為什麼在移動互聯網時代,終端的安全變得如此重要?這和我們所處的移動互聯網時代有關。
解決製約寬帶網絡瓶頸的4G+各類業務和服務的雲計算承載平台+突破了語音和短信的智能終端,我們已進入了移動互聯網時代。作為互聯網發展的新時代,移動互聯網發展不但在量上發展巨大,在質上也改變了社會的方方麵麵。智能終端已成為生活的一部分,滲透到工作、娛樂,社交等各個領域。智能終端可以打電話、發短信,還能拍照、上網看視頻;隨著移動電子商務的興起,支付寶、微信支付、嘀嘀打車、餘額寶等應用,培養了大家移動支付的消費習慣,我們還能用手機買東西、理財;還有開始漸入佳境的移動辦公、移動政務、移動執法等,這就對安全提出了更高要求。再加上安全意識薄弱,安全終端保護措施不健全等,使移動智能終端相比PC終端、功能機的安全風險要多得多,而且危害更大。
延伸閱讀Extended Reading那隻智能終端的黑天鵝(中)—如何保證個人終端安全
從使用客戶來分,終端可以分為個人終端和企業化終端。如何保證個人使用智能終端的安全呢?可以從以下三個方麵入手。
1.至少通過3級安全認證
從2013年起,工信部要求對所有在售手機實施5級安全認證。即對每款手機進行安全性監測,根據測試結果,對照標準授予手機1~5級的安全評級。通常1級是最基礎的安全防禦,要求所有手機產品必須通過;用戶常見的吸費、病毒等問題的防禦需要3級安全認證才能滿足。最高的要求是5級,適用於對安全需求特別高的人群。比如對於用戶很關心的數據徹底刪除。通常刪除時,僅會刪除數據在存儲器中放置位置的索引,而區域內實際存儲的數據沒有完全清空。也就是說如果用非法程序讀取該區域的內容,仍有可能從讀取到的數據中恢複被刪除的私密數據。而通過5級安全標準測試的終端則具備“徹底刪除功能”,即被刪除時在該數據對應的存儲區域使用全“0”或全“1”進行多次填充,把該區域內實際存儲的數據徹底消除,以保證被刪除的用戶數據不可再恢複。
一個取巧的選法,中國移動的定製機要求支持3級標準,而在2014年11月1日後的定製機還要求支持4級標準。如果還有更高的要求,想要一款通過5級測試認證的手機—請相信,廠家一定會把其當作主要賣點,我們很容易就能找到,比如E1E本。
2.充分發揮安全軟件的作用
選一款安全軟件,是大多數用戶保護智能手機安全的第一選擇。移動互聯網時代,安全不再是垂直行業,已成為企業的基礎設施,可以看成是一種標準化能力。
出於對自己推出業務的安全保護,或是將其作為移動互聯網的入口,或是要做成生態係統等考慮,各領域都推出了安全軟件。可供選擇的範圍很廣,比如互聯網企業中的穀歌、360、百度、騰訊的產品,手機廠商中的華為手機管理、樂安全;運營商也推出了相應的產品,比如中國移動的“殺毒先鋒”。
用戶最常用安全軟件來做什麼呢?艾媒谘詢數據顯示,2013年中國手機用戶經常使用的手機安全軟件功能是垃圾清理,排第二的是內存、進程清理;僅有40.3%的用戶經常使用安全軟件來做病毒查殺,居於第五。這說明各種應用的安裝與運行占據了手機大部分的內存和進程,產生了不少的垃圾,因此內存、進程以及垃圾的清理顯得越來越重要。另外,說明安全軟件的功能並沒有被充分發揮出來。
除了手機垃圾文件清理、手機係統加速、上網流量管理外,一款好的安全軟件還可以幫助我們保護個人隱私、保護財產安全。比如檢測是否是正版應用,防止山寨軟件的惡意扣費;又如用“隱私保護”和“隱私行為監控”功能保護隱私等。
3.養成好的使用習慣
這是最簡單、最有效的方式。在一定程度上,可以說,安全是由我們自己掌握的。常見的好習慣包括:第一,個人私密照片謹慎發布,包括社交應用分享以及上傳備份至網絡空間等。網絡沒有刪除鍵,當你發布或上傳時,就要做好會被傳播的預想。比如有可能會被截屏,有可能網上存儲空間供應商的服務器會被黑客攻破,還有你的個人賬號密碼會被盜取。第二,在裝應用的時候,別用計算機直接安裝軟件,經常用91助手、豌豆夾等工具,直接將手機聯接到計算機上下載應用程序。這種下載方式往往跳過了權限認證這步。如果是在下載應用後,將應用程序傳輸至手機再安裝,會安全得多。當然還有不要隨意下載不明APP手機應用,別隨意掃描二維碼。第三,要警惕不明來曆的東西。比如陌生號碼的短信,不要輕易打開信息中的鏈接。近期大規模傳播的“蝗蟲木馬”就是利用短信方式迅速蔓延。還有不明來曆的廣告,陌生的增加好友信息等。
其他還包括不要連入安全性未知或陌生的WiFi網絡,關閉位置信息訪問權限,隻在需要應用程序訪問的時候再開啟等。終端的安全其實就在這點點滴滴的細節中。
延伸閱讀Extended Reading那隻智能終端的黑天鵝(下)—如何保證企業化終端安全
接下來分析如何保障企業化的移動終端安全。
1.企業終端安全是一個係統工程
首先要明確企業終端安全是一個係統工程,並不僅僅是手中那支手機安全就好了。整個係統至少包括:
(1)對用戶和設備的接入進行安全認證。個人用戶的手機聯哪個網絡都是隨便的,但如果是企業級的應用,或者企業級的服務器,基本上要進行設備和終端的身份認證。移動終端的身份不明確,操作者真實身份不明確,都存在管理安全的風險。不管是人還是設備,不管是通過互聯網還是通過內網,隻要進企業,都需要進行有效的身份認證,這是企業安全的最基本要求。
(2)終端設備的安全包括硬件、操作係統、應用的安全。這個領域非常的廣泛。從操作係統層麵來說,操作係統有一些漏洞,我們需要對漏洞進行修複;從應用來說,有手機殺毒係統和設備安全管理係統,要對應用安全加固,讓代碼無法篡改。
(3)終端設備的數據保障與備份。都說現在是大數據時代,在對安全要求比較高的政務或商務應用中,數據就特別重要。比如稅務的納稅信息裏就有納稅人的詳細資料;警務的設備中會有公民的詳細信息等。隨著企業級應用越來越廣泛,未來企業級的終端上將有更多的數據。數據的保障、備份是我們不可忽視的。通常的方法包括可以用數據庫加密,專網傳輸數據,調用數據時除了密碼還要有其他認證方式等。
2.為辦公而造的BYOD
當前終端市場非常熱的一個細分市場被稱為為辦公而造的手機。大背景是在移動辦公趨勢下,越來越多的員工用自己的設備(包括個人電腦、手機、平板等)辦公,這種現象被稱為BYOD(Bring Your Own Device)。比如中國移動、興業銀行都是在手機上批轉公文。BYOD在為員工和企業帶來方便和提高工作效率的同時,也為企業的安全帶來新的挑戰。
和普通手機有什麼區別呢?本質上可以這麼認為,企業要對接入企業網的設備做管控,但員工自己帶的設備裏有很多的數據要保障。於是需要一個手機既能保護員工個人隱私,又要保障企業的應用安全。這兩種並行要求都需要滿足。
目前BYOD主流方案有三種,分別是應用程序容器、雙域和虛擬化。
(1)應用程序容器方案。在操作係統上將應用程序通過容器的方式隔離顯示和管理。因為應用程序仍然可以互相訪問,安全性較低。好處是實現簡單且易於部署,適合對安全性要求不高的一般企業和學校等行業客戶。
(2)雙域方案。通過軟件劃分雙域,一個用於個人;一個用於企業,企業隻管控企業的域。大方向是用兩個OS管理。難度介於應用程序容器和虛擬化之間,可以滿足大型企業對員工設備管理、員工隱私保護、企業數據安全保護等的需求,這是當前獲得操作係統和終端廠商普遍認可的一種方案。
(3)虛擬化方案。從硬件上保證個人與企業數據和應用程序的完全隔離,實現個人與企業操作係統的獨立。安全性最高,但實現難度較大,需要定製終端,可以滿足軍隊等高級別的安全需求。據說奧巴馬的安全手機也采用了類似的技術方案。
3.專用移動通信網的應用
一種通過核心節點“物理隔離”部署專用網絡,以滿足安全需求的方法。主要是將“公眾移動通信網”與“專用移動通信網”相結合,通過共享無線接入網,以降低組網成本,是一種更加經濟、科學、可持續的安全方案。目前國內基於TD-LTE的政務網市場已經啟動,北京、天津、南京已陸續開展試點。
根據行業用戶與公眾用戶共享通信網絡的程度,分為三種。
(1)獨立專網:滿足某個行業/部門的通信需求而單獨建網,其他行業用戶和公共用戶不能接入,例如公安係統采用的模擬專網、TETRA製式專網。
(2)共網專網:滿足多個行業用戶/部門通信需要而建設的網絡,例如北京政通(TETRA製式)、上海中衛國脈商業專網(iDEN製式)、重慶鐵通專網(GT800製式)等,公共用戶不能接入。
(3)虛擬專網:依托運營商公眾網絡為行業用戶提供專網服務,例如PoC over TD-SCDMA等,通過引入特殊安全機製、特殊性能優化保證應用需求,行業用戶和公眾用戶都可以接入係統。
§§六企業管理變革