的移動智能設備安全教育培訓。通過教育培訓，使其了解各種安全風險，理解企業安全管控制度并認真遵守。設置年度員工移動設備信息安全培訓與測試，強化安全意識，同時，吸收好的安全建議或做法。此外，完善獎懲機制，防止在移動設備上執行未經批準的行為（例如，訪問有害的網站，下載惡意代碼等）。