移动应用安全

信息过量时代的网络安全自保之道

admin

当您的计算设备如个人电脑、智能手机、移动平板或可穿戴式设备开启着的时候,它们就开始制造网络流量,以处理、获取或传播信息。通常可能有些消息提醒让我们很烦恼,因为太多垃圾信息并非我们期望获得的,或者至少来得不是时候。

特别是移动计算设备,那些无休止的提醒仿佛是在帮我们做选择,但是我们真正需要的信息是什么呢?登录设备时,您可能也偶尔会这样思考。至少我是对那些不时蹦出来的无聊的娱乐新闻和变态的社会事件感到厌倦。

其实,我们似乎没有办法逃离这些信息“噪音”,就如同我们无法离开这个社会生活环境。除此之外,即使在自身的专业领域,人们难免也会有一些信息倦怠,我们似乎永远没有足够的时间去了解业界时事和吸取经验教训,更不用说停下来静静地读一读书了。

空闲时间,我抓取了一段个人电脑和移动计算设备的网络数据包,一些发现让我感到困惑。我特意退出个人电脑中正在运行的程序,并且重新启动了移动设备,但是仍然发现了一些意外的DNS解析,和未经DNS解析而直接发向IP的请求。当然啦,如果从网络层看数据流,那必定是从应用层面的N多倍。问题是那些后端的系统和设备是如何区分出人的互动还是终端的自发行为呢?

疑惑之外,我想到了网络安全协议分析技术,在明文传输的时代,数据包会被网络设备途中镜相、截取和重组,并根据标准协议来完成内容的识别。而在加密传输时代,除非拥有密钥,否则到手的是一堆无用的元数据。控管互联网国家出入口的监管当局显然对跨国数据加密传输很不爽,而斯诺登棱镜门事件后,互联网公司纷纷启用SSL加密通讯以保障用户的安全,无疑加重了窃听机构的不满。

可以预见的是借助网络协议分析的网络入侵检测、网络审计、上网行为管理、数据防泄露等等系统的末日不远。如同那些互联网监管机构一样,网络安全界无疑要将未来的工作重点放在两端,即信息服务提供端与信息服务消费终端。对信息服务提供端的监控力度自然会被加强,近来,互联网大佬们被频频召集参加高层网络安全会议,便是例证。

强化对服务提供端的控制至少有两个好处:一、引导大众;二、监控小众。只要互联网公司的商业利益和国家安全利益不冲突,对大众的引导就很容易达成共同目标和行动纲领。这就是为什么我们总会收到那么多“噪音”信息的原因,要避开这些干扰,只有不访问这些网站,不使用他们的移动应用。

通常来说,海量的终端设备、应用及用户引不起中央监控的爱好者们的兴趣,因为即使有兴趣,出手也是大笔投入不值得。但是不免有少量社会安全的“危险份子”,所以,有需要能够在适当的时候找出这些小众并进行特别跟踪甚至追击。于是在各类大型终端软件中设置后门程序便成了合理但并不能公开的秘密,通过输入法来收集和分析全体国民的文字输入,通过筛选敏感字符来定位“危险份子”的做法并不为奇。这些,普通国民本没什么好担心的,即使有冤案,中奖的概率也不会太高。

如果过于担心那点儿隐私,就不要使用网络好了。或者有个中间路线,就是使用国外的产品和服务,骂一骂FBI和NSA这些混蛋们,他们监控到你,也只能干瞪眼,不会跨国来抓你。

总之,信息过量时代的网络安全自保之道便是卸载那些老是提醒您,但您却几个月都不去理会的移动应用。如果想极端一点来保护隐私,那就立即关掉设备的电源!关于移动计算安全的建议,您在撇嘴吗?的确,咱不能因噎废食啊!那就请看一看昆明亭长朗然科技有限公司出品的信息安全意识基础教程中的移动安全在线课程模块吧!几个生动的故事案例会让您大开眼界,不至于让您关闭电源,却能教会您如何识别常见的移动计算安全威胁,以及轻松的应对之道。

messages-overload-and-security-surveillance

移动计算终端的普及,促使相关移动终端安全解决方案瓜熟蒂落

admin

移动计算设备也越来越普及,传统的重点依靠网络安全技术控制手段来保护公司的关键信息资产的方法面临挑战,终端安全成为不少厂家特别是互联网服务商争夺的战场。

抛开针对个人及家庭用户的安全终端保护方案,我们今天的讨论主要面对企业级用户。

首先,我们来简单看一看业务的需求及技术发展的趋势,移动办公、移动商业智能、移动商务甚至移动生产作业等等移动应用大幅提升了工作效率和灵活性,进而使移动设备走向企业级。计算机技术、通信技术、互联网技术的不断发展使移动终端及相关设备越来越便宜,无线WIFI和3G网络的使用资费越来越低。在智能手机以及其他移动终端设备的应用开始走向成熟的时候,企业也正在积极部署各类移动应用。

针对新技术,新应用,信息安全管理人员无疑要有前瞻性的眼光,并且紧紧跟进,要适应业务的灵活性和动态性,针对新形势下的新变化——移动设备和应用的普及,尽快制定和更新适合业务需求的信息安全策略。

应对来自业务部门的移动应用需求,信息安全管理人员要积极响应,大的指导方向是拥抱业务采用创新的移动应用技术,但要保障新技术使用的安全性。

首先和传统的使用方式进行对比,评估移动应用面临的安全威胁,问一问您的内部客户和您自己,移动设备的使用会存在哪些新的漏洞,进而得出移动应用可能对业务带来的安全风险,并且参考业界建议的一些可以降低无线风险的应对措施。

同时,制定移动设备及应用的信息安全策略,评估风险应对措施的可行性和有效性,选择并部署控制措施。

制定移动安全策略不需太细节,高屋建瓴地指明方向即可,不过要注意如下几点:

1.移动应用对业务成功有想当的重要性,但是也面临着新的安全威胁,为了保障业务的安全,当然要保证移动应用的安全;
2.移动终端设备的要求,主要的问题和差别在于是否允许非公司的设备使用移动应用,有的公司有明确的政策,禁止在公司事务中使用私人设备,这是一个很好的政策,可是会加大终端设备的投入。允许使用私人设备虽然使公司减少了投入,但会增加安全隐患,比如员工可能会将工作邮件和文件存放在私人设备上,员工的设备可能未及时修补安全漏洞或不被公司监控等等。
3.指明移动应用及终端的使用需遵守公司的移动安全标准,移动安全标准的制定同公司具体的移动应用情况如控制措施的部署结合起来。

控制措施的选择和部署已经不再是大的障碍,移动平台的标准化促使了大量移动安全解决方案的产生、发展和成熟,当然,既有的安全解决方案也纷纷升级,加入了移动设备的控管功能,在技术上,这些和对传统的网络应用及终端的安全管理并无本质差别。

但是移动设备又有其特性,其便携性使其面临物理安全的挑战,它们更容易丢失或被窃取;同时移动设备也更容易连接到其它非安全的网络中,进而增加被攻击和渗透的可能性;所以移动设备的终端安全对于企业成功的重要性远重于传统桌面计算机,另外,对移动设备的监管,特别是不连接到公司内网时的安全监管目前还是一个技术挑战。

要积极应对移动设备的带来的新的安全挑战,除了要制定移动安全政策和标准、部署或升级控制措施之外,更重要的一项是加强员工的移动设备安全意识教育,让这些移动设备的终端使用者能够拥有基本的移动设备无线网络安全意识,而且掌握充分的移动终端设备的安全知识和技能,不仅能填补安全技术控管的一些空缺或薄弱之处,更能对整体的信息安全管理体系起到促进作用。

小心行得万年船!要使您的公司基业常青,保障业务的持续性,在移动计算时代拥有领先的竞争力,您需要教育员工,在使用移动设备和便携电脑时,请多加留心。

mobile-phone-security