自从PC(Personal Computer,个人电脑)出现以来,人们经历了单机时代、局域网时代、互联网时代,如今我们正在步入移动互联网时代。同时,PC也经历了台式机、一体机、笔记本电脑、掌上电脑、平板电脑,甚至如今的智能手机也具有了一定的电脑功能。智能移动终端与移动互联网让人们的工作、学习、生活更加的便捷,时间与空间的影响进一步变得模糊。
那么这个移动的世界是否足够安全呢?国内知名密码学应用专家、信息安全专家王志海先生将在这里与您一同探索移动世界里的安全秘密。
让安全变得更糟糕的移动互联网
在王志海的记忆力,印象最为深刻的是2010年,在做一个移动警务的项目时发现,企业级移动互联的需求开始显露。同时随着近年来苹果等智能手机的风行,也进一步推动了移动互联网的发展。
移动互联网以互联网为基础,通过无线网络实现移动智能终端与互联网的联通,在上运行各类移动应用。互联网、无线网络、移动智能终端、移动应用是构成移动互联网的四个关键要素。而作为移动互联网基础的互联网存在着各类天然的安全缺陷,这些安全缺陷也在被移动互联网所“继承”。比如互联网上IPv4协议所存在的安全缺陷,各类基于互联网的安全攻击,在移动互联网上都同样存在。而且某些安全缺陷还被移动互联网所放大,比如,由于无线网络没有物理限制,具有发散性,网络监听就愈发容易进行。另外,数据泄密问题也被放大,智能移动终端的广泛应用加剧了数据的泄露途径。
在移动时代,移动智能终端虽然在安全性上有了进一步的加强,避免了某些PC终端病毒安全问题的袭扰,但总体而言,移动智能终端依然继承了移动互联网的安全缺陷。
移动互联网在让人们的生活变得更美好,也在让安全变得更糟糕。
移动智能终端给移动互联网带来安全挑战
移动智能终端是推进移动互联网世界快速发展的硬件基础,但移动智能终端也在给移动互联网带来安全挑战。
移动智能终端的移动性很强,比传统手机功能更强、更灵活,这就使得越来越多的内容会被放置到移动智能终端上,比如,个人私密信息、个人资费信息(手机流量等)、个人手机银行账号、个人通讯录等,移动智能终端相当于一个整合信息的载体。当这些信息与PC整合在一起时,使得恶意攻击者具有了更多有价值的目标。另一方面,移动智能终端将PC功能整合进来的同时,也具有了PC所携带的安全缺陷。随着越来越多的应用被用户所使用,移动智能终端环境在变得愈加复杂。
移动智能终端的个体特征十分明显,互联网时代,个人与PC是割裂开来的,互联网所具有的是公众特性,而移动互联网时代,个人移动智能终端在作为接入的主体,这使得移动互联网更具有个人的特性,针对移动互联网的安全威胁也更具特殊性。
云计算与BYOD
要想更加直观的认识移动世界里的安全秘密,那么来看看正被人们火热关注的云计算与BYOD就十分有必要了。
云计算网络里,作为云计算重要特性体现的移动智能终端,彷如一把双刃剑,在让人们体验到云计算的强大之外,也在给云计算带来额外的安全挑战。
传统虚拟化技术在移动终端比较难于应用,所以现在大多采用APP的方式,这就要求终端更大的开放性,开放更多的资源。这意味着安全风险在加剧,需要采取的安全防护也要加强。
移动智能终端的小型化,使其更依赖于云计算,与云计算之间的数据交互更多。比如医院的电子病历、电子CT片,这需要与云端进行大数据量的安全问题。
另外,云计算对移动智能终端的管理也很麻烦。比如电子邮箱问题,通过移动终端登录电子邮箱就无法进行使用者的准确定位。
许多行业用户在实施移动信息化时,偏向于定制终端,或者集中采购移动终端,比如保险、银行系统,就会采用定制化、统一采购的移动终端。但如果是办公系统,如果用户使用企业统一的移动终端进行办公,不仅增加了企业在移动信息化上费用的投入,还使得用户所携带移动终端数量变得更多。所以,BYOD正在成为企业级移动信息化终端接入所采用的主要方式。个人移动设备开始频繁接入企业重点包含的内部网络,企业内部的机密数据在被个人移动设备读取甚至存储,移动信息化的安全性面临考验。
“平衡问题”对于移动信息安全至为重要,这里所说的“平衡问题”指的是BYOD设备自身的安全性与危险性之间的平衡。比如,企业对BYOD设备的管理,应仅限于企业业务相关部分,尽量不要涉及个人信息部分,这就是移动终端管理意识的平衡问题。企业主要防止的是通过移动终端的入侵和通过移动终端的泄密。
消除移动世界里的安全隐患
移动世界里的安全问题很多,相应的安全解决方案也不少。目前企业级的移动安全解决方案主要集中在移动终端设备管理和移动接入两方面,移动终端设备的管理还比较简单,移动接入也仅是基于连通方面,不够深入,对于数据完整性等问题也还解决不到位。现在的移动接入主要是利用运营商的VPDN网络,而VPDN本身就存在安全缺陷:VPDN主要是在基站到企业端构建了安全通道,而手机接入基站时却缺乏有效的安全防护。
一个有效的移动安全解决方案应该包含接入安全、移动终端设备管理、数据安全三部分内容。
1、接入安全:身份认证、链路加密、终端安全。
2、移动终端设备管理:对设备状态进行管理,决定是否允许设备接入。
3、数据安全:数据仅能企业端进行操作,移动终端不能对数据进行操作。
现在某些国内移动安全解决方案能够对移动终端上的数据痕迹进行清理、清除操作,进一步保护了移动终端上的数据安全。
用户在选择移动安全解决方案时需要从用户自身业务需求出发:比如对于接入的严密程度、网络的连通问题等需求。早期的移动警务应用仅有查询需求,所以就不需要考虑数据加密问题。另外用户还需要了解相关技术,或者找寻专业安全厂商进行咨询。
最后需要一提的是,未来移动安全服务与解决方案的准入与退出会面临政策标准制定的问题。现在相关部门正在进行标准和政策的制定,后继还将成立相关的测评机构。王志海认为,在技术层面要能够考虑移动接入安全、数据安全、移动设备管理等方面的问题。在政策方面要符合商密(国家商业密码管理局)、等保的标准。行业性标准以及地方标准也很重要,但要能整合国家相关部门的标准。标准的制定最好尽可能的开放,广泛征集各方意见,专业安全企业也要更多的参与进来。
王志海 明朝万达CEO
