随着种类繁多的消费类设备不断进入工作场所,首席信息官以及首席信息安全官正面临着一场严峻的信息安全考验。现在,越来越多的用户使用移动设备访问企业服务,查看企业数据,进行业务操作。此外,很多设备不受管理员的控制,这就意味着企业敏感数据没有受到企业现有遵从、安全及数据丢失防护(DLP)等政策的约束。
更为复杂的是,当今的移动设备并不是信息孤岛——它们可以与一个支持云服务和电脑服务的生态系统相连接。一款典型的智能手机至少可以与一个公有云服务同步连接而不受管理员的控制。同时,很多用户也会直接将移动设备跟家用电脑连接,对重要的设置或数据进行备份。就上述两种情况而言,企业的重要资产很有可能储存在某个不受企业直接管理、无安全保障的地方。
当今移动设备在安全方面可以说是鱼龙混杂。此类移动操作平台在设计之初就注重安全性,但这些设备毕竟属于消费品,有时候为了保证产品的可用性,其安全性会打折。这样的折中也使得此类平台广受欢迎,但在办公场所使用这类设备所引发的安全风险便会有所增加。
目前,最受人们青睐的移动设备操作系统有两款,即谷歌Android与苹果iOS。谈及安全方面,这两款主流移动平台与传统的桌面及服务器操作系统所采用的安全模式不尽相同。虽然两种平台都是在现有操作系统(iOS基于苹果OSX操作系统,Android基于Linux操作系统)的基础上开发而来,但每款移动平台都针对自身的核心应用设计更为精密的安全模式,其目标是使移动平台自身就具备良好的安全性,从而摆脱对第三方安全软件的依赖。
那么,苹果和谷歌对创建安全移动平台的探索成功了吗?为了找到答案,我们将分别对两款软件的安全模式以及应用实施进行分析,从而判断它们能否抵御当今主要的网络安全威胁。
例1:iOS操作系统
截至本文撰写之时,安全研究人员已发现,从iOS操作系统发行之初到现在,该系统的所有版本存在大约200种不同的漏洞,但大部分的漏洞问题并不是很严重。攻击者可以利用其中绝大部分的漏洞实现对某个程序的控制,如Safari程序,但他们要实现对设备的管理员级控制却绝非易事。不过其中一部分漏洞导致的问题则非常严重,如果这些漏洞被利用,攻击者可以实现对设备的管理员级控制,这样一来前者就可以获取设备中几乎所有的数据和服务。这类更为严重的漏洞被归类为权限提升型漏洞,因为攻击者可以利用这些漏洞提高自身权限并实现对设备的完全控制。
根据我们统计的数据,截至本文撰写之时,苹果公司平均每12天就要对新发现的漏洞进行修复。
在我们看来,iOS操作系统的安全模式设计良好,并且实践证明它可以抵御多种攻击。总体而言,有以下几方面。
● iOS加密系统能很好地保护邮件及邮件附件,同时也让设备得到清理,但却无法有效防范蓄意攻击者对物理设备进行的攻击。
● iOS系统原理可以确保苹果公司对每款公开应用程序进行检测,但这种检测方式也并不是万无一失,而且几乎可以肯定的是,它能被一些蓄意攻击者绕开。到现在为止,还远不能证明这种方式能很好地防范恶意软件攻击、数据丢失型攻击、数据完整性攻击,以及拒绝服务式攻击。
● iOS隔离模式能够完全防范传统的电脑病毒、蠕虫病毒,还能最大限度地防范数据被间谍软件窃取。同时,它还能防止绝大多数的基于网络的攻击,如避免设备被控制。但是,它无法防范所有类型的攻击,如数据丢失型攻击、资源滥用型攻击或数据完整性攻击。
● iOS权限模式可确保在未得到设备所有者同意的情况下,应用程序无法获取设备位置,无法利用设备发送短信或进行通话等。
● 没有任何一种iOS安全保护技术可以防范如网络钓鱼或垃圾邮件这样的社会工程学攻击。
