應用層次化安全策略確保企業移動平臺安全

隨著Android、Apple的iOS等移動平臺的出現，越來越多的終端用戶和企業用戶都熱衷于采用他們作為自己的休閑娛樂，甚至是辦公平臺。然而，移動平臺相對于傳統較為成熟的Windows、Linux等操作系統平臺，其安全性一直為用戶尤其是為企業所詬病。在使用方便的同時，其安全性如何保障呢？企業是否能夠放心地引入并普遍應用這些移動平臺呢？本文以當前非常熱門的Apple移動平臺為例，來介紹該平臺的安全策略及技術。
 
　　Apple移動平臺是iOS（即Apple Operation System），其代表產品是iPhone和iPad。其實，除了提供強大的娛樂功能外，iOS在系統層面為企業用戶及其應用提供了許多安全機制，其中包括：防范對設備的未授權使用、對設備數據的全面保護（包括設備丟失或被偷的情況下）、安全的網絡傳輸協議和數據加密算法、安全的平臺等。由此為用戶提供了一個安全的移動計算平臺。
 
　　總的來說，企業用戶可以根據如下4個大的層面（共計10余條具體措施）進行安全設置和加固。
 
　　一、系統保護層面
 
　　措施一：設定密碼策略
 
　　iOS支持用戶從一系列密碼設計策略中根據安全需求來進行選擇，包括超時設定、密碼長度以及密碼更新周期等。iOS支持Microsoft Exchange ActiveSync的密碼策略，如最小密碼長度、最大密碼嘗試次數、密碼設定需要數字和字母組合、密碼的最大非活動時間等。另外，iOS還支持Microsoft Exchange Server 2007中的密碼策略，如：允許/禁止結案但密碼、密碼超時、密碼歷史、策略更新間隔、密碼中復雜字母的最小數量等。
 
　　措施二：設定安全策略
 
　　在iOS中有2種方法可以對安全策略進行設定。如果設備配置為可訪問Microsoft Exchange帳戶，則Exchange ActiveSync的相應策略直接會推送到設備上，不需要用戶設置；另外，用戶可以通過配置文件的方式來對配置進行部署和安裝。值得注意的是：刪除該配置需要管理員密碼。
 
　　措施三：配置安全設備
 
　　iOS通過XML（eXtensible Markup Language，可擴展的標記語言）格式的配置文件來對設備的安全策略和限制、VPN（Virtual Private Network）配置信息、Wi-Fi設置、郵件等進行設定。iOS對配置文件提供了簽名和加密的保護。
 
　　措施四：應用設備限制
 
　　設備限制規定了用戶可以訪問和使用iOS的哪些feature，換句話說，設備限制主要是為了幫助企業來規范和限定雇員可以在企業環境中使用iOS的哪些指定服務。通常這些限制包括一些網絡應用程序，例如Safari、YouTube、iTunes Store等等。當然，限制也可以包括是否允許安裝應用程序等。
 
　　二、數據保護層面
 
　　措施一：數據加密
 
　　iOS提供了256位的AES（Advanced Encryption Standard）硬件加密算法來保護設備中的所有數據，并且加密是強制選項，不能被用戶取消。
 
　　措施二：遠程信息清除
 
　　iOS支持遠程信息清除。當iOS為用戶遺失或者被盜的情況下，管理員或者設備所有者可以觸發遠程信息清除命令，從而將設備上的數據進行消除并反激活設備，從而保證數據安全。
 
　　措施三：本地信息消除
 
　　iOS同時也支持本地信息清除。用戶可以配置經過多次密碼嘗試失敗后，iOS自動啟動本地信息消除操作。默認情況下，10次密碼嘗試失敗后，iOS將啟動該機制。
 
　　三、網絡通信層面
 
　　措施一：應用VPN進行移動辦公
 
　　iOS支持主流的VPN技術，包括Cisco IPSec、L2TP和PPTP，以確保手機通信內容的安全。同時，iOS也支持網絡代理配置。另外，為了支持對現有VPN環境的安全訪問，iOS支持基于標準x.509數字證書的認證，還支持基于RSA SecureID和CRYPTOCard的認證等。
 
　　措施二：應用SSL/TLS進行通信加密
 
　　iOS支持SSL（Secure Socket Layer）v3以及TLS（Transport Layer Security）v1。Safari、Calendar、Mail等其他互聯網應用都會自動地使用這些安全機制來保證iOS和其他應用間的通信安全。
 
　　措施三：應用WPA/WPA2進行無線接入
 
　　iOS支持WPA（Wi-Fi Protected Access）/WPA2認證方式通過Wi-Fi接入企業網絡。WPA2采用128位AES加密方式。同時，iOS支持802.1x協議族，因此也能應用于基于RADIUS認證的環境。
 
　　四、iOS平臺層面
 
　　措施一：運行時保護
 
　　運行在iOS上的應用程序遵循“沙箱”安全原則，即不能夠訪問其他應用程序的數據。另外，系統文件、資源以及內核都與用戶應用程序相隔離。若應用程序要訪問其他程序的數據，則必須通過iOS提供的API進行訪問。
 
　　措施二：強制簽名
 
　　所有的iOS應用程序都必須簽名。設備上自帶的程序都由Apple公司簽名。第三方的應用程序都必須由開發者使用Apple公司頒發的數字證書簽名。
 
　　措施三：安全認證框架
 
　　iOS提供了一個安全、加密的認證框架來存儲數字標識、用戶名和密碼，以此來保證對多種應用和服務的安全認證。
 
　　因此，當前的移動平臺在其設計初始就在安全方面做了大量的工作，企業用戶不必過分為安全性擔憂。但是值得提醒的是：上述的安全措施需要企業用戶認真、合理、全面地使用，否則，平臺所提供的安全措施和策略也只是一個擺設，要使其真正地生效并保證企業用戶的使用安全，還需要企業用戶的高度重視和合理使用

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]