美國國土安全部(以下簡稱“DHS”)首席信息安全官辦公室于2014年8月發(fā)布了DHS 4300A-Q2(敏感系統(tǒng)手冊(cè)附件Q2)文件，該文件提供了在國土安全部（DHS）信息技術(shù)（IT）計(jì)劃里安全使用移動(dòng)設(shè)備的技術(shù)和規(guī)程，包含了DHS部門以及美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）、國家安全局（NSA）和國防部（DoD）等其他聯(lián)邦單位已經(jīng)在使用的許多安全技術(shù)和規(guī)程。

 文件中覆蓋的移動(dòng)設(shè)備包括具有無線功能的筆記本電腦、智能蜂窩手機(jī)、雙向?qū)ず魴C(jī)、移動(dòng)無線電、個(gè)人通信服務(wù)（PCS）設(shè)備、多功能無線設(shè)備、具有無線功能的便攜式音頻/視頻記錄設(shè)備、掃描設(shè)備、短信設(shè)備以及其他任何能夠存儲(chǔ)、處理或傳輸敏感信息的無線客戶端。文件指出：對(duì)移動(dòng)設(shè)備實(shí)施嚴(yán)格的安全控制和管理主要包括在物理設(shè)備保護(hù)和無線連接安全保護(hù)兩個(gè)方面：

[[215007]]

物理設(shè)備保護(hù)

移動(dòng)設(shè)備被視為DHS無線網(wǎng)絡(luò)的重要組成部分，也是DHS網(wǎng)絡(luò)基礎(chǔ)設(shè)施的延伸。與移動(dòng)設(shè)備相關(guān)的主要風(fēng)險(xiǎn)包括：用戶和設(shè)備的認(rèn)證、數(shù)據(jù)保護(hù)、集中管理、設(shè)備和應(yīng)用程序的監(jiān)控、病毒防護(hù)和物理安全。

認(rèn)證

 用戶訪問移動(dòng)設(shè)備及設(shè)備上的數(shù)據(jù)時(shí)，需要進(jìn)行身份識(shí)別與認(rèn)證。

病毒防護(hù)

 授權(quán)官員AO（Authorizing Officials）的責(zé)任是批準(zhǔn)移動(dòng)設(shè)備上防病毒軟件的管理權(quán)限。軟件支持和功能可能因平臺(tái)而異。應(yīng)該使用DHS企業(yè)IT系統(tǒng)和服務(wù)的信息安全機(jī)制來保護(hù)移動(dòng)設(shè)備。例如，電子郵件在發(fā)送給移動(dòng)設(shè)備之前，應(yīng)在DHS電子郵件服務(wù)器上進(jìn)行掃描。如果防病毒軟件對(duì)于特定類型的移動(dòng)設(shè)備無效，則必須禁用移動(dòng)設(shè)備上易受攻擊的功能，或者直接禁止使用移動(dòng)設(shè)備。例如，禁用電子郵件附件，Java 2 Platform Micro Edition（J2ME）支持和Web瀏覽器，從而大大降低惡意代碼被下載到移動(dòng)設(shè)備的可能性。

禁用不良的移動(dòng)設(shè)備功能

 移動(dòng)設(shè)備功能模塊或應(yīng)用程序若開啟了不必要的權(quán)限，則可能被利用為移動(dòng)設(shè)備或可信網(wǎng)絡(luò)的攻擊媒介，例如紅外線、藍(lán)牙、Wi-Fi、游戲以及其他內(nèi)置工具和應(yīng)用程序開啟了不必要的無線功能權(quán)限。

移動(dòng)設(shè)備和應(yīng)用程序管理

 IT安全管理員應(yīng)當(dāng)使用移動(dòng)設(shè)備管理（MDM）系統(tǒng)將移動(dòng)設(shè)備部署在DHS認(rèn)可的設(shè)備、技術(shù)和應(yīng)用程序中。MDM允許DHS集中管理移動(dòng)設(shè)備，并通過支持以下關(guān)鍵功能來強(qiáng)制執(zhí)行設(shè)備上的安全策略：惡意軟件檢測(cè)、無線（OTA）軟件分發(fā)、配置更改檢測(cè)、遠(yuǎn)程數(shù)據(jù)擦除、遠(yuǎn)程配置以及資產(chǎn)管理。

 移動(dòng)應(yīng)用程序還應(yīng)由DHS企業(yè)移動(dòng)應(yīng)用程序管理（MAM）進(jìn)行集中管理，MAM負(fù)責(zé)評(píng)估和選擇移動(dòng)應(yīng)用程序，并作為DHS用戶的授權(quán)企業(yè)應(yīng)用程序商店。它還為DHS提供監(jiān)視已安裝應(yīng)用程序的功能，并根據(jù)需要遠(yuǎn)程升級(jí)或卸載應(yīng)用程序。

數(shù)據(jù)保護(hù)

 AO確保存儲(chǔ)在移動(dòng)設(shè)備上的所有信息都使用與存儲(chǔ)信息敏感度相匹配的FIPS 140-2認(rèn)證加密方案進(jìn)行加密。實(shí)施諸如文件和數(shù)據(jù)加密之類的措施有助于確保設(shè)備上存儲(chǔ)信息的機(jī)密性。

系統(tǒng)文件監(jiān)控

 信息系統(tǒng)安全官員（ISSO）應(yīng)定期掃描所有移動(dòng)設(shè)備上的系統(tǒng)文件和其他重要文件的未經(jīng)授權(quán)的更改。

設(shè)備同步和備份

 移動(dòng)設(shè)備在進(jìn)行無線同步時(shí)，必須使用經(jīng)FIPS 140-2認(rèn)證加密的產(chǎn)品或模塊。

建議的維護(hù)活動(dòng)

 移動(dòng)設(shè)備上的數(shù)據(jù)將在設(shè)備退役時(shí)進(jìn)行清除或歸零。需要注意的是：軟復(fù)位或硬復(fù)位都不會(huì)永久刪除移動(dòng)設(shè)備上的數(shù)據(jù)，文件管理工具也無法永久性刪除文件。

建議的外出保障

 外出人員需要特別警惕、謹(jǐn)慎行事，以減少移動(dòng)設(shè)備的丟失、被盜、被竊聽等帶來的風(fēng)險(xiǎn)。

無線連接安全保護(hù)

無線接口（移動(dòng)設(shè)備和網(wǎng)絡(luò)節(jié)點(diǎn)之間或兩個(gè)移動(dòng)設(shè)備之間的鏈路）是DHS網(wǎng)絡(luò)基礎(chǔ)設(shè)施的關(guān)鍵組成部分，易受到無線攻擊。

認(rèn)證

用戶訪問移動(dòng)設(shè)備和設(shè)備上的數(shù)據(jù)需要與網(wǎng)絡(luò)相互識(shí)別和雙重認(rèn)證。

身份訪問管理在針對(duì)敏感無線系統(tǒng)的DHS IT安全規(guī)劃手冊(cè)和DHS IT安全體系結(jié)構(gòu)指南應(yīng)用程序基礎(chǔ)設(shè)施設(shè)計(jì)第三卷中有進(jìn)一步詳細(xì)介紹。

端到端安全通信

 端到端安全意味著整個(gè)消息從發(fā)送設(shè)備到接收設(shè)備都被加密。兩臺(tái)設(shè)備都必須使用適當(dāng)?shù)腇IPS 140-2認(rèn)證加密。安全套接字層（SSL）、互聯(lián)網(wǎng)協(xié)議安全（IPsec）和安全外殼（SSH）是提供端到端加密的常用方法。 SSL和SSH也用于電子郵件和遠(yuǎn)程登錄等應(yīng)用程序。在端到端加密的過程中，證書的使用也是必不可少的。用戶需要注意關(guān)于證書錯(cuò)誤的相關(guān)安全警告。這些注意事項(xiàng)應(yīng)該包含在移動(dòng)安全意識(shí)培訓(xùn)中。

個(gè)人防火墻

 個(gè)人防火墻是基于軟件的解決方案，位于客戶端機(jī)器中，既可以由客戶端管理，也可以集中管理。防火墻通過阻止特定類型的帶內(nèi)和帶外網(wǎng)絡(luò)流量來保護(hù)移動(dòng)設(shè)備不被非授權(quán)訪問。在防火墻的管理方面，由于用戶可輕松繞過客戶端的安全設(shè)置，故不建議采用客戶端管理。IT部門可集中配置和遠(yuǎn)程管理客戶端設(shè)備，因此可托管部門內(nèi)全部移動(dòng)設(shè)備于IT部門，利用其解決方案對(duì)移動(dòng)設(shè)備進(jìn)行標(biāo)準(zhǔn)化的安全保護(hù)。盡管個(gè)人防火墻提供了一些保護(hù)措施，但并不能抵御所有的高級(jí)持續(xù)性攻擊。

虛擬專網(wǎng)（VPN）

 由于不受DHS控制，那些由第三方運(yùn)維的網(wǎng)絡(luò)可能會(huì)在DHS人員使用時(shí)帶來安全風(fēng)險(xiǎn)。例如，蜂窩網(wǎng)絡(luò)基礎(chǔ)設(shè)施通常不歸蜂窩網(wǎng)絡(luò)運(yùn)營商所有，其還可供其他運(yùn)營商和分包商使用；因此，使用公共無線網(wǎng)絡(luò)（如機(jī)場、會(huì)議中心和其他公共場所）的DHS人員應(yīng)使用DHS VPN服務(wù)訪問DHS資源。

入侵保護(hù)系統(tǒng)

 入侵系統(tǒng)是基于主機(jī)或基于網(wǎng)絡(luò)的技術(shù)，用于保護(hù)信息資產(chǎn)不被他人所用。

入侵防御系統(tǒng)（IPS）是一種主動(dòng)防御技術(shù)，可根據(jù)應(yīng)用內(nèi)容自動(dòng)進(jìn)行訪問控制決策。

入侵檢測(cè)系統(tǒng)（IDS）是一種較為被動(dòng)的檢測(cè)技術(shù)，用于在發(fā)生攻擊時(shí)或攻擊之后檢測(cè)攻擊。系統(tǒng)安全計(jì)劃應(yīng)采用適當(dāng)?shù)木W(wǎng)絡(luò)保護(hù)機(jī)制，如IDS與IPS相結(jié)合。

網(wǎng)絡(luò)接口保護(hù)

當(dāng)提及網(wǎng)絡(luò)接口或端點(diǎn)時(shí)，通常考慮兩個(gè)基本組件：網(wǎng)絡(luò)基站（例如，用于無線局域網(wǎng)（WLAN）接入的接入點(diǎn)）和客戶端。

典型的移動(dòng)設(shè)備無線接口如圖2所示，例如藍(lán)牙，WLAN和蜂窩技術(shù)。

圖1典型的移動(dòng)設(shè)備無線接口

藍(lán)牙

 藍(lán)牙是一種無線個(gè)域網(wǎng)（WPAN）技術(shù)，通常用于耳機(jī)、鍵盤和其他外圍設(shè)備等設(shè)備的近距離無線通信。由電氣和電子工程師協(xié)會(huì)（IEEE）802.15.1標(biāo)準(zhǔn)化的藍(lán)牙技術(shù)提供預(yù)共享密鑰認(rèn)證和加密功能，以使設(shè)備能夠相互認(rèn)證并加密數(shù)據(jù)業(yè)務(wù)，但其安全協(xié)議未經(jīng)FIPS認(rèn)證，該技術(shù)存在固有的弱點(diǎn)。當(dāng)前有幾種藍(lán)牙版本可用，包括高速率3.0 + HS和低功耗（LE）4.0，并支持不同級(jí)別的安全模式。例如，對(duì)于藍(lán)牙3.0，安全模式3是安全性最強(qiáng)的模式，因?yàn)樗枰谒{(lán)牙物理鏈路完全建立之前建立認(rèn)證和加密。對(duì)于藍(lán)牙LE 4.0，安全模式1的第3級(jí)被認(rèn)為是安全性最強(qiáng)的模式，因?yàn)樗枰J(rèn)證配對(duì)和加密。 NIST SP 800-121“藍(lán)牙安全指南”提供了詳細(xì)的安全建議以及漏洞信息。

無線局域網(wǎng)（WLAN）

 WLAN可以與配備有IEEE 802.11無線網(wǎng)絡(luò)適配器的移動(dòng)設(shè)備進(jìn)行通信。雖然WLAN通常只覆蓋有限的區(qū)域，但是想要截取數(shù)據(jù)的敵手可以通過使用特殊的定向設(shè)備大大擴(kuò)展WLAN范圍。

蜂窩技術(shù)

 蜂窩無線廣域網(wǎng)（WWAN）是由許多小型無線電小區(qū)組成的網(wǎng)絡(luò)。每個(gè)小區(qū)覆蓋有限的地理區(qū)域（半徑3至5公里），并配備有一個(gè)固定的發(fā)射機(jī)，通過其空中接口將移動(dòng)設(shè)備連接到蜂窩運(yùn)營商的網(wǎng)絡(luò)。商業(yè)蜂窩運(yùn)營商提供的安全策略不符合DHS政策要求，因此，對(duì)于AO和系統(tǒng)所有者來說，確保移動(dòng)設(shè)備系統(tǒng)管理員和用戶受到適當(dāng)?shù)陌踩嘤?xùn)并且正確實(shí)施安全控制措施是至關(guān)重要的。

 本文介紹了《DHS 4300A-Q2》(敏感系統(tǒng)手冊(cè)附件Q2)的大致內(nèi)容，以及美方對(duì)移動(dòng)設(shè)備安全管控的政策要求，并詳細(xì)說明可應(yīng)用于移動(dòng)設(shè)備的諸多措施。但是，由于無線技術(shù)的快速發(fā)展，并不是所有的移動(dòng)設(shè)備都可以采用本文中所述的安全措施。隨著科技的發(fā)展，一些新興技術(shù)也可能會(huì)對(duì)保護(hù)移動(dòng)設(shè)備的安全性提供新思路。比如生物識(shí)別和智能卡、環(huán)境適配的安全策略、近場通信安全政策等。

【本文為51CTO專欄作者“中國保密協(xié)會(huì)科學(xué)技術(shù)分會(huì)”原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】

戳這里，看該作者更多好文