企业移动接入：考虑双因素移动认证

　　随着越来越多的员工要求通过他们的移动设备来访问公司数据，IT经理们陷入了两难的境地。一方面他们希望为员工提供企业数据的移动访问，而另一方面他们又担心如果这些设备丢失或损坏会对业务造成风险。去年夏天赛门铁克公司发布的报告中[1]，就当前移动操作系统(苹果公司的iOS和Google公司的Android)的安全能力撰文，声明提到尽管厂商新增加的安全措施提高了门槛，但它们或许尚不足以保护那些经常流向设备上的企业资产。

　　那么，针对通过移动设备访问企业资源的强烈需求，对于那些打算提供强认证服务以保护信息的组织来说，有哪些可用的最佳实践和技术选择呢?

　　在回答这个问题之前，重要的是明白，在这些移动设备上不仅只有一或两种操作系统。员工们可以带着支持任何被广泛使用平台之一的设备走过组织的大门，这些平台包括Windows Mobile、 iOS、Blackberry、各种版本的Android、或是一些其它的私有操作系统，每个都有不同的版本级别;所有这些操作系统可以运行在任何设备上，从移动电话到移动游戏设备、到平板电脑。设备间的性能、通信选项、功能会有很大的不同，导致即使对于最灵活的组织来说，认证上的复杂性可能也是无法克服的。那么，组织怎样才能减轻这个问题到一个可管理的水平呢?

　　在开始前，组织必须评估移动接入相比于其它用来访问企业信息的电子通道的风险。这些安全风险包括缺乏安全能力的移动应用、日益严重的移动恶意软件威胁，以及永远存在的设备遗忘或是失窃。

　　为了减轻这些风险，组织必须通过创建安全策略和流程来建立良好的企业移动接入治理架构。这些流程应包括如何保护移动设备，如何使用它们，以及它们能访问和存储哪些数据。没有建立起一套严格的用于访问管理的规则，组织就无法开始管理这些设备造成的安全风险、或是减少这些设备在访问时造成数据丢失或毁坏的几率。

　　这个治理过程必须从组织的董事会管理层和IT领导团队举行一次会议开始，以便协商当涉及到移动访问企业信息时哪些是“在范围内”以及那些是“超出范围”。一些必须做出的决策的例子包括：

　　• 是否允许移动设备访问受监管的数据，如受到保护的医疗信息(protected health information，PHI)、或是其它类型的敏感数据诸如财务数据。

　　• 是否允许将公司数据存储在移动设备上，若允许，是否必须以加密的方式存储。

　　• 将支持哪些移动操作系统、版本和应用，包括任何必要的软件，如软件防火墙、防病毒软件和用于保护设备的其它公司标准。

　　除了这些例子外，必须明确界定企业和终端用户的权利和职责。此类规章制度的例子包括，对密码长度和复杂度的强制性要求、报告丢失的设备，以及与朋友和家庭共享的设备。在报告设备丢失的情况下，组织是否有权远程擦除设备上的数据，并且防范未授权访问的物理防护也是非常重要的。最后，组织需要了解哪些移动设备会访问他们的信息。这可以通过建立一个访问请求的正式流程，以及为终端用户提供最低限度的移动设备安全培训来实现。

　　在移动接入治理流程定义完成后，企业必须做出的下一个决策是“如何”对访问数据的移动设备进行认证。许多组织依靠密码凭证来认证用户，所以他们必须建立最小密码长度和复杂度规定。除此之外，许多组织在他们的边界应用上使用命中计数器，即在发生重复登录失败后能够锁定、或是硬复位移动设备。尽管这些访问控制是有效的，但许多IT经理质疑，密码是否是一个足够强大的认证技术，可被用来为火车上的员工提供信息、或是从世界上任何的角落来访问企业的数据。因为存在这些风险，现在组织正在评估和部署更为强健的认证方法。例如，现在很多智能手机包括指纹读取器，提供了一个备选方法来开启密码，并且一些移动安全产品也能处理使用手写笔输入的手写签名。除了这些策略，现在许多组织正在要求他们的员工安装支持强大公钥认证技术的移动安全产品，该技术基于的数字证书通过移动设备的通信通道(如MMS、短信和邮件)提供。现在像McAfee有限公司、Good Technology有限公司、Certgate GmbH公司、HID Global公司、SafeNet有限公司和其它公司，都为许多最流行的移动操作系统和设备提供基于这些技术的移动安全现成商品(commercial-off-the-shelf ，COTS)。

　　对于那些允许保留企业数据在内部存储上的移动设备来说，认证信息可以存储在移动媒体智能卡上(如MMC卡、SD卡)。这是一种强大的认证方式，因为证书几乎是不可能伪造的。在用户尝试访问信息前他们必须插入该智能卡。只有该智能卡保持被插入状态，信息才是被解锁的。然而，为了防止丢失的移动设备被入侵，当不再需要访问的时候，要将该媒体智能卡从设备上移除并远离设备存放，以保证数据是安全的。

　　虽然上面提到的所有这些认证方法在当今的企业移动市场上都是可用的，强大的移动安全认证仍会要求用户物理上插拔硬件、读取信息、查看文本或是手指触摸来访问信息。而企业的安全经理在知道他们的信息更加安全后能在晚上睡得更香，但当前的认证方法要求与移动设备有一定程度的交互，以便对企业数据获得访问。这个技术，由于其性质，是与移动设备厂商提供更加直观、用户界面友好的应用及服务的目标所相悖的。

　　为了在安全性和便捷性之间寻求平衡，认证行业的厂商正在研究认证移动设备的新方法，以便达成一个更为平衡的安全架构。处于这个研究过程的前沿是MOBIO项目(Mobile Biometry，移动设备生物统计学)，该项目正在尝试通过使用移动设备上的摄像机和麦克风来辨识用户以减轻强认证的负担，这些部件几乎在每个移动设备上都有。MOBIO项目的参与者正在使用面部和声音识别软件来更为强健地认证用户，以完成这个目标。

　　随着企业努力定义移动用户将可以访问哪些数据，知道用户是谁这个问题有望在不远的将来，变得同用户对设备讲话并要求访问数据这个过程一样简单。