技术手段无疑是手持移动设备安全防护的重要而有效的手段,恰当的技术防护手段能够将安全问题降至最低,甚至有效杜绝。下面针对个人用户、中小企业和安全防护等级较高的企业等不同应用环境分别给出相应的防护方法,以供参考。
一、小型公司的自我保护
1. 加密手持移动设备中的数据
加密是保护手持移动设备中数据的最有效方法,是设备丢失后防止数据泄露的第一道防线。
员工应通过加密、密码认证等方式对移动设备中的数据进行加密处理,防止非授权访问。
不但设备上的数据需要加密,数据在传输过程中也需要加密(例如,在使用电子邮件传输、使用无线应用程序访问等过程中),通过加密传输中的数据可以防止数据在从设备到目的地的传输过程中被黑客截获。
2. 安装恶意软件保护软件
为了给手持移动设备提供安全防护,设备上也需要安装杀毒软件来防范病毒的感染。
目前面临的最突出问题是,大多数手机和许多智能手机并没有提供内部的安全控制措施来保证信息安全。
各种解决方案都取决于移动平台的类型,即使是黑莓或Windows Mobile 智能手机,如果没有进行配置或者配置不合理的话,结果也还是不安全的。
而对于Palm 操作系统和诺基亚S60 操作系统之类的其他移动平台,也确实存在一些第三方应用工具提供了安全控制措施。
需要注意的是,它们并不负责提供全面的安全保护功能,而是提供某种形式的有限加密(iAnywhere)或远程设备数据清除功能(RoadSync)。
同时,员工也应做好个人计算机的安全防护工作,安装相应的防病毒、防黑客软件,并关闭个人计算机的自动播放功能,防止在使用U 盘、移动硬盘等手持移动设备时感染病毒(如Autorun.inf)。
员工在使用手持移动设备时,必须对其进行病毒扫描,防止感染病毒或木马等恶意程序。
3. 允许远程擦除和远程锁定
安全专家建议保留远程擦除数据的功能,当手持移动设备被盗的时候,这项功能就可以起到很大的作用,关键时刻能够防止数据的泄露。
一旦满足特定的条件,移动设备上的数据就应该删除。例如,过多的登录失败尝试。即使是在“飞行模式”或是与网络断开连接的情况下,数据的删除也应该保证成功。
管理操作平台要建立一套数据清除政策,这样在发生违反政策的情况下,管理人员内置的安全软件就可以清除掉数据。这种非连接性的远程清除可以保护数据安全,即使是在SIM 卡被取掉或是无线网络关闭的情况下。
另外,云服务通常也可以进行远程锁定。每个设备都有自己的锁定装置和密码保护,除此之外,云服务过程中还可以进行远程锁定。用户在一段时间内没有触碰正在使用的程序,不管是10 分钟、120 分钟或者任何希望的时间范围,云服务供应可以远程锁定程序,当再次使用这个程序的时候强迫输入登录密码。当然,也可以预先设定一系列的IP 地址和范围,不在地址范围内的移动设备或PC 不能访问该服务应用。
二、中小型企业的自我保护
中小型企业员工较多,如果仅仅是对手持移动设备进行加密,或仅仅对数据进行加密,以避免出现安全问题,明显难以满足企业日益发展的需要。因此,采用有一定技术含量的安全保密系统应被列为首选。
市面上这种安全管理系统很多,下面以“×× 移动存储介质使用管理系统”为例加以简单介绍。
该管理系统利用USB 底层驱动防护、访问控制、硬件透明加密、USB Key 等技术手段,对内网计算机尤其是内网计算机的USB 移动介质、串/ 并外联端口、内网电脑非法连接到互联网等基础安全进行保护,构建针对内网计算机的综合安全防范体系。其安全构建模型如图1 所示。
图1 移动存储介质使用管理系统
1. 系统构成
这类管理系统通常由6 大部分构成,即移动存储介质使用管理系统服务器端、移动存储介质使用管理系统、网络版客户端、移动存储介质使用管理系统单机版、中间机专用程序、涉密USB 设备外出控制程序,各部分分别完成不同的功能,如图2 所示。
图2 各部分完成的功能
2. 内网计算机管理中心系统
(1)移动存储介质使用管理系统
移动存储介质使用管理系统主要用于电子登记内网办公计算机、办公U 盘、移动硬盘、笔记本电脑、PDA 等手持移动设备的使用部门、使用人、物理位置、使用状态等信息;能按条件查询、统计内网办公计算机、办公手持移动设备台账,并可以导出电子台账;可以设置内网办公计算机、手持移动设备的安全策略;对手持移动设备进行加、解密工作。经过加密的手持移动设备只能在内网加装有使用管理系统客户端的主机中使用,无法用于企业外部计算机,保证了数据的安全。
(2)内网终端管理系统
安装有单机版客户端的内网计算机只能使用合法登记加密发放的办公用手持移动设备,非合法授权的U 盘、移动硬盘、存储卡、PDA、手机等无法识别和使用,但不影响内网计算机USB 鼠标、键盘、打印机等其他USB 设备的正常使用。这样,可防止员工利用个人手持设备窃取企业内部机密数据。除此之外,还能自动检测内网办公计算机是否利用手机等手持设备非法连接到互联网。如果发现将主动断网并自动报警,记录非法外联日志。
(3)手持移动设备
手持移动设备只能在本单位安装有服务端和客户端的内网计算机上使用,在其他计算机上无法使用。
它的登录采用双因子身份认证模式,登录时须输入相应的口令才能打开,口令输入错误超过规定次数,U 盘、移动硬盘等手持移动设备将自动被锁死。
而且,该系统对手持移动设备内存储的数据加密应该是透明的,在安装有服务端和客户端的内网计算机上可以无障碍使用,而无法在其他计算机上识别。
未经服务端认证的员工个人手持移动设备无法被识别和使用,如图3 所示。
图3 手持移动设备认证
三、基于RFID 的移动存储载体安全管理系统
安全保密要求较高的用户的自我保护对于安全保密要求较高的政府、军队或国有、军工企业而言,使用一般的移动设备安全管理系统已经无法满足需要。此时,应该考虑采用技术手段基于RFID 的移动存储载体安全管理系统。
基于RFID 的移动存储载体安全管理系统采用先进的RFID(Radio Frequency Identification 的缩写,即射频识别)技术、无线检测技术、计算机网络技术和数据库技术,能够有效解决移动存储载体违规携带等问题,确保移动存储载体物理介质安全,并与移动存储管理系统有机结合,真正实现了移动存储载体从内到外、从网络到物理实体的一体化安全管控。
移动存储载体安全管理系统通过在笔记本电脑、U 盘、移动硬盘PDA、手机等各类手持移动设备上粘贴射频标签,在重要场所和出入位置设置无线识别基站、门禁检测设备,在中心服务器上安装管理信息系统和数据库,对携带有射频标签的各类手持移动设备进行识别、报警和记录,对手持移动设备使用管理情况进行在线查询和统计。随时了解掌握手持移动设备的底数,较好地实现了手持移动设备从注册、登记、使用管理到销毁的全过程管理,有效解决手持移动设备随意传递、随意存放、随意携带、交叉使用等问题,确保手持移动设备的使用安全。
其主要特点为对移动存储载体跟踪定位和身份识别;有效解决手持移动设备违规携带问题;实现手持移动设备检测管理的自动化。
结束语:
笔记本电脑、U 盘、移动硬盘、PDA、手机等可移动设备的确为人们的工作和使用带来了极大的便利,但不可否认,不加管理的移动设备存在着极大的安全隐患,也是病毒和黑客青睐的对象。因此,在日常管理工作中,一定不能忽略对移动设备的有效管理,要把移动设备相关的管理制度、技术制度落实到位,并不断根据实际情况调整相关策略,让移动设备发挥出积极的作用,让安全防护体系更加完善。
