怎樣免受不斷擴(kuò)大��、不斷變化的安全威脅環(huán)境的影響��?桌面安全是企業(yè)多年面臨的問題���。其中的經(jīng)驗(yàn)教訓(xùn)也可以轉(zhuǎn)移到云計(jì)算領(lǐng)域。實(shí)際上����,云安全是很多供應(yīng)商在致力于解決的一個(gè)問題,并將其作為云產(chǎn)品的一項(xiàng)特性���。一些供應(yīng)商會(huì)吹捧其產(chǎn)品獲得了授權(quán)機(jī)構(gòu)的認(rèn)證�。但還有一種看法認(rèn)為,桌面環(huán)境的教訓(xùn)在移動(dòng)環(huán)境下不再適用���。很多人認(rèn)為�����,移動(dòng)設(shè)備容易受到安全攻擊���。
本文將通過了解云安全漏洞現(xiàn)狀、移動(dòng)云設(shè)備漏洞以及如何解決這些漏洞來解決移動(dòng)云安全問題�����。本文還會(huì)討論移動(dòng)云安全的深入問題���,也會(huì)提到開發(fā)人員的機(jī)遇����。
移動(dòng)云計(jì)算和安全威脅
曾幾何時(shí)��,黑客是受名聲和好奇心驅(qū)動(dòng)��。但如今,最新的報(bào)告顯示黑客行為的主要?jiǎng)訖C(jī)是出于經(jīng)濟(jì)利益���。例如�,在編寫本文之時(shí)���, 英國新聞雜志The Register報(bào)道一伙人使用一組木馬惡意軟件(簡稱 malwar)試圖從芬蘭銀行賬戶盜取170萬美元�����。最近還有其他新聞報(bào)告Android惡意軟件增加了400%�。
此前的McAfee報(bào)告提出��,移動(dòng)威脅會(huì)穩(wěn)步增加�,但總體數(shù)量比個(gè)人電腦要少得多。盡管如此�,有人預(yù)測到2014年,移動(dòng)云市場價(jià)值會(huì)達(dá)到94億美元�。隨著移動(dòng)云的發(fā)展和智能手機(jī)迅速普及,可以預(yù)見�,智能手機(jī)對那些尋找進(jìn)入隱藏著巨大利益的云市場的犯罪分子來說充滿誘惑。現(xiàn)在正應(yīng)該了解移動(dòng)云的安全威脅�����,并準(zhǔn)備好應(yīng)對安全威脅一定會(huì)增加的態(tài)勢�����。我們先快速看一下目前黑客行為的情況��,深入了解移動(dòng)云安全威脅�����。
當(dāng)討論移動(dòng)云安全威脅的時(shí)候����,主要關(guān)注的是對智能手機(jī)和平板電腦平臺(tái)的威脅。這些威脅大體可分為三類:
· 物理威脅
· 對移動(dòng)網(wǎng)絡(luò)安全的威脅
· 惡意軟件的威脅
物理威脅
對于移動(dòng)設(shè)備的物理威脅主要有三種類型:借出�����、丟失和盜竊�����。在這三種之中�����,盜竊是最明顯的,因?yàn)槠湫袨楸旧砭褪菒阂獾�����。這些類別的具體統(tǒng)計(jì)數(shù)據(jù)很難找到���,但有報(bào)告顯示每年的物理損失估計(jì)有1200萬到3500萬�。(這是普通手機(jī)的數(shù)據(jù)��,因?yàn)檫沒有智能手機(jī)和平板電腦的數(shù)據(jù)���。)而盜竊數(shù)據(jù)更難找到��。
把移動(dòng)設(shè)備借給家庭成員或朋友似乎沒什么危險(xiǎn)�����,但卻有可能造成借到的人訪問未授權(quán)的數(shù)據(jù)或應(yīng)用程序���。還有可能會(huì)訪問因特網(wǎng)下載惡意軟件等,從而給智能手機(jī)帶來危險(xiǎn)��。
智能設(shè)備丟失或被盜還會(huì)造成設(shè)備上的數(shù)據(jù)或設(shè)備本身的濫用�。移動(dòng)設(shè)備具有基于pin或基于密碼的鎖定功能�����。盡管如此,機(jī)主一般不使用此功能�。即使已啟用鎖定特性,卻還有辦法破壞鎖定�����。例如���,您可以通過Universal Serial Bus (USB)連接到電腦�,加載iPhone��,從而繞過鎖定��。對于其他類型的智能手機(jī)也可以用同樣的方式躲避綁定���。
當(dāng)關(guān)鍵數(shù)據(jù)被其他軟件控制的時(shí)候����,開發(fā)人員可以添加額外的應(yīng)用程序?qū)雍蛿?shù)據(jù)級安全�。當(dāng)然不是所有的應(yīng)用程序都會(huì)訪問關(guān)鍵數(shù)據(jù)���,但這些程序的開發(fā)人員確實(shí)能夠通過加入訪問控制來增強(qiáng)其應(yīng)用程序的安全。
開發(fā)人員還知道智能手機(jī)中的數(shù)據(jù)存儲(chǔ)在什么地方�����。用戶標(biāo)識(shí)模塊(SIM)卡通常會(huì)保存用戶���、聯(lián)系人數(shù)據(jù)和文本信息��。這些卡可以很容易地從設(shè)備上取下��,在其他設(shè)備上再讀出來��。開發(fā)人員不應(yīng)該在SIM上存儲(chǔ)不必要的數(shù)據(jù)����。
移動(dòng)云還針對智能手機(jī)丟失或被盜造成的數(shù)據(jù)損失提供一定程度的保護(hù)��。開發(fā)人員應(yīng)該通過云進(jìn)行數(shù)據(jù)備份或同步�����,公司策略應(yīng)該加以規(guī)定����,當(dāng)然用戶也應(yīng)該主動(dòng)采取該措施��。
對移動(dòng)網(wǎng)絡(luò)安全的威脅
智能手機(jī)有趣的特性之一就是用戶可采用的訪問方式���。除了通過蜂窩網(wǎng)絡(luò)訪問�����,大多數(shù)還可以通過Wi-Fi和Bluetooth訪問��,有些還可以通過紅外線和射頻識(shí)別(RFID)訪問�����。蜂窩網(wǎng)絡(luò)(3G或4G)能夠訪問手機(jī)服務(wù)��,當(dāng)然�����,還有Internet服務(wù)以及Short Messaging Service (SMS)通信����。其他接口(Wi-Fi���、Bluetooth、紅外線和RFID)主要用于數(shù)據(jù)交換��。從安全角度看����,所有接口都可能暴露敏感信息并接收惡意數(shù)據(jù)。這也會(huì)讓手機(jī)遭受多種形式的攻擊�����,如 表 1 所述�。
表 1. 不同類型的訪問造成的移動(dòng)網(wǎng)絡(luò)安全漏洞
訪問類型
漏洞
Bluetooth
Bluetooth是流行的無線個(gè)域網(wǎng)(WPAN),它一般用于小范圍的數(shù)字語音和數(shù)據(jù)傳輸����,最常由智能手機(jī)用來連接耳機(jī)等外部設(shè)備。這種技術(shù)容易受到類似SMS方式的黑客攻擊��,但由于其范圍小�,一般帶有犯罪性質(zhì)的黑客對其不感興趣。
蜂窩網(wǎng)
智能手機(jī)使用不止一種手機(jī)技術(shù)連接蜂窩網(wǎng)絡(luò)交換語音和數(shù)據(jù)�����。數(shù)據(jù)連接經(jīng)常開著��?赡苤С侄嘀厣漕l(RF)波段和技術(shù)���,從而能在網(wǎng)絡(luò)中更大范圍漫游��。這會(huì)造成使用不安全的協(xié)議注冊惡意手機(jī)網(wǎng)站��,從而給智能手機(jī)帶來潛在危險(xiǎn)。
紅外線
紅外線接口主要用來交換數(shù)據(jù)��,也可以用來控制某些設(shè)備����,如TV。紅外線需要接近并有光線才能工作�。紅外線接口會(huì)給傳輸敏感數(shù)據(jù)和接收會(huì)造成破壞的數(shù)據(jù)帶來潛在危險(xiǎn)。如果包含了能造成接收設(shè)備工作異���;蛩罊C(jī)的可執(zhí)行軟件�,就會(huì)損壞數(shù)據(jù)��。
RFID
RFID用來傳輸包含確認(rèn)某一物體的無線電數(shù)字信號。它主要用于標(biāo)識(shí)庫存物品����。由于移動(dòng)設(shè)備已經(jīng)開始包含主動(dòng)RFID設(shè)備,設(shè)備將能夠傳輸其位置或狀態(tài)���。一個(gè)明顯的安全意義就是這項(xiàng)技術(shù)在檢測到未授權(quán)RFID信號時(shí)會(huì)啟用入侵者檢測���。反之,當(dāng)探測到某一個(gè)特定標(biāo)識(shí)符����,就會(huì)啟動(dòng)針對性的攻擊。
SMS
SMS從早期協(xié)議發(fā)展而來��,用于向無線電備忘尋呼機(jī)發(fā)送短消息��。SMS用于在固定電話和移動(dòng)手機(jī)設(shè)備之間交換消息�。試驗(yàn)表明,此服務(wù)會(huì)受到拒絕服務(wù)的攻擊����,甚至有些攻擊可能將惡意軟件注入到智能手機(jī)中。這種攻擊可以不被發(fā)現(xiàn)地用于獲取存儲(chǔ)在設(shè)備中的唯一標(biāo)識(shí)信息��。
SMS有時(shí)可用于雙重認(rèn)證,例如�,登錄某個(gè)網(wǎng)站需要通過SMS消息發(fā)送一次密碼。隨著SMS消息傳輸?shù)穆┒丛黾��,建議開發(fā)人員使用不同的消息傳輸波段進(jìn)行雙重認(rèn)證�。
Wi-Fi
Wi-Fi是一種無線局域網(wǎng)(WLAN)技術(shù),它通常用于通過帶有有線以太網(wǎng)接口的設(shè)備與Internet建立連接�。封閉的Wi-Fi連接由于其弱協(xié)議加密模式而出名。所有Wi-Fi熱點(diǎn)也容易遭受 “中間人” 攻擊�����,黑客會(huì)截獲用戶與 Wi-Fi 設(shè)備之間的通信����。
惡意軟件的威脅
惡意軟件長期以來就是桌面和個(gè)人電腦的威脅�����。智能手機(jī)越來越成熟��,還有功能齊全的電腦�����,正越來越受到惡意軟件創(chuàng)建者的關(guān)注。
移動(dòng)云提供針對此威脅的解決方案���,但一般無法用于智能手機(jī)�����。經(jīng)過認(rèn)證的軟件可以存儲(chǔ)在云中�,或從云發(fā)布�����。當(dāng)檢測到或懷疑是惡意軟件時(shí)�����,智能手機(jī)軟件可以從云中的信任備份中恢復(fù)���。
保護(hù)移動(dòng)云
通常�,開發(fā)人員不認(rèn)為移動(dòng)云能免受安全威脅�,就如同他們不認(rèn)為其他任何信息技術(shù)(IT)模式能支持業(yè)務(wù)一樣。相反��,開發(fā)人員認(rèn)為安全應(yīng)該用風(fēng)險(xiǎn)降低��、緩減和制止來衡量。
傳統(tǒng)意義上���,開發(fā)人員認(rèn)為IT安全主要是外圍防御��。這意味著他們將計(jì)算資產(chǎn)保存在物理和電子上進(jìn)行防御的有限空間內(nèi)�。
而移動(dòng)云計(jì)算使情況更糟�,從安全角度看,由于相關(guān)的移動(dòng)設(shè)備(智能手機(jī)和平板電腦)與外部交互更密切��,而且通過更廣泛的技術(shù)進(jìn)行交互�。
有兩種新出現(xiàn)的安全模型提供了合理的方法來保護(hù)移動(dòng)云:
· Data Centric Security Model
· Data Loss Prevention
每種模型都能獨(dú)立于另一個(gè)實(shí)現(xiàn),但如果同時(shí)使用����,會(huì)相互補(bǔ)充,很好地保護(hù)網(wǎng)絡(luò)中閑置的和傳輸中的數(shù)據(jù)的安全�����。
Data Centric Security Model
Data Centric Security Model(DCSM)提供了一種方法來保護(hù)數(shù)據(jù)����,將數(shù)據(jù)關(guān)聯(lián)到多個(gè)級別�����,然后制定每個(gè)級別的訪問控制。數(shù)據(jù)級別或分類可任意設(shè)置�����,但通常是根據(jù)惡意用戶訪問數(shù)據(jù)造成的破壞程度分組的��。
很多公司使用的數(shù)據(jù)分類不同��。例如��,一個(gè)公司數(shù)據(jù)庫可能包含用戶數(shù)據(jù)(社會(huì)保險(xiǎn)號���、信用卡數(shù)據(jù))���、企業(yè)數(shù)據(jù)(兼并與收購、財(cái)務(wù))以及知識(shí)產(chǎn)權(quán)(源代碼��、定價(jià))�。
數(shù)據(jù)分類往往是企業(yè)要求和規(guī)定的功能。美國Health Insurance Portability and Accountability Act (HIPAA)安全條例就是政府要求的數(shù)據(jù)安全的一個(gè)例子����。分類建立后���,就可以寫入和執(zhí)行訪問控制規(guī)則。
這種情況下�����,移動(dòng)云會(huì)理所當(dāng)然地增強(qiáng)訪問控制規(guī)則的實(shí)施�。例如,用戶對某一類數(shù)據(jù)的訪問可能要求用戶的移動(dòng)設(shè)備報(bào)告其地理位置�����,如果在美國境內(nèi)����,可以訪問,否則拒絕訪問��。
Data Loss Prevention
Data Loss Prevention (DLP)是一種不但能防止數(shù)據(jù)丟失��、還能檢測出數(shù)據(jù)存在丟失或被濫用風(fēng)險(xiǎn)的方法����。DLP方法能處理傳輸中的數(shù)據(jù)����、閑置數(shù)據(jù)���、使用的數(shù)據(jù),如表2所述���。
表 2. DLP數(shù)據(jù)類型
數(shù)據(jù)類型
描述
傳輸中的數(shù)據(jù)
指的是監(jiān)控網(wǎng)絡(luò)流量以確認(rèn)某一特定通道上傳輸?shù)膬?nèi)容�,從而確定此通道對數(shù)據(jù)的適用性����。數(shù)據(jù)與通道不匹配會(huì)帶來潛在的安全威脅。
閑置數(shù)據(jù)
包含掃描存儲(chǔ)和其他內(nèi)容存儲(chǔ)庫以確認(rèn)敏感內(nèi)容在什么位置��。如果此數(shù)據(jù)的容器未授權(quán)���,則會(huì)采取糾正措施���。
使用中的數(shù)據(jù)
意味著在用戶與數(shù)據(jù)交互時(shí)進(jìn)行監(jiān)控。如果有用戶試圖將敏感數(shù)據(jù)傳輸?shù)轿词跈?quán)設(shè)備���,則會(huì)向該用戶發(fā)出警告�,或阻止此動(dòng)作��。
新出現(xiàn)的DLP技術(shù)為開發(fā)和研究人員提供了良好的機(jī)會(huì)。隨著新威脅的不斷出現(xiàn)�,大量威脅簽名認(rèn)證將一直是個(gè)問題。需要有威脅檢測規(guī)則并執(zhí)行安全策略����。還有,實(shí)施方面也還有很大的改進(jìn)空間�。例如,DLP-bots—在智能手機(jī)和平板電腦上運(yùn)行的小型應(yīng)用程序—就可以用來在移動(dòng)云上部署DLP���。
移動(dòng)云安全的未來
移動(dòng)云計(jì)算是個(gè)新興市場���,由智能手機(jī)和平板電腦的推廣普及而推動(dòng)。隨著越來越多的移動(dòng)設(shè)備進(jìn)入市場并不斷演化�,安全問題也不斷增加。有很多趨勢可能會(huì)影響該市場的擴(kuò)展����。
趨勢之一是將虛擬機(jī)監(jiān)控程序納入智能手機(jī)中。虛擬機(jī)監(jiān)控程序 就是能讓多個(gè)操作系統(tǒng)共享一臺(tái)電腦的程序����。流行的虛擬機(jī)監(jiān)控程序包括來自Xen.org的Xen。此產(chǎn)品的開發(fā)目的是簡化智能手機(jī)管理問題。它還可以用來簡化安全管理�。
另一個(gè)趨勢就是所謂的物聯(lián)網(wǎng)的發(fā)展。能夠與Internet交互的智能設(shè)備增長速度比傳統(tǒng)電腦技術(shù)快得多�。有人估計(jì)����,幾年之間,將會(huì)有數(shù)萬億的設(shè)備連接到Internet��,其中大多數(shù)都是獨(dú)立設(shè)備�。由公用事業(yè)公司安裝的智能電表就是一個(gè)例子。能夠與云交互的移動(dòng)設(shè)備數(shù)量不斷增長�,毫無疑問將會(huì)帶來安全問題。
結(jié)束語
移動(dòng)云計(jì)算必將成為一個(gè)巨大的市場�����。這個(gè)巨大的市場將會(huì)吸引那些想通過發(fā)現(xiàn)并利用移動(dòng)云技術(shù)弱點(diǎn)而輕松獲利的犯罪分子的注意力�。還有,連接到Internet的設(shè)備數(shù)量急劇增長將會(huì)進(jìn)一步推動(dòng)安全需求�����。本文介紹了關(guān)于如何進(jìn)行規(guī)劃以便為移動(dòng)云提供安全保障的一些問題����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
