劉鋒：系統(tǒng)廠商如何遠程安全操控移動設(shè)備

技術(shù)達人秀（17）

劉鋒：系統(tǒng)廠商如何遠程安全操控移動設(shè)備

清華同方電腦總工程師  劉鋒

目前，移動互聯(lián)終端在政務(wù)信息化領(lǐng)域正逐漸被采用，并處于穩(wěn)定的上升期，這已對政務(wù)信息安全構(gòu)成直接而現(xiàn)實的威脅。

在完全受控于系統(tǒng)廠商的情況下，操作系統(tǒng)、硬件、應(yīng)用程序、操作系統(tǒng)升級等都由其控制。在PC業(yè)界，操作系統(tǒng)廠商一般要將部分技術(shù)細節(jié)和程序代碼提交政府審查，而在新興移動互聯(lián)終端沒有這方面限制，這就導(dǎo)致了移動互聯(lián)系統(tǒng)廠商在市場策略上態(tài)度更為強硬。

在移動互聯(lián)設(shè)備中，幾乎每部產(chǎn)品都安有定位裝置。這樣系統(tǒng)廠商在其瀏覽器內(nèi)可隨時找到任何一部受控設(shè)備的物理位置，并遠程鎖定，實施數(shù)據(jù)刪除、數(shù)據(jù)存放、置入用戶不可編輯的策略文件，從而限制用戶必須啟用賬號并開放位置信息。

在智能手機使用過程中，云計算一旦上線，設(shè)備就會通過廠商服務(wù)器備份和同步數(shù)據(jù)，包括郵件、相片、通話記錄和應(yīng)用程序數(shù)據(jù)等。至于在通知和推送方面，無論是智能手機還是其他移動終端，永遠都是在線的，設(shè)備廠商可主動向用戶推送信息和指令。例如，如果智能手機丟了，只要用戶向廠商備案，廠商就可遠程鎖定丟失手機，令其不能開機。

另外，用戶平時在智能終端上應(yīng)用的數(shù)據(jù)加密是設(shè)備自身的漏洞。首先，加密強度不夠。一般手機加密都是128位AES，其密鑰缺省是在系統(tǒng)廠商服務(wù)器上備份。不僅如此，加密口令在設(shè)備里是明文存放配置文件，雖然用戶平時看不到，但是對系統(tǒng)廠商而言隨時可以看到，而口令防護本身實際上也可由很多手段被輕易繞過。

從本質(zhì)上講，無論是智能手機還是平板電腦，都是標(biāo)準(zhǔn)的具有全功能的計算機，具備操作系統(tǒng)、完整的外設(shè)和IO能力。更重要的是，PC可由用戶隨時關(guān)機，而手機網(wǎng)絡(luò)外網(wǎng)是永遠在線。這樣，當(dāng)用戶使用WIFI登錄到內(nèi)網(wǎng)時，就成為攻擊內(nèi)網(wǎng)的跳板。用戶可在外網(wǎng)部署入侵檢測系統(tǒng)、防火墻、病毒過濾等防護措施。但對移動終端內(nèi)網(wǎng)安全而言，由于用戶的安全意識相對較弱，終端本身對安全模式的支持也比較薄弱，用戶只能對手機等設(shè)備做一些簡單的控制和權(quán)限限制。

在現(xiàn)實生活中，很少聽說有企業(yè)或國家機關(guān)將反病毒系統(tǒng)、入侵檢測系統(tǒng)等各類防護工具部署在內(nèi)網(wǎng)進行安全防護。這樣，就使得來自外網(wǎng)的攻擊可繞過所有防護措施，通過內(nèi)部設(shè)備作為引橋攻擊內(nèi)網(wǎng)。只要在部署辦公網(wǎng)絡(luò)時實行移動辦公，就意味著為攻擊者掃清了所有防護障礙。所以，包括國家機關(guān)、企事業(yè)單位在內(nèi)的機構(gòu)部署網(wǎng)絡(luò)安全系統(tǒng)時，一定要堅固內(nèi)外網(wǎng)同期安全。（梁爽  廣文）