内网安全新趋势之应对移动设备的威胁.docxVIP

PAGE 1 PAGE 1 内网安全新趋势之应对移动设备的威胁  今日和大家探讨一下对于国内企业来说可能更加前沿的话题：移动设备应用为内网安全带来的威逼。  这两三年来，i-Pad，Blackberry，Android等移动设备不断的出现在公众的日常生活中，它们让信息的存储与传播更加便利和快捷，借助移动设备，随时随地的在线生活成为了可能。  同样的，移动设备的存在，不仅仅转变了作为个体的生活方式，GigaOm的一份最新报告显示，有38%的受访企业已经不同程度的在IT中应用了移动设备，而43%的受调查企业计划在1年内引入移动设备应用，而财宝500强中65%的企业，已经不同程度部署了i-Pad。用户已经习惯用Blackberry收发邮件，用平板电脑为客户做演示，用移动设备远程接入企业网络获取信息，在线沟通，或者共享日程。  移动设备作为信息存储、使用与传递的新载体而被应用，面临着与传统的笔记本、台式机等传统设备一样的信息安全风险，不但如此，由于移动设备一些不同于传统IT应用的新特点，移动设备应用还为组织带来了更新的安全挑战，内网安全企业，也必需需要适应这一趋势的发展。  基于设备特征识别技术的精细化设备使用授权  从最先出现的U盘、移动硬盘，到数码相机、播放器，再到最新的智能手机、平板电脑，抛开其软件应用不谈，这些设备内部大部分都存在着巨量的存储空间。从早期的几百MB到现在的动辄几十GB，对于稍小一些的企业，一个32G的i-Pad可能已经足够存储其全部的数据并被轻易转移。随着蓝牙、wifi、USB等技术的普及，设备之间的信息传输也变得前所未有的便利，假如组织执行严格的IT安全策略，那么出于安全的考虑，移动设备可能会被全盘禁止，包括USB端口、蓝牙等甚至可能被禁用；然而，对于那些信息安全策略不那么严格的组织，全盘否定的移动设备策略又牺牲了可用性。这时，为不同的移动设备精细化区分授权就成为必定的选择。  我们一直都倡导精细化管理的理念，所在团队研发的IP-guard较早已实现了对于USB设备的精细化区分掌握，例如对USB键鼠与USB存储的区分，以及通过各种端口与主机进行连接的识别与掌握。将来，随着智能手机、平板电脑等的广泛采用，内网安全企业对不同设备的识别技术会更加精确和深入，包括基于硬件、操作系统等信息的识别。  基于802.1x准入掌握技术的移动设备准入掌握技术的完善  移动设备的一大特征，就是可以便利的接入无线网络。借助无线网络，智能手机、平板电脑等可以经由局域网甚至互联网，接入到企业的内部网络中，访问和使用关键网络位置的信息资源，最为常见的应用就是Email。  另外，基于目前云计算的大趋势，越来越多的应用在云端而不是在本地被处理和运行，无论是公有云、私有云，还是SaaS，用户所需要的只是一个可以接入云的终端。试想一下，无论是CRM还是ERP，或者是其他的业务系统，只要放在云端，你需要的只是i-Pad或智能手机这样简洁的设备接入，然后处理业务流程。这无疑大大加速了企业的信息化进程和信息处理速度。  然而，正像上面描述的一样，有革命性的进步，就有对应的风险。对于云计算大背景下的移动设备接入而言，网络准入无疑要发挥更重要的角色。  相对于目前较成熟的802.1x准入掌握机制，对接入到内网的移动设备进行管理要更加困难。802.1x技术大部分会与基于Windows平台的AD域管理相结合，而i-OS、Android等目前流行的移动系统却与Windows平台有本质的不同。因此，大部分IT管理员都会将接入的移动设备划入802.1x管理下的来宾帐户，也就意味着这些设备对于内部网络的访问受到了最大的限制，无法满意现实的需求。  针对上面的难题，一个可行的趋势是通过识别移动设备的MAC、硬件、系统等“指纹”并将其映射到已有的基于802.1x和组策略配置的准入系统下。目前，已有部分公司的产品初步实现了这一功能，例如ArubaNetworks公司的AmigopodVisitorManagementAppliance(VMA)。此产品基于监控DHCP和HTTP信息来识别不同设备的指纹，并将信息映射到正确的访问掌握策略中，从而实现准入掌握的目的。  由此可见，要想实现对移动设备的精确准入掌握，把握802.1x准入掌握机制是先决条件，而准入掌握机制的缺乏，正是目前基于主机准入掌握的内网安全产品普遍的弱点。逐步完善基于802.1x，以及基于网关与客户端联动的准入掌握机制，是我们目前亟需解决的，这也是IP-guard正努力的重点。相信不久的将来，对于移动设备准入的掌握会有新的成果出炉。  基于内容分析的DLP与边界封堵、加密技术