企業(yè)BYOD的應(yīng)用潮流是不可逆的，越來越多的企業(yè)在追逐這個潮流。安全問題是隨之而來企業(yè)高管們需要慎重考慮的，他們正在投資構(gòu)建諸如MDM(移動設(shè)備管理)、MAM(移動應(yīng)用管理)的平臺，還要在設(shè)備連接到組織的網(wǎng)絡(luò)之前被組織的IT部門集中授權(quán)來執(zhí)行安全設(shè)置。其實，除了這些方法之外，市面上主流的移動設(shè)備有其出廠即有的“原生態(tài)”安全保護方法。本文將為讀者們介紹這些非常容易被忽視的“原生態(tài)”方法。

[[108282]]

應(yīng)用內(nèi)置的安全功能

今天最常見的基于蘋果iOS平臺和谷歌Android平臺的設(shè)備，是和應(yīng)用程序商店聯(lián)系的，應(yīng)用程序商店旨在提供一種方法，通過該方法，在應(yīng)用程序發(fā)布以供下載之前，程序開發(fā)商應(yīng)該是要被蘋果或谷歌驗證的以及其應(yīng)用程序是要受到蘋果或谷歌審查的。此外，iOS和Android作為操作系統(tǒng)是用于使設(shè)備上的應(yīng)用程序彼此隔離的。因此，除非用戶允許，應(yīng)用程序之間是禁止共享數(shù)據(jù)的。這種配置背后的意圖是，如果一個流氓或惡意應(yīng)用程序?qū)⒈幌螺d到設(shè)備上，僅會限制該應(yīng)用程序的曝光，流氓應(yīng)用程序?qū)o法從另一個程序上獲取設(shè)備上的數(shù)據(jù)。

繞過操作系統(tǒng)軟件里的內(nèi)在控制的越獄iOS設(shè)備或獲得根權(quán)限的Android設(shè)備，打破了這種模式，避開了預(yù)期的應(yīng)用程序隔離。為此，越獄和獲得根權(quán)限的設(shè)備都對企業(yè)網(wǎng)絡(luò)構(gòu)成了嚴(yán)重威脅。如果移動設(shè)備的安全性可疑，無論是設(shè)備上的數(shù)據(jù)，還是移動設(shè)備正在訪問的任何網(wǎng)絡(luò)，都存在風(fēng)險。

一旦設(shè)備越獄或獲得根權(quán)限，用戶可以從蘋果應(yīng)用商店，谷歌市場，或Android市場以外的其他服務(wù)下載或側(cè)面加載第三方應(yīng)用程序。側(cè)面加載的意思是安裝不是從官方的應(yīng)用程序源獲得的應(yīng)用程序到移動設(shè)備(特別是Android設(shè)備)。因為這些第三方應(yīng)用程序的完整性尚未審核,用戶可能會有意或無意地從設(shè)備或從其所連接到的公司網(wǎng)絡(luò)下載竊取信息和數(shù)據(jù)的惡意程序。

用好移動設(shè)備的密碼

許多設(shè)備(包括Windows Mobile、奔邁、蘋果iOS和Android系統(tǒng))提供了在設(shè)備上設(shè)置PIN碼或密碼的選項，使設(shè)備的所有者保護它，不讓其他有可能想訪問設(shè)備數(shù)據(jù)的人訪問。但是你同樣也可以在設(shè)備上啟用加密設(shè)置，這是針對大多數(shù)新的iOS設(shè)備的情況。許多移動設(shè)備制造商也提供了增強的密碼設(shè)定功能，包括但不限于：

◆密碼長度

◆密碼復(fù)雜性

◆鎖屏寬限期

◆歷史密碼

◆密碼使用期限

◆允許的登陸失敗嘗試次數(shù)

許多標(biāo)準(zhǔn)和行業(yè)合規(guī)框架(連同一般推薦的最佳實踐)要求強制密碼，密碼最小長度，密碼的復(fù)雜性，歷史密碼，屏幕鎖和其他內(nèi)置安全設(shè)置。在一個組織中，一臺移動設(shè)備的強化標(biāo)準(zhǔn)應(yīng)該用于指定安全地部署移動設(shè)備所需的選項。許多移動設(shè)備的管理和安全供應(yīng)商賦予了組織在設(shè)備上執(zhí)行標(biāo)準(zhǔn)化的安全設(shè)置的能力。這些政策不僅應(yīng)該被強制執(zhí)行，而且應(yīng)該被監(jiān)控以確定是否任何用戶能在設(shè)備上手動禁用所需的設(shè)置。如果發(fā)現(xiàn)設(shè)備不符合組織的政策規(guī)定，應(yīng)該用安全管理產(chǎn)品來隔離設(shè)備，同時用戶需要采取適當(dāng)?shù)拇胧﹣砀O(shè)備上的安全設(shè)置，或者是消除它以提供一個干凈的安裝平臺。

同樣重要的是要注意到,四位PIN不是與生俱來就安全的，是可以被強力攻擊到的。例如,在2012年的黑客大會Defcon 20年會上，viaForensics機構(gòu)表明，可以用PIN碼或密碼強力攻擊工具破解Android系統(tǒng)的加密技術(shù)。因此，相對于PIN碼來說，堅決首選口令或字母數(shù)字密碼。

不可忽視的加密

當(dāng)前許多移動設(shè)備提供了內(nèi)置的加密，但是加密選項通常在缺省情況下是禁用的。iOS系統(tǒng)使用基于硬件的AES 256位加密。蘋果公司表示，“把密鑰固化到ROM芯片中以防止它們被篡改或被繞過，同時保證只有通過AES引擎才可以訪問到他們。” 作為一個額外的安全層，蘋果也使用數(shù)據(jù)保護，來保護閃存和硬件密鑰。數(shù)據(jù)保護要求用戶在設(shè)備上設(shè)置一個密碼，手動設(shè)置一個或者是執(zhí)行安全策略強加一個密碼來保護電子郵件和附件。

Android提供了滿空間的文件系統(tǒng)AES128位加密，以源于用戶PIN碼或密碼的密鑰為基礎(chǔ)。Android系統(tǒng)加密可以應(yīng)用到設(shè)備上，也可選擇應(yīng)用到SD卡上。最終用戶必須啟用加密。如果尚未設(shè)置密碼或PIN碼,在用戶可以啟用加密(加密的密碼或密碼提供了種子密鑰)之前，用戶需要先設(shè)置設(shè)備密碼或設(shè)備PIN碼，然后在啟用加密之前用戶會被提醒一個截止時間。作為一個額外的安全措施,組織的管理員可以利用Android API來要求滿足特定的復(fù)雜度要求的密碼。

三星有一系列的三星SAFE(三星批準(zhǔn)用于企業(yè)的)Android設(shè)備，可以為企業(yè)提供增強的安全性能。這些設(shè)備使用FIPS 140 - 2標(biāo)準(zhǔn)兼具AES 256位加密,以保護設(shè)備。如果啟用，它需要一個六位的包含字母數(shù)字的密碼，可以是通過MDM策略，微軟的同步軟件或是手動的方式來啟用。