BYOD安全保护的“原生态”方法

  企业BYOD的应用潮流是不可逆的,越来越多的企业在追逐这个潮流。安全问题是随之而来企业高管们需要慎重考虑的,他们正在投资构建诸如MDM(移动设备管理)、MAM(移动应用管理)的平台,还要在设备连接到组织的网络之前被组织的IT部门集中授权来执行安全设置。其实,除了这些方法之外,市面上主流的移动设备有其出厂即有的“原生态”安全保护方法。本文将为读者们介绍这些非常容易被忽视的“原生态”方法。

  应用内置的安全功能

  今天最常见的基于苹果iOS平台和谷歌Android平台的设备,是和应用程序商店联系的,应用程序商店旨在提供一种方法,通过该方法,在应用程序发布以供下载之前,程序开发商应该是要被苹果或谷歌验证的以及其应用程序是要受到苹果或谷歌审查的。此外,iOS和Android作为操作系统是用于使设备上的应用程序彼此隔离的。因此,除非用户允许,应用程序之间是禁止共享数据的。这种配置背后的意图是,如果一个流氓或恶意应用程序将被下载到设备上,仅会限制该应用程序的曝光,流氓应用程序将无法从另一个程序上获取设备上的数据。

  绕过操作系统软件里的内在控制的越狱iOS设备或获得根权限的Android设备,打破了这种模式,避开了预期的应用程序隔离。为此,越狱和获得根权限的设备都对企业网络构成了严重威胁。如果移动设备的安全性可疑,无论是设备上的数据,还是移动设备正在访问的任何网络,都存在风险。

  一旦设备越狱或获得根权限,用户可以从苹果应用商店,谷歌市场,或Android市场以外的其他服务下载或侧面加载第三方应用程序。侧面加载的意思是安装不是从官方的应用程序源获得的应用程序到移动设备(特别是Android设备)。因为这些第三方应用程序的完整性尚未审核,用户可能会有意或无意地从设备或从其所连接到的公司网络下载窃取信息和数据的恶意程序。

  用好移动设备的密码

  许多设备(包括Windows Mobile、奔迈、苹果iOS和Android系统)提供了在设备上设置PIN码或密码的选项,使设备的所有者保护它,不让其他有可能想访问设备数据的人访问。但是你同样也可以在设备上启用加密设置,这是针对大多数新的iOS设备的情况。许多移动设备制造商也提供了增强的密码设定功能,包括但不限于:

  密码长度

  密码复杂性

  锁屏宽限期

  历史密码

  密码使用期限

  允许的登陆失败尝试次数

  许多标准和行业合规框架(连同一般推荐的最佳实践)要求强制密码,密码最小长度,密码的复杂性,历史密码,屏幕锁和其他内置安全设置。在一个组织中,一台移动设备的强化标准应该用于指定安全地部署移动设备所需的选项。许多移动设备的管理和安全供应商赋予了组织在设备上执行标准化的安全设置的能力。这些政策不仅应该被强制执行,而且应该被监控以确定是否任何用户能在设备上手动禁用所需的设置。如果发现设备不符合组织的政策规定,应该用安全管理产品来隔离设备,同时用户需要采取适当的措施来更正设备上的安全设置,或者是消除它以提供一个干净的安装平台。

  同样重要的是要注意到,四位PIN不是与生俱来就安全的,是可以被强力攻击到的。例如,在2012年的黑客大会Defcon 20年会上,viaForensics机构表明,可以用PIN码或密码强力攻击工具破解Android系统的加密技术。因此,相对于PIN码来说,坚决首选口令或字母数字密码。

  不可忽视的加密

  当前许多移动设备提供了内置的加密,但是加密选项通常在缺省情况下是禁用的。iOS系统使用基于硬件的AES 256位加密。苹果公司表示,“把密钥固化到ROM芯片中以防止它们被篡改或被绕过,同时保证只有通过AES引擎才可以访问到他们。” 作为一个额外的安全层,苹果也使用数据保护,来保护闪存和硬件密钥。数据保护要求用户在设备上设置一个密码,手动设置一个或者是执行安全策略强加一个密码来保护电子邮件和附件。

  Android提供了满空间的文件系统AES128位加密,以源于用户PIN码或密码的密钥为基础。Android系统加密可以应用到设备上,也可选择应用到SD卡上。最终用户必须启用加密。如果尚未设置密码或PIN码,在用户可以启用加密(加密的密码或密码提供了种子密钥)之前,用户需要先设置设备密码或设备PIN码,然后在启用加密之前用户会被提醒一个截止时间。作为一个额外的安全措施,组织的管理员可以利用Android API来要求满足特定的复杂度要求的密码。

  三星有一系列的三星SAFE(三星批准用于企业的)Android设备,可以为企业提供增强的安全性能。这些设备使用FIPS 140 – 2标准兼具AES 256位加密,以保护设备。如果启用,它需要一个六位的包含字母数字的密码,可以是通过MDM策略,微软的同步软件或是手动的方式来启用。

 

上一篇:安卓防火墙 PS DroidWall

下一篇:实现HOOK其他进程的Messagebox(2) DLL注入工具