|
此前和大家分享了內網安全領域可能應用的兩項前沿技術(還未廣泛應用的沙盒��,以及已經趨向成熟的準入控制)的一些個人看法����,今天和大家探討一下對于國內企業來說可能更加前沿的話題:移動設備應用為內網安全帶來的威脅���。
這兩三年來���,i-Pad��,Blackberry���,Android等移動設備不斷的出現在公眾的日常生活中�,它們讓信息的存儲與傳播更加方便和快捷�,借助移動設備,隨時隨地的在線生活成為了可能�����。
同樣的�����,移動設備的存在,不僅僅改變了作為個體的生活方式,GigaOm的一份最新報告顯示��,有38%的受訪企業已經不同程度的在IT中應用了移動設備�,而43%的受調查企業計劃在1年內引入移動設備應用,而財富500強中65%的企業��,已經不同程度部署了i-Pad����。用戶已經習慣用Blackberry收發郵件,用平板電腦為客戶做演示,用移動設備遠程接入企業網絡獲取信息�����,在線溝通���,或者分享日程�����。
移動設備作為信息存儲��、使用與傳遞的新載體而被應用,面臨著與傳統的筆記本、臺式機等傳統設備一樣的信息安全風險���,不但如此,由于移動設備一些不同于傳統IT應用的新特點,移動設備應用還為組織帶來了更新的安全挑戰,內網安全企業,也必須需要適應這一趨勢的發展。
基于設備特征識別技術的精細化設備使用授權
從最先出現的U盤、移動硬盤,到數碼相機、播放器�,再到最新的智能手機��、平板電腦,拋開其軟件應用不談�����,這些設備內部大部分都存在著巨量的存儲空間���。從早期的幾百MB到現在的動輒幾十GB���,對于稍小一些的企業��,一個32G的i-Pad可能已經足夠存儲其所有的數據并被輕易轉移。隨著藍牙�、wifi����、USB等技術的普及����,設備之間的信息傳輸也變得前所未有的方便,如果組織執行嚴格的IT安全策略���,那么出于安全的考慮,移動設備可能會被全盤禁止�,包括USB端口���、藍牙等甚至可能被禁用����;然而,對于那些信息安全策略不那么嚴格的組織����,全盤否定的移動設備策略又犧牲了可用性����。這時��,為不同的移動設備精細化區分授權就成為必然的選擇�。
我們一直都倡導精細化管理的理念����,所在團隊研發的IP-guard較早已實現了對于USB設備的精細化區分控制�����,例如對USB鍵鼠與USB存儲的區分����,以及通過各種端口與主機進行連接的識別與控制����。未來,隨著智能手機�����、平板電腦等的廣泛采用����,內網安全企業對不同設備的識別技術會更加準確和深入,包括基于硬件����、操作系統等信息的識別����。
基于802.1x準入控制技術的移動設備準入控制技術的完善
移動設備的一大特征�����,就是可以方便的接入無線網絡�。借助無線網絡��,智能手機�、平板電腦等可以經由局域網甚至互聯網��,接入到企業的內部網絡中,訪問和使用關鍵網絡位置的信息資源,最為常見的應用就是Email�����。
另外��,基于目前云計算的大趨勢����,越來越多的應用在云端而不是在本地被處理和運行���,無論是公有云��、私有云����,還是SaaS�,用戶所需要的只是一個可以接入云的終端。試想一下,無論是CRM還是ERP�����,或者是其他的業務系統����,只要放在云端��,你需要的只是i-Pad或智能手機這樣簡單的設備接入,然后處理業務流程���。這無疑大大加速了企業的信息化進程和信息處理速度。
然而�,正像上面描述的一樣��,有革命性的進步���,就有對應的風險�。對于云計算大背景下的移動設備接入而言,網絡準入無疑要發揮更重要的角色。
相對于目前較成熟的802.1x準入控制機制�����,對接入到內網的移動設備進行管理要更加困難���。802.1x技術大部分會與基于Windows平臺的AD域管理相結合����,而i-OS、Android等目前流行的移動系統卻與Windows平臺有本質的不同����。因此��,大部分IT管理員都會將接入的移動設備劃入802.1x管理下的來賓帳戶,也就意味著這些設備對于內部網絡的訪問受到了最大的限制����,無法滿足現實的需求�。
針對上面的難題���,一個可行的趨勢是通過識別移動設備的MAC���、硬件����、系統等“指紋”并將其映射到已有的基于802.1x和組策略配置的準入系統下。目前,已有部分公司的產品初步實現了這一功能���,例如Aruba Networks公司的Amigopod Visitor Management Appliance (VMA)����。此產品基于監控DHCP和HTTP信息來識別不同設備的指紋,并將信息映射到正確的訪問控制策略中���,從而實現準入控制的目的。
由此可見�����,要想實現對移動設備的精確準入控制��,掌握802.1x準入控制機制是先決條件���,而準入控制機制的缺乏����,正是目前基于主機準入控制的內網安全產品普遍的弱點�����。逐步完善基于802.1x�,以及基于網關與客戶端聯動的準入控制機制����,是我們目前亟需解決的,這也是IP-guard正努力的重點�����。相信不久的將來,對于移動設備準入的控制會有新的成果出爐��。
基于內容分析的DLP與邊界封堵���、加密技術的結合
在內部網絡和移動設備之間傳遞的數據����,往往在一定程度上屬于涉密信息�,需要在傳輸和使用中進行信息泄漏防護。目前�����,國內主流的信息防泄露技術��,普遍是基于封堵和加密技術��,在PC上應用確實無障礙,但移動設備的出現�,為當前的信息防泄漏技術帶來了挑戰�。
移動應用的本身�,是為加速和便利信息的傳遞,而封堵則可能削弱這種便利性�����。云計算的應用�����,更使得越來越多的應用在云端而非本地實現���,基于主機的封堵和加密機制就有了一定的局限����。
如何解決上面提出的信息防泄漏難題�����?超越主機的級別,進一步對于數據本身進行分析、過濾與攔截���,是一個可能的發展趨勢。在這一點上,長于內容分析與過濾的國外DLP產品為我們提供了啟發。
與國內的封堵與加密機制不同�,以賽門鐵克�����、麥咖啡為代表的國外DLP產品,更多的應用了內容分析與過濾技術�,從信息層面進行信息防泄漏管理����。通過在邊界部署設備����,DLP產品可以對通過網絡、端口傳輸的信息進行內容分析,識別出符合預先設定的保密特征的涉密信息并過濾或阻斷��。過去���,由于國內的信息防泄漏市場是以防主動泄密的需求為主��,因此賽門鐵克等產品的DLP技術無太大的用武之地�。而隨著移動設備和云計算的發展����,這種便利性與安全性相平衡的技術將獲得更好的認可。
無論是封堵、加密�,還是內容分析與過濾����,其本質的目的�����,都是信息防泄漏���,只是在安全性與便捷性之間進行不同的權衡��。作為定位于內網安全的產品,IP-guard在封堵與加密領域已經日漸成熟����,為了更好適應用戶的需求與技術的發展��,我們也已經開始研究基于內容分析的過濾機制,希望將來與原本的封堵與加密機制相結合,為用戶打造完整的信息防泄漏體系�。
注重移動設備本身的安全措施的執行
目前����,移動設備制造商也已經意識到了移動設備安全的重要性�����。例如�,i-Pad就引入了豐富的安全機制�,包括密碼機制、設備加密、加密的網絡連接�����、數據遠程擦除等機制��,都很大程度上提升了移動設備的安全性��。
然而,使用移動設備的用戶為貪圖方便���,可能并不會嚴格使用移動設備所提供的安全措施�����。作為移動設備的部署方和管理者�,IT管理者就應該結合移動設備本身所采取的安全措施�����,讓其發揮更大的作用�。統一登記的接入管理�����,為移動設備特別開發安全的app應用���,對移動設備安全策略執行的嚴格審查��。我們一直強調技術與管理相結合,這些適應移動應用時代的管理手段����,都是保障移動設備內網安全的必要條件����。
作為先進信息技術的發源地��,移動設備應用如今在美國等發達國家應用的更為普遍����,而國內這一類應用還剛剛處于起步階段��。然而��,這并不意味著我們可以忽略移動設備所帶來的安全威脅��,近兩年的智能手機��、平板電腦市場的高速增長證明,移動設備安全遲早會成為內網安全的一塊前沿陣地,對此���,未雨綢繆永遠是正確的選擇。
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【www.vbseamall.com】
服務器租用/服務器托管中國五強�!虛擬主機域名注冊頂級提供商�����!15年品質保障��!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
