針對基於雲的BYOD環境安全性原則來保護企業資產

所有這些都存在通過破壞安全措施安裝禁止的協力廠商應用程式進行越獄或者獲取 root 許可權的可能。 被感染的 BYOD 連接到商業網路是另一個安全問題。 步行無線竊聽者可通過將資料從 BYOD 上傳到個人設備來竊取企業資料。 本文將學習如何使用針對基於雲的 BYOD 環境的安全性原則來保護企業資產。

為了保證基於雲的 BYOD 環境中的安全性，您需要一個完備的、明確的安全性原則。 本文介紹了圍繞越獄的潛在風險、共用設備問題，以及如何通過制定一個適合所有設備的安全性原則來保護企業資產。

概述

您不能像 iPad（和 iPhone）使用者越獄自己的設備那樣越獄您的 BlackBerry。 與 Apple 不同，BlackBerry 允許在設備上使用許多協力廠商應用程式。 iPad 使用者將自己的手機越獄是為了訪問某種類型的應用程式，而 BlackBerry 使用者已經擁有訪問這類應用程式的許可權。 如果 BlackBerry 使用者沒找到他們想要的協力廠商軟體，那麼他們可能會嘗試越獄 BlackBerry Playbook，安裝 Android 和 Apple 軟體。 當然，他們要承擔越獄設備保修不正確風險。

有兩種越獄方法能夠破壞 BYOD 設備上的安全措施，安裝協力廠商應用程式。 第一種方法涉及使用者與設備的交互，不允許遠端攻擊者破壞使用者資料或者設備的完整性。 使用者必須擁有設備，並具有該設備的有效使用者證書。 使用者至少能進行更改，這需要：

將設備網路共用到另一個設備或電腦（例如，通過 MyFi，一個支援作為 WiFi 熱點共用的 iPad 應用程式） 作為 root 使用者，訪問設備上某個授權使用者帳戶 作為授權開發人員，通過進入開發人員模式更改設備的預設設置。 如果使用者不是授權的開發人員，那麼開發人員模式可能會對完整性產生危害。

第二種越獄方法涉及的使用者交互比較少。 遠端駭客反射軟體 bug 會利用 Web 頁面獲取所有設備上的 root 存取權限。 這種情況只在使用者訪問危險頁面時才會發生。

噩夢場景 #1：受感染的 BYOD

Bob 的公司允許他使用個人 BlackBerry 作為一個被認可的 BYOD 來訪問 SaaS 應用程式。 公司沒有詢問 Bob 是否還有其他個人設備。 Bob 也沒有主動告訴公司他在家還有一個 iPad2，一個 MacBook 和筆記本。

某天在家

Bob 越獄了自己的 iPad2，然後安裝了 MyWi，作為 WiFi 熱點進行了以下操作：

使用公司允許的個人 Blackberry 作為無線數據機（通過藍牙）。 將他的 Macbook 和筆記本連接到 iPad2。 通過 WiFi 將所有的個人設備連接到互聯網。

Bob 使用他的筆記本訪問網頁，這個網頁含有惡意軟體 bug。 這個漏洞通過 iPad 未加密的無線連接（連接到公司網路）感染了所有設備。

斷開所有從 WiFi 連接到公司網路的設備，Bob 重新連接了已經被感染的 BlackBerry，作為獨立數據機訪問 SaaS 應用程式。 當應用程式將資料下載到 BlackBerry 後將設備從雲中斷開。

第二天在辦公室

Bob 回到公司與 C 級別的主管開會。 當他打開自己公司允許的 BlackBerry 後，發現下載的資料和所有公司資訊都變成了無用的垃圾，此時為時已晚，丟失的資訊包括：

企業連絡人 公司日曆 SaaS 訪問資訊 Blackberry 登錄

噩夢場景 #2：步行無線竊聽者

Brenda 是 Acme 公司的員工，公司允許她將自己的行動裝置連接到公司網路。 她的設備是一個 BlackBerry，安裝了許多 RIM 預裝的應用程式，以及個人使用的協力廠商應用程式。 當 Brenda 將她的設備連接到公司網路時，她能夠獲取公司允許的應用程式，包括條碼掃描器。

Brenda 花了點時間，步行到附近的一個商店，那裡有良好的手機接收信號。 她用自己的 BlackBerry 掃描辦公用品的條碼價簽。 如果價格無誤就把商品放進購物籃。 繼續購物，直到買完所有她需要的東西。

在購物的時候，Brenda 沒有意識到自己已經成為了步行無線竊聽者的受害人（提示：身處同一家商店的業務競爭對手）。 當 Brenda 掃描價簽時，步行無線竊聽者使用自己的設備從 Brenda 的設備上竊取了敏感性資料。 Brenda 的設備沒等到任何關於一個移動無線竊聽者正在上傳公司資料的提示。 Brenda 只注意到她的設備比以往稍微熱一點。

第二天，移動無線竊聽者就非法獲取了 SaaS 應用程式的許可權，然後向應用程式發送惡意資料攻擊。

網路共用設備的安全性

當設計可連接設備的安全性原則時，需要考慮的主要屬性有：

藍牙是否能夠關閉？ 無線連接的加密強度如何？ 在出現一定次數的密碼登錄錯誤之後應該怎麼辦？ 鎖定？ 還是資料擦除？

其他需要解決的問題包括：

您（和公司）能支援或者不支援什麼樣的應用程式？ 您的公司使用什麼樣的企業伺服器、改善行動裝置的安全性原則？ 行動裝置管理 (MDM)？ 設備是否能被越獄、獲取 root 許可權、或者被駭客攻擊？

網路共用策略制定

當制定網路共用策略時，您需要瞭解各個設備的具體問題。

RIM 設備 RIM 開發了一個高級網路共用系統，用於 PlayBook 和 BlackBerry 智慧手機，可以通過企業 IT 部門的策略集進行控制。 PlayBook 有兩種模式：蜂窩和 WiFi，或者只有 WiFi。

您需要將您的 BlackBerry 裝置註冊到 Blackberry 企業伺服器 (BES)，這樣 IT 部門就能在最大距離（介於支援藍牙的手機和 Playbook 之間）上設置策略。 如果 Playbook 行動裝置超出了設置的距離，網路共用就會自動終止，並且手機上的資料不會保留在平板電腦上。

您可以允許公司多個員工共用一個 Playbook，每個員工可以在不同的時間將自己的 BlackBerry 共用到平板電腦。

當您將 BlackBerry 智慧手機連接到 Playbook 時，您可以設置設備：

防止它與支援藍牙的設備共用內容。 加密您用藍牙技術接收和發送的資料。 防止使用 GPS 技術的無線竊聽者追蹤您的位置。 Android 設備 考慮到您的 Samsung Android 設備和平板電腦上的 Afaria Advanced Enterprise Security。 管理員可以： 強制進行行動裝置加密、遠端鎖定裝置、遠端應用程式和資料擦除、強式密碼安全，並設置使用者和應用程式的黑名單。 控制應用程式的安裝和卸載、藍牙、WiFi、攝像頭和話筒。 執行網路共用策略，無論哪個設備網路共用 Android 平板電腦。 允許使用射頻標識 (RFID) 閱讀器，直接將 UHF Gen2 RFID 讀取到 Samsung Galaxy 平板電腦的試算表中。 Apple 設備 在飛安模式下，Apple 設備關閉所有無線功能，遵守航空規定。 這可以防止您使用外部鍵盤訪問 SaaS、PaaS 或者 IaaS。 您也無法將手機共用到平板電腦。

聯繫您的管理員，將您的 iPad 註冊到 iO4 行動裝置管理 (MDM) 伺服器（請參閱 行動裝置管理，獲取有關的更多資訊）。

Windows® 行動裝置 Windows 行動裝置有一層或雙層訪問。 有雙層訪問的設備具有較好的許可選項。 一旦簽名的應用程式開始執行，應用程式許可（特許的和一般的）由證書確定。

如果使用者允許執行未簽名的應用程式，只能用一般的許可執行。 不過，使用者可能不允許在面向 SaaS 的雙層設備上安裝未簽名的應用程式。 在面向 PaaS 的雙層設備上，可能會要求使用者請求安裝未簽名應用程式許可權。

想要將 Windows 行動裝置連接到 BSE，您需要使用 BlackBerry 連接技術。 Windows RT 和 Windows 8 平板電腦在 iPad3 發佈後即可使用。

行動裝置管理

使用 MDM，公司能夠應對員工對設備提出的各種不同需求，還能提供可與 BES 媲美的安全性。 所支援的平臺範圍也增加到包括 Apple 的 iOS 和 Google 的 Android。 雖然 Apple 的 iOS 有所改進，但是 BES 為 MDM 提供了最安全的環境。

對於 Blackberry，MDM 有兩種形式：伺服器和雲。 雲版本提供了 Blackberry Business Cloud 服務。

MDM 伺服器管理員可以：

配置您的行動裝置設置。 在行動裝置上從強制限制清單和授權安裝應用程式清單中查詢設備資訊。 通過遠端擦除、遠端鎖定和裝置密碼刪除來管理設備。

MDM 軟體用於確保所有使用者都已註冊，向系統管理員（和 IT 部門）發送關於以下內容的警報：

哪個使用者是註冊使用者，哪個不是 哪個設備已被越獄 哪個設備正在運行許可的、禁止的和強制的應用程式 角色違規有什麼處罰

要與 MDM 伺服器通信，在設備上必須安裝小型用戶端。 伺服器通常與 LDAP 目錄相連接，至少可以找到員工位置、部門、職位和主管。

可使用用戶端與 BES for Microsoft® Exchange Server、IBM® Lotus® Domino 和 Novell GroupWise 進行通信。 作為配置的一部分，MDM 伺服器可提供 WiFi（和 VPN）設置來確保連接安全性。

如果在您的企業中有多個 MDM 域需要管理，那麼可以考慮 Blackberry Mobile Fusion Studio。 您可以在瀏覽器或者任何電腦中打開 BlackBerry Mobile Fusion Studio。 您可以與其他設備同時訪問 BlackBerry Mobile Fusion Studio 的管理員分享管理職責。