你知道如何安全使用移動設備嗎?
美國國土安全部(以下簡稱“DHS”)首席信息安全官辦公室于2014年8月發布了DHS 4300A-Q2(敏感系統手冊附件Q2)文件,該文件提供了在國土安全部(DHS)信息技術(IT)計劃里安全使用移動設備的技術和規程,包含了DHS部門以及美國國家標準與技術研究院(NIST)、國家安全局(NSA)和國防部(DoD)等其他聯邦單位已經在使用的許多安全技術和規程。
文件中覆蓋的移動設備包括具有無線功能的筆記本電腦、智能蜂窩手機、雙向尋呼機、移動無線電、個人通信服務(PCS)設備、多功能無線設備、具有無線功能的便攜式音頻/視頻記錄設備、掃描設備、短信設備以及其他任何能夠存儲、處理或傳輸敏感信息的無線客戶端。文件指出:對移動設備實施嚴格的安全控制和管理主要包括在物理設備保護和無線連接安全保護兩個方面:
物理設備保護
移動設備被視為DHS無線網絡的重要組成部分,也是DHS網絡基礎設施的延伸。與移動設備相關的主要風險包括:用戶和設備的認證、數據保護、集中管理、設備和應用程序的監控、病毒防護和物理安全。
認證
用戶訪問移動設備及設備上的數據時,需要進行身份識別與認證。
病毒防護
授權官員AO(Authorizing Officials)的責任是批準移動設備上防病毒軟件的管理權限。軟件支持和功能可能因平臺而異。應該使用DHS企業IT系統和服務的信息安全機制來保護移動設備。例如,電子郵件在發送給移動設備之前,應在DHS電子郵件服務器上進行掃描。如果防病毒軟件對于特定類型的移動設備無效,則必須禁用移動設備上易受攻擊的功能,或者直接禁止使用移動設備。例如,禁用電子郵件附件,Java 2 Platform Micro Edition(J2ME)支持和Web瀏覽器,從而大大降低惡意代碼被下載到移動設備的可能性。
禁用不良的移動設備功能
移動設備功能模塊或應用程序若開啟了不必要的權限,則可能被利用為移動設備或可信網絡的攻擊媒介,例如紅外線、藍牙、Wi-Fi、游戲以及其他內置工具和應用程序開啟了不必要的無線功能權限。
移動設備和應用程序管理
IT安全管理員應當使用移動設備管理(MDM)系統將移動設備部署在DHS認可的設備、技術和應用程序中。MDM允許DHS集中管理移動設備,并通過支持以下關鍵功能來強制執行設備上的安全策略:惡意軟件檢測、無線(OTA)軟件分發、配置更改檢測、遠程數據擦除、遠程配置以及資產管理。
移動應用程序還應由DHS企業移動應用程序管理(MAM)進行集中管理,MAM負責評估和選擇移動應用程序,并作為DHS用戶的授權企業應用程序商店。它還為DHS提供監視已安裝應用程序的功能,并根據需要遠程升級或卸載應用程序。
數據保護
AO確保存儲在移動設備上的所有信息都使用與存儲信息敏感度相匹配的FIPS 140-2認證加密方案進行加密。實施諸如文件和數據加密之類的措施有助于確保設備上存儲信息的機密性。
系統文件監控
信息系統安全官員(ISSO)應定期掃描所有移動設備上的系統文件和其他重要文件的未經授權的更改。
設備同步和備份
移動設備在進行無線同步時,必須使用經FIPS 140-2認證加密的產品或模塊。
建議的維護活動
移動設備上的數據將在設備退役時進行清除或歸零。需要注意的是:軟復位或硬復位都不會永久刪除移動設備上的數據,文件管理工具也無法永久性刪除文件。
建議的外出保障
外出人員需要特別警惕、謹慎行事,以減少移動設備的丟失、被盜、被竊聽等帶來的風險。
無線連接安全保護
無線接口(移動設備和網絡節點之間或兩個移動設備之間的鏈路)是DHS網絡基礎設施的關鍵組成部分,易受到無線攻擊。
認證
用戶訪問移動設備和設備上的數據需要與網絡相互識別和雙重認證。
身份訪問管理在針對敏感無線系統的DHS IT安全規劃手冊和DHS IT安全體系結構指南應用程序基礎設施設計第三卷中有進一步詳細介紹。
端到端安全通信
端到端安全意味著整個消息從發送設備到接收設備都被加密。兩臺設備都必須使用適當的FIPS 140-2認證加密。安全套接字層(SSL)、互聯網協議安全(IPsec)和安全外殼(SSH)是提供端到端加密的常用方法。 SSL和SSH也用于電子郵件和遠程登錄等應用程序。在端到端加密的過程中,證書的使用也是必不可少的。用戶需要注意關于證書錯誤的相關安全警告。這些注意事項應該包含在移動安全意識培訓中。
個人防火墻
個人防火墻是基于軟件的解決方案,位于客戶端機器中,既可以由客戶端管理,也可以集中管理。防火墻通過阻止特定類型的帶內和帶外網絡流量來保護移動設備不被非授權訪問。在防火墻的管理方面,由于用戶可輕松繞過客戶端的安全設置,故不建議采用客戶端管理。IT部門可集中配置和遠程管理客戶端設備,因此可托管部門內全部移動設備于IT部門,利用其解決方案對移動設備進行標準化的安全保護。盡管個人防火墻提供了一些保護措施,但并不能抵御所有的高級持續性攻擊。
虛擬專網(VPN)
由于不受DHS控制,那些由第三方運維的網絡可能會在DHS人員使用時帶來安全風險。例如,蜂窩網絡基礎設施通常不歸蜂窩網絡運營商所有,其還可供其他運營商和分包商使用;因此,使用公共無線網絡(如機場、會議中心和其他公共場所)的DHS人員應使用DHS VPN服務訪問DHS資源。
入侵保護系統
入侵系統是基于主機或基于網絡的技術,用于保護信息資產不被他人所用。
入侵防御系統(IPS)是一種主動防御技術,可根據應用內容自動進行訪問控制決策。
入侵檢測系統(IDS)是一種較為被動的檢測技術,用于在發生攻擊時或攻擊之后檢測攻擊。系統安全計劃應采用適當的網絡保護機制,如IDS與IPS相結合。
網絡接口保護
當提及網絡接口或端點時,通常考慮兩個基本組件:網絡基站(例如,用于無線局域網(WLAN)接入的接入點)和客戶端。
典型的移動設備無線接口如圖2所示,例如藍牙,WLAN和蜂窩技術。
圖1典型的移動設備無線接口
藍牙
藍牙是一種無線個域網(WPAN)技術,通常用于耳機、鍵盤和其他外圍設備等設備的近距離無線通信。由電氣和電子工程師協會(IEEE)802.15.1標準化的藍牙技術提供預共享密鑰認證和加密功能,以使設備能夠相互認證并加密數據業務,但其安全協議未經FIPS認證,該技術存在固有的弱點。當前有幾種藍牙版本可用,包括高速率3.0 + HS和低功耗(LE)4.0,并支持不同級別的安全模式。例如,對于藍牙3.0,安全模式3是安全性最強的模式,因為它需要在藍牙物理鏈路完全建立之前建立認證和加密。對于藍牙LE 4.0,安全模式1的第3級被認為是安全性最強的模式,因為它需要認證配對和加密。 NIST SP 800-121“藍牙安全指南”提供了詳細的安全建議以及漏洞信息。
無線局域網(WLAN)
WLAN可以與配備有IEEE 802.11無線網絡適配器的移動設備進行通信。雖然WLAN通常只覆蓋有限的區域,但是想要截取數據的敵手可以通過使用特殊的定向設備大大擴展WLAN范圍。
蜂窩技術
蜂窩無線廣域網(WWAN)是由許多小型無線電小區組成的網絡。每個小區覆蓋有限的地理區域(半徑3至5公里),并配備有一個固定的發射機,通過其空中接口將移動設備連接到蜂窩運營商的網絡。商業蜂窩運營商提供的安全策略不符合DHS政策要求,因此,對于AO和系統所有者來說,確保移動設備系統管理員和用戶受到適當的安全培訓并且正確實施安全控制措施是至關重要的。
本文介紹了《DHS 4300A-Q2》(敏感系統手冊附件Q2)的大致內容,以及美方對移動設備安全管控的政策要求,并詳細說明可應用于移動設備的諸多措施。但是,由于無線技術的快速發展,并不是所有的移動設備都可以采用本文中所述的安全措施。隨著科技的發展,一些新興技術也可能會對保護移動設備的安全性提供新思路。比如生物識別和智能卡、環境適配的安全策略、近場通信安全政策等。
【本文為51CTO專欄作者“中國保密協會科學技術分會”原創稿件,轉載請聯系原作者】
