人们往往会在智能手机中储存一些敏感的企业信息.一部手机的遗失也许会让整个企业陷入困境,这可不是危言耸听.
你的移动设备上有控制数据访问的安全措施吗?去年夏天《信息周刊》对读者就这项问题进行了调研,从调研结果来看,回答有和没有的人数旗鼓相当.当下,许多 人在工作中都会使用智能手机,但他们却并没有注意到有些手机中的安全隐患.根据《信息周刊》去年7月的一份调查,82%的智能手机用户表示他们用手机来收 发商业电子邮件,80%的人表示会用它来浏览企业网站,还有61%的人更是用它来访问企业的数据.你别指望企业的管理层看了以上的调查结果后,会出手扑灭这股势头.因为74%的用户都是自付手机话费,65%的人甚至是自掏腰包购买智能手机.公司不花一分钱,却能让他们在业余时间还能上线干活,哪个老板不乐翻了天?

　　没错,移动设备确实提高了员工的生产力,但如果没有相关的IT安全人员参与,那就会带来极大的风险.调查中只有31%的读者表示他们的智能手机和PDA有公司IT部门的支持.这是我们意料之中的,因为要为五花八门的手机系统提供支持,无疑会耗费大量的人力和财力.企业不是设备的所有者,也无权干涉员工选购什么产品.但是,企业却拥有许多终端用户储存的数据,一旦这些有关公司的信息下载到个人的手机上,那企业就必须引起足够的重视,毫不迟疑地插手进行干预以保证信息的安全.

　　面对这种情况,企业的首席信息官(CIO)有两种方法可供选择:第一种是禁止安装ActiveSync等同步程序,并切断移动设备与公司服务器之间的连接,然后封死公司电脑上的USB接口.当然,这样一来员工们肯定不会罢休,他们会绞尽脑汁地研究突破这些障碍的方法.第二种办法则要人性化得多:公司继续享受移动带来的好处,但同时也投入相当的技术力量,并制订适当的安全政策来保证数据的安全.

　　安全政策是关键

　　移动加密技术已经走过了很长的一段路,不过,要保证安全,仅靠技术是不行的.在目前的电子港湾网站(eBay)上,大约有3,300多部二手黑莓手机出售.如果其中的哪一部手机中存有敏感的数据,那再强大的技术恐怕也无能为力.因此,为保证信息安全,企业首先应当出台相关的政策,对设备的选购、设置、使用、维修以及遗失处理等问题进行详细的规定.不要对高管的手机搞特殊化.一个桶能盛多少水关键取决于组成桶身最短的那块木板,同样,一个系统的安全性如何关键取决于它最薄弱的环节,越是高管,他们手机中的商业信息很可能就越重要,并且,高管丢失手机的几率并不比一般员工低.

　　当你在制订政策时,注意从基本的数据保护措施入手,如加密、开机密码等,并保证设备遗失或被盗时可以远程删除数据.许多电子邮件推送服务、设备管理技术及安全系统服务都提供这一功能.另外,你还应当设置更细化的政策,包括强制VPN加密,要求用户必须安装杀毒软件、防火墙或其他安全软件等.再者,你必须定期向用户们敲响警钟,告诫他们设备的遗失不仅仅关乎到个人,更涉及到整个公司的安全利益.最后你需要记住的一点是,安全政策不能一成不变,必须时常更新,以便应对不断变化的商业和技术需求.

　　贯彻设备使用政策是否意味着企业应当为员工代劳,统一采购设备?也许吧.如果企业拥有了设备的所有权,那安全政策的执行和软件的设置也就不会引起太多的纷扰了.当然,由于在这个消费者驱动型的智能手机市场上,硬件的更新换代非常之快,替员工采购手机会为企业增加不小的成本负担,因此许多企业还没有这样做.目前市场上的流行机型都获得了移动安全和管理厂商的大力支持,因此在软件方面问题不大,但是,一些高级的硬件安全功能,如锁定照相机或SD插槽,则不太尽如人意.如果你允许员工在他们自己的手机上储存数据资料,那保证安全的最佳办法,就是向员工派发一组你的移动安全厂商支持的硬件,并保持及时的更新升级.

　　谈到安全厂商,他们的宣传材料会告诉你,要规避手机配置的缺陷需要相当大的资金投入,因此,在你买单之前,你需要确定企业真正面临的威胁到底有多少.

　　数据丢失当然是头号大敌.那么,每部手机上一般会储存多少信息数据呢?让我们先来看看.虽然大部分智能手机都有无线上网功能,但许多用户还是会在手机中储存大量的公司数据,这样即使手机不在服务区或是无线信号关闭(如在飞机上)时,也能访问到这些数据.电子邮件在手机中肯定会有的,相关网站的网页也会被保存到本地硬盘,此外,还有公司的全套应用程序,如表现层、数据库访问系统等等.

　　安全的第一道防线是加密,包括各文件夹加密和整个设备(含SD卡之类的移动存储设备)加密.不过,这道防线有利也有弊:加密整个设备的储存器虽然可以防止数据丢失,但同时也会影响整体的性能;加密文件夹虽然不会影响性能,但却需要你不断地对资料进行分类,以保证在加密数据时不会搞错.人总会有疏忽的时候,有的敏感数据难免会被放入未被加密的文件夹中,考虑到这一点,再加上随着科技的发展手机性能总是不断提高,因此我们建议用户最好采用整体加密.

　　移动设备上的病毒防护在近年来一直是个焦点问题.卡巴斯基实验室(Kaspersky Lab)、迈克菲公司(McAfee)、赛门铁克公司(Symantec)以及趋势科技公司(Trend Micro,下称趋势科技)这些大型安全厂商的产品体系中都有移动病毒防护产品.到目前为止,大部分漏网的病毒和恶意软件攻击的主要目标都是Symbian操作系统,也有一些瞄准了Windows Mobile平台.

　　不过,苹果公司(Apple,下称苹果)的iPhone可能为未来的战斗打响了第一枪.为了能在iPhone上安装第三方软件,或是在其他运营商的网络上使用iPhone,很多人已经将手机解锁当成了一项乐此不疲的事业,这当然就引发了缓冲溢出攻击等安全威胁.苹果虽然在兢兢业业地为 iPhone打上一个又一个的补丁,但这一事件却让我们看到,一些解锁iPhone的方法可以同样移植到其他手机上,冲破这些设备的整套防线.

　　“最让我担忧的是,移动设备实在是太容易感染恶意软件了.就算是用黑莓手机下载彩铃这样普通的事情,也有可能带来病毒.”福赛思解决方案集团 (Forsythe Solutions Group)的技术顾问大卫·布朗(David Brown)表示.他这句话的关键词是“可能”.就目前而言,还没有像他描述的那种安全漏洞,手机平台上也没有出现像Blaster或是Code Red这样有杀伤力的蠕虫病毒.从某种程度上说,手机平台正是由于关注度不高,才免遭病毒的大规模袭击.然而,随着电脑安全性能的不断提升,入侵者们便掉转枪头,把目标对准了与电脑联网的智能手机,以此作为企业网络的突破口.现在你可能还用不到移动病毒防护技术,但一两年之后可就难说了,因此你最好提前做好相应的准备.如果在你的公司中智能手机发挥作用的空间越来越大,那你就更应当有所防范了.

　　产品考察

　　目前市场上针对企业移动安全问题的产品有很多,该领域内的多数知名厂商也都有自身的拳头产品.为了初步了解它们的大致功能,我们简单地考察了其中的一些产品.Trust Digital公司是一些政府机关和私人企业的安全服务商,我们考察了该公司最新的智能手机安全客户软件,以及趋势科技的一套即将推出的移动安全产品.

　　不管是Trust Digital公司的智能手机安全管理软件(SSMS)还是趋势科技的移动安全5.0(TMMS 5.0),都为客户的移动设备提供了各种各样的保护措施.其中最有趣的一个功能是SSMS的可信程序模式.该功能并不是简单地设置一些黑名单来禁止哪些文件在某一程序上运行,它能够对应用程序和数据类型进行匹配.例如,我们可以规定,只有微软的Word可以打开Word文档.这对防止恶意软件入侵非常有效.这两款软件之间的最主要区别是,趋势科技的TMMS 5.0与它的桌面电脑安全产品相同,都是从同一控制台对软件进行管理.

　　谈到加密模式,这两款软件都不错.企业既能对个人设备单独设置密码,也能对某一团队的设备进行统一加密,后者保证了数据的共享.唯一的问题是,每件设备上只能采取一种加密方式,也就是说,你不能在本地硬盘上使用一套私人密码,而在可以拿给同事的SD卡上使用另一套共享密码.当然,两家公司的产品中还包括锁定硬件和远程删除等必备功能.Trust Digital公司还在SSMS中加入了软件分发功能,但由于这是一款以安全为重点的产品,它便不具备移动设备管理系统中的一些高级目录和报告功能.

　　保证移动数据安全

　　1.制订安全政策,对可以带出公司的数据进行严格的规定.不要对高管搞特殊化.

　　2.加密外带的数据.许多移动安全管理产品都具备这样的加密功能.

　　3.随时准备加强病毒防护.与企业系统平台相连的移动设备已逐渐成为了病毒攻击的目标.

　　4.密切关注智能手机的发展.

　　5.如果你拒绝采取以上措施,那就考虑锁定公司的电脑,让员工无法安装同步软件,这样一来他们也就无法用手机访问敏感数据了.

　　放眼市场

　　在保卫智能手机安全体系的战斗中,出现了一些新的问题.其中之一与密码有关:在手机那巴掌大不到的键盘上,按错键输错密码是常有的事.因此,笔记本电脑指纹读取器的领先供应商AuthenTec公司就宣称,它已经看到了智能手机领域对生物测量技术的需求,并认为在未来的18个月内,带有此种技术的手机就将在美国诞生.该公司已被美国政府选中,为2010年美国人口普查中使用的PDA提供安全服务.日本电子公司OKI也瞄上了生物测量技术,但他们选择的不是指纹,而是眼睛.目前他们正在为手机开发眼睛识别功能.该公司的想法是,运用一系列定制软件以及手机中的摄像头来对用户的眼睛进行扫描,以确定用户是否有权使用手机.目前这一想法还在初级的探索阶段,OKI公司预计此类产品要到2010年才能推向市场.

　　以上措施均是为物理访问把关,除此之外,可信计算组织(Trusted Computing Group)也正在着手开发适用于移动设备的可信平台模块——“移动可信模块”.据了解,可信计算组织开发这一模块的目的,是为了制订移动设备的安全标准,而这一领域一直被各大安全厂商所统治.

　　“令牌”把关 安全无患

　　OATH的开放标准旨在降低多重认证的成本和复杂性.

　　文|Avi Baumstein 译|李林

　　我们早就知道,多重认证带来的安全性远胜于简单的一行密码.然而,多重认证却一直没能得到广泛的应用,这是为何?原因有很多,首先是相关的产品太少,人们缺乏选择;其次是成本和共用性问题让客户们犹豫不决;再有就是IT部门的人员觉得这样一来他们的工作量就会大大增加.开放式认证推广组织 (Initiative for Open Authentication,下称OATH)最近发布了Reference Architecture 2.0软件,希望能借此消除人们的这些疑虑,用开放的标准推广这一强大的认证功能.

　　“标准”是这里的关键词.基于OATH架构的系统允许用户令牌(user token)的共用,并支持各种需要认证的服务.而最终的目标则是:单个用户令牌与多个供应商的多种服务相兼容.这是一个很好的设想,但目前还无法完全实现.因为现在令牌的执行都需要事件来激活,如果一个令牌与一些不相关的服务配套使用,那么和这些服务相对应的事件就无法匹配令牌的状态,从而导致认证失败.让系统正常运行的唯一办法,就是让所有的服务都使用相同的确认后台,以保证令牌状态的一致.威瑞信公司(VeriSigng,下称威瑞信)的身份验证保护(Verified Identity Protection,下称VIP)就是使用的这种办法.嘉信理财公司(Charles Schwab)和电子港湾都是该公司的重要客户.

　　封闭系统的市场一直都是由RSA公司占据着无可撼动的领袖地位,但多重认证领域就热闹多了.WiKID公司和PhoneFactor公司就是最具实力的两股新生力量.前者靠的是基于手机的软件令牌,而后者则是向用户的手机发送认证代码.在这一领域内,有的是大把大把的机会,因此,OATH的研发队伍是越来越大了,各种类型的公司都在往里钻.除了威瑞信之外,还有美国在线公司(AOL)、BMC公司、思杰公司(Citrix)、Entrust公司、惠普公司(Hewlett-Packard)、国际商业机器公司(IBM)、Imprivata公司以及SanDisk公司等等.

　　使用密码的单重认证很容易被攻破,而一次性密码在每次使用后,都会生成新的密码,这样就提高了安全.在这种方法诞生之初,人们往往是先打印出一组复杂的密码,然后每用一个就划去一个.但如此一来,工作的效率也就大大降低了.基于令牌的系统使用钥匙挂链式的电子设备,在液晶屏幕上显示出所需的下一个密码,这样便提高了效率.问题是,这些系统配置起来都不便宜,因为目前的市场完全被少数几个专属系统所把持.不过,由于共用性是OATH开放标准的必然产物,因此我们已看到许多厂商在开发各种各样的令牌,包括信用卡大小的令牌、带USB接口的令牌、甚至有可在手机上运行的基于纯软件的密码产生器,这就省去了随身携带令牌的麻烦.

　　生成一次性密码的办法有两种.一是事件激发型,即密码每使用一次,就自动更换;二是定时更换型,即每过一段固定的时间,就自动产生新的密码, RSA公司的SecurID令牌采用的就是这种方式.两种办法孰优孰劣还暂无定论,不过第一种生成密码的方法更加简单,实施起来成本也相对较低.定时更换密码的令牌对时间的要求非常精确,它必须与服务器同时改变密码,而事件激发型令牌在每次显示新密码之前,只需进行一次运算即可.这就意味着,事件激发型令牌可以做得更加小巧,并且待机时间也更长,因为它们只在每次使用时才会启动.

　　令牌只是一切的开始

　　OATH发布的第一个标准是为混杂信息认证代码(Hashed Message Authentication Code,下称HMAC)一次性密码所制订的,它对运算方法进行了规定,以确保能以事件激发的方式生成安全的密码.自那以后,OATH就忙于向互联网工程工作小组(Internet Engineering Task Force,下称IETF)来提交和修改用于认证架构的其他组件的标准,包括密钥设置、Challenge Response Algorithm等.它还开发了两个版本的参考架构,为安全认证所需的其余基础设施搭好了框架,这包括新令牌的设置、多重认证类型的确认以及授权和审核等等.

　　Reference Architecture 2.0在先前版本的基础上增加了一系列新功能,并在细节方面做了改进.其中最具创意的功能当属基于风险的认证.在Reference Architecture 2.0中有一个风险模块,它会为每次操作进行风险评估并打分,然后以此为参考为以后的操作挑选合适的认证方法.例如,如果一台可识别的电脑在工作时间发来账户余额查询,那将获得比较低的风险评分,只需用户名和密码之类的简单认证即可,而如果在非工作时间,一个陌生的IP地址发来大额转帐的请求,则会获得较高的风险评分,因而也就需要更严格的认证方法,并很有可能需要使用特殊的密码令牌进行签字才能完成交易.

　　如今,政府在安全方面不断对企业施压,而消费者对企业的安全要求也越来越高,因此许多企业迫于压力都将认证后台外包,各大电子商务网站和在线金融网站便是个中的代表.这一外包趋势或许是各大安全厂商展示功夫的最好机会.

　　企业的IT部门如果想推出针对内部用户的多重认证方案,可以看看市场上基于OATH的产品.虽然眼下企业在这方面的选择不是太多,但在大量 OATH框架开发商的不懈努力下,过不了几年就一定会有各种价格适中、功能强大的产品出现.目前,市面上最出色的两款基于OATH的产品来自于Card Technologies公司和Authenex公司.

　　专家意见

　　希望:多重认证的标准诞生,大量安全认证产品走向市场,导致安全认证的总体成本下降

　　力量:包括业内巨头美国在线、Entrust公司、IBM和VeriSign公司,以及一些名气不大的专业认证公司.

　　前景:在线服务供应商,尤其是金融服务公司,希望加强安全措施,以达到国家鼓励的双重认证机制.建立统一的标准可以减少成本,简化执行流程.从目前来看,OATH很有希望.但最大的问题是,令牌能否真正解决在线欺诈问题.