用于企業安全的安卓系統安全設置及控制措施
根據市場情報公司ABIResearch的報告,如今在全世界范圍內,運行安卓(Android)系統的設備數量已超過那些運行iOS系統的設備數量,比例為2.4:1。因此,許多雇主被迫允許使用運行消費級移動操作系統的設備進行業務。幸運地是,4.0版本的安卓系統支持本地防御。這里,我們考慮現有的方法來集中維護和執行安卓系統設備上的安全策略。
揭開安卓系統安全設置的面紗
安卓系統采用了許多人們對當代移動操作系統所期待的防御措施,包括沙箱技術(sandboxing)、代碼簽名技術(codesigning),OS級別強制執行的權限管理以及(在安卓4.0系統中新推出的)地址空間布局隨機化(addressspacelayoutrandomization,ASLR)技術。在安卓2.2版本中新增密碼功能。在安卓3.0版本中增加了硬件加密功能,但是只限于平板電腦。安卓4.0版本為智能手機也添加了硬件加密功能。
為了防止由于設備丟失或是失竊造成的數據泄露,企業可以強制執行密碼和加密策略,阻止業務通過不合規的設備進行,且可遠程擦除任何丟失設備上的數據。這些需求可以通過安卓系統的設備管理API來解決,該技術可以用來查詢和設置安卓系統安全設置的編號,包括密碼控制措施(例如最小長度、字母數字混合要求、特殊符號要求、密碼過期期限、密碼歷史限制、***失敗的密碼嘗試次數等等)。
這些控制措施大部分在安卓3.0版本中被引入,攝像功能是在安卓4.0版本中添加。因此,IT管理人員可能只允許運行安卓3.0或更高版本的設備。然而,IT管理人員還必須檢查設備確切的型號和模塊。因為是更老的手機即使升級到4.0版本后仍然無法加密數據。
此外,安卓系統提供的API能鎖定設備、提示密碼修改、或是重新設置設備到出廠默認狀態(擦除內部的存儲但不包括存儲音樂、照片和電子郵件的任何可移動媒介)。重新設置設備到出廠默認設備對沒有可移動媒介的設備不會造成任何風險,這個功能也可作為業務使用的規范之一。
對安卓系統設備實施IT控制
有三個方法可用于對安卓系統設備的IT控制:
用戶能夠直接設置一些安卓系統自帶的安全策略——最顯著的是啟用加密功能,這個一次性能搞定的過程要花費一小時。IT管理人員可以推薦安全設置,但是這個方法無法提供IT管理的強制性。
EAS(Exchange活動同步,ExchangeActiveSync)屬性可用于企業郵箱同步時核查和設置一些策略。安卓4.0版本升級EAS到v14版本,后者擴展了策略范疇。然而,設備的多樣性妨礙了EAS控制措施,由于型號/模塊不同,結果也不一樣。在常見的情況下,EAS可以要求設置PIN或密碼、強制要求密碼最小長度、設置失敗次數和超時參數,并且恢復到出廠默認設置。
能夠通過移動設備管理(MDM)代理,或是其它安裝在智能手機或平板電腦上的安全程序,來強制實施安卓系統設備管理API中的每個策略。通常情況下,用戶從谷歌安卓市場上下載MDM代理,遵照提示授予權限并且訪問他們公司的MDM登記入口。此后,IT管理人員能夠使用MDM來認證用戶、發布設備證書、提供設備并且強制執行組織的策略。
同安卓系統上的惡意軟件做斗爭
許多MDM產品提供更多的IT控制措施來補充原有的安卓系統控制,例如偵測和隔離被植入惡意軟件的安卓設備,查詢被列為黑名單的應用,并且幫助IT管理人員遠程安裝要求的或是推薦的應用。這些都有助于偵測安卓系統上的惡意軟件并且完善企業的安卓系統安全。
在過去一年中,安卓系統上的惡意軟件激增,惡意軟件的作者們利用Google公司開放的安卓市場,以及安卓系統對來自第三方站點應用的“門戶大開”。因此,對于IT管理人員來說,防范惡意軟件的***道防線是洞察用于業務的任何設備上的已安裝應用。例如,MDM能用來阻擋運行惡意軟件的設備對企業訪問或是擦除其上的數據。
IT管理人員也能在安卓系統設備上安裝第三方的安全工具,包括防病毒掃描器、SMS反垃圾郵件過濾器、釣魚URL檢查器、高風險應用掃描器以及遠程鎖定/尋找/擦除工具。對這些安全程序來說,支持好幾個功能很常見,然而大多數是設計用于消費者使用——只有少數是迎合IT控制的需要。
創建你自己的沙箱
考慮到設備具有的不同功能,以及安卓惡意軟件的風險,IT管理人員可以選擇創建一個安全的(經過加密和認證的)業務環境。例如,在自加密的容器內安裝安全的企業通信應用來存儲郵件、聯系方式、計劃表和任務。通常通過EAS或是MDM來控制程序設置。
***,不缺少能幫助滿足企業安卓設備安全期望的方法和工具。盡管這些控制手段可能無法完全滿足每個組織的策略,但安卓4.0版本系統和MDM技術以及其他安全產品正在不斷地縮小這個差距。
【編輯推薦】
