| 摘要:随着种类繁多的消费类设备不断进入工作场所,首席信息官以及首席信息安全官正面临着一场严峻的信息安全考验。现在,越来越多的用户使用移动设备访问企业服务、查看企业数据、进行业务操作。但很多设备不受管理员的控制,这就意味着企业敏感数据没有受到企业现有遵从、安全及数据丢失防护(DLP)等政策的约束。 |
Android(安卓)操作系统安全概述
总体而言,相对于传统桌面操作系统及服务器操作系统所使用的安全模式来说,Android(安卓)的安全模式已有了很大的改进,但同时它也存在两大缺陷。首先,它的源系统可以让攻击者在匿名状态下创建和散布恶意软件;其次,其权限系统虽然功能极其强大,但最终却需要用户作出重要的安全决策,然而绝大多数的用户技术能力有限,无法作出此类决策,这个问题已经引发了针对Android(安卓)操作系统的社会工程学攻击。总而言之:
•Android(安卓)系统原理确保只有附带数字签名的应用程序才能在附带Android(安卓)操作平台的设备当中安装。但是,攻击者在未得到谷歌认证的情况下,可以利用匿名的数字证书注册其恶意程序并散布到网络当中。攻击者还可以轻易地通过新的匿名证书使用“木马”或植入恶意代码,进而通过互联网进行二次传播。从积极的一面来看,谷歌确实要求那些想通过Android(安卓)官方应用平台传播其程序的作者付费并在谷歌进行注册(与谷歌共享程序开发者的数字签名)。就像苹果公司的注册方法一样,这种做法可以有效抵御缺乏组织的攻击者。
•Android(安卓)默认隔离策略能有效地在应用程序之间形成隔离,同时也让设备当中安装的绝大多数系统之间形成隔离,包括Android(安卓)操作系统内核。但也会有一些例外情况,如应用程序可以不受限制地读取SD卡上存储的所有数据。
•Android(安卓)系统权限模式确保应用程序独立于设备中几乎所有的主要系统,除非这些应用程序明确要访问这些系统。但不尽如人意的是,Android(安卓)操作系统最终需要用户自己决定是否允许某种程序运行,这样一来,这个系统就有可能遭受社会工程学攻击。因为绝大部分用户技术水平有限,无法作出此类关于安全性的决策,恶意软件以及恶意软件二次攻击(如Dos攻击、数据丢失型攻击等)也就有了可乘之机。
目前,Android(安卓)系统没有提供内置、默认的加密功能,而是依赖上述隔离方式和权限模式来确保数据安全。因此,只要让Android(安卓)手机进行“越狱”或盗取手机SD卡就可能导致大量数据的丢失。
跟iOS操作系统一样,Android(安卓)操作系统对于社会工程学攻击如网络钓鱼或其它基于网络(不针对设备本身)进行诈骗的方式也束手无策。
结论
当今移动设备在安全方面可以说是鱼龙混杂。此类移动操作平台在设计之初就注重安全性。但这些设备属于消费品,有时候为了保证产品的可用性,其安全性会打折。这样的折中也使得此类平台广受欢迎,但在办公场所使用这类设备所引发的安全风险便会有所增加。
风险增加是因为很多员工会把他们自己的移动设备带到办公场所,并且在不被监督的情况下利用这些设备访问企业资源,如:企业日历、通讯录、企业文件、甚至邮件等。员工还经常将这些企业数据与第三方云服务或家用电脑同步连接。这种未被企业直接监管的隐秘连接会导致企业敏感数据通过第三方系统外泄。
总之,移动设备虽然可以大大提高生产率,但也会带来一些新的安全风险,而企业必须管理这些风险。我们希望通过对上述两种移动设备操作系统的安全论述,以及对移动设备可能连接的生态系统的分析,能够为您提供相关的知识,让您更好地发现这些设备的使用价值,并更有效地管理它们带来的安全风险。
责任编辑:Lily
评论表单加载中...
