移動設備的存在，不僅僅改變了作為個體的生活方式，GigaOm的一份***報告顯示，有38%的受訪企業(yè)已經不同程度的在IT中應用了移動設備，而43%的受調查企業(yè)計劃在1年內引入移動設備應用，而財富500強中65%的企業(yè)，已經不同程度部署了i-Pad。用戶已經習慣用Blackberry收發(fā)郵件，用平板電腦為客戶做演示，用移動設備遠程接入企業(yè)網(wǎng)絡獲取信息，在線溝通，或者分享日程。

移動設備作為信息存儲、使用與傳遞的新載體而被應用，面臨著與傳統(tǒng)的筆記本、臺式機等傳統(tǒng)設備一樣的信息安全風險，不但如此，由于移動設備一些不同于傳統(tǒng)IT應用的新特點，移動設備應用還為組織帶來了更新的安全挑戰(zhàn)，內網(wǎng)安全企業(yè)，也必須需要適應這一趨勢的發(fā)展。

基于設備特征識別技術的精細化設備使用授權

從***出現(xiàn)的U盤、移動硬盤，到數(shù)碼相機、播放器，再到***的智能手機、平板電腦，拋開其軟件應用不談，這些設備內部大部分都存在著巨量的存儲空間。從早期的幾百MB到現(xiàn)在的動輒幾十GB，對于稍小一些的企業(yè)，一個32G的i-Pad可能已經足夠存儲其所有的數(shù)據(jù)并被輕易轉移。隨著藍牙、wifi、USB等技術的普及，設備之間的信息傳輸也變得***的方便，如果組織執(zhí)行嚴格的IT安全策略，那么出于安全的考慮，移動設備可能會被全盤禁止，包括USB端口、藍牙等甚至可能被禁用;然而，對于那些信息安全策略不那么嚴格的組織，全盤否定的移動設備策略又犧牲了可用性。這時，為不同的移動設備精細化區(qū)分授權就成為必然的選擇。

我們一直都倡導精細化管理的理念，所在團隊研發(fā)的IP-guard較早已實現(xiàn)了對于USB設備的精細化區(qū)分控制，例如對USB鍵鼠與USB存儲的區(qū)分，以及通過各種端口與主機進行連接的識別與控制。未來，隨著智能手機、平板電腦等的廣泛采用，內網(wǎng)安全企業(yè)對不同設備的識別技術會更加準確和深入，包括基于硬件、操作系統(tǒng)等信息的識別。

基于802.1x準入控制技術的移動設備準入控制技術的完善

移動設備的一大特征，就是可以方便的接入無線網(wǎng)絡。借助無線網(wǎng)絡，智能手機、平板電腦等可以經由局域網(wǎng)甚至互聯(lián)網(wǎng)，接入到企業(yè)的內部網(wǎng)絡中，訪問和使用關鍵網(wǎng)絡位置的信息資源，最為常見的應用就是Email。

另外，基于目前云計算的大趨勢，越來越多的應用在云端而不是在本地被處理和運行，無論是公有云、私有云，還是SaaS，用戶所需要的只是一個可以接入云的終端。試想一下，無論是CRM還是ERP，或者是其他的業(yè)務系統(tǒng)，只要放在云端，你需要的只是i-Pad或智能手機這樣簡單的設備接入，然后處理業(yè)務流程。這無疑大大加速了企業(yè)的信息化進程和信息處理速度。

然而，正像上面描述的一樣，有革命性的進步，就有對應的風險。對于云計算大背景下的移動設備接入而言，網(wǎng)絡準入無疑要發(fā)揮更重要的角色。

相對于目前較成熟的802.1x準入控制機制，對接入到內網(wǎng)的移動設備進行管理要更加困難。802.1x技術大部分會與基于Windows平臺的AD域管理相結合，而i-OS、Android等目前流行的移動系統(tǒng)卻與Windows平臺有本質的不同。因此，大部分IT管理員都會將接入的移動設備劃入802.1x管理下的來賓帳戶，也就意味著這些設備對于內部網(wǎng)絡的訪問受到了***的限制，無法滿足現(xiàn)實的需求。

針對上面的難題，一個可行的趨勢是通過識別移動設備的MAC、硬件、系統(tǒng)等"指紋"并將其映射到已有的基于802.1x和組策略配置的準入系統(tǒng)下。目前，已有部分公司的產品初步實現(xiàn)了這一功能，例如ArubaNetworks公司的AmigopodVisitorManagementAppliance(VMA)。此產品基于監(jiān)控DHCP和HTTP信息來識別不同設備的指紋，并將信息映射到正確的訪問控制策略中，從而實現(xiàn)準入控制的目的。

由此可見，要想實現(xiàn)對移動設備的精確準入控制，掌握802.1x準入控制機制是先決條件，而準入控制機制的缺乏，正是目前基于主機準入控制的內網(wǎng)安全產品普遍的弱點。逐步完善基于802.1x，以及基于網(wǎng)關與客戶端聯(lián)動的準入控制機制，是我們目前亟需解決的，這也是IP-guard正努力的重點。相信不久的將來，對于移動設備準入的控制會有新的成果出爐。

基于內容分析的DLP與邊界封堵、加密技術的結合

在內部網(wǎng)絡和移動設備之間傳遞的數(shù)據(jù)，往往在一定程度上屬于涉密信息，需要在傳輸和使用中進行信息泄漏防護。目前，國內主流的信息防泄露技術，普遍是基于封堵和加密技術，在PC上應用確實無障礙，但移動設備的出現(xiàn)，為當前的信息防泄漏技術帶來了挑戰(zhàn)。

移動應用的本身，是為加速和便利信息的傳遞，而封堵則可能削弱這種便利性。云計算的應用，更使得越來越多的應用在云端而非本地實現(xiàn)，基于主機的封堵和加密機制就有了一定的局限。

如何解決上面提出的信息防泄漏難題?超越主機的級別，進一步對于數(shù)據(jù)本身進行分析、過濾與攔截，是一個可能的發(fā)展趨勢。在這一點上，長于內容分析與過濾的國外DLP產品為我們提供了啟發(fā)。

與國內的封堵與加密機制不同，以賽門鐵克、麥咖啡為代表的國外DLP產品，更多的應用了內容分析與過濾技術，從信息層面進行信息防泄漏管理。通過在邊界部署設備，DLP產品可以對通過網(wǎng)絡、端口傳輸?shù)男畔⑦M行內容分析，識別出符合預先設定的保密特征的涉密信息并過濾或阻斷。過去，由于國內的信息防泄漏市場是以防主動泄密的需求為主，因此賽門鐵克等產品的DLP技術無太大的用武之地。而隨著移動設備和云計算的發(fā)展，這種便利性與安全性相平衡的技術將獲得更好的認可。

無論是封堵、加密，還是內容分析與過濾，其本質的目的，都是信息防泄漏，只是在安全性與便捷性之間進行不同的權衡。作為定位于內網(wǎng)安全的產品，IP-guard在封堵與加密領域已經日漸成熟，為了更好適應用戶的需求與技術的發(fā)展，我們也已經開始研究基于內容分析的過濾機制，希望將來與原本的封堵與加密機制相結合，為用戶打造完整的信息防泄漏體系。

注重移動設備本身的安全措施的執(zhí)行

目前，移動設備制造商也已經意識到了移動設備安全的重要性。例如，i-Pad就引入了豐富的安全機制，包括密碼機制、設備加密、加密的網(wǎng)絡連接、數(shù)據(jù)遠程擦除等機制，都很大程度上提升了移動設備的安全性。

然而，使用移動設備的用戶為貪圖方便，可能并不會嚴格使用移動設備所提供的安全措施。作為移動設備的部署方和管理者，IT管理者就應該結合移動設備本身所采取的安全措施，讓其發(fā)揮更大的作用。統(tǒng)一登記的接入管理，為移動設備特別開發(fā)安全的app應用，對移動設備安全策略執(zhí)行的嚴格審查。我們一直強調技術與管理相結合，這些適應移動應用時代的管理手段，都是保障移動設備內網(wǎng)安全的必要條件。

作為先進信息技術的發(fā)源地，移動設備應用如今在美國等發(fā)達國家應用的更為普遍，而國內這一類應用還剛剛處于起步階段。然而，這并不意味著我們可以忽略移動設備所帶來的安全威脅，近兩年的智能手機、平板電腦市場的高速增長證明，移動設備安全遲早會成為內網(wǎng)安全的一塊前沿陣地，對此，未雨綢繆永遠是正確的選擇。

【編輯推薦】

1. 內網(wǎng)安全問題本質談
2. 企業(yè)內網(wǎng)安全管理的這十年
3. 內網(wǎng)安全十年：溢信科技及其IP-guard的現(xiàn)在與未來
4. 內網(wǎng)安全需知己知彼 數(shù)據(jù)防泄漏是重點