潍坊行业网站,微信小程序制作费用是多少,门户网站导航建设方案,做cpa的网站源码9.17 移动设备(mobile device)
移动设备是指电池驱动的任何东西,通常不需要电源线就可以运行的任何东西。
备考时要把智能手机与移动设备、笔记本电脑、平板电脑乃至智能手表或计步器也考虑进来。 一些移动设备连典型的默认安全设置都做不到#xff0c;更别提可供使用的安全…9.17 移动设备(mobile device)
移动设备是指电池驱动的任何东西,通常不需要电源线就可以运行的任何东西。
备考时要把智能手机与移动设备、笔记本电脑、平板电脑乃至智能手表或计步器也考虑进来。 一些移动设备连典型的默认安全设置都做不到更别提可供使用的安全性能了因为它们运行的往往是简约版操作系统或定制的移动操作系统而这些操作系统不像流行的PC机操作系统那样在安全性方面有漫长的改进史。
无论是计步器、医疗设备、平板电脑、嵌入式系统、物联网还是智能手机移动设备会在许多方面成为攻击、破坏和入侵的重点目标。
对于用于个人以及业务/工作的任何移动设备其安全性都应受到额外的关注。 随着智能手机和其他移动设备与互联网以及企业网络的交互能力越来越强它们面临的安全风险也越来越大。
这些设备配有内部存储器同时支持可保存大量数据的可移动存储卡。
此外许多设备包含允许用户读取和操作不同类型文件和文档的应用程序。
当个人拥有的设备被允许在不受限制、监督或控制的情况下随意进出安全设施时会带来潜在的巨大危害。 心怀歹意的内部人员可以把来自外部的恶意代码装在各种存储设备里包括手机、音频播放器、数码相机、存储卡、光盘和优盘驱动器再将这些设备带进机构。
这些存储设备可用来泄露或窃取机构内部的保密和私人数据进而把它们披露给外界。
你以为维基解密的大部分内容来自哪儿恶意的内部人员会执行恶意代码访问危险网站或故意进行有害活动。 —————————————————————————————————————————
注意
以下几个词语都指个人拥有的设备便携式设备(portable device) 、移动设备、个人移动设备(personal mobile device, PMD)、个人电子设备personal electronic device)或便携式电子设备(portable electronic device, PED)和个人拥有的设备(personally owned device, POD)。
————————————————————————————————————————— 移动设备往往包含敏感数据如通讯录、文本消息、电子邮件、日程安排信息以及可能的笔记和文档等。
任何带有照相功能的移动设备都可以拍摄敏感信息或地点的照片。
移动设备的丢失或失窃可能意味着个人或公司秘密的泄露。 许多移动设备还支持USB连接以实现它与台式机或笔记本电脑的通信和接触同步以及文件、文档、音乐、视频等的传输。
因此移动设备在功能上可以起到可移动介质的作用进而外泄数据或传输恶意代码。
有关移动设备作为可移动介质的更多信息请参见第16 章。 此外移动设备还难免被人窃听。
只要有合适的精密设备就可以窃听大多数手机的通话且不说任何人在5米内都能听到你讲话的声音。
机构应该教育员工在公共场所慎用手机讨论重要问题。 —————————————————————————————————————————
Android 和iOS
Android和iOS是两种被使用得最广泛的移动设备操作系统。
1.Android
Android是基于Linux的移动设备操作系统于2005年被谷歌收购。
2008年首批搭载Android系统的设备面世。
经Apache许可Android源代码成为开放源码但大多数设备还包含专有软件。
Android虽然主要用于手机和平板电脑但已被广泛用到各种设备上包括电视机、游戏机、数码相机、微波炉、手表、电子阅读器、无绳电话和滑雪护目镜。 Android在手机和平板电脑上的使用使其具有了广阔的用户定制范围
你可以安装Google Play Store的应用程序以及来自未知外部来源如Amazon Appstore)的应用程序而且许多设备支持用定制或备选版本的Android替换默认版Android。
不过当Android系统在其他设备上使用时它执行起来更接近于一种静态系统。 无论是静态的还是非静态的Android都存在许多安全漏洞包括
把自己暴露给恶意应用程序运行来自恶意网站的脚本以及允许进行不安全的数据传输。 随着新版本的不断发布 Android的安全性有了不少的改进。
用户可以通过调整许多配置设置来减少漏洞和风险。
此外用户还可在平台上安装添加了安全性能的应用程序。
安全强化版Android (Security-Enhanced Android, SEAndroid)是针对Android系统的安全改进。
SEAndroid是一个将安全强化版Linux的元素集成到Android设备的框架。
这些改进包括增加了对强制访问控制(MAC)和中间件强制访问控制(MMAC) 的支持减少了特权后台程序漏洞沙箱化并隔离了应用程序阻止了应用程序的特权提升在安装和运行时允许应用程序进行权限调整还定义了一项可审查的集中化安全策略。
2.iOS
iOS是苹果公司开发的用于iPhone、iPad和Apple TV的标淮移动设备操作系统。
苹果没有授权iOS在任何非苹果硬件上使用。因此苹果完全控制着iOS的性能和功能。
然而iOS并不是静态环境的典型因为用户可以从苹果的App Store下载、安装超过200万款应用程序尽管也可以说iOS是静态操作系统。
————————————————————————————————————————— 9.17.1 移动设备的安全性能
移动设备如便携式电脑、平板电脑和智能手机上可能会有各种可用的安全性能但是并非所有移动设备的安全性能都令人满意。
你在决定购买新设备之前务必把它的安全选项考虑周全。
然而即便设备有可用的安全性能若未被启用并适当配置其价值还是等于零。
安全性能只有被执行了才会产生安全效益。
务必检查所有被允许连接机构网络或进入机构设施的设备以确保所有必要的安全性能都在按要求运行。 下面几个小节将讨论移动设备往往具备或可供使用的各种安全性能的例子。
1. 移动设备管理(mobile device management, MDM)
管理员在移动设备管理系统上注册员工的设备。
移动设备管理(MDM)系统是一种软件解决方案旨在管理员工用来访问公司资源的无数移动设备。
MDM系统监控和管理移动设备并确保移动设备是即时更新的。
MDM的目标是提高安全性提供监控实现远程管理以及支持故障排除。
许多MDM解决方案支持涉及范围很广的各种设备可以跨多家服务提供商运行。
你可以用MDM在空中跨运营商网络和Wi-Fi连接上推送或移除应用程序管理数据以及执行配置设置。
MDM既可以管理公司设备也可以管理个人设备。 统一端点管理(unified endpoint management, UEM)是一种软件工具它提供一个管理平台来控制移动设备、PC机、物联网设备、可穿戴设备、ICS和其他设备。
UEM的推出把众多产品的性能整合到了一个解决方案中以取代MDM和企业移动性管理(EMM)产品。 2. 设备身份认证(device authentication)
在移动设备上或对移动设备进行身份认证的操作通常非常简单对于移动电话和平板电脑来说尤其如此。
这便是所谓的设备身份认证。
然而电子识别卡或模式访问算不上真正的身份认证。
只要可能就应该使用口令出示个人身份识别码(PIN)用眼球或面部进行识别扫描指纹提供优盾或者使用近场通信(NFC)或射频识别(RFID)环或瓦片等近距离设备。
这些设备身份认证方法如果使用得当将成为窃贼很难绕过的屏障。
另一种谨慎的做法是将设备身份认证与设备加密结合起来以阻止通过连接线缆访问存储的信息的行为。 —————————————————————————————————————————
注意
基于视网膜、虹膜、面部和指纹的身份认证都是生物识别技术的例子。
有关生物识别技术或“你是谁身份认证因子的全面论述请见第13章。
————————————————————————————————————————— 如果说锁定手机可以真正确保安全那么不妨给手机或其他移动设备设置一个强口令这未尝不是一个好主意。
但是大多数移动设备并没有那么安全即便设置了强口令设备依然可以被人通过蓝牙、无线或USB电缆访问。
如果特定移动设备启用系统锁后可以阻止他人对设备的访问那么不妨这样设置设备一段时间不活动或手动初始化后可自动触发该性能通常与屏幕锁有关。这将是不错的选择。
如果你既启用设备口令又给存储加密那将会令你受益匪浅。 —————————————————————————————————————————
注意
当你从移动设备访问在线网站、服务或云服务时你可以通过综合使用用户凭证和背景感知认证来进行某种形式的多因子身份认证。
背景感知认证将评估用户尝试访问系统的本源和背景。
如果用户来自一个已知可信系统比如公司设施内的系统或同一个个人移动设备则背景是低风险的经过适当级别的身份认证便可
荻得访问权限。
如果用户的背景和本源显示他来自一个未知的设备或外部/未知的位置则背景是高风险的。
这时身份认证系统将要求用户接受更复杂的多因子身份认证才能荻得访问权。
因此可以说背景感知认证是一种自适应身份认证它既可以在低风险场景中减轻身份认证负担又可以在高风险场景中阻止冒名顶替的访问尝试。
————————————————————————————————————————— 3. 全设备加密(full-device encryption, FDE)
一些移动设备包括便携式电脑、平板电脑和移动电话可以提供全设备加密。
许多移动设备要么是预先加密的要么可以由用户/拥有者自行加密。
移动设备被加密后每当屏幕锁闭时设备上的物理数据端口就会被禁用从而保护用户的数据。
这样可以防止有人在未经授权的情况下通过物理电缆连接访问设备中的数据——前提是屏幕一直锁闭。 如果一个设备的大部分或所有存储介质都可以加密那么这个性能往往值得启用。
然而加密并不能保证数据得到保护特别是当未上锁的设备失窃的时候或者当系统本身存在一个已知的后门攻击漏洞的时候。 —————————————————————————————————————————
注意
MicroSD硬件安全模块hardware security moduleHSM)是一种小型硬件加密和安全模块可被添加到任何带MicroSD卡插槽的移动设备上。
这样的设备将存储功能与HSM性能结合起来使用
HSM可以生成和存储加密密钥和证书能够与本地应用或网络/互联网/云服务的PKI解决方案互操作。
有关MicroSD HSM以及其他移动密码应用程序和执行方案的详细信息请见第7章。
————————————————————————————————————————— 4. 通信保护
使用互联网协议电话(VoIP)服务时可以在移动设备上进行语音加密。
与传统的固定电话或典型的移动电话相比计算机式设备之间的VoIP服务更有可能提供加密选项。
语音通话被加密后窃听将变得毫无意义因为对话的内容是无法辨识的。
这一通信保护概念应适用于任何类型的传输无论是视频、文本还是数据。
许多应用程序都可加密通信其中有些使用标准和备受推崇的密码解决方案如Signal协议有关加密的更多讨论请见第6章和第7章。 5 远程擦除(remote wipe)
设备丢失、被盗后可对设备进行远程擦除或远程清理(remote sanitization)。
远程擦除允许你从一台远程设备删除所涉设备上的所有数据乃至配置设置。
擦除进程可以通过移动电话服务触发有时也可通过任何互联网连接如Wi-Fi)触发。
但远程擦除并不能保证数据安全。擦除触发信号可能没有被设备收到。
小偷可能足够聪明在转储数据时阻止了触发擦除功能的连接。
这是可以通过移除用户身份识别模块(SIM)卡、禁用Wi-Fi或将设备放进一个法拉第笼实现的。 此外远程擦除主要是删除操作同时将设备重新设置成出厂状态。
通过复原或数据恢复实用程序往往可以恢复被擦除设备上的数据。
为了确保远程擦除把数据破坏到无法恢复的程度应该对设备进行加密即全设备加密。
因此复原操作只会恢复被加密的数据而这些数据应该是攻击者无法辨识的。 6. 设备锁定(device lockout)
移动设备的锁定与公司工作站上的账户锁定类似。
如果用户多次尝试后仍不能提供凭证他的账户或设备将被禁用锁定一段时间直到管理员清除锁定标志。
移动设备可能具有设备锁定性能但只有在配置了屏幕锁后才会启用。
反之如果通过简单滑屏就能访问设备并不能保证安全因为这里面不包含身份认证。
如果出现了更多次数的身份认证失败一些设备会让访问尝试之间的时间延迟加长。
一些设备允许进行一定次数的尝试如3次若依然失败将触发持续几分钟至几小时的锁定。
其他设备则会触发持久锁定并要求用户用另一个账号或主口令/代码来重新访问设备。
有些设备在安全擦除设备上所有数据并恢复出厂设置之前甚至可能有最多登录尝试次数如10次。
在尝试猜测凭证之前务必弄清楚设备锁定机制的确切性质否则你可能会无意中触发安全删除。 7. 屏幕锁(screen lock)
屏幕锁的设计是为了防止有人拿起你的手机或移动设备便能随意使用。
然而大多数屏幕锁是可以通过滑屏或画一个手势图案解锁的。这两个动作都不是真正的安全操作。
这些轻易就会被绕过的选项可能是设备默认的应该把它们改成更安全、更能抵制未经授权访问的选项例如PIN、口令、生物识别等。
否则屏幕锁只是一个屏幕保护程序而己起不到安全屏障的作用。 屏幕锁在一些设备上有变通方案例如通过紧急呼叫功能访问电话应用程序。
因此如果恶意黑客通过蓝牙、无线或USB 电缆连接设备屏幕锁不一定能保护设备。 屏幕锁通常在设备空闲一段时间后触发。
大多数设备经过配置以后都可以在系统闲置几分钟后自动触发有口令保护的屏幕保护程序。
同样许多平板电脑和手机经过设置以后都可以在一定时间比如30 秒后触发屏幕锁使屏幕变暗或关闭。
屏幕锁性能可确保当你的设备无人看管、丢失或被盗时其他人很难访问你的数据或应用程序。
要解锁设备你必须输入有效凭证参见上一节”设备身份认证”)。 8. GPS和定位服务
全球定位系统(Global Positioning System, GPS)是一种基于卫星的地理位置服务。
许多移动设备都包含GPS芯片以支持本地化服务比如导航并从中受益因此这些设备是可以被跟踪的。
GPS芯片本身通常只是一个接收器用于接收来自沿轨道飞行的GPS卫星的信号。
然而移动设备上的应用程序可以记录设备的GPS位置然后将其报告给一项在线服务。
你可以用GPS跟踪性能来监控自己的移动跟踪他人如未成年人或送货人员的移动或跟踪失窃的设备。
但要想实现GPS跟踪移动设备必须有互联网或无线电话服务并通过它们来传递设备的位置信息。
应用程序能够提供基于位置的服务并向第三方有时未经同意透露设备以及其用户/拥有者的位置。
对于这种风险需要根据机构的安全策略和相应的位置风险进行评估。 地理定位(geolocation)数据通常用于导航工具、身份认证服务和许多基于位置的服务例如向附近的零售商店提供折扣或优惠券。 基于位置的授权策略可用来根据主体所处位置准许或拒绝资源访问从而控制访问。
这可能取决于网络连接是本地有线的、本地无线的还是远程连接的。
基于位置的策略除了依据逻辑或地理位置这是网络访问控制和背景感知身份认证的一个性能进行决策之外还可根据MAC地址、IP地址、操作系统版本、补丁级别或子网来准许或拒绝访问。
基于位置的策略只能用来强化标准身份认证进程而不能替代它们。 地理标签是指移动设备在其创建的任何介质如照片、视频和社交媒体呫子中收入位置细节的能力。
启用了位置服务的移动设备允许以经纬度的形式嵌入地理位置以及在设备拍摄的照片上嵌入日期时间信息。
这可以让对手或者愤怒的前任从社交网站或类似网站查看照片并确定拍摄照片的确切时间和地点。 地理标记(geotagging)可以用于邪恶的目的例如确定一个人的日常活动规律。
带地理标签的照片被上传到互联网上后潜在的网络跟踪者从中获取的信息可能超过上传者的预期。
这一点是面向最终用户的安全感知简报的主要材料。 —————————————————————————————————————————
其他定位服务
最常被讨论的移动设备定位服务是GPS。
然而我们还必须认识到许多移动设备中至少还有其他4种定位服务或功能包括
•无线定位系统(wireless positioning system, WiPS)
•Wi-Fi定位系统(Wi-Fi positioning system, WFPS)
•蜂窝/移动服务塔三角定位
•蓝牙定位服务和环境传感器
WiPS借助无线接入点/基站的已知位置来确定移动设备的位置。
WiPS通常在没有足够的卫星信号可用的时候例如在地下、建筑物内部或高层建筑附近被用作GPS的补充。
根据美国911条例(E911联邦法令在此基础上建立对于移动设备可以通过移动服务塔三角定位确定位置。
然而E911的位置跟踪没有GPS那么准确。
iBeacon是苹果公司开发的一项基于蓝牙设备地址和信号属性跟踪设备的技术。
虽然设计它的初衷是跟踪苹果商店内的人但是现在有许多机构用它在许多系统环境下通过蓝牙跟踪设备及其相关用户/拥有者。
许多移动设备上的环境传感器包括加速计、指南针、温度计、高度计海拔传感器和气压传感器。
有了这些广泛的传感数据如果一个设备的初始位置是已知或可以近似估算的那么若把连续的传感器数据记录下来或许可以判断设备在未来任何时间点的位置。
也可通过设备的相机和话筒确定设备的位置但是迄今为止这种方法尚不如其他方法可靠。
最后这个概念根据一天中的不同时间靠测量光照水平、强度和颜色确定设备在室外还是室内以及是否位于窗户附近它还根据天空中太阳位置造成的光照水平确定一个笼统的区域如城市。
所得出的结论随后可以与话筒监测到的背景噪声相结合从而进一步细化设备的位置。
但是这要求具备广泛的地区性声音特征、来自世界各地的大量噪声数据集或访问实时话筒网络或传感器的权限。
————————————————————————————————————————— 地理围栏(geofencing)划定指的是指定一个特定的地理区域移动设备进入该区域后自动执行设备功能或触发设置。
地理围栏可通过GPS坐标、WiPS或特定无线信号的存在与否来定义。
可以根据地理围栏划定的区域来配置移动设备从而启用或禁用设备的各种功能如车载摄像头或Wi-Fi功能。 9. 内容管理
内容管理旨在控制移动设备及其对被托管在公司系统上的内容的访问并控制人员对保存在移动设备上的公司数据的访问。
组织通常会用一个移动内容管理(mobile content management, MCM)系统来控制公司资源以及在移动设备上访问或使用这些资源的方式。
当数据被渲染或发送到移动设备时MCM可以在考虑设备功能、存储容量、屏幕大小、带宽限制、内存(RAM)和处理器能力的基础上实施控制。 用于移动设备的内容管理系统(CMS) 旨在最大化性能和工作效益同时减少复杂性、混乱和不便。
MCM还可以与移动设备管理(MDM)系统捆绑到一起以确保公司数据的安全使用。 内容过滤器可以根据IP地址、域名、协议或关键字阻止对资源、数据或服务的访问它更常被用作防火墙而不是设备内置机制。
因此内容过滤通常由通信流经的网络负责执行。 10. 应用程序控制(application control)
应用程序控制或应用程序管理(application management)是一种设备管理解决方案规定了哪些应用程序可以被安装到设备上。
它还可以被用来强制安装特定应用程序或者强制执行某些应用程序的设置以支持安全基线或保持其他形式的合规。
应用程序控制的使用往往可以使用户难以安装来自未知来源或提供与工作无关功能的应用程序从而减少将设备暴露给恶意应用程序的机会。
这一机制通常由移动设备管理(MDM)系统执行。
从理论上说如果没有应用程序控制用户将能安装恶意代码运行窃取数据的软件操作会泄露位置数据的应用程序或者不安装业务必需的应用程序。 应用程序允许列表(application allow listing)以前叫白名单是一个禁止执行未经授权软件的安全选项。
允许列表也被称为默认拒绝(deny by default)或隐式拒绝(implicit deny)。
在应用程序安全领域允许列表阻止包括恶意软件在内的所有软件除非这份预先得到批准的例外列表上有这个软件。
这与典型的设备安全立场有很大不同后者是默认允许并拒绝异常也叫拒绝列表或阻止列表以前叫黑名单。
在默认情况下拒绝列表默认允许执行任何软件无论该软件是善意的还是恶意的除非它被加进拒绝列表而拒绝列表是阻止软件从这个点向前执行的。 由于恶意软件在不断增加应用程序允许列表法是少数几个在保护设备和数据方面显示出真正前景的选项之一。
然而没有一个安全解决方案是完美的允许列表也不例外。
所有已知的允许列表解决方案都可以被人借助内核层面漏洞和应用程序配置问题避开。 移动应用程序管理(mobile application management, MAM)与移动设备管理(MDM)类似但是前者只侧重于应用程序管理而不管理整个移动设备。 11. 推送通知(push notification)
推送通知服务能够向你的设备发送信息而不是让设备或设备的应用程序从在线资源获取信息。
如果要把紧要问题立即告知当事人那么推送通知确实非常有用但如果所推送的是广告或垃圾邮件它们也会变成一种麻烦。
许多应用程序和服务经过配置以后可以使用推送通知或下拉式通知。
多数情况下推送通知是一种干扰但也会有人通过这些消息实施社会工程攻击或分发恶意代码或链接给不法网站和服务。 推送通知也是移动设备和PC机浏览器的一个问题。
另一个问题是恶意或有害的通知可以在push locker里捕获用户。
如果用户拒绝接受推送提示通知可以把用户重新导向至显示另一推送通知的子域。
如果用户再次拒绝通知则会再次把用户重新导向到另外一个子域让他们看到另一个推送通知如此无限重复。
在你的浏览器或基于主机的入侵检测系统(HIDS)检测出问题并对push locker做出响应之前你只能关闭/终止浏览器并且不再返回同一个URL 。 12. 第三方应用商店
苹果iTunes和Google Play的第一方应用(app)商店是典型或标准iOS和Android智能手机或设备所用应用的合理来源。
在Android设备方面第二方Amazon Appstore也是一个值得信任的应用来源。
然而这两个智能设备平台的大多数其他应用来源都被贴上了第三方应用商店的标签。
第三方应用商店(third-party app store)在应用托管方面往往没有那么严格的安全规则。
在Android设备上仅仅启用一个可安装未知来源应用的性能便可使用第三方应用商店以及进行旁加载相关详情请见本章后面的“旁加载“小节。
而在苹果iOS设备方面你只能使用官方的iTunes App Store, 除非你在设备上越狱或生根这通常不是一种安全的建议。 当移动设备由一个机构管理时特别是使用MDM/UEM/MAM时大多数第三方应用源都将被拦截。
这样的第三方应用来源意味着数据泄露或恶意软件入侵机构网络的风险会显著增加。 13. 存储分段(storage segmentation)
存储分段用于在存储介质上按各种类型和数值对数据进行人为划分。
在移动设备上存储分段可用于把设备的操作系统及预装的应用程序与用户安装的应用程序以及用户数据隔离开来。
一些MDM/UEM还会进行进一步的存储细分以便将公司的数据、应用程序与用户的数据、应用程序分开。
这种做法允许用户保留对自己数据的拥有权和其他权限同时授予机构对业务数据的拥有权和其他权限例如远程擦除即便数据在员工拥有的设备上。 通过最大限度地减少存储在设备上的非重要数据、敏感数据和个人数据即PII 和PHI)来降低风险。
只要系统上没有什么值得敌对分子访问的有价值数据那么即便设备丢失或被盗损失数据的可能性也会保持在最低限度。 14. 资产跟踪和存货控制
资产跟踪是用来保持存货例如已部署的移动设备监控的管理进程。
资产跟踪系统可以是被动的也可以是主动的。
被动系统依靠资产本身的定期检查管理服务或者在员工每次上班时检测进入办公室的设备。
主动系统则通过轮询或推送技术向设备发送查询以获得回应。 •验证设备是否依然由指定的授权用户持有
•定位丢失或被盗的设备
•监控设备上已安装的应用程序、应用的使用情况、存储的数据和数据访问
-验证安全准则是否被遵守
-检查保密信息是否被暴露给了未经授权的实体 存货控制是指用移动设备来跟踪库房或存储柜中的存货。
大多数移动设备都配有相机。
有了移动设备的相机应用程序便可拍照扫描条形码通过形状/图案识别物品或解析快速响应(QR)码从而跟踪实物商品。
那些具有RFID或NFC功能的移动设备可以与带电子标签的物品或其容器进行交互。 15. 可移动存储
许多移动设备支持
•可移动存储/扩展移动设备存储空间的microSD卡
但是大多数手机需要打开背板有时还需要卸下电池才能添加或卸下存储卡。
较大的手机、平板电脑和手提电脑可以支持设备侧面的易访问卡槽。 •外置的USB存储设备如闪存驱动器和外置硬盘驱动器
这些存储器要求有特殊的便携式(OTG) 电缆。
USB OTG 是一种规范允许带USB 端口的移动设备充当主机并使用其他的标准外围USB设备如存储设备、鼠标、键盘和数码相机。
若视为风险可通过MDM/UEM 禁用。 •通过板载无线接口提供基于蓝牙或Wi-Fi 的存储数据访问 机构需要考虑可以带来方便还是一个重大的风险向量。
如果是前者则需要设置适当的访问限制并进行用法培训。
如果是后者则应通过MDM/UEM 禁止使用可移动存储。 16. 连接方法
移动设备可以支持多种不同的连接选项包括可与外部提供商如电信公司相连的网络连接以及与本地专用网络相连的网络连接。 对任何一个机构来说员工需要可靠通信的各种场景都是要仔细考虑的。
他们可能是标准的办公室文员、远程办公人员甚至可能是到客户单位提供服务的员工。
我们应该只考虑部署那些可以提供可靠和安全加密通信的服务。 第11 章讨论了各种无线或基于无线电波的通信概念包括射频识别(RFID) 、近场通信(NFC) 、无线/Wi-Fi (IEEE 802.11) 、蓝牙(IEEE 802.15)和蜂窝/移动网络。 17. 禁用无用性能
尽管安全性能只有在被启用了的情况下才能产生有益效应但是那些对业务任务或常规个人用途而言并不重要的应用程序和性能应被移除和禁用这一点也非常重要。
启用的性能和安装的应用程序范围越广漏洞利用或软件缺陷给设备或其中所含数据造成损害的可能性越大。
我们应该遵循通用安全实践规范例如加固从而缩小移动设备的受攻击面。 18. 生根(rooting)或越狱(Jailbreaking)
生根或越狱是苹果设备的特殊用语指打破移动设备引导加载程序数字权限管理(DRM)的安全保护并以根或全系统特权操作设备的行为。
对于大多数移动设备可以把最终用户的活动限制为受限用户的活动以此方式锁定这些设备。
但是根用户可以操控操作系统启用或禁用硬件性能以及安装不提供给受限用户使用的软件应用程序。
生根允许用户更改核心操作系统或运行标准应用商店不提供的应用程序。
然而这么做并非没有风险。设备以根状态运行时还会降低安全性因为任何可执行文件都会以完全根权限的状态启动。
许多恶意代码原本无法在正常模式设备上立足但是设备被用户生根或越狱之后它们便能轻易“生根 双关语了。 一般来说机构应该尽可能禁止员工在公司网络上使用根设备甚至禁止根设备访问公司资源。 如果设备完全归你拥有或者你签订了一两年的设备付费使用合同或者你签订了设备租用到期后归你所有的合同但在合同履行完毕之前设备不完全归你拥有那么生根设备的行为对你来说是合法的。
合法根不能要求制造商、供应商或电信公司承担任何保修责任。
在多数情况下包括生根在内的任何形式的系统篡改都会导致你的保修失效。
生根行为还可能使你的技术支持合同或产品退换合同失效。
电信公司、许多运营商和一些产品供应商努力抑制生根行为苹果公司就是一大例子。
被生根的设备可能会被禁止在电信网上运行、访问资源、下载应用或接收未来的更新。 因此尽管生根一台设备的行为通常合法但是在以这种方式改动移动设备之前你要考虑好这么做会带来的诸多后果。 19. 旁加载(side loading)
旁加载是指通过某种形式的文件传输或USB存储介质把安装程序文件带到设备上来安装某款应用程序的行为。
大多数机构都应禁止用户旁加载因为它可能是绕过应用商店、应用程序允许列表或MDM/UEM/MAM设置的安全限制的一种手段。
通过MDM/UEM/MAM实施的配置能够要求所有应用程序都必须有数字签名这会消除旁加载以及可能的越狱行为。 20. 自定义固件
移动设备出厂时预装了供应商或电信公司提供的固件或核心操作系统。
设备如果被生根或越狱它将允许用户安装备选的自定义固件来替代默认固件。
自定义固件可以移除膨胀软件添加或移除性能以及为优化性能简化操作系统。
你可以在网上找到专为苹果和Android设备定制固件的论坛和社区。 机构应该严禁用户使用带自定义固件的移动设备——除非固件事先得到机构批准。 21. 运营商解锁
大多数直接从电信公司购买的移动设备都是被运营商锁定的。
这意味着在运营商锁定被移除或运营商解锁之前你无法在任何其他电信网络上使用该设备。
你完全拥有设备后电信公司应该免费为你的手机进行运营商解锁但是你必须专门提出要求因为他们不会自动给你解锁。
如果你的账户信誉良好而且你要前往的国家地区电信服务与本国兼容你可以要求电信运营商为你的出国旅行解锁你的手机以便你暂时用另一张SIM卡接受当地的电信服务。
但是你要知道SIM卡是用于全球移动通信系统(GSM)手机的而码分多址(CDMA)手机使用的是电子序列号(ESN) 这个序列号被嵌在手机中可以识别设备、用户以及控制设备的服务和使用。 对设备进行运营商解锁的行为与生根不同。
运营商解锁状态只允许切换电信服务只有当你的设备使用的无线电频率与电信公司的相同时这种切换才在技术上可行。
运营商解锁的设备应该不会给机构增加任何风险因此可能没有必要禁止员工在公司网络上使用运营商解锁的设备。 22. 固件无线(over-the-air, OTA)更新
固件无线更新是指从电信公司或供应商无线下载通过运营商提供的数据连接或通过Wi-Fi) 的固件更新。
一般来说作为移动设备的拥有者你应该在新的固件OTA更新发布后马上将它安装到设备上。
但是有些更新可能会更改设备配置或干扰MDM/UEM限制。你应该在允许受管控设备接收新更新之前设法对更新进行测试。
你可能不得不等上一段时间让MDM/UEM 供应商能够更新他们的管理产品从而适当监控新固件更新的部署和配置。
机构的标准补丁管理、配置管理和变更管理策略应该适用于移动设备。 23. 密钥管理
涉及密码技术时密钥管理始终都是一个问题。
密码系统的大多数失败都应归咎于密钥管理而非算法。
良好的密钥选择离不开随机数的质量和可用性。
大多数移动设备要么必须在本地依赖较差的随机数生成机制要么必须通过无线连接访问更强的随机数生成器(RNG) 。
一旦创建了密钥就需要以最大限度地减少丢失或泄露风险的方式存储它们。
存储密钥的最佳选项通常是可移动硬件如MicroSD HSM)或可信平台模块(TPM) 但这些在移动设备上并不是普遍可用的。 24. 凭证管理(credential management)
把凭证保存在一个中央位置的行为就是凭证管理。
鉴于互联网站点和服务范围的广泛性每个站点和服务都有自己的特定登录要求因此可能难以使用唯一的名称和口令。
凭证管理解决方案可提供一种安全存储大量凭证集的方法。
这些工具往往会在需要的时候用一个主凭证集多因子是首选来解锁数据集。
有些凭证管理选项甚至可以为应用程序和网站提供自动登录选项。 口令库(password vault)是凭证管理器的另一种说法。
它们往往属于软件解决方案有时基于硬件有时只存在于本地有时则使用云存储。
它们被用来为站点、服务、设备生成和保存凭证以及替你保守你想要保守的任何其他秘密。
口令库本身是加密的必须解锁才能重获访问存储项目的权限。
大多数口令库都用基于口令的密钥派生函数2(PBKDF2)或bcrypt参见第7 章把口令库的主口令转换成合理强度的加密密钥。 25. 手机短信
短消息服务(SMS)、多媒体消息传递服务(MMS)和富通信服务(RCS)都是具有实用价值的通信系统但它们也可以成为攻击向量如smishing 和SPIM——相关讨论请见第2章。
这些测试和消息传递服务主要由电信供应商运营和支持。
手机短信可被用作所谓的基于短信双因子认证的一个身份认证因子。
基于短信的双因子认证优于只靠单因子口令的身份认证但是只要有任何其他第二因子选项可用就不建议使用只靠单因子密码的身份认证。有关基于短信双因子认证的详细论述请参见第13 章。 许多非电信/非运营商的手机短信和消息传递服务要靠移动设备上的应用程序支持包括Google Hangouts、Android Messenger、Facebook Messenger、微信、Apple/iPhone iMessages、WhatsApp、Slack、Discord和Microsoft Teams等。
重要的是保持所有消息传递服务应用程序的即时更新并使它只传递非敏感内容。 9.17.2 移动设备的部署策略
现在许多部署模型可用于给员工配备移动设备让他们在上班时和离开办公室后用这些设各执行工作任务。
移动设备部署策略(mobile device deployment policy)必须阐明与机构IT基础设施和业务任务相关的涉及个人电子设备的使用的广泛安全问题。 用户需要了解如果在上班时和工作中使用移动设备会有哪些好处、限制和后果。
阅读并签署有关BYOD、COPE、CYOD、COMS/COBO 等的策略并参加相关讲座或培训计划可让用户达到合理的认识水平。
这些主题将在接下来的小节讨论 —————————————————————————————————————————
注意
允许个人拥有的或企业提供的移动设备直接与公司资源交互的另一种方去是实施虚拟桌面基础设施(VDI)或虚拟移动基础设施(VMI)解决方案详情请参见本章前面的内容。
————————————————————————————————————————— 1. 自带设备(bring your own device, BYOD)
自带设备策略允许员工携带自己的个人移动设备上班且允许他们用这些设备通过公司网络连接业务资源和互联网。
尽管BYOD可以提高员工士气和工作满意度但它也会增加机构的安全风险。
策略如果是开放式的则将允许任何设备连接公司网络。
然而并非所有移动设备都具备充分的安全性能因此这种策略允许不合规设备进入生产网络。 对于机构来说这或许是最不安全的选项因为公司数据和应用程序将驻留在个人移动设备上从而把机构的网络暴露给来自个人电子设备(PED) 的恶意代码而且设备本身多种多样安全能力参差不齐或更有可能缺乏安全能力。
此外这个选项还可能把设备上员工的个人身份信息(PII)暴露给机构。 2. 公司拥有个人使用(corporate-owned, personally enabled, COPE)
“公司拥有个人使用”的概念是指机构购买设备并将其提供给员工使用。
每个用户随后都可以自定义设备并将它用于工作和个人活动。
COPE使机构得以准确挑选被允许用在机构网络上的设备——特别是只选用那些经配置后符合安全策略的设备。 这个选项把移动设备的范围缩小到机构预先选中的设备它们具有公司安全策略规定的最低安全功能。
然而这个选项依然存在风险比如通过用户错误暴露公司数据的风险、通过设备把机构暴露给恶意软件的风险以及员下个人身份信息被机构访问的风险。 3. 自选设备(choose your own device, CYOD)
自选设备的概念为用户提供了一个已获批准的设备列表用户可以从中挑选自已将要使用的设备。
CYOD策略的实施可使员工根据已获批准的设备列表给自己购买设备(BYOD的—种变体或者由公司为员工购买设备(COPE的一种变体。 这一选项试图让员工本人而非公司承担购买设备的费用但这往往会导致更复杂和更具挑战性的情况。
例如如果员工已经花重金购买了不在已获批准的设备列表上的设备该如何处理
公司会另给他一笔钱来购买已获批准的设备吗
那些购买了已获批准的设备的人怎么办
公司是否会因为他们已经为别人的设备付钱而给他们报销
那些确定不需要把移动设备用到工作中的人又该怎么办
公司是否会以某种方式给他们一笔这样的钱并允许他们将这笔钱视为津贴 此外这个选项与COPE 存在相同的安全问题传播恶意软件以及业务数据和个人数据混杂在同一设备上的可能性。 4. 公司拥有移动设备战略(corporate-owned mobile strategy, COMS)
公司拥有移动设备战略或公司拥有仅用于业务(corporate-owned, business-only, COBO)战略是指公司购买可支持安全策略合规的移动设备。
这些设备只能用于公司工作目的用户不应在设备上执行任何个人任务。
这往往要求员工另外携带一个设备以用于个人目的。 对于机构以及员工个人来说这是最佳选项。这个选项将工作与个人活动明确分开因为该设备只能用于工作。
这一选项可保护公司资源使其免受个人活动风险的困扰并保护个人数据使其免受未经授权或不道德的机构访问。
当然如果要为个人活动而携带第二个设备确实会很麻烦但这种不便对于公私双方来说都是值得为安全利益而付出的代价。 5. 移动设备部署策略的细节
无论你选择采取哪种移动设备部署策略你的策略都要解决本节前面列出的诸多设备安全性能问题。
为了确保这一点你可以定义必要性能并为公司安全策略合规配置这些性能。
移动设备部署策略还必须阐明其他几个有关操作、法律和后勤供应的问题。这些将在下面的几个小节中讨论。 6. 数据的拥有权
当个人设备用于业务任务时可能会出现个人数据与业务数据混杂在一起的情况。
有些设备支持存储分段但并非所有设备都能按类型隔离数据。建立数据拥有权的工作会非常复杂。
例如如果设备丢失或被盗公司可能希望触发远程擦除并把设备中所有有价值的信息全部清除。
但是员工往往会对此持反对态度尤其是在设备有希望被找到或退回的情况下。
擦除操作会删除所有业务数据和个人数据而这对于个人来说或许是一个重大损失——尤其是在设备被找回的情况下因为到了这时擦除就是一种过度反应了。
机构应该制订明确的数据拥有权策略。
一些MDM/UEM 解决方案可以在不影响个人数据的怕况下提供数据隔离分隔功能并支持业务数据清理。 有关数据拥有权的移动设备部署策略应该解决移动设备的备份问题。
业务数据和个人数据应该得到备份解决方案的保护——要么将一个解决方案用于设备上的所有数据要么根据数据的每种类型或类别逐一采用单独的解决方案。
备份可以降低远程擦除以及设备故障或损坏造成数据丢失的风险。 7. 对拥有权的支持
员工的移动设备出现故障、错误或损坏时该由谁负责设备的维修、更换或技术支持
移动设备部署策略应该阐明公司将提供哪些支持以及哪些问题该由个人及其服务提供商如果有关系的话负责。 8. 补丁和更新管理
移动设备部署策略应该规定针对个人拥有的移动设备的安全补丁管理和更新管理方法、机制。
用户是否应该负责更新的安装
用户是否应该安装所有可用更新
机构是否应该在更新被安装到设备上之前对其进行测试
更新的下载是以无线方式通过服务提供商还是通过Wi-Fi 进行
是否存在无法使用的移动设备操作系统版本
需要使用什么级别的补丁或更新
这些问题同时涉及设备的主操作系统和安装在设备上的所有应用程序。 9. 安全产品管理
移动设备部署策略应该规定是否要在移动设备上安装杀毒软件、反恶意软件、反间谍软件扫描程序、防火墙、HIDS 或其他安全工具。
这项策略应该明确建议应该使用哪些产品/应用程序以及应该怎样设置这些解决方案。 10. 取证
移动设备部署策略应该阐明与移动设备相关的取证和调查问题。
用户应该意识到所发生的安全违规或犯罪活动可能会牵涉到他们的设备。
调查工作会强制要求从这些设备收集证据。
有些证据收集进程可能具有破坏性而且有些司法调查可能需要扣押设备。
个人设备的拥有者可以拒绝调查人员访问自己设备上的内容——即便这些内容从理论上说属于公司财产。
公司可以在归属于自己的设备上预装次级账户、主口令或远程管理工具这些工具将使公司不必得到用户同意便能访问设备内容 注意
只要遇到法律问题包括移动设备取证和隐私问题就应该咨询律师以获得最佳行动方案并了解相关政策。 11. 隐私
移动设备部署策略应该阐明隐私和监控问题。
当将个人设备用于业务任务时用户通常会丧失其把移动设备用于工作之前享有的部分或全部隐私。
员工可能需要同意机构通过移动设备对其进行跟踪和监控即便用户没有使用公司财产并且在非工作时间。
用户应该把在BYOD 或CYOD 下使用的个人设备视为准公司财产。 在移动设备方面员工保护自己隐私的主要方法是不把一个设备同时用于工作和个人活动。 12. 列装退役
移动设备部署策略应该阐明个人移动设备的列装和退役规程。
移动设备列装包括安装安全、管理和生产应用程序以及执行安全和生产配置设置。
这些配置的执行过程可由MDM/UEM解决方案负责移动设备退役包括正式擦除业务数据以及删除所有业务专用的应用程序。
在有些情况下可能还需要完全擦除设备并恢复出厂设置。
这些进程中的任何一个都有可能导致个人数据的丢失或改动。
你应该先让你的用户了解这些风险再让他们的设备进入列装退役流程。 13. 遵守公司策略
移动设备部署策略应该清晰阐明在业务活动中使用个人移动设备时员工仍有义务遵守公司策略。
员工应该把移动设备视为公司财产并遵守所有限制即使在非办公场所和下班时间也是如此。 14. 用户接受
移动设备部署策略必须明确并具体地说明在工作中使用个人设备时应具备的所有要素。
对于许多用户来说依照公司策略实施的限制、安全设置和MDM/UEM 跟踪远比他们想象的麻烦。
因此在允许一台个人设备进入你的生产环境之前你应该努力讲清楚移动设备部署策略的详细规定。
只有在员工表示同意和接受后通常需要在文件上签字他们的设备才能列装并投入使用。 15. 架构基础设施方面的考虑
机构在落实移动设备部署策略时应该对自己的网络和安全设计、架构和基础设施进行评估。
如果每名员工都自带一台个人设备则网络上的端点设备数量可能会翻一倍。
这要求你做出计划以处理以下问题 IP地址分配、通信隔离、数据优先级管理、不断增加的入侵检测系统(IDS)入侵预防系统(IPS)监控负担以及不断增加的带宽消耗包括内部的和任何跨互联网连接的问题。
大多数移动设备都可启用无线通信而这可能要求有更强大的无线网络以及处理Wi-Fi拥塞和干扰的能力。
你必须考虑移动设备部署策略导致基础设施成本提升的情况。 16. 法律问题
公司律师应该评估移动设备涉及的法律问题。
在执行业务任务的过程中使用个人设备的行为可能导致担责和数据泄露风险的增加。
移动设备可能会让员工开心但如果它会显著增加风险和法律责任那么对于你的机构来说移动设备的使用可能不值得或不划算。 17. 可接受的使用策略(AUP)
移动设备部署策略应该参考公司可接受的使用策略或者从中吸收专门针对移动设备特有问题的内容。
个人移动设备在工作中的使用会增加信息泄露、员工注意力分散和访问不当内容的风险。
员工应始终牢记 上班的本职是完成生产任务。 18. 板载相机摄像头
移动设备部署策略需要论及带板载相机的移动设备。有些环境不允许使用任何类型的相机。
这要求移动设备不得自带相机。如果允许使用相机则策略应该阐明相机何时可以使用、何时不可使用并对员工解释清楚。
移动设备可充当存储设备为外部供应商或服务提供备选无线连接路径并可用于收集图像和视频这些图像和视频可能泄露保密信息或设备。 如果有地理围栏可用则可通过MDM/UEM 实施针对具体位置的硬件禁用规定从而使设备在进入公司办公场所时关闭相机或其他组件并在设备离开地理围栏区域后把功能恢复到可操作状态。 19. 可录音的麦克风
大多数带扬声器的移动设备都有麦克风。麦克风可用来记录附近的音频、噪声和人们讲话的声音。
许多移动设备还支持通过USB适配器、蓝牙或1/8英寸立体声插孔连接外部麦克风。
如果麦克风录言被视为一种安全风险就应该通过MDM/UEM禁用此项功能或禁止在敏感区域或开会过程中使用移动设备。 20. Wi-Fi Direct
Wi-Fi Direct是临时或对等连接无线拓扑的新名称。它是无线设备之间直接连接而不需要中间基站的一种方式。
Wi-Fi Direct支持WPA2和WPA3, 但并非所有设备都能支持这些可选的加密方案。
Wi-Fi Direct可用于许多功能包括传送可在显示器或电视机上显示的媒体资源向打印机发送打印作业控制家用自动化产品与安全摄像头交互以及管理数码相框。 在业务环境下应该只在可以使用WPA2或WPA3的地方使用Wi-Fi Direct。否则明文通信风险太大。 21. 网络共享和热点
网络共享(tethering)也被称为热点(hotspot) 是指将移动设备的蜂窝网数据连接和其他设备共享的行为。
它可以有效地允许移动设备充当便携式无线接入点(WAP)。数据连接的共享可以通过Wi-Fi、蓝牙或USB电缆实现。
一些服务提供商将网络共享纳入他们的服务计划中而另外一些要为此收取额外费用还有一些则完全阻止网络共享。 网络共享会给机构带来风险。
它能被用户用来向被网络隔离的设备授予互联网访问权也可用于绕过公司针对互联网的使用而执行的过滤、拦截和监控。
因此对于被用户带进公司的移动设备应该阻止网络共享。 热点设备可以充当便携WAP用于创建与电信公司或运营商数据网络连接的Wi-Fi 网络。
大多数机构都应该禁止热点设备的使用因为它们在避开公司安全限制的情况下提供了与互联网的直接连接。 22. 无接触支付方式(contactless payment method)
基于移动设备的支付系统被称为无接触支付方式其中有许多系统不要求移动设备与PoS机直接物理接触。
它们有的基于NFC, 有的基于RFID, 有的基于SMS, 还有的基于依靠光学相机的解决方案例如扫描快速响应(QR)码。
移动支付可以给购物者带来方便但它算不上一种安全的机制。
用户应该只采用下面这样的移动支付解决方案
要么要求每笔交易都必须得到用户确认要么要求用户解锁设备并启动应用程序来执行交易。
如果没有这些预防措施你的设备的无接触支付信号可能会被人克隆然后被拿去乱做交易。 你供职的机构可能对移动支付解决方案带来的额外风险缺乏认识。
但无论如何在公司拥有的设备上执行这些解决方案时或者在把它们连接到你公司的财务账户时都务必格外小心。 23. SIM 卡克隆
用户身份识别模块(SIM)卡可被用来在移动或无线电信公司把设备与用户身份以及服务关联起来。
SIM卡可以被人轻易在设备之间交换和克隆从而滥用受害者的电信服务。
如果SIM卡被人克隆则被克隆的SIM卡可以将其他设备与电信服务连接起来并把用费连回原拥有者的账户。
机构必须保持对移动设备的物理控制并在电信运营商的移动服务上建立账户或服务锁。
