移动设备的存在不仅改变了个人的生活方式,GigaOm的一份***报告显示,38%的受访企业在不同程度上受访IT移动设备已经应用,43%的受调查企业计划在一年内引入移动设备应用,而财富500强中65%的企业已经不同程度地部署i-Pad。用户已经习惯了Blackberry收发电子邮件,用平板电脑为客户演示,用移动设备远程访问企业网络获取信息,在线沟通或共享时间表。
移动设备作为信息存储、使用和传输的新载体,面临着与传统笔记本、台式机等传统设备相同的信息安全风险。不仅如此,由于移动设备与传统设备不同IT移动设备应用的新特点也给组织带来了更新的安全挑战安全企业也必须适应这一趋势。
使用授权基于设备特征识别技术的精细设备
从***出现的U盘子,移动硬盘,数码相机,播放器,然后***除了其软件应用,智能手机和平板电脑中的大多数设备都有巨大的存储空间。从早期的数百MB到现在的动辄几十GB,对于较小的企业,一个32G的i-Pad它可能足以存储所有数据并轻松转移。wifi、USB随着技术的普及,设备之间的信息传输也变得***如果组织严格执行格执行IT为了安全起见,移动设备可能会被完全禁止,包括USB端口、蓝牙甚至可能被禁止;然而,对于信息安全策略不那么严格的组织,完全否定的移动设备策略牺牲了可用性。此时,对不同移动设备进行精细的区分和授权已成为不可避免的选择。
我们一直倡导精细研发的精细管理理念IP-guard对于早已实现USB设备的精细区分控制,如USB键鼠与USB存储的区别,以及通过各种端口连接到主机的识别和控制。未来,随着智能手机和平板电脑的广泛应用,内部网络安全企业将更准确、更深入地识别不同设备的识别技术,包括基于硬件、操作系统等信息的识别。
基于802.1x完善移动设备准入控制技术
移动设备的一个主要特点是可以方便地访问无线网络。在无线网络的帮助下,智能手机、平板电脑等可以通过局域网甚至互联网访问和使用关键网络位置的信息资源。最常见的应用是Email。
此外,基于当前云计算的总体趋势,无论是公共云、私有云还是私有云,都越来越多地应用于云而不是本地处理和运行SaaS,用户所需要的只是一个可以访问云的终端。想象一下,不管是什么CRM还是ERP,或者其他业务系统,只要放在云端,你只需要i-Pad或者像智能手机这样简单的设备访问,然后处理业务流程。这无疑大大加快了企业的信息流程和信息处理速度。
然而,正如上面所描述的,如果有革命性的进步,就会有相应的风险。对于云计算背景下的移动设备访问,网络访问无疑将发挥更重要的作用。
相对于目前比较成熟的802.1x对于接入内网的移动设备来说,准入控制机制更难管理。802.1x大部分技术都是基于的Windows平台的AD域管理相结合i-OS、Android目前流行的移动系统与Windows平台本质上是不同的。所以大部分都是这样。IT管理员会将接入的移动设备划分为802.1x客人账户的管理意味着这些设备访问内部网络***限制不能满足现实需求。
针对上面的难题,一个可行的趋势是通过识别移动设备的MAC、硬件、系统等"指纹"并将其映射到现有的基础上802.1x在集团战略配置的准入系统下。目前,一些公司的产品已经初步实现了这一功能,如ArubaNetworks公司的AmigopodVisitorManagementAppliance(VMA)。本产品基于监控DHCP和HTTP识别不同设备的指纹,并将信息映射到正确的访问控制策略中,以达到访问控制的目的。
由此可见,要实现对移动设备的精确准入控制,掌握802.1x准入控制机制是先决条件,缺乏准入控制机制是基于主机准入控制的内网安全产品的普遍弱点。逐步完善802.1x,以及基于网关与客户端联动的访问控制机制,是我们目前迫切需要解决的问题IP-guard努力的重点。我相信在不久的将来,将会有新的结果来控制移动设备的准入。
基于内容分析的DLP结合边界封堵和加密技术
内部网络和移动设备之间传输的数据往往在一定程度上是机密信息,需要在传输和使用中进行信息泄漏保护。目前,国内主流的信息泄漏防护技术一般是基于封堵和加密技术PC移动设备的出现给当前的信息防泄漏技术带来了挑战。
移动应用本身是为了加速和方便信息的传输,而阻塞可能会削弱这种便利性。云计算的应用使得越来越多的应用在云中而不是本地实现,基于主机的阻塞和加密机制有一定的局限性。
如何解决上述信息防泄漏问题?超越主机水平,进一步分析、过滤和拦截数据本身是一种可能的发展趋势。在这一点上,国外擅长内容分析和过滤DLP产品为我们提供了启发。
与国内封堵加密机制不同,以赛门铁克和麦咖啡为代表的国外DLP内容分析和过滤技术在产品中的应用更多,信息防泄漏管理从信息层面进行。通过在边界部署设备,DLP产品可以分析通过网络和端口传输的信息,识别符合预设保密特征的保密信息,并进行过滤或阻断。过去,由于国内信息防泄漏市场主要需要防止主动泄漏,赛门铁克等产品DLP技术用处不大。随着移动设备和云计算的发展,这种平衡便利性和安全性的技术将得到更好的认可。
无论是封堵、加密、内容分析和过滤,其本质目的都是防止信息泄漏,但在安全和方便之间有不同的平衡。作为定位于内部网络安全的产品,IP-guard为了更好地适应用户的需求和技术的发展,我们已经开始研究基于内容分析的过滤机制,希望将来能与原有的封堵加密机制相结合,为用户创建一个完整的信息防泄漏系统。
注意实施移动设备本身的安全措施
目前,移动设备制造商已经意识到移动设备安全的重要性。i-Pad引入了密码机制、设备加密、加密网络连接、数据远程擦除等丰富的安全机制,大大提高了移动设备的安全性。
然而,为了方便起见,使用移动设备的用户可能不会严格使用移动设备提供的安全措施。作为移动设备的部署者和管理者,IT管理者应结合移动设备本身采取的安全措施,使其发挥更大的作用。统一登记接入管理,为移动设备开发安全app应用程序,严格审查移动设备安全策略的实施情况。我们一直强调技术与管理的结合,这些适应移动应用时代的管理手段是确保移动设备内部网络安全的必要条件。
移动设备作为先进信息技术的发源地,在美国等发达国家得到了广泛的应用,而这种国内应用还处于起步阶段。然而,这并不意味着我们可以忽视移动设备带来的安全威胁。近两年智能手机和平板电脑市场的快速增长证明,移动设备安全迟早会成为内网安全的前沿。
【编辑推荐】