陈智勇：从移动设备风险分析谈移动设备安全策略与最佳实践

陈智勇：从移动设备风险分析谈移动设备安全策略与最佳实践

陈智勇

1、引言

这里所谓的移动设备主要是指智能手机和平板电脑两大类可以用于移动办公的电子终端设备。随着移动设备的普及，很多企业的员工开始使用这种新型的移动设备作为办公终端。据Gartner统计，2010年第四季度，智能手机(1亿部)的销量首次超过PC(9200万台)，2010年智能手机增长72%。2010年平板电脑的销量1700万台，Gartner预计201 1年将达4500万台。而随着云计算技术和3G甚至4G无线数据通信服务的广泛应用，更加便携和随时在线的移动设备会更加普及。新型办公终端的引入，为企业内部的信息安全带来了新的挑战。本文从归纳移动设备的功能特性入手，分析该类设备的安全风险，并在此基础上总结出移动设备安全管理的最佳实践，供企业的IT安全管理人员参考。

2、移动设备风险分析

2.1移动设备的特性

移动设备在几何尺寸、物理特性、计算能力、应用场景等方面与以往的台式或膝上设备(台式或笔记本计算机)都发生了较大变化。主要体现在：

(1)体积小重量轻，更便于携带;

(2)持续供电能力相对较低;

(3)CPU的计算能力相对较低;

(4)具有多种通讯接口，如USB、LAN、WIFI、蓝牙、3G无线数据通讯、GPS等;

(5)在移动的环境中使用;

(6)缺少本地的技术支持;

(7)操作系统种类繁多，如Android、iOS、Symbian、Windows Mobile等。

2.2移动设备的信息资产

移动设备是个人专用产品，而且通常有十多种应用在上面运行，如电话、电子邮件、Et程、访问互联网、通讯录、任务管理、消息(文本/图片/视频)、聊天、VPN、文件管理、存储、社交网络、位置服务、移动商务。使用这些应用或服务时，肯定涉及大量的个人信息，如：银行账户、邮件内容、消息内容、账户和密码、联系人信息、网站访问足迹、个人行程安排等等。除此以外，移动设备上可能还存储与工作相关的文档和数据。

2.3移动设备的脆弱性

移动设备的最主要的特性就是便携性，因此它的物理安全脆弱性要远比台式设备高，很容易遗失或被盗。

移动设备使用的操作系统种类和版本繁多，很多都存在漏洞。目前移动设备的主流操作系统有iOS(苹果公司开发的，基于苹果OSX的操作系统)和Android(谷歌公司开发的，Linttx和基于Java平台的Dalvik两种操作系统的结合体)。以ioS为例，从发行到现在共发现了200多个漏洞，其中大部分属于低风险漏洞，利用这些漏洞，一般只能取得某个应用程序的控箭J权限。也有些漏洞可以导致非常严重的问题，攻击者甚至可以实现对设备的管理员级控制，这样就可以获取设备中几乎所有的www.huisheliren.com数据和服务。iPad2的iOS越狱行为(获得系统的超级用户权限，以便随意擦写任何区域的运行状态，进而安装和运行第三方程序)，是利用浏览器访问越狱网站触发PDF字体处理上的缓冲区溢出漏洞，获得对设备的完全控制。整个越狱过程本质上和黑客攻击的原理完全一致，只是越狱过程是设备使用者自愿利用漏洞。理论上一个经过越狱的系统，就是一个证实存在漏洞的系统。Android系统的情况也很类似，目前已发现的18个漏洞中修补了14个，另外未修补的4个中只有一个是高危漏洞，在Android V2.3得到修复。但是未升级到2.3版本的设备将存在高危风险。

移动设备上的通讯接口比固定使用的设备上的通讯接口要多，因此这些种类繁多的通讯接口都可能成为新的攻击面。而有些通讯没有经过身份认证和加密，很容易受到攻击。例如，GPS通讯很容易受到干扰和欺诈。

有些脆弱性是由于系统的配置不当引起的。原则上设备上暂时不用的端口，应该配置成关闭。例如，在不使用蓝牙的时候，应该关闭蓝牙设置。应该配置身份认证选项，使得系统启动后需要身份认证才能继续使用设备。

2.4针对移动设备的安全威胁

对移动设备的安全威胁，大致可以分为三大类物理威胁、操作系统威胁和网络威胁。偷盗行为和看管疏忽是针对移动设备物理安全的最大威胁。容易发生设备遗失的场所主要包括：高等院校、汽车、图书馆、机场、宾馆和会议中心、办公室、医院。

恶意代码是移动设备的最大威胁，这些恶意代码主要表现为病毒、僵尸程序和间谍软件或三者的混合体。病毒的主要作用是在用户不知道的情况下滥用网络，如拨打高收费电话或发送多媒体短信，以消耗用户的费用，套取非法收益。僵尸程序主要是作为黑客控制被攻陷系统的代理，攻击者可以用来发动拒绝服务攻击。

间谍软件可以用获取系统上的机密信息。例如2006年9月，有人发现塞班操作系统上运行着一种称为A callano的间谍软件。这种问谍软件把所有收发的短信息导向一个外部的号码。这样就会允许别人安装间谍软件监视受害人的短信流量。2006年4月，一款叫做Flexispy的商业软件上市。这款软件可以远程激活设备的麦克风监控电话内容。尽管这款软件的初衷是用来监控配偶或是不听话的孩子，但也可以作为公司的监听工具。它会在用户不知情的情况下，发送日志信息到中央服务器。黑客也可以藉此访问实体设备安装软件，读取机密的信息，从服务器上检查日志信息，并实施窃听。

这些威胁与台式终端上的完全类似。所不同的是，这些恶意代码的传播途径更加丰富一些，主要包括：

(1)通过文本短信和多媒体短信传播

病毒可以通过影响智能电话的文本传输能力和PIM数据，将病毒传播到其他手机上。在支持MMS文本功能的手机上，Mabir病毒就可以通过回复短信实现传播。在西班牙，Commwarrior病毒可以将病毒发送到手机中联系人的手机上。

(2)蓝牙

蓝牙设备在处于“可发现”模式时会给窃听者提供敏感信息，他们会通过这些信息来访问你的设备。BlueBug攻击可以让攻击者在被攻击的蓝牙手机上拨打电话、发送和接收短信、阅读和编写电话簿联系人、偷听电话内容以及连接至互联网。BlueDump攻击通过蓝牙设备的配对信息破解PIN码。BlueSmack攻击通过发送“ping—of—death”消息，可以使蓝牙设备崩溃。BlueStab攻击利用特殊格式的名字在蓝牙设备自动发现时造成设备崩溃。BlueSnarf可以让攻击者从蓝牙设备上获取联系人信息和日程数据。

(3)播放被精心修改过的多媒体文件

这种攻击方式在固定设备时代就存在，通过诱骗受害人在移动设备上播放被精心修改过的音频或视频文件，造成播放软件造成软件甚至系统的崩溃。

(4)通过与PC机互联

移动设备经常需要与PC机互联，进行数据同步。如果PC机上安装了恶意程序，它会通过两者间的互联通路入侵到移动设备上，窃取数据。

(5)安装未经安全检验的第三方应用程序

有些攻击者在移动应用软件在线市场散布含有恶意代码的应用，或是篡改经过安全认证的应用并在网络上分发。移动设备使用者如果随意从网络上下载应用并安装，很容易感染恶意代码。欺骗的网络连接是针对移动设备的网络层的威胁。移动设备的网络连接通常是无线链路。攻击者可以设置伪装的无线接入站点，引诱用户设备与伪装的接入站点进行连接，从而监听用户的互联网通讯或实施钓鱼攻击。通过伪造GPS信号对目标设备进行GPS欺诈攻击。

3、移动设备安全策略与最佳实践

3.1物理安全策略

在机场、图书馆等公共场所中，注意看管好自己的物品，不要让移动设备离开自己的视线。不要将移动设备存放在没有人照看的汽车中，以防被盗。其他一些防盗措施包括：

(1)记录设备的有关的细节信息：如电话号码、品牌型号、颜色外观、设备ID号、GSM手机的IMEI号码、PIN号码等。

(2)用记号笔在设备和电池上做上标记。如可以写下住址的单元号码、生日日期等等。

(3)启用PIN或者安全锁密码，锁住移动设备

(4)将移动设备的IMEI号码在运营商那里进行注册，一旦设备被盗，可以申请运营商阻断被盗设备。这样做的风险是即使找回被盗设备也无法继续使用了。

另外，采取一定技术手段，一旦移动设备被盗，可以顺利地定位被盗设备的位置。例如可以在移动设备上安装追踪定位软件，当被盗设备接入互联网，它会悄悄地与公司的监控中心联系，公司可以在权威部门的配合下追踪并收回被盗设备。

3.2网络安全策略

在网络接入层对移动设备进行准入认证。安装了指定客户端安全检查软件的移动设备才准予接入网络。这个策略与固定终端网络环境下的要求是一致的。所不同的是，对于移动设备多数情况下使用无线链路，为了避免移动设备接入到欺诈网络，对无线设备的准入控制应该是双向的，即符合准入条件的可以接入企业内网，同时也不能随便接入未经认证的网络。这种阻止移动终端接入非认证网络的工作机制同样是依靠客户端软件与认证服务器之间的通讯进行准入判断。

3.3操作系统及应用程序安全策略

操作系统的安全策略主要包括三个方面，一是正确进行配置，避免因为配置缺陷而遭受攻击。二是避免随意安装未经安全认证的应用程序。三是及时进行系统更新和应用程序的版本升级。为了实现上述目标，应该：

(1)在企业内部建立移动设备的应用程序库，程序库中的应用程序都是经验过安全验证，证实没有安全问题的。移动设备只能从应用程序库中下载安装程序。

(2)为移动设备提供转译服务，避免在移动设备的本地打开附件。

(3)此外还应对移动设备的配置定期进行渗透测试和配置核查，以及时发现移动设备上的各种脆弱性。

3.4数据安全策略

数据安全策略的目的是防止静止和传输中的数据泄露。这些策略包括数据存储和清除以及通信数据的加密两个方面：

(1)企业应该明确规定机密数据范围以及可存放于移动设备的数据的范围。

(2)要求机密数据必须存储于加密空间。

(3)支持远程删除丢失或遭窃设备中的数据。

(4)对重要业务系统的访问需要通过加密通道。

(5)从公网访问企业内网，必须通过VPN链路。

3.5安全管理策略与实践

在固定终端设备中的一些安全管理要求，同样适用于对移动设备的管理。例如对密码口令设置的要求(口令的强度要求以及更换周期等)。

应该以书面形式将前述的各个层面的安全策略以正式的文档公布出来，并要求使用移动设备的员工签订安全责任书，以正式明确相关义务。

落实执行前述安全策略，需要有一套IT支撑系统，从技术上保证对移动设备的统一监控和管理。通常称这个系统称为移动设备管理(MDM，Mobile Device Management)系统。下一章将简述MDM系统应具备的主要功能。

4、MDM系统的核心功能要求

MDM系统已经成为国际公认的新的产品门类，这个领域里的厂商也接近10家，各家的产品功能在细节上虽有差异，但公认的核心功能包括：

(1)设备跟踪定位

移动设备丢失后，监控中心可以根据监控到的信息，追踪到设备的实际位置。

(2)声音告警及归还信息提示

设备如果丢失，能发出告警声音震慑盗窃者。同时提供联络方式，以便捡拾移动设备的人可以根据地址归还设备。

(3)网络准入控制

提供双重网络准入控制，未经认证无法接入办公网，同时不能接入到不可信任的网络。

(4)提供可信的应用程序下载以及附件转译服务

为移动设备提供可信软件下载和邮件转译服务，避免在移动设备的本地打开附件。

(5)远程数据删除

远程删除丢失或遭窃设备中的数据，通过门户、移动Web门户或来自好友设备的短信即可实现。支持对移动设备和SD卡的全部数据的远程管理。

(6)数据加密存储、集中备份和自动恢复

将公司指定的机密数据和个人信息数据存放于加密空间。

(7)应用日志

对通话、短信、彩信、网络浏览等活动记录下日志并进行审计，以便发现滥用行为。

(8)集中监控和用户自服务门户

可以让用户通过门户和简单的设备界面快速执行所需的安全任务、备份、定位、擦除等功能。

5、结束语

随着云计算和无线宽带数据通信的推广普及，移动设备的发展会呈现四大趋势，一是保有数量会加速增长，二是移动终端会逐步取代传统的固定终端。三是智能手机会与现有的平板电脑融合成一个综合性的多功能个人移动信息终端。四是多功能个人信息终端的操作系统在市场大潮的冲刷淘汰下，剩下2-3种主流的系统。

在这种的大发展趋势下，移动信息终端的安全问题还会层出不穷，针对个人信息终端的安全管理将成为企业IT运维人员重点关注的问题。移动设备管理系统已经成为一个专门的安全产品门类。