劉鋒：系統廠商如何遠程安全操控移動設備

技術達人秀（17）

劉鋒：系統廠商如何遠程安全操控移動設備

清華同方電腦總工程師  劉鋒

目前，移動互聯終端在政務信息化領域正逐漸被采用，并處于穩定的上升期，這已對政務信息安全構成直接而現實的威脅。

在完全受控于系統廠商的情況下，操作系統、硬件、應用程序、操作系統升級等都由其控制。在PC業界，操作系統廠商一般要將部分技術細節和程序代碼提交政府審查，而在新興移動互聯終端沒有這方面限制，這就導致了移動互聯系統廠商在市場策略上態度更為強硬。

在移動互聯設備中，幾乎每部產品都安有定位裝置。這樣系統廠商在其瀏覽器內可隨時找到任何一部受控設備的物理位置，并遠程鎖定，實施數據刪除、數據存放、置入用戶不可編輯的策略文件，從而限制用戶必須啟用賬號并開放位置信息。

在智能手機使用過程中，云計算一旦上線，設備就會通過廠商服務器備份和同步數據，包括郵件、相片、通話記錄和應用程序數據等。至于在通知和推送方面，無論是智能手機還是其他移動終端，永遠都是在線的，設備廠商可主動向用戶推送信息和指令。例如，如果智能手機丟了，只要用戶向廠商備案，廠商就可遠程鎖定丟失手機，令其不能開機。

另外，用戶平時在智能終端上應用的數據加密是設備自身的漏洞。首先，加密強度不夠。一般手機加密都是128位AES，其密鑰缺省是在系統廠商服務器上備份。不僅如此，加密口令在設備里是明文存放配置文件，雖然用戶平時看不到，但是對系統廠商而言隨時可以看到，而口令防護本身實際上也可由很多手段被輕易繞過。

從本質上講，無論是智能手機還是平板電腦，都是標準的具有全功能的計算機，具備操作系統、完整的外設和IO能力。更重要的是，PC可由用戶隨時關機，而手機網絡外網是永遠在線。這樣，當用戶使用WIFI登錄到內網時，就成為攻擊內網的跳板。用戶可在外網部署入侵檢測系統、防火墻、病毒過濾等防護措施。但對移動終端內網安全而言，由于用戶的安全意識相對較弱，終端本身對安全模式的支持也比較薄弱，用戶只能對手機等設備做一些簡單的控制和權限限制。

在現實生活中，很少聽說有企業或國家機關將反病毒系統、入侵檢測系統等各類防護工具部署在內網進行安全防護。這樣，就使得來自外網的攻擊可繞過所有防護措施，通過內部設備作為引橋攻擊內網。只要在部署辦公網絡時實行移動辦公，就意味著為攻擊者掃清了所有防護障礙。所以，包括國家機關、企事業單位在內的機構部署網絡安全系統時，一定要堅固內外網同期安全。（梁爽  廣文）