背景:
在移動互聯(lián)的浪潮中,手機移動辦公憑借其便捷性成為時代的潮流和趨勢,但是在實施過程中卻面臨諸多信息安全問題,讓很多企業(yè)望而卻步。與PC辦公相比,其安全威脅主要來自以下幾個方面:
首先是網(wǎng)絡(luò)安全問題;移動設(shè)施連接的網(wǎng)絡(luò)不像PC設(shè)備相對固定,其連接網(wǎng)絡(luò)卻是五花八門,可能是移動運營商的3G、4G網(wǎng)絡(luò),也可能是公司、家里、公共場合的WIFI網(wǎng)絡(luò),還可能是一些釣魚WIFI、偽基站網(wǎng)絡(luò),這其中危機四伏,黑客們可以輕易的通過DNS域名解析或ARP欺騙等手段輕易地獲取涉密信息。近幾年公安部偵破的網(wǎng)絡(luò)詐騙案,詐騙團伙大都是通過網(wǎng)絡(luò)得手的。
其次是用戶手機丟失、更換、被偷窺導(dǎo)致的泄密;
再次是用戶主動泄密。移動設(shè)備用戶隨身攜帶,想竊取其中的文件,公司無法控制。
最后是后門軟件,這一點PC也存在,但是手機不像PC,公司可以通過網(wǎng)絡(luò)安全設(shè)備、殺毒軟件等手段對PC上的惡意軟件予以限制、清除,對于手機這個威脅就嚴(yán)重多了。
解決方案剖析:
面對上述移動信息安全隱患,目前應(yīng)對的技術(shù)解決方案也有很多,主要有:MDM(Mobile Device Manager)方案、虛擬移動設(shè)施(VMI)等,作為企業(yè)信息安全管理的技術(shù)人員,可以通過了解產(chǎn)品的安全防范原理來選擇合適的產(chǎn)品。下面我們將介紹各種解決方案的防范原理和代表產(chǎn)品。
MDM的全稱是移動設(shè)備管理,通常還包含MAM(移動應(yīng)用管理)和MCM(移動內(nèi)容管理)。該方案的思想是通過管控移動設(shè)備、以及設(shè)備上的應(yīng)用和內(nèi)容的方式來進行信息安全管控。
在實現(xiàn)上,就是在移動終端(手機、平板)上安裝一個超級“木馬”的客戶端程序,通過該客戶端程序,管理員可以在管理后臺對用戶的手機進行控制,比如:遠程鎖屏、修改手機密碼、手機回復(fù)出廠設(shè)置、收集通話記錄、短信、位置信息、應(yīng)用遠程安裝卸載以及外設(shè)(USB、藍牙、照相機、網(wǎng)絡(luò)等)開啟禁用等。其實現(xiàn)原理實際是管理員在管理后臺發(fā)送控制指令到設(shè)備終端的MDM客戶端程序,MDM客戶端程序再通過設(shè)備操作系統(tǒng)的MDM編程接口控制終端設(shè)備。該方案是從黑莓手機逐步發(fā)展演變而來,相對比較成熟,已在廣泛應(yīng)用。該方案還存在以下不足:
對設(shè)備依賴較大,兼容性不足。很多功能在IOS上無法實現(xiàn);在一些深度定制的Android手機上,很多功能也無法實現(xiàn)。經(jīng)常會出現(xiàn)有的控制功能在有的手機上行,有的手機上不行。
侵犯用戶隱私。MDM的遠程控制功能非常強大,管理員在后臺可做的遠程操作遠超過用戶拿著手機可做的直接操作。相當(dāng)于用戶手機上的個人隱私完全暴露給公司管理員。在BYOD的場景項目推動會有阻力。
存在較大的安全漏洞,如員工想竊取公司機密MDM很難防范,在Android手機上MDM的實現(xiàn)依賴于Android操作系統(tǒng),Android手機的廠商眾多,從業(yè)者良莠不齊。
用戶很容易通過修改Android操作系統(tǒng)代碼讓MDM徹底失效,重新刷機安裝做過手腳的Android系統(tǒng)讓MDM徹底失效。
目前比較典型的MDM方案主要包含:AirWatch(WMWare收購)、思可信的MobileIron、思捷的XenMobile、華為的Anyoffice、國信靈通的NQSky EMM、天暢的ZIYA EMM。這些方案在組織形式和細節(jié)功能上有所差異,但整體功能和結(jié)構(gòu)上大致相同。主要功能集中在移動設(shè)備的生命周期管理和安全管理。
VMI(Virtual mobile infrastructure)就是虛擬移動設(shè)施,通俗講就是Android遠程桌面,是一個新生事物,方案類似PC云桌面辦公,即在公司的內(nèi)網(wǎng)服務(wù)器上部署大量運行Android系統(tǒng)的虛擬機,用戶通過自己的移動設(shè)備遠程登錄Android系統(tǒng),象Windows遠程桌面一樣操作遠程的虛擬Android手機。按照該方案,公司的各類移動辦公軟件只需在內(nèi)網(wǎng)Android虛擬機中安裝運行,無需在用戶手機中安裝。用戶手機上只需安裝一個遠程Android系統(tǒng)的登錄軟件,該軟件以圖片的形式展示遠程Android系統(tǒng)操作界面。目前中興通訊的子公司中興網(wǎng)信推出了一款叫做“云盾”的Android遠程桌面產(chǎn)品,該產(chǎn)品和MDM相比有以下優(yōu)勢:
1、安全性高,應(yīng)用運行在云端、手機端只是展示畫面,網(wǎng)絡(luò)傳輸?shù)囊仓皇且恍﹫D元繪制命令,因此在網(wǎng)絡(luò)傳輸和移動終端基本不涉及業(yè)務(wù)數(shù)據(jù),安全性非常高。也不存在通過對Android操作系統(tǒng)做文章竊取數(shù)據(jù)的問題。
3、設(shè)備兼容性、用戶個人隱私保護方面優(yōu)勢明顯,無需對用戶的移動設(shè)備進行嚴(yán)格管控,對移動的操作系統(tǒng)也沒有特別的依賴,完全兼容主流的Android、IOS設(shè)備。
3、可以減少企業(yè)后續(xù)移動信息化成本。企業(yè)上了VMI后,所有移動應(yīng)用都放在云端,因此企業(yè)的移動應(yīng)用只要做Android客戶端即可,無需再做IOS客戶端。另外后續(xù)的移動應(yīng)用也無需再考慮安全問題,軟件的發(fā)布、更新等也更方便,直接在云盾控制。研發(fā)成本、后期管理成本都可大大降低。
VMI基本上解決了MDM方案的不足,但是其本身也還存在以下不足:
1、 對網(wǎng)絡(luò)帶寬消耗較高,目前幾款VMI產(chǎn)品的帶寬占用差不多在300bps左右,實際的流量消耗與所做的操作有關(guān),會有偏差,在不操作遠程界面時不會產(chǎn)生流量。從實際體驗來看,在3G網(wǎng)絡(luò)環(huán)境信號不大穩(wěn)定的情況下,界面操作會有卡頓,但是在4G網(wǎng)絡(luò)、正常WIFI網(wǎng)絡(luò)下,與操作本地手機基本無異,用戶體驗完全可以接受。這個網(wǎng)絡(luò)要求也許對于企業(yè)的管理層不是問題,但對于普通員工要求還是比較高的。
2、 虛擬機端的服務(wù)器資源消耗較大,基本上一個虛擬機要分擔(dān)100元左右的服務(wù)器硬件成本。
VMI的代表產(chǎn)品除了中興網(wǎng)信的云盾外,還有國外的Hypori、Nubo 、remotium、sierraware等,這項技術(shù)在國外,以及在國內(nèi)的政府、金融、司法、大企業(yè)等領(lǐng)域已有大量應(yīng)用。
綜上所述,MDM相對成熟,成本低廉,但是存在安全漏洞、侵犯用戶隱私、設(shè)備兼容性差等缺陷;VMI相對MDM優(yōu)勢明顯,代表的是技術(shù)發(fā)展趨勢,但現(xiàn)段對網(wǎng)絡(luò)要求高、實施成本高。對于信息安全要求高的企業(yè)可以考慮對管理干部或?qū)π畔踩舾械膯T工實施VMI。對于廣大普通員工實施MDM,這樣既能做到安全合規(guī)又能尊重用戶隱私,也能兼顧實施成本。