企业移动设备安全引关注

前两天和一名安全界资深人士聊起金融安全,说到如U盾等身份认证动态令牌的市场被移动金融化冲击严重,近来出货量大减,不仅有些感叹这个消费时代变迁之快。现在,无论是谁,都敢大胆地预测:步消费市场移动化进程之后,企业应用的移动化进程也将持续加速,移动计算的安全问题将越来越突出。

说到企业级的移动应用,昆明亭长朗然科技有限公司移动安全专员董志军表示有话要说。移动设备在企业级的应用主要包括两个方面:一、业务流程的移动化,餐饮、电商、物流、客服等行业为提升作业效率和便利性,早已实施了移动化战略;二、协同沟通系统的移动化,包括移动办公、邮件会议、即时通讯等等,在链锁型或有分支机构的企业,以及员工经常外出工作的企业非常突出。

即使在移动化进程非常保守的企业级客户也面临两方面的压力:一、苹果、谷歌、三星、华为、联想等国际大厂商在成功占领大众消费市场后,纷纷发力布局企业级移动计算市场,企业移动计算及安全管理解决方案日渐成熟,其商业价值和优越性也越来越明显;二、几年来个人移动终端市场一直保持高速增长,企业用户们也都有了大量的移动计算消费体验,他们渴望有更多的企业移动应用。

综上所述,企业应用的移动化进程无疑仍将加速紧追消费者市场。同时,企业级移动计算的安全问题也将越来越受到重视。为什么这么说呢?昆明亭长朗然公司董志军说:有如下几点原因。

一、PC端的安全防范日益成熟和稳固,与此同时,移动计算设备却越来越普及,在终端出货量上已经甩出PC一大截。针对移动计算设备和应用的恶意代码开发、漏洞挖掘和入侵渗透都成为近几年黑客们相互追赶的一种时尚,而企业界对此的研究以及应对却显得落后很多。移动计算设备是个大舞台,而在短期内,攻防双方的力量差距相当悬殊,基于移动计算设备的安全事故自然会越来越多。

二、让我们从黑客经济学的角度思考,黑客入侵个人用户移动终端的主要目标是以网络诈骗、金钱勒索等等为主。针对企业级用户的移动设备入侵目标在于窃取机密商业数据、损毁企业形象和进行网络破坏,相关的移动应用及终端难以避免地会成为攻击者的目标或工具。入侵移动计算设备的商业价值,首先会被人们想到的是硬件的利益,除了前沿而高端的设备尚有一些市场价值之外,普通移动终端的价值显然只能引起街头窃贼们的兴趣,黑客们更在乎的是窃取用户的身份,并通过冒用身份进行更多企业信息的获取。除此之外,在获取了移动设备的访问权限之后,黑客还可以利用它们做跳板,来入侵更多企业级的应用和获取更多信息数据。

三、攻击者的互联网思维影响移动设备中的其它应用,早在2014,我们就已经看到“固若金汤”的iOS中的不少应用都陷落了,而安卓市场虽然经历了不少行政监管方面的整治,但是安卓系统存在的先天性应用分发缺陷并不是那么容易解决的。所以,包括企业移动设备在内的海量智能移动终端无疑仍然将是黑客们的目标,通过批量制造和颁发恶意应用,进而达到控制终端设备、建立移动僵尸网络并通过进一步利用来谋取不法利益的罪恶目的。

四、开放式的无线网络不断增加,只要存在免费的无线网络,用户就会尝试使用移动计算终端进行连接和使用,当然网络犯罪分子也不例外,他们可能通过建立假的免费无线热点、实施ARP欺骗等手段来进行网络窃听甚至发起中间人攻击以篡改信息通信。

五、随着移动支付等的应用越来越广泛,移动POS机等必将成为黑客热衷挑战的目标,近几年就有不少关于POS安全漏洞的问题。非接触式手机支付也逐渐从概念提出、少量商用进入到生态链搭建的阶段,尽管广泛使用可能仍然需要一些时间,但是这些占领跑钱的系统无疑是所有黑客们的梦想。

六、移动计算设备的便携性不仅让其流离于传统的网络边界保护之外,更让传统的防病毒、防火墙、IPS等安全保障系统无用武之地。而移动系统版本的快速而频繁的升级,也让独立移动安全管理软件开发商们疲于追赶,同时也在严重挤压着他们的生存空间。少了独立移动安全管理软件厂商的帮助,企业用户似乎只能受制于原厂商了。

七、关键领域如电子政务、电力通讯、金融能源、航空交通、电商配送等重点监管行业往往是移动化需求急切的行业,也是最为关注移动安全问题的行业,但是在考虑到国家政治安全时,显然没有人敢完全信任谷歌和苹果这些美国公司的系统,中国自己建立移动操作系统并非不可能,但解决移动生态链的问题才是关键。

八、移动计算设备是获取企业信息的计算终端,与PC相比,移动应用往往将用户身份验证信息存储在设备本地,这样可以免去每次登录的输入,提升工作效率。同时,这也方便了犯罪分子们,借助被控制的移动计算终端,他们可以轻易盗用企业用户的身份,进行涉密信息的攫取。

受消费性移动应用的影响,企业计算移动化的潘多拉魔盒已经开启,请重视起来,及早制定应对之策吧!昆明亭长朗然科技有限公司专注于帮助企业级的单位提升职员的信息安全意识,其中包括移动安全意识,我们的课程内容也特定为移动计算用户所设计,适合移动工作和学习。欢迎联系我们了解更多详情。

电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:info@securemymind.com
QQ:1767022898

mobile-computing-security

保护智能手机安全的基础知识

smartphone-security-tips
智能手机不但被用来接打电话,更多的会被用来存储和访问敏感信息。对于职场商业人士来讲,智能手机更是随时随地跟从我们的个人数字助理,所以,想不在它们上面存储敏感信息都不是件容易的事儿。

智能手机功能强大,信息存储和处理能力也很强,体积轻巧又便于携带。当然优点也是可能是缺点,智能手机也面临很多安全问题,设备本身可能意外丢失,可能被非法盗用,信息也可能被偷听偷看。

如何正确保护智能手机的安全呢?昆明亭长朗然科技有限公司科技有限公司的移动设备安全观察员James Dong说:在之前的博客中我们有多次讨论过移动终端的安全,智能手机也是一种主要的移动终端,对它们的安全保护其实也没有太多的差异。不过我们今天要分享一些新的利器,来更有效地保障智能手机的安全。

有人说,只要您的设备落入他人之手,密码被破解或越过、敏感资料被访问或恢复等等都是无可避免的。我们不能否认高手能够轻易将智能手机系统重置或恢复到出厂设置,也能读取智能手机存储卡中的内容,甚至恢复以前曾经删除过的文件等。但是我们可以使用一些工具和方法,让这些工作难以进行,甚至无法付诸实践。

如同个人电脑一样,多数移动应用将个人数据明文存储于手机存储卡中,对于重视信息安全的职业人士,这显然过于轻浮。特别是承载公司及个人成功的重要邮件、短信、即时通讯、社交记录和敏感文档等等,它们需要被加密之后再保存到手机的存储卡之中。My Eyes Only是手机应用密码的一个存储器,NitroDesk TouchDown是一个不错的邮件安全方案,Droid Crypt则可提供应用层面的数据加密。

除了存储之外,人们可能也比较关心通讯的加密,以防中途窃听,看看电子市场旁边推销窃听器的就知道这是个严肃的问题。PhoneCrypt和KoolSpan是电话加密方面比较经典的成熟产品,SafeSlinger则是短信加密通讯的免费利器。

前面我们主要列举了一些国外的产品,实际上国内也有不少类似的东西,只是这种软件处于灰色地带,官方出于安全监控的需求不会允许市场做起来,开发者做软件的目的不确定,手机软件市场又良莠不齐,所以由国人制作的这些软件一般不够可靠。

另外,我们不要忘了,智能手机的厂家往往也会提供一定的安全功能和特性,熟知和启用它们才是正道。在访问控制层面,很多新的技术利用人们对一件事物的记忆或偏好而来替代密码,这显然是一项进步。除了设置锁屏功能之外,不断地更新操作系统及移动应用也是保障智能手机安全的一项重要工作。

还有,我们要说选择一款安全的智能手机不容易,大小厂商都喜欢向手机中流入大量自家或合作商家的移动应用,加之部分定制机又加入运营商的不少程序,垃圾软件越多,安全问题也越多。甚至有小厂商敢在手机硬件上不赚钱甚至亏本都要推软件,因为他们的赢利模式就是依赖强制捆绑广告。

而“手机预装应用软件需可卸载”的新规虽然在保护用户个人信息方面有不少规定,但是在“基本功能软件”的认定方面还有讨价还价的空间,在政策执行方面也还有很多路要走,不少人选择自行提高权限来卸载预装软件也是无奈之路。当然,Jailbreak和root都是有不少安全风险的,所以我们还是建议使用大牌主流的产品。

最后,随着智能手机的应用越来越多,手机摔坏或更换带来的的通讯录、个人配置的损失也是近年来令商务人士头痛的一个问题,尽管有很多手机迁移工具,人们仍然希望能够在个人数据的保护方面“万无一失”,这就需要强大的移动数据安全解决方案,一款名叫dr.fone的软件集数据迁移、备份、恢复、找回,以及手机的维修、解锁和root等功能于一身。值得一试。

要说,对电脑用户来讲,手机的那点操作实在是小儿科。然而,保障智能手机乃至移动计算安全并不仅仅是技术和技能方面的问题,更多的是人们安全意识方面的问题。这就需要我们加强移动安全方面的宣传教育,特别是对于企业级用户来讲,在将移动计算应用于业务流程、办公自动化以及内部沟通的同时,必须对移动安全引起足够的重视,必须强化终端计算设备的安全,提升使用人员的安全防范意识。

在移动设备的安全使用教育方面,昆明亭长朗然科技有限公司出品了几部动画视频和电子教程,欢迎有兴趣的朋友联系我们,预览作品和洽谈采购合作。

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898