背景:
在移動(dòng)互聯(lián)的浪潮中,手機移動(dòng)辦公憑借其便捷性成為時(shí)代的潮流和趨勢,但是在實(shí)施過(guò)程中卻面臨諸多信息安全問(wèn)題,讓很多企業(yè)望而卻步。與PC辦公相比,其安全威脅主要來(lái)自以下幾個(gè)方面:
首先是網(wǎng)絡(luò )安全問(wèn)題;移動(dòng)設施連接的網(wǎng)絡(luò )不像PC設備相對固定,其連接網(wǎng)絡(luò )卻是五花八門(mén),可能是移動(dòng)運營(yíng)商的3G、4G網(wǎng)絡(luò ),也可能是公司、家里、公共場(chǎng)合的WIFI網(wǎng)絡(luò ),還可能是一些釣魚(yú)WIFI、偽基站網(wǎng)絡(luò ),這其中危機四伏,黑客們可以輕易的通過(guò)DNS域名解析或ARP欺騙等手段輕易地獲取涉密信息。近幾年公安部偵破的網(wǎng)絡(luò )詐騙案,詐騙團伙大都是通過(guò)網(wǎng)絡(luò )得手的。
其次是用戶(hù)手機丟失、更換、被偷窺導致的泄密;
再次是用戶(hù)主動(dòng)泄密。移動(dòng)設備用戶(hù)隨身攜帶,想竊取其中的文件,公司無(wú)法控制。
最后是后門(mén)軟件,這一點(diǎn)PC也存在,但是手機不像PC,公司可以通過(guò)網(wǎng)絡(luò )安全設備、殺毒軟件等手段對PC上的惡意軟件予以限制、清除,對于手機這個(gè)威脅就嚴重多了。
解決方案剖析:
面對上述移動(dòng)信息安全隱患,目前應對的技術(shù)解決方案也有很多,主要有:MDM(Mobile Device Manager)方案、虛擬移動(dòng)設施(VMI)等,作為企業(yè)信息安全管理的技術(shù)人員,可以通過(guò)了解產(chǎn)品的安全防范原理來(lái)選擇合適的產(chǎn)品。下面我們將介紹各種解決方案的防范原理和代表產(chǎn)品。
MDM的全稱(chēng)是移動(dòng)設備管理,通常還包含MAM(移動(dòng)應用管理)和MCM(移動(dòng)內容管理)。該方案的思想是通過(guò)管控移動(dòng)設備、以及設備上的應用和內容的方式來(lái)進(jìn)行信息安全管控。
在實(shí)現上,就是在移動(dòng)終端(手機、平板)上安裝一個(gè)超級“木馬”的客戶(hù)端程序,通過(guò)該客戶(hù)端程序,管理員可以在管理后臺對用戶(hù)的手機進(jìn)行控制,比如:遠程鎖屏、修改手機密碼、手機回復出廠(chǎng)設置、收集通話(huà)記錄、短信、位置信息、應用遠程安裝卸載以及外設(USB、藍牙、照相機、網(wǎng)絡(luò )等)開(kāi)啟禁用等。其實(shí)現原理實(shí)際是管理員在管理后臺發(fā)送控制指令到設備終端的MDM客戶(hù)端程序,MDM客戶(hù)端程序再通過(guò)設備操作系統的MDM編程接口控制終端設備。該方案是從黑莓手機逐步發(fā)展演變而來(lái),相對比較成熟,已在廣泛應用。該方案還存在以下不足:
對設備依賴(lài)較大,兼容性不足。很多功能在IOS上無(wú)法實(shí)現;在一些深度定制的Android手機上,很多功能也無(wú)法實(shí)現。經(jīng)常會(huì )出現有的控制功能在有的手機上行,有的手機上不行。
侵犯用戶(hù)隱私。MDM的遠程控制功能非常強大,管理員在后臺可做的遠程操作遠超過(guò)用戶(hù)拿著(zhù)手機可做的直接操作。相當于用戶(hù)手機上的個(gè)人隱私完全暴露給公司管理員。在BYOD的場(chǎng)景項目推動(dòng)會(huì )有阻力。
存在較大的安全漏洞,如員工想竊取公司機密MDM很難防范,在A(yíng)ndroid手機上MDM的實(shí)現依賴(lài)于A(yíng)ndroid操作系統,Android手機的廠(chǎng)商眾多,從業(yè)者良莠不齊。
用戶(hù)很容易通過(guò)修改Android操作系統代碼讓MDM徹底失效,重新刷機安裝做過(guò)手腳的Android系統讓MDM徹底失效。
目前比較典型的MDM方案主要包含:AirWatch(WMWare收購)、思可信的MobileIron、思捷的XenMobile、華為的Anyoffice、國信靈通的NQSky EMM、天暢的ZIYA EMM。這些方案在組織形式和細節功能上有所差異,但整體功能和結構上大致相同。主要功能集中在移動(dòng)設備的生命周期管理和安全管理。
VMI(Virtual mobile infrastructure)就是虛擬移動(dòng)設施,通俗講就是Android遠程桌面,是一個(gè)新生事物,方案類(lèi)似PC云桌面辦公,即在公司的內網(wǎng)服務(wù)器上部署大量運行Android系統的虛擬機,用戶(hù)通過(guò)自己的移動(dòng)設備遠程登錄Android系統,象Windows遠程桌面一樣操作遠程的虛擬Android手機。按照該方案,公司的各類(lèi)移動(dòng)辦公軟件只需在內網(wǎng)Android虛擬機中安裝運行,無(wú)需在用戶(hù)手機中安裝。用戶(hù)手機上只需安裝一個(gè)遠程Android系統的登錄軟件,該軟件以圖片的形式展示遠程Android系統操作界面。目前中興通訊的子公司中興網(wǎng)信推出了一款叫做“云盾”的Android遠程桌面產(chǎn)品,該產(chǎn)品和MDM相比有以下優(yōu)勢:
1、安全性高,應用運行在云端、手機端只是展示畫(huà)面,網(wǎng)絡(luò )傳輸的也只是一些圖元繪制命令,因此在網(wǎng)絡(luò )傳輸和移動(dòng)終端基本不涉及業(yè)務(wù)數據,安全性非常高。也不存在通過(guò)對Android操作系統做文章竊取數據的問(wèn)題。
3、設備兼容性、用戶(hù)個(gè)人隱私保護方面優(yōu)勢明顯,無(wú)需對用戶(hù)的移動(dòng)設備進(jìn)行嚴格管控,對移動(dòng)的操作系統也沒(méi)有特別的依賴(lài),完全兼容主流的Android、IOS設備。
3、可以減少企業(yè)后續移動(dòng)信息化成本。企業(yè)上了VMI后,所有移動(dòng)應用都放在云端,因此企業(yè)的移動(dòng)應用只要做Android客戶(hù)端即可,無(wú)需再做IOS客戶(hù)端。另外后續的移動(dòng)應用也無(wú)需再考慮安全問(wèn)題,軟件的發(fā)布、更新等也更方便,直接在云盾控制。研發(fā)成本、后期管理成本都可大大降低。
VMI基本上解決了MDM方案的不足,但是其本身也還存在以下不足:
1、 對網(wǎng)絡(luò )帶寬消耗較高,目前幾款VMI產(chǎn)品的帶寬占用差不多在300bps左右,實(shí)際的流量消耗與所做的操作有關(guān),會(huì )有偏差,在不操作遠程界面時(shí)不會(huì )產(chǎn)生流量。從實(shí)際體驗來(lái)看,在3G網(wǎng)絡(luò )環(huán)境信號不大穩定的情況下,界面操作會(huì )有卡頓,但是在4G網(wǎng)絡(luò )、正常WIFI網(wǎng)絡(luò )下,與操作本地手機基本無(wú)異,用戶(hù)體驗完全可以接受。這個(gè)網(wǎng)絡(luò )要求也許對于企業(yè)的管理層不是問(wèn)題,但對于普通員工要求還是比較高的。
2、 虛擬機端的服務(wù)器資源消耗較大,基本上一個(gè)虛擬機要分擔100元左右的服務(wù)器硬件成本。
VMI的代表產(chǎn)品除了中興網(wǎng)信的云盾外,還有國外的Hypori、Nubo 、remotium、sierraware等,這項技術(shù)在國外,以及在國內的政府、金融、司法、大企業(yè)等領(lǐng)域已有大量應用。
綜上所述,MDM相對成熟,成本低廉,但是存在安全漏洞、侵犯用戶(hù)隱私、設備兼容性差等缺陷;VMI相對MDM優(yōu)勢明顯,代表的是技術(shù)發(fā)展趨勢,但現段對網(wǎng)絡(luò )要求高、實(shí)施成本高。對于信息安全要求高的企業(yè)可以考慮對管理干部或對信息安全敏感的員工實(shí)施VMI。對于廣大普通員工實(shí)施MDM,這樣既能做到安全合規又能尊重用戶(hù)隱私,也能兼顧實(shí)施成本。
