移动应用安全

移动计算终端的普及,促使相关移动终端安全解决方案瓜熟蒂落

admin

移动计算设备也越来越普及,传统的重点依靠网络安全技术控制手段来保护公司的关键信息资产的方法面临挑战,终端安全成为不少厂家特别是互联网服务商争夺的战场。

抛开针对个人及家庭用户的安全终端保护方案,我们今天的讨论主要面对企业级用户。

首先,我们来简单看一看业务的需求及技术发展的趋势,移动办公、移动商业智能、移动商务甚至移动生产作业等等移动应用大幅提升了工作效率和灵活性,进而使移动设备走向企业级。计算机技术、通信技术、互联网技术的不断发展使移动终端及相关设备越来越便宜,无线WIFI和3G网络的使用资费越来越低。在智能手机以及其他移动终端设备的应用开始走向成熟的时候,企业也正在积极部署各类移动应用。

针对新技术,新应用,信息安全管理人员无疑要有前瞻性的眼光,并且紧紧跟进,要适应业务的灵活性和动态性,针对新形势下的新变化——移动设备和应用的普及,尽快制定和更新适合业务需求的信息安全策略。

应对来自业务部门的移动应用需求,信息安全管理人员要积极响应,大的指导方向是拥抱业务采用创新的移动应用技术,但要保障新技术使用的安全性。

首先和传统的使用方式进行对比,评估移动应用面临的安全威胁,问一问您的内部客户和您自己,移动设备的使用会存在哪些新的漏洞,进而得出移动应用可能对业务带来的安全风险,并且参考业界建议的一些可以降低无线风险的应对措施。

同时,制定移动设备及应用的信息安全策略,评估风险应对措施的可行性和有效性,选择并部署控制措施。

制定移动安全策略不需太细节,高屋建瓴地指明方向即可,不过要注意如下几点:

1.移动应用对业务成功有想当的重要性,但是也面临着新的安全威胁,为了保障业务的安全,当然要保证移动应用的安全;
2.移动终端设备的要求,主要的问题和差别在于是否允许非公司的设备使用移动应用,有的公司有明确的政策,禁止在公司事务中使用私人设备,这是一个很好的政策,可是会加大终端设备的投入。允许使用私人设备虽然使公司减少了投入,但会增加安全隐患,比如员工可能会将工作邮件和文件存放在私人设备上,员工的设备可能未及时修补安全漏洞或不被公司监控等等。
3.指明移动应用及终端的使用需遵守公司的移动安全标准,移动安全标准的制定同公司具体的移动应用情况如控制措施的部署结合起来。

控制措施的选择和部署已经不再是大的障碍,移动平台的标准化促使了大量移动安全解决方案的产生、发展和成熟,当然,既有的安全解决方案也纷纷升级,加入了移动设备的控管功能,在技术上,这些和对传统的网络应用及终端的安全管理并无本质差别。

但是移动设备又有其特性,其便携性使其面临物理安全的挑战,它们更容易丢失或被窃取;同时移动设备也更容易连接到其它非安全的网络中,进而增加被攻击和渗透的可能性;所以移动设备的终端安全对于企业成功的重要性远重于传统桌面计算机,另外,对移动设备的监管,特别是不连接到公司内网时的安全监管目前还是一个技术挑战。

要积极应对移动设备的带来的新的安全挑战,除了要制定移动安全政策和标准、部署或升级控制措施之外,更重要的一项是加强员工的移动设备安全意识教育,让这些移动设备的终端使用者能够拥有基本的移动设备无线网络安全意识,而且掌握充分的移动终端设备的安全知识和技能,不仅能填补安全技术控管的一些空缺或薄弱之处,更能对整体的信息安全管理体系起到促进作用。

小心行得万年船!要使您的公司基业常青,保障业务的持续性,在移动计算时代拥有领先的竞争力,您需要教育员工,在使用移动设备和便携电脑时,请多加留心。

mobile-phone-security

移动应用威胁报告称社交网络应用最危险

admin

智能设备的白菜价让深圳不少平板电子设备的投资人血本无归,人们再次明白了一个道理——没有品牌的价格战撑不了多久。而一个知名品牌的建立,需要漫长的时间和努力。好事不出门,坏事传千里,在如今的移动计算时代,稍有不慎,便可能让公司的商业信誉扫地,前期积累的良好形象毁于一旦。虽然建立知名品牌路途艰难,但是我们也得努力实践最佳的商业操作实践,知难而上,坚持不懈,永不放弃。

话说回来,高性能、低价格让移动设备日益普及,大量的移动应用程序让简单的互联网计算工作变得轻而易举甚至快乐无比。昆明亭长朗然科技有限公司James Dong称:PC无疑将变成专业设计和高强度计算的配置,而将大量傻瓜式的应用让给智能便携设备。

与此同时,移动设备的安全使用正逐渐成为人们关心的焦点。数以百万级的移动应用中有哪些是高危的呢?最近一项调查报告显示:多数移动应用程序都存在如下几个方面的安全隐患:

1.搜集和分享用户隐私,大部分的APP都会搜集用户身份相关信息,并分享给第三方机构进行谋利。

2.泄露用户数据,部分APP会造成数据丢失,比如对外泄露个人文件及公司敏感信息。

3.窃取用户身份,部分APP会导致用户身份的盗窃和越权滥用,最终影响用户的信誉。

4.设备接管或克隆,有些APP可以暴露用户设备配置和网络服务信息,进而让犯罪份子接管或克隆这些设备的通讯。

5.传播恶意代码,将PC时代的所有恶意代码传播和利用的恶行如窃取资料、发送垃圾信息和分布式拒绝服务攻击等等,都转到移动计算设备上。

在不少分类的移动应用中,社交媒体程序是最危险的一类,除了少量的相对安全之外,绝大多数存在如上几条安全隐患——侵犯隐私、泄露数据、接管设备并且传播病毒。

调查还发现:一些本来很“清白”的应用也让人们大失所望,用来美化设备的界面主题和背景壁纸等等噱头大,除了广告之外,还意外地披露用户的敏感数据。而用于商业生产力的应用程序也不老实,轻易的分享和上传下载功能让企业信息数据面临全新风险,安全控管日益成为难点。

而一些关于生活时尚、健康保健等的软件多数让人担忧,厂商想搜集这些数据进行深度利用或分享给第三方谋利。联想到大量智能穿戴设备几乎都会搜集和上传用户使用信息,这让我们不得不担心个人隐私和健康资料的安全保护。

而通讯方面的APP更是让人揪心,非法挖掘通讯录数据库、通话记录和短信和应用软件日志并将它们私自转送到第三方已成常态。如果用于工作目的,公司的敏感内容如员工目录和往来邮件可轻易被恶意获得并非法曝光。

BYOD来临,移动设备开始越来越多进入工作场所,公司应该如何有效应对呢?研究报告给出了简单的建议:监控和限制能够连接到公司网络的APP。昆明亭长朗然公司James表示:从技术控管方面来讲,这是一个很不错的行事方向;然而我们需要更多,在策略方面,我们要制定出合适的移动终端接入和APP使用规范;在终端人员的安全意识和能力方面,我们无疑也需要进行强化,让用户们掌握基本的移动设备安全使用技能,让用户们拥有足够的移动应用安全认知是前所未有的挑战。