企业移动设备安全引关注

前两天和一名安全界资深人士聊起金融安全,说到如U盾等身份认证动态令牌的市场被移动金融化冲击严重,近来出货量大减,不仅有些感叹这个消费时代变迁之快。现在,无论是谁,都敢大胆地预测:步消费市场移动化进程之后,企业应用的移动化进程也将持续加速,移动计算的安全问题将越来越突出。

说到企业级的移动应用,昆明亭长朗然科技有限公司移动安全专员董志军表示有话要说。移动设备在企业级的应用主要包括两个方面:一、业务流程的移动化,餐饮、电商、物流、客服等行业为提升作业效率和便利性,早已实施了移动化战略;二、协同沟通系统的移动化,包括移动办公、邮件会议、即时通讯等等,在链锁型或有分支机构的企业,以及员工经常外出工作的企业非常突出。

即使在移动化进程非常保守的企业级客户也面临两方面的压力:一、苹果、谷歌、三星、华为、联想等国际大厂商在成功占领大众消费市场后,纷纷发力布局企业级移动计算市场,企业移动计算及安全管理解决方案日渐成熟,其商业价值和优越性也越来越明显;二、几年来个人移动终端市场一直保持高速增长,企业用户们也都有了大量的移动计算消费体验,他们渴望有更多的企业移动应用。

综上所述,企业应用的移动化进程无疑仍将加速紧追消费者市场。同时,企业级移动计算的安全问题也将越来越受到重视。为什么这么说呢?昆明亭长朗然公司董志军说:有如下几点原因。

一、PC端的安全防范日益成熟和稳固,与此同时,移动计算设备却越来越普及,在终端出货量上已经甩出PC一大截。针对移动计算设备和应用的恶意代码开发、漏洞挖掘和入侵渗透都成为近几年黑客们相互追赶的一种时尚,而企业界对此的研究以及应对却显得落后很多。移动计算设备是个大舞台,而在短期内,攻防双方的力量差距相当悬殊,基于移动计算设备的安全事故自然会越来越多。

二、让我们从黑客经济学的角度思考,黑客入侵个人用户移动终端的主要目标是以网络诈骗、金钱勒索等等为主。针对企业级用户的移动设备入侵目标在于窃取机密商业数据、损毁企业形象和进行网络破坏,相关的移动应用及终端难以避免地会成为攻击者的目标或工具。入侵移动计算设备的商业价值,首先会被人们想到的是硬件的利益,除了前沿而高端的设备尚有一些市场价值之外,普通移动终端的价值显然只能引起街头窃贼们的兴趣,黑客们更在乎的是窃取用户的身份,并通过冒用身份进行更多企业信息的获取。除此之外,在获取了移动设备的访问权限之后,黑客还可以利用它们做跳板,来入侵更多企业级的应用和获取更多信息数据。

三、攻击者的互联网思维影响移动设备中的其它应用,早在2014,我们就已经看到“固若金汤”的iOS中的不少应用都陷落了,而安卓市场虽然经历了不少行政监管方面的整治,但是安卓系统存在的先天性应用分发缺陷并不是那么容易解决的。所以,包括企业移动设备在内的海量智能移动终端无疑仍然将是黑客们的目标,通过批量制造和颁发恶意应用,进而达到控制终端设备、建立移动僵尸网络并通过进一步利用来谋取不法利益的罪恶目的。

四、开放式的无线网络不断增加,只要存在免费的无线网络,用户就会尝试使用移动计算终端进行连接和使用,当然网络犯罪分子也不例外,他们可能通过建立假的免费无线热点、实施ARP欺骗等手段来进行网络窃听甚至发起中间人攻击以篡改信息通信。

五、随着移动支付等的应用越来越广泛,移动POS机等必将成为黑客热衷挑战的目标,近几年就有不少关于POS安全漏洞的问题。非接触式手机支付也逐渐从概念提出、少量商用进入到生态链搭建的阶段,尽管广泛使用可能仍然需要一些时间,但是这些占领跑钱的系统无疑是所有黑客们的梦想。

六、移动计算设备的便携性不仅让其流离于传统的网络边界保护之外,更让传统的防病毒、防火墙、IPS等安全保障系统无用武之地。而移动系统版本的快速而频繁的升级,也让独立移动安全管理软件开发商们疲于追赶,同时也在严重挤压着他们的生存空间。少了独立移动安全管理软件厂商的帮助,企业用户似乎只能受制于原厂商了。

七、关键领域如电子政务、电力通讯、金融能源、航空交通、电商配送等重点监管行业往往是移动化需求急切的行业,也是最为关注移动安全问题的行业,但是在考虑到国家政治安全时,显然没有人敢完全信任谷歌和苹果这些美国公司的系统,中国自己建立移动操作系统并非不可能,但解决移动生态链的问题才是关键。

八、移动计算设备是获取企业信息的计算终端,与PC相比,移动应用往往将用户身份验证信息存储在设备本地,这样可以免去每次登录的输入,提升工作效率。同时,这也方便了犯罪分子们,借助被控制的移动计算终端,他们可以轻易盗用企业用户的身份,进行涉密信息的攫取。

受消费性移动应用的影响,企业计算移动化的潘多拉魔盒已经开启,请重视起来,及早制定应对之策吧!昆明亭长朗然科技有限公司专注于帮助企业级的单位提升职员的信息安全意识,其中包括移动安全意识,我们的课程内容也特定为移动计算用户所设计,适合移动工作和学习。欢迎联系我们了解更多详情。

电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:info@securemymind.com
QQ:1767022898

mobile-computing-security

浅谈移动计算及云计算时代的网络安全

政府、金融和商业机构越来越依赖于基于移动计算和互联网的交易访问,因此,网络安全已受到越来越多的关注,特别是终端设备的安全以及用户账户的安全。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:传统上,信息总监或经理会认为,数据不应该离开工作区域,政府的数据在行政服务中心,银行的数据在服务网点,商业机构的数据在工厂和门店。移动计算和互联网的发展,让这些传统的工作区域缩减甚至消失了。现在,各类机构的工作区域转移或跳转到了“云端”和“终端”。因此保护这些数据的工作变得更加更具挑战性和复杂性。

据统计,世界上的移动劳动力正在不断增加,从2020年的大约50%,到2030年的至少90%的预计增长。当今的专业工作者被要求在任何地点、任何时间进行工作,当然越来越多地通过任何工作设备。那么,我们如何增强对数据安全性的信任,同时又不使用户体验复杂化呢?正确的解决方案是安全政策和安全技术的结合。对此,董志军表示:各种类型各种规模的组织必须在工作方式上建立和更新安全政策及安全文化,尤其针对在办公室之外的工作。此外,信息安全管理团队必须使用适当的技术工具,以使用户具有信息技术所需的控制性、可见性和灵活性。

加强安全的关键是预防,安全成功的关键起点是安全政策,政策需要人们的理解、认可和执行。因此,制定有人性化的、浅显易懂的、可执行的网络安全政策,是确保新的移动计算与云计算时代信息安全的关键措施。此外,再好的政策也需要沟通,加强与员工们进行信息安全政策的互动宣传,有助于强化员工们对安全政策的理解,只有员工们理解了相关的政策、规则和要求,他们才会认真对待。具体的沟通要注意接地气,不要玩假大空的愚弄玩法,员工们可不傻。正确的安全沟通可以使员工们不仅知道他们应该做什么,而且知道他们为什么要这样做以及不遵守规则的后果。

尽管技术是安全的促成因素,对安全的帮助很大,但是技术不是万能的,技术需要人们来使其发挥安全作用。如果获得网络访问、共享和传输文件的技术简单、无缝和安全,那么它将促进业务成功。反之,操作复杂、难以使用、不被人们所理解的安全技术往往会成为业务成功的羁绊。

总之,所有考虑为其员工提供移动工作解决方案的组织都必须使安全性成为其工作不可或缺的一部分。在移动计算和云计算时代,网络安全解决方案应与工作人员的计算环境相匹配,并应具有解决现代劳动力分散现实所需的灵活性。提供必要的移动工作安全政策及技术措施对于确保远程员工的生产力及信息安全至关重要。只有相关的安全政策和安全技术得到员工们的理解和使用,安全性才能有保障,移动化工作才能真正成功。

昆明亭长朗然科技有限公司常年致力于帮助各类型的组织机构进行员工网络安全意识教育,我们团队拥有丰富的企业信息安全管理经验,对网络安全政策和技术有深入的理解和认识。我们创作了大量的安全意识培训课程资源,同时不断推出新的知识内容,并且为客户提供量身定制的安全教育内容生产服务。欢迎希望更新安全意识教育内容,或者需要创新安全意识内容及形式的客户及合作伙伴联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898