雲計算時代下的行動裝置安全初探(1)

隨著種類繁多的消費類設備不斷進入工作場所，首席資訊官以及首席資訊安全官正面臨著一場嚴峻的資訊安全考驗。 現在，越來越多的使用者使用行動裝置訪問企業服務、查看企業資料、進行業務操作。 此外，很多設備不受管理員的控制，這就意味著企業敏感性資料沒有受到企業現有遵從、安全及資料丟失防護(DLP)等政策的約束。 更為複雜的是，當今的行動裝置並不是資訊孤島—它們可以與一個支援雲服務和電腦服務的生態系統相連接。 一款典型的智慧手機至少可以與一個公有雲服務同步連接而不受管理員的控制。 同時，很多使用者也會直接將行動裝置跟家用電腦連接，對重要的設置或資料進行備份。 就上述兩種情況而言，企業的重要資產很有可能儲存在某個不受企業直接管理、無安全保障的地方。 目前，最受人們青睞的行動裝置作業系統有兩款，即谷歌Android(安卓)與蘋果iOS。 在此白皮書中，我們將對這兩種作業系統的安全模式進行評估。 同時，隨著行動裝置的普及，我們在本文也將談及它們對公司資訊安全帶來的影響。 行動裝置安全目標談及安全方面，這兩款主流移動平臺與傳統的桌面及伺服器作業系統所採用的安全模式不盡相同。 雖然兩種平臺都是在現有作業系統(iOS基於蘋果OSX作業系統，Android(安卓)基於Linux作業系統)的基礎上開發而來，但每款作業系統都針對自身的核心應用設計更為精密的安全模式。 其目標是使移動平臺自身就具備良好的安全性，從而擺脫對協力廠商安全軟體的依賴。 那麼，蘋果和谷歌對創建安全移動平臺的探索成功了嗎？ 為了找到答案，我們將分別對兩款軟體的安全模式以及應用實施進行分析，從而判斷它們能否抵禦當今主要的網路安全威脅。 這些安全威脅包括：◆基於網站和網路的攻擊。 該類型的病毒攻擊通常因為訪問惡意網站或非法網站而引發。 ◆ 惡意軟體。 這種軟體可以分成三大類：傳統電腦病毒、電腦蠕蟲病毒、特洛伊木馬病毒。 ◆ 社交工程學攻擊。 該類型的攻擊，例如釣魚，便是利用社交工程學誘使使用者洩露敏感資訊或誘導使用者在電腦上安裝惡意軟體。 ◆網路可用資源和服務濫用。 很多攻擊的目的都是濫用設備相關的網路、計算或身份資源而達到非法目的。 ◆ 惡意和無意的資料丟失。 當員工或駭客從受保護的設備或網路中獲取敏感資訊時，通常會導致資料丟失。 ◆ 對設備資料完整性的攻擊。 在資料完整性攻擊當中，攻擊者在未得到資料所有方允許的情況下試圖對資料進行破壞或修改。 蘋果iOS作業系統蘋果iOS作業系統(OS)可應用於iPod、iPhone、iPad等行動裝置，是蘋果OS X Mac作業系統的簡化版本。 系統漏洞截至本文撰寫之時，安全研究人員已發現：從iOS作業系統發行之初到現在，該系統的所有版本存在大約200種不同的漏洞，但大部分的漏洞問題並不是很嚴重。 攻擊者可以利用其中絕大部分的漏洞實現對某個程式的控制，如Safari程式，但他們要實現對設備的管理員級控制卻絕非易事。 但其中一部分漏洞導致的問題則非常嚴重，如果這些漏洞被利用，攻擊者可以實現對設備的管理員級控制，這樣一來他們就可以獲取設備中幾乎所有的資料和服務。 這類更為嚴重的漏洞被歸類為許可權提升型漏洞，因為攻擊者可以利用這些漏洞提高自身許可權並實現對設備的完全控制。 根據賽門鐵克統計的資料，截至本文撰寫之時，蘋果公司平均每12天就要對新發現的漏洞進行修復。 1 2 3 下一頁>>查看全文 內容導航第 1 頁：雲計算時代下的行動裝置安全初探(1) 第 2 頁：雲計算時代下的行動裝置安全初探(2) 第 3 頁：雲計算時代下的行動裝置安全初探(3) 原文：雲計算時代下的行動裝置安全初探(1) 返回網路安全首頁