【IT168技术】如今在全世界范围内,运行安卓(Android)系统的设备数量已超过那些运行iOS系统的设备数量,比例为2.4:1。因此,许多雇主被迫允许使用运行消费级移动操作系统的设备进行业务。幸运地是,4.0版本的安卓系统支持本地防御。这里,我们考虑现有的方法来集中维护和执行安卓系统设备上的安全策略。
揭开安卓系统安全设置的面纱
安卓系统采用了许多人们对当代移动操作系统所期待的防御措施,包括沙箱技术(sandboxing)、代码签名技术(code signing),OS级别强制执行的权限管理以及(在安卓4.0系统中新推出的)地址空间布局随机化(address space layout randomization ,ASLR)技术。在安卓2.2版本中新增密码功能。在安卓3.0版本中增加了硬件加密功能,但是只限于平板电脑。安卓4.0版本为智能手机也添加了硬件加密功能。
为了防止由于设备丢失或是失窃造成的数据泄露,企业可以强制执行密码和加密策略,阻止业务通过不合规的设备进行,且可远程擦除任何丢失设备上的数据。这些需求可以通过安卓系统的设备管理API来解决,该技术可以用来查询和设置安卓系统安全设置的编号,包括密码控制措施(例如最小长度、字母数字混合要求、特殊符号要求、密码过期期限、密码历史限制、最大失败的密码尝试次数等等)。
这些控制措施大部分在安卓3.0版本中被引入,摄像功能是在安卓4.0版本中添加。因此,IT管理人员可能只允许运行安卓3.0或更高版本的设备。然而,IT管理人员还必须检查设备确切的型号和模块。因为是更老的手机即使升级到4.0版本后仍然无法加密数据。
此外,安卓系统提供的API能锁定设备、提示密码修改、或是重新设置设备到出厂默认状态(擦除内部的存储但不包括存储音乐、照片和电子邮件的任何可移动媒介)。重新设置设备到出厂默认设备对没有可移动媒介的设备不会造成任何风险,这个功能也可作为业务使用的规范之一。
对安卓系统设备实施IT控制
有三个方法可用于对安卓系统设备的IT控制:
• 用户能够直接设置一些安卓系统自带的安全策略——最显著的是启用加密功能,这个一次性能搞定的过程要花费一小时。IT管理人员可以推荐安全设置,但是这个方法无法提供IT管理的强制性。
• EAS(Exchange活动同步,Exchange Active Sync)属性可用于企业邮箱同步时核查和设置一些策略。安卓4.0版本升级EAS到v14版本,后者扩展了策略范畴。然而,设备的多样性妨碍了EAS控制措施,由于型号/模块不同,结果也不一样。在常见的情况下,EAS可以要求设置PIN或密码、强制要求密码最小长度、设置失败次数和超时参数,并且恢复到出厂默认设置。
• 能够通过移动设备管理(MDM)代理,或是其它安装在智能手机或平板电脑上的安全程序,来强制实施安卓系统设备管理API中的每个策略。通常情况下,用户从谷歌安卓市场上下载MDM代理,遵照提示授予权限并且访问他们公司的MDM登记入口。此后,IT管理人员能够使用MDM来认证用户、发布设备证书、提供设备并且强制执行组织的策略。
同安卓系统上的恶意软件做斗争
许多MDM产品提供更多的IT控制措施来补充原有的安卓系统控制,例如侦测和隔离被植入恶意软件的安卓设备,查询被列为黑名单的应用,并且帮助IT管理人员远程安装要求的或是推荐的应用。这些都有助于侦测安卓系统上的恶意软件并且完善企业的安卓系统安全。
在过去一年中,安卓系统上的恶意软件激增,恶意软件的作者们利用Google公司开放的安卓市场,以及安卓系统对来自第三方站点应用的“门户大开”。因此,对于IT管理人员来说,防范恶意软件的第一道防线是洞察用于业务的任何设备上的已安装应用。例如,MDM能用来阻挡运行恶意软件的设备对企业访问或是擦除其上的数据。
IT管理人员也能在安卓系统设备上安装第三方的安全工具,包括防病毒扫描器、SMS反垃圾邮件过滤器、钓鱼URL检查器、高风险应用扫描器以及远程锁定/寻找/擦除工具。对这些安全程序来说,支持好几个功能很常见,然而大多数是设计用于消费者使用——只有少数是迎合IT控制的需要。
创建你自己的沙箱
考虑到设备具有的不同功能,以及安卓恶意软件的风险,IT管理人员可以选择创建一个安全的(经过加密和认证的)业务环境。例如,在自加密的容器内安装安全的企业通信应用来存储邮件、联系方式、计划表和任务。通常通过EAS或是MDM来控制程序设置。
最后,不缺少能帮助满足企业安卓设备安全期望的方法和工具。尽管这些控制手段可能无法完全满足每个组织的策略,但安卓4.0版本系统和MDM技术以及其他安全产品正在不断地缩小这个差距。