如何保护企业环境中的移动设备

随着移动互联网技术的发展，越来越多的人开始使用智能移动终端，智能手机、平板电脑、PDA等产品的硬件性能的提升，也为移动互联网应用提供了高性能的稳定硬件平台，IOS、Android、WindowsPhone等主流系统平台更是支持各种各样的应用。据统计我国移动互联网的用户已经突破7.5亿，可见智能移动终端设备的普及。

移动互联网的发展已经改变了人们的生活，人们习惯在移动智能终端上访问社交网络、邮件、即时消息、股票、语音、购物、支付等应用，移动终端的信息安全也已经成为普通人的关注问题。不久前发生了一个恶性事件，不法人员通过微信下载了其他用户的孩子的照片，并将照片打印后放在钱包里，冒充孩子的舅舅到幼儿园接孩子放学。对于家长来说，这是一个可怕的事件。由此可以看出，个人的敏感信息泄露已经广泛存在，并应该得到重视。

相比个人隐私信息的安全保护，企业信息在移动应用领域的安全隐患更加突出，销售人员的客户信息有可能保存在手机的通讯录中(通讯录被盗事件屡屡发生)，移动办公人员可能使用智能移动终端访问企业内部的邮件，金融行业和旅游行业的从业人员有可能使用智能移动终端访问企业的业务系统。随着BYOD模式的普及，更多的私人移动终端设备接入到企业网络中，给企业信息泄露带来了更大的安全隐患。

移动终端设备的特点

移动终端的特点是不断变化，随着应用技术的发展，未来移动终端将具有更多的新特性，本文中将对当前移动终端设备的共同点进行总结：

外形小巧：无论是平板电脑还是智能手机，其外形尺寸均小于PC机和笔记本电脑，从而为随身携带提供了更多的便利;

至少具有一种数据通信方式：智能移动终端设备至少都具有一种或多种连接网络的方式，进而实现数据通信，如蜂窝、3G、WIFI、蓝牙等;

内置移动存储：智能移动终端设备都具有内置的存储器，用于本地存储数据，有些甚至支持SD卡扩展;

嵌入式操作系统：无论是IOS、Android或是Windows phone，都具有不同于PC机的操作系统平台;

多种方式的应用访问：可以通过系统内置的应用、第三方开发的应用、WEB浏览器的方式访问应用;

支持同步：都支持与PC机、笔记本电脑、远程服务器、云平台或其他第三方服务器同步;

多种网络服务：如蜂窝、WIFI、蓝牙和NFC等;

定位服务：都支持GPS定位服务，可以提供位置信息;

照相功能：都内置一个或多个摄像头，可能提供照相和摄像功能;

移动终端设备的面临的安全威胁

作为依靠IT技术实现的信息处理设备，移动智能终端具有着与PC/笔记本电脑同样的安全威胁，除此之外，智能移动终端的特性决定了其面临着特有的安全威胁：

物理安全难控制：智能移动终端设备可以随身携带，并且可以在酒店、机场、咖啡厅、广场等地点使用，设备丢失的可能性远大于笔记本电脑和台式机，此外，不排除你的设备被收购以后进行数据还原;

不可信的设备：尤其是BYOD，设备被越狱或root以后，意味着系统内置的信任机制被破坏，安全机制被绕过;

不可信的网络：智能移动终端可以通过企业网络以外的接口连接互联网，如公共场所的WIFI，数据在传输过程中很容易被窃听;

不可信的第三方应用：如今互联网上的第三方应用比比皆是，并且获取方式很多，恶意的第三方软件会冒充合法应用被安装，并在后台窃取数据;

与其他系统的交互：智能移动终端可能会与台式机或笔记本电脑同步，也会与互联网上的各种云进行数据同步，敏感数据可能会在同步过程中泄露;

不可信的内容：二维码被应用到越来越多的领域，移动设备通过摄像头可对二维码进行识别，更多的二维码会被识别为一个链接，用户如果识别到了恶意链接，有可能会被植入恶意软件;

危险的位置服务：移动终端的GPS定位功能，可能会为攻击者提供用户的位置信息，攻击者可基于位置信息进行更为精准的攻击;

如何保护企业环境中的移动设备

智能移动终端的广泛使用为企业的移动数据管理带来了更大的挑战，其应用的多样性及环境的复杂性使企业客户不得不重视，如何使其能够被安全的应用于企业领域，企业用户如何能够安全的使用和管理，是需要企业的信息安全管理者需要紧迫考虑的，本文总结了一下几点安全服务，旨在保护企业环境下的智能移动终端设备的安全使用：

■ 安全培训服务

对于使用智能移动终端的企业用户提供安全培训服务，加强使用者的安全意识，讲授正确的智能移动终端设备使用方法。培训内容主要包括以下内容：

■ 安全管理咨询服务

从信息安全生命周期角度，对智能移动终端设备在其生命周期各阶段进行完善的安全管理，建立相应的安全策略和制度体系。

1)初始阶段：充分调研业务流程和功能要求，梳理性能、功能和信息安全性需求，界定智能移动终端的访问级别，并确定访问权限。可从敏感性、业务策略符合性、成本、工作地点、合规等角度综合考虑。此外对其他有可能产品的安全风险充分评估，并提出相应的安全规划。

2)开发阶段：确定使用那些技术和手段满足安全要求，包括但不限于架构设计、身份验证、加密、基线配置、审计等方面。

3)实现阶段：搭建试验环境，对安全符合性进行测试和评估，包括连接、防护、认证、应用、管理、记录、性能、基线配置等方面。

4)维护阶段：结合业务操作流程，建立适用可落地的维护管理制度，指导日常的运维工作，包括升级、补丁更新、基础设施检查、基线配置核查、异常事件报警、安全使用培训、定期风险评估等方面。

5)废弃阶段：如果移动设备永久的离开组织，在离开之前要确保设备存储的敏感数据被彻底清除，建立相应的报废管理制度，使用技术手段对退役的移动设备进行有效处理。

■ MDM安全集成服务

引入智能移动终端安全管理技术，结合企业信息安全管理体系，建设集中统一的安全管控平台，从技术实现层面对接入企业网的智能移动终端设备进行统一管理。

对于同一平台(IOS或Android)的移动设备，可采用支持单一平台的集中管理系统进行统一管理;对于组织内部存在多种平台的移动设备，可采用模块化设计采购或开发支持多平台的管理系统，并使系统的运行融入到日常运维工作中。