文章內(nèi)容

內(nèi)網(wǎng)安全新趨勢(shì)之應(yīng)對(duì)移動(dòng)設(shè)備的威脅

發(fā)布時(shí)間: 2012/5/25 19:37:20

此前和大家分享了內(nèi)網(wǎng)安全領(lǐng)域可能應(yīng)用的兩項(xiàng)前沿技術(shù)（還未廣泛應(yīng)用的沙盒，以及已經(jīng)趨向成熟的準(zhǔn)入控制）的一些個(gè)人看法，今天和大家探討一下對(duì)于國(guó)內(nèi)企業(yè)來(lái)說可能更加前沿的話題：移動(dòng)設(shè)備應(yīng)用為內(nèi)網(wǎng)安全帶來(lái)的威脅。
　　這兩三年來(lái)，i-Pad，Blackberry，Android等移動(dòng)設(shè)備不斷的出現(xiàn)在公眾的日常生活中，它們讓信息的存儲(chǔ)與傳播更加方便和快捷，借助移動(dòng)設(shè)備，隨時(shí)隨地的在線生活成為了可能。
　　同樣的，移動(dòng)設(shè)備的存在，不僅僅改變了作為個(gè)體的生活方式，GigaOm的一份最新報(bào)告顯示，有38%的受訪企業(yè)已經(jīng)不同程度的在IT中應(yīng)用了移動(dòng)設(shè)備，而43%的受調(diào)查企業(yè)計(jì)劃在1年內(nèi)引入移動(dòng)設(shè)備應(yīng)用，而財(cái)富500強(qiáng)中65%的企業(yè)，已經(jīng)不同程度部署了i-Pad。用戶已經(jīng)習(xí)慣用Blackberry收發(fā)郵件，用平板電腦為客戶做演示，用移動(dòng)設(shè)備遠(yuǎn)程接入企業(yè)網(wǎng)絡(luò)獲取信息，在線溝通，或者分享日程。
　　移動(dòng)設(shè)備作為信息存儲(chǔ)、使用與傳遞的新載體而被應(yīng)用，面臨著與傳統(tǒng)的筆記本、臺(tái)式機(jī)等傳統(tǒng)設(shè)備一樣的信息安全風(fēng)險(xiǎn)，不但如此，由于移動(dòng)設(shè)備一些不同于傳統(tǒng)IT應(yīng)用的新特點(diǎn)，移動(dòng)設(shè)備應(yīng)用還為組織帶來(lái)了更新的安全挑戰(zhàn)，內(nèi)網(wǎng)安全企業(yè)，也必須需要適應(yīng)這一趨勢(shì)的發(fā)展。
　　基于設(shè)備特征識(shí)別技術(shù)的精細(xì)化設(shè)備使用授權(quán)
　　從最先出現(xiàn)的U盤、移動(dòng)硬盤，到數(shù)碼相機(jī)、播放器，再到最新的智能手機(jī)、平板電腦，拋開其軟件應(yīng)用不談，這些設(shè)備內(nèi)部大部分都存在著巨量的存儲(chǔ)空間。從早期的幾百M(fèi)B到現(xiàn)在的動(dòng)輒幾十GB，對(duì)于稍小一些的企業(yè)，一個(gè)32G的i-Pad可能已經(jīng)足夠存儲(chǔ)其所有的數(shù)據(jù)并被輕易轉(zhuǎn)移。隨著藍(lán)牙、wifi、USB等技術(shù)的普及，設(shè)備之間的信息傳輸也變得前所未有的方便，如果組織執(zhí)行嚴(yán)格的IT安全策略，那么出于安全的考慮，移動(dòng)設(shè)備可能會(huì)被全盤禁止，包括USB端口、藍(lán)牙等甚至可能被禁用；然而，對(duì)于那些信息安全策略不那么嚴(yán)格的組織，全盤否定的移動(dòng)設(shè)備策略又犧牲了可用性。這時(shí)，為不同的移動(dòng)設(shè)備精細(xì)化區(qū)分授權(quán)就成為必然的選擇。
　　我們一直都倡導(dǎo)精細(xì)化管理的理念，所在團(tuán)隊(duì)研發(fā)的IP-guard較早已實(shí)現(xiàn)了對(duì)于USB設(shè)備的精細(xì)化區(qū)分控制，例如對(duì)USB鍵鼠與USB存儲(chǔ)的區(qū)分，以及通過各種端口與主機(jī)進(jìn)行連接的識(shí)別與控制。未來(lái)，隨著智能手機(jī)、平板電腦等的廣泛采用，內(nèi)網(wǎng)安全企業(yè)對(duì)不同設(shè)備的識(shí)別技術(shù)會(huì)更加準(zhǔn)確和深入，包括基于硬件、操作系統(tǒng)等信息的識(shí)別。
　　基于802.1x準(zhǔn)入控制技術(shù)的移動(dòng)設(shè)備準(zhǔn)入控制技術(shù)的完善
　　移動(dòng)設(shè)備的一大特征，就是可以方便的接入無(wú)線網(wǎng)絡(luò)。借助無(wú)線網(wǎng)絡(luò)，智能手機(jī)、平板電腦等可以經(jīng)由局域網(wǎng)甚至互聯(lián)網(wǎng)，接入到企業(yè)的內(nèi)部網(wǎng)絡(luò)中，訪問和使用關(guān)鍵網(wǎng)絡(luò)位置的信息資源，最為常見的應(yīng)用就是Email。
　　另外，基于目前云計(jì)算的大趨勢(shì)，越來(lái)越多的應(yīng)用在云端而不是在本地被處理和運(yùn)行，無(wú)論是公有云、私有云，還是SaaS，用戶所需要的只是一個(gè)可以接入云的終端。試想一下，無(wú)論是CRM還是ERP，或者是其他的業(yè)務(wù)系統(tǒng)，只要放在云端，你需要的只是i-Pad或智能手機(jī)這樣簡(jiǎn)單的設(shè)備接入，然后處理業(yè)務(wù)流程。這無(wú)疑大大加速了企業(yè)的信息化進(jìn)程和信息處理速度。
　　然而，正像上面描述的一樣，有革命性的進(jìn)步，就有對(duì)應(yīng)的風(fēng)險(xiǎn)。對(duì)于云計(jì)算大背景下的移動(dòng)設(shè)備接入而言，網(wǎng)絡(luò)準(zhǔn)入無(wú)疑要發(fā)揮更重要的角色。
　　相對(duì)于目前較成熟的802.1x準(zhǔn)入控制機(jī)制，對(duì)接入到內(nèi)網(wǎng)的移動(dòng)設(shè)備進(jìn)行管理要更加困難。802.1x技術(shù)大部分會(huì)與基于Windows平臺(tái)的AD域管理相結(jié)合，而i-OS、Android等目前流行的移動(dòng)系統(tǒng)卻與Windows平臺(tái)有本質(zhì)的不同。因此，大部分IT管理員都會(huì)將接入的移動(dòng)設(shè)備劃入802.1x管理下的來(lái)賓帳戶，也就意味著這些設(shè)備對(duì)于內(nèi)部網(wǎng)絡(luò)的訪問受到了最大的限制，無(wú)法滿足現(xiàn)實(shí)的需求。
　　針對(duì)上面的難題，一個(gè)可行的趨勢(shì)是通過識(shí)別移動(dòng)設(shè)備的MAC、硬件、系統(tǒng)等“指紋”并將其映射到已有的基于802.1x和組策略配置的準(zhǔn)入系統(tǒng)下。目前，已有部分公司的產(chǎn)品初步實(shí)現(xiàn)了這一功能，例如Aruba Networks公司的Amigopod Visitor Management Appliance （VMA）。此產(chǎn)品基于監(jiān)控DHCP和HTTP信息來(lái)識(shí)別不同設(shè)備的指紋，并將信息映射到正確的訪問控制策略中，從而實(shí)現(xiàn)準(zhǔn)入控制的目的。
　　由此可見，要想實(shí)現(xiàn)對(duì)移動(dòng)設(shè)備的精確準(zhǔn)入控制，掌握802.1x準(zhǔn)入控制機(jī)制是先決條件，而準(zhǔn)入控制機(jī)制的缺乏，正是目前基于主機(jī)準(zhǔn)入控制的內(nèi)網(wǎng)安全產(chǎn)品普遍的弱點(diǎn)。逐步完善基于802.1x，以及基于網(wǎng)關(guān)與客戶端聯(lián)動(dòng)的準(zhǔn)入控制機(jī)制，是我們目前亟需解決的，這也是IP-guard正努力的重點(diǎn)。相信不久的將來(lái)，對(duì)于移動(dòng)設(shè)備準(zhǔn)入的控制會(huì)有新的成果出爐。
　　基于內(nèi)容分析的DLP與邊界封堵、加密技術(shù)的結(jié)合
　　在內(nèi)部網(wǎng)絡(luò)和移動(dòng)設(shè)備之間傳遞的數(shù)據(jù)，往往在一定程度上屬于涉密信息，需要在傳輸和使用中進(jìn)行信息泄漏防護(hù)。目前，國(guó)內(nèi)主流的信息防泄露技術(shù)，普遍是基于封堵和加密技術(shù)，在PC上應(yīng)用確實(shí)無(wú)障礙，但移動(dòng)設(shè)備的出現(xiàn)，為當(dāng)前的信息防泄漏技術(shù)帶來(lái)了挑戰(zhàn)。
　　移動(dòng)應(yīng)用的本身，是為加速和便利信息的傳遞，而封堵則可能削弱這種便利性。云計(jì)算的應(yīng)用，更使得越來(lái)越多的應(yīng)用在云端而非本地實(shí)現(xiàn)，基于主機(jī)的封堵和加密機(jī)制就有了一定的局限。
　　如何解決上面提出的信息防泄漏難題？超越主機(jī)的級(jí)別，進(jìn)一步對(duì)于數(shù)據(jù)本身進(jìn)行分析、過濾與攔截，是一個(gè)可能的發(fā)展趨勢(shì)。在這一點(diǎn)上，長(zhǎng)于內(nèi)容分析與過濾的國(guó)外DLP產(chǎn)品為我們提供了啟發(fā)。
　　與國(guó)內(nèi)的封堵與加密機(jī)制不同，以賽門鐵克、麥咖啡為代表的國(guó)外DLP產(chǎn)品，更多的應(yīng)用了內(nèi)容分析與過濾技術(shù)，從信息層面進(jìn)行信息防泄漏管理。通過在邊界部署設(shè)備，DLP產(chǎn)品可以對(duì)通過網(wǎng)絡(luò)、端口傳輸?shù)男畔⑦M(jìn)行內(nèi)容分析，識(shí)別出符合預(yù)先設(shè)定的保密特征的涉密信息并過濾或阻斷。過去，由于國(guó)內(nèi)的信息防泄漏市場(chǎng)是以防主動(dòng)泄密的需求為主，因此賽門鐵克等產(chǎn)品的DLP技術(shù)無(wú)太大的用武之地。而隨著移動(dòng)設(shè)備和云計(jì)算的發(fā)展，這種便利性與安全性相平衡的技術(shù)將獲得更好的認(rèn)可。
　　無(wú)論是封堵、加密，還是內(nèi)容分析與過濾，其本質(zhì)的目的，都是信息防泄漏，只是在安全性與便捷性之間進(jìn)行不同的權(quán)衡。作為定位于內(nèi)網(wǎng)安全的產(chǎn)品，IP-guard在封堵與加密領(lǐng)域已經(jīng)日漸成熟，為了更好適應(yīng)用戶的需求與技術(shù)的發(fā)展，我們也已經(jīng)開始研究基于內(nèi)容分析的過濾機(jī)制，希望將來(lái)與原本的封堵與加密機(jī)制相結(jié)合，為用戶打造完整的信息防泄漏體系。
　　注重移動(dòng)設(shè)備本身的安全措施的執(zhí)行
　　目前，移動(dòng)設(shè)備制造商也已經(jīng)意識(shí)到了移動(dòng)設(shè)備安全的重要性。例如，i-Pad就引入了豐富的安全機(jī)制，包括密碼機(jī)制、設(shè)備加密、加密的網(wǎng)絡(luò)連接、數(shù)據(jù)遠(yuǎn)程擦除等機(jī)制，都很大程度上提升了移動(dòng)設(shè)備的安全性。
　　然而，使用移動(dòng)設(shè)備的用戶為貪圖方便，可能并不會(huì)嚴(yán)格使用移動(dòng)設(shè)備所提供的安全措施。作為移動(dòng)設(shè)備的部署方和管理者，IT管理者就應(yīng)該結(jié)合移動(dòng)設(shè)備本身所采取的安全措施，讓其發(fā)揮更大的作用。統(tǒng)一登記的接入管理，為移動(dòng)設(shè)備特別開發(fā)安全的app應(yīng)用，對(duì)移動(dòng)設(shè)備安全策略執(zhí)行的嚴(yán)格審查。我們一直強(qiáng)調(diào)技術(shù)與管理相結(jié)合，這些適應(yīng)移動(dòng)應(yīng)用時(shí)代的管理手段，都是保障移動(dòng)設(shè)備內(nèi)網(wǎng)安全的必要條件。
　　作為先進(jìn)信息技術(shù)的發(fā)源地，移動(dòng)設(shè)備應(yīng)用如今在美國(guó)等發(fā)達(dá)國(guó)家應(yīng)用的更為普遍，而國(guó)內(nèi)這一類應(yīng)用還剛剛處于起步階段。然而，這并不意味著我們可以忽略移動(dòng)設(shè)備所帶來(lái)的安全威脅，近兩年的智能手機(jī)、平板電腦市場(chǎng)的高速增長(zhǎng)證明，移動(dòng)設(shè)備安全遲早會(huì)成為內(nèi)網(wǎng)安全的一塊前沿陣地，對(duì)此，未雨綢繆永遠(yuǎn)是正確的選擇。