|
此前和大家分享了內(nèi)網(wǎng)安全領(lǐng)域可能應用的兩項前沿技術(shù)(還未廣泛應用的沙盒�����,以及已經(jīng)趨向成熟的準入控制)的一些個人看法�����,今天和大家探討一下對于國內(nèi)企業(yè)來說可能更加前沿的話題:移動設(shè)備應用為內(nèi)網(wǎng)安全帶來的威脅����。
這兩三年來,i-Pad�,Blackberry,Android等移動設(shè)備不斷的出現(xiàn)在公眾的日常生活中�����,它們讓信息的存儲與傳播更加方便和快捷�����,借助移動設(shè)備��,隨時隨地的在線生活成為了可能�。
同樣的,移動設(shè)備的存在����,不僅僅改變了作為個體的生活方式����,GigaOm的一份最新報告顯示����,有38%的受訪企業(yè)已經(jīng)不同程度的在IT中應用了移動設(shè)備,而43%的受調(diào)查企業(yè)計劃在1年內(nèi)引入移動設(shè)備應用��,而財富500強中65%的企業(yè)����,已經(jīng)不同程度部署了i-Pad����。用戶已經(jīng)習慣用Blackberry收發(fā)郵件,用平板電腦為客戶做演示���,用移動設(shè)備遠程接入企業(yè)網(wǎng)絡(luò)獲取信息����,在線溝通����,或者分享日程�����。
移動設(shè)備作為信息存儲���、使用與傳遞的新載體而被應用,面臨著與傳統(tǒng)的筆記本���、臺式機等傳統(tǒng)設(shè)備一樣的信息安全風險��,不但如此�����,由于移動設(shè)備一些不同于傳統(tǒng)IT應用的新特點���,移動設(shè)備應用還為組織帶來了更新的安全挑戰(zhàn),內(nèi)網(wǎng)安全企業(yè)�����,也必須需要適應這一趨勢的發(fā)展���。
基于設(shè)備特征識別技術(shù)的精細化設(shè)備使用授權(quán)
從最先出現(xiàn)的U盤��、移動硬盤��,到數(shù)碼相機���、播放器�����,再到最新的智能手機�����、平板電腦����,拋開其軟件應用不談�����,這些設(shè)備內(nèi)部大部分都存在著巨量的存儲空間�。從早期的幾百MB到現(xiàn)在的動輒幾十GB���,對于稍小一些的企業(yè)�����,一個32G的i-Pad可能已經(jīng)足夠存儲其所有的數(shù)據(jù)并被輕易轉(zhuǎn)移�����。隨著藍牙�、wifi、USB等技術(shù)的普及���,設(shè)備之間的信息傳輸也變得前所未有的方便���,如果組織執(zhí)行嚴格的IT安全策略,那么出于安全的考慮�����,移動設(shè)備可能會被全盤禁止����,包括USB端口、藍牙等甚至可能被禁用��;然而,對于那些信息安全策略不那么嚴格的組織�,全盤否定的移動設(shè)備策略又犧牲了可用性。這時�����,為不同的移動設(shè)備精細化區(qū)分授權(quán)就成為必然的選擇����。
我們一直都倡導精細化管理的理念,所在團隊研發(fā)的IP-guard較早已實現(xiàn)了對于USB設(shè)備的精細化區(qū)分控制��,例如對USB鍵鼠與USB存儲的區(qū)分����,以及通過各種端口與主機進行連接的識別與控制。未來�,隨著智能手機、平板電腦等的廣泛采用��,內(nèi)網(wǎng)安全企業(yè)對不同設(shè)備的識別技術(shù)會更加準確和深入���,包括基于硬件、操作系統(tǒng)等信息的識別���。
基于802.1x準入控制技術(shù)的移動設(shè)備準入控制技術(shù)的完善
移動設(shè)備的一大特征���,就是可以方便的接入無線網(wǎng)絡(luò)����。借助無線網(wǎng)絡(luò)�����,智能手機���、平板電腦等可以經(jīng)由局域網(wǎng)甚至互聯(lián)網(wǎng)����,接入到企業(yè)的內(nèi)部網(wǎng)絡(luò)中�����,訪問和使用關(guān)鍵網(wǎng)絡(luò)位置的信息資源�����,最為常見的應用就是Email��。
另外,基于目前云計算的大趨勢��,越來越多的應用在云端而不是在本地被處理和運行�����,無論是公有云���、私有云���,還是SaaS,用戶所需要的只是一個可以接入云的終端����。試想一下,無論是CRM還是ERP�,或者是其他的業(yè)務(wù)系統(tǒng),只要放在云端�����,你需要的只是i-Pad或智能手機這樣簡單的設(shè)備接入���,然后處理業(yè)務(wù)流程���。這無疑大大加速了企業(yè)的信息化進程和信息處理速度。
然而����,正像上面描述的一樣,有革命性的進步�����,就有對應的風險���。對于云計算大背景下的移動設(shè)備接入而言��,網(wǎng)絡(luò)準入無疑要發(fā)揮更重要的角色����。
相對于目前較成熟的802.1x準入控制機制�����,對接入到內(nèi)網(wǎng)的移動設(shè)備進行管理要更加困難���。802.1x技術(shù)大部分會與基于Windows平臺的AD域管理相結(jié)合�,而i-OS、Android等目前流行的移動系統(tǒng)卻與Windows平臺有本質(zhì)的不同��。因此���,大部分IT管理員都會將接入的移動設(shè)備劃入802.1x管理下的來賓帳戶�,也就意味著這些設(shè)備對于內(nèi)部網(wǎng)絡(luò)的訪問受到了最大的限制�,無法滿足現(xiàn)實的需求。
針對上面的難題���,一個可行的趨勢是通過識別移動設(shè)備的MAC����、硬件���、系統(tǒng)等“指紋”并將其映射到已有的基于802.1x和組策略配置的準入系統(tǒng)下�。目前��,已有部分公司的產(chǎn)品初步實現(xiàn)了這一功能����,例如Aruba Networks公司的Amigopod Visitor Management Appliance (VMA)。此產(chǎn)品基于監(jiān)控DHCP和HTTP信息來識別不同設(shè)備的指紋,并將信息映射到正確的訪問控制策略中��,從而實現(xiàn)準入控制的目的�。
由此可見,要想實現(xiàn)對移動設(shè)備的精確準入控制�,掌握802.1x準入控制機制是先決條件����,而準入控制機制的缺乏,正是目前基于主機準入控制的內(nèi)網(wǎng)安全產(chǎn)品普遍的弱點��。逐步完善基于802.1x����,以及基于網(wǎng)關(guān)與客戶端聯(lián)動的準入控制機制,是我們目前亟需解決的��,這也是IP-guard正努力的重點���。相信不久的將來�����,對于移動設(shè)備準入的控制會有新的成果出爐����。
基于內(nèi)容分析的DLP與邊界封堵、加密技術(shù)的結(jié)合
在內(nèi)部網(wǎng)絡(luò)和移動設(shè)備之間傳遞的數(shù)據(jù)��,往往在一定程度上屬于涉密信息���,需要在傳輸和使用中進行信息泄漏防護����。目前��,國內(nèi)主流的信息防泄露技術(shù)���,普遍是基于封堵和加密技術(shù)���,在PC上應用確實無障礙,但移動設(shè)備的出現(xiàn)����,為當前的信息防泄漏技術(shù)帶來了挑戰(zhàn)。
移動應用的本身�,是為加速和便利信息的傳遞,而封堵則可能削弱這種便利性�����。云計算的應用,更使得越來越多的應用在云端而非本地實現(xiàn)�����,基于主機的封堵和加密機制就有了一定的局限��。
如何解決上面提出的信息防泄漏難題����?超越主機的級別�,進一步對于數(shù)據(jù)本身進行分析、過濾與攔截��,是一個可能的發(fā)展趨勢���。在這一點上��,長于內(nèi)容分析與過濾的國外DLP產(chǎn)品為我們提供了啟發(fā)��。
與國內(nèi)的封堵與加密機制不同����,以賽門鐵克、麥咖啡為代表的國外DLP產(chǎn)品�,更多的應用了內(nèi)容分析與過濾技術(shù),從信息層面進行信息防泄漏管理��。通過在邊界部署設(shè)備����,DLP產(chǎn)品可以對通過網(wǎng)絡(luò)、端口傳輸?shù)男畔⑦M行內(nèi)容分析�����,識別出符合預先設(shè)定的保密特征的涉密信息并過濾或阻斷�����。過去����,由于國內(nèi)的信息防泄漏市場是以防主動泄密的需求為主,因此賽門鐵克等產(chǎn)品的DLP技術(shù)無太大的用武之地��。而隨著移動設(shè)備和云計算的發(fā)展�����,這種便利性與安全性相平衡的技術(shù)將獲得更好的認可。
無論是封堵�、加密,還是內(nèi)容分析與過濾����,其本質(zhì)的目的,都是信息防泄漏�����,只是在安全性與便捷性之間進行不同的權(quán)衡����。作為定位于內(nèi)網(wǎng)安全的產(chǎn)品���,IP-guard在封堵與加密領(lǐng)域已經(jīng)日漸成熟��,為了更好適應用戶的需求與技術(shù)的發(fā)展�,我們也已經(jīng)開始研究基于內(nèi)容分析的過濾機制��,希望將來與原本的封堵與加密機制相結(jié)合�����,為用戶打造完整的信息防泄漏體系。
注重移動設(shè)備本身的安全措施的執(zhí)行
目前�����,移動設(shè)備制造商也已經(jīng)意識到了移動設(shè)備安全的重要性��。例如�����,i-Pad就引入了豐富的安全機制����,包括密碼機制、設(shè)備加密�、加密的網(wǎng)絡(luò)連接��、數(shù)據(jù)遠程擦除等機制���,都很大程度上提升了移動設(shè)備的安全性�����。
然而����,使用移動設(shè)備的用戶為貪圖方便����,可能并不會嚴格使用移動設(shè)備所提供的安全措施����。作為移動設(shè)備的部署方和管理者���,IT管理者就應該結(jié)合移動設(shè)備本身所采取的安全措施,讓其發(fā)揮更大的作用��。統(tǒng)一登記的接入管理,為移動設(shè)備特別開發(fā)安全的app應用���,對移動設(shè)備安全策略執(zhí)行的嚴格審查。我們一直強調(diào)技術(shù)與管理相結(jié)合���,這些適應移動應用時代的管理手段,都是保障移動設(shè)備內(nèi)網(wǎng)安全的必要條件。
作為先進信息技術(shù)的發(fā)源地���,移動設(shè)備應用如今在美國等發(fā)達國家應用的更為普遍����,而國內(nèi)這一類應用還剛剛處于起步階段���。然而���,這并不意味著我們可以忽略移動設(shè)備所帶來的安全威脅���,近兩年的智能手機�����、平板電腦市場的高速增長證明����,移動設(shè)備安全遲早會成為內(nèi)網(wǎng)安全的一塊前沿陣地,對此���,未雨綢繆永遠是正確的選擇����。
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【www.riomediacenter.com】
服務(wù)器租用/服務(wù)器托管中國五強�����!虛擬主機域名注冊頂級提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
