美國國土安全部(以下簡稱“DHS”)首席信息安全官辦公室于2014年8月發(fā)布了DHS 4300A-Q2(敏感系統(tǒng)手冊附件Q2)文件，該文件提供了在國土安全部（DHS）信息技術(shù)（IT）計劃里安全使用移動設(shè)備的技術(shù)和規(guī)程，包含了DHS部門以及美國國家標準與技術(shù)研究院（NIST）、國家安全局（NSA）和國防部（DoD）等其他聯(lián)邦單位已經(jīng)在使用的許多安全技術(shù)和規(guī)程。

 文件中覆蓋的移動設(shè)備包括具有無線功能的筆記本電腦、智能蜂窩手機、雙向?qū)ず魴C、移動無線電、個人通信服務(wù)（PCS）設(shè)備、多功能無線設(shè)備、具有無線功能的便攜式音頻/視頻記錄設(shè)備、掃描設(shè)備、短信設(shè)備以及其他任何能夠存儲、處理或傳輸敏感信息的無線客戶端。文件指出：對移動設(shè)備實施嚴格的安全控制和管理主要包括在物理設(shè)備保護和無線連接安全保護兩個方面：

[[215007]]

物理設(shè)備保護

移動設(shè)備被視為DHS無線網(wǎng)絡(luò)的重要組成部分，也是DHS網(wǎng)絡(luò)基礎(chǔ)設(shè)施的延伸。與移動設(shè)備相關(guān)的主要風(fēng)險包括：用戶和設(shè)備的認證、數(shù)據(jù)保護、集中管理、設(shè)備和應(yīng)用程序的監(jiān)控、病毒防護和物理安全。

認證

 用戶訪問移動設(shè)備及設(shè)備上的數(shù)據(jù)時，需要進行身份識別與認證。

病毒防護

 授權(quán)官員AO（Authorizing Officials）的責任是批準移動設(shè)備上防病毒軟件的管理權(quán)限。軟件支持和功能可能因平臺而異。應(yīng)該使用DHS企業(yè)IT系統(tǒng)和服務(wù)的信息安全機制來保護移動設(shè)備。例如，電子郵件在發(fā)送給移動設(shè)備之前，應(yīng)在DHS電子郵件服務(wù)器上進行掃描。如果防病毒軟件對于特定類型的移動設(shè)備無效，則必須禁用移動設(shè)備上易受攻擊的功能，或者直接禁止使用移動設(shè)備。例如，禁用電子郵件附件，Java 2 Platform Micro Edition（J2ME）支持和Web瀏覽器，從而大大降低惡意代碼被下載到移動設(shè)備的可能性。

禁用不良的移動設(shè)備功能

 移動設(shè)備功能模塊或應(yīng)用程序若開啟了不必要的權(quán)限，則可能被利用為移動設(shè)備或可信網(wǎng)絡(luò)的攻擊媒介，例如紅外線、藍牙、Wi-Fi、游戲以及其他內(nèi)置工具和應(yīng)用程序開啟了不必要的無線功能權(quán)限。

移動設(shè)備和應(yīng)用程序管理

 IT安全管理員應(yīng)當使用移動設(shè)備管理（MDM）系統(tǒng)將移動設(shè)備部署在DHS認可的設(shè)備、技術(shù)和應(yīng)用程序中。MDM允許DHS集中管理移動設(shè)備，并通過支持以下關(guān)鍵功能來強制執(zhí)行設(shè)備上的安全策略：惡意軟件檢測、無線（OTA）軟件分發(fā)、配置更改檢測、遠程數(shù)據(jù)擦除、遠程配置以及資產(chǎn)管理。

 移動應(yīng)用程序還應(yīng)由DHS企業(yè)移動應(yīng)用程序管理（MAM）進行集中管理，MAM負責評估和選擇移動應(yīng)用程序，并作為DHS用戶的授權(quán)企業(yè)應(yīng)用程序商店。它還為DHS提供監(jiān)視已安裝應(yīng)用程序的功能，并根據(jù)需要遠程升級或卸載應(yīng)用程序。

數(shù)據(jù)保護

 AO確保存儲在移動設(shè)備上的所有信息都使用與存儲信息敏感度相匹配的FIPS 140-2認證加密方案進行加密。實施諸如文件和數(shù)據(jù)加密之類的措施有助于確保設(shè)備上存儲信息的機密性。

系統(tǒng)文件監(jiān)控

 信息系統(tǒng)安全官員（ISSO）應(yīng)定期掃描所有移動設(shè)備上的系統(tǒng)文件和其他重要文件的未經(jīng)授權(quán)的更改。

設(shè)備同步和備份

 移動設(shè)備在進行無線同步時，必須使用經(jīng)FIPS 140-2認證加密的產(chǎn)品或模塊。

建議的維護活動

 移動設(shè)備上的數(shù)據(jù)將在設(shè)備退役時進行清除或歸零。需要注意的是：軟復(fù)位或硬復(fù)位都不會永久刪除移動設(shè)備上的數(shù)據(jù)，文件管理工具也無法永久性刪除文件。

建議的外出保障

 外出人員需要特別警惕、謹慎行事，以減少移動設(shè)備的丟失、被盜、被竊聽等帶來的風(fēng)險。

無線連接安全保護

無線接口（移動設(shè)備和網(wǎng)絡(luò)節(jié)點之間或兩個移動設(shè)備之間的鏈路）是DHS網(wǎng)絡(luò)基礎(chǔ)設(shè)施的關(guān)鍵組成部分，易受到無線攻擊。

認證

用戶訪問移動設(shè)備和設(shè)備上的數(shù)據(jù)需要與網(wǎng)絡(luò)相互識別和雙重認證。

身份訪問管理在針對敏感無線系統(tǒng)的DHS IT安全規(guī)劃手冊和DHS IT安全體系結(jié)構(gòu)指南應(yīng)用程序基礎(chǔ)設(shè)施設(shè)計第三卷中有進一步詳細介紹。

端到端安全通信

 端到端安全意味著整個消息從發(fā)送設(shè)備到接收設(shè)備都被加密。兩臺設(shè)備都必須使用適當?shù)腇IPS 140-2認證加密。安全套接字層（SSL）、互聯(lián)網(wǎng)協(xié)議安全（IPsec）和安全外殼（SSH）是提供端到端加密的常用方法。 SSL和SSH也用于電子郵件和遠程登錄等應(yīng)用程序。在端到端加密的過程中，證書的使用也是必不可少的。用戶需要注意關(guān)于證書錯誤的相關(guān)安全警告。這些注意事項應(yīng)該包含在移動安全意識培訓(xùn)中。

個人防火墻

 個人防火墻是基于軟件的解決方案，位于客戶端機器中，既可以由客戶端管理，也可以集中管理。防火墻通過阻止特定類型的帶內(nèi)和帶外網(wǎng)絡(luò)流量來保護移動設(shè)備不被非授權(quán)訪問。在防火墻的管理方面，由于用戶可輕松繞過客戶端的安全設(shè)置，故不建議采用客戶端管理。IT部門可集中配置和遠程管理客戶端設(shè)備，因此可托管部門內(nèi)全部移動設(shè)備于IT部門，利用其解決方案對移動設(shè)備進行標準化的安全保護。盡管個人防火墻提供了一些保護措施，但并不能抵御所有的高級持續(xù)性攻擊。

虛擬專網(wǎng)（VPN）

 由于不受DHS控制，那些由第三方運維的網(wǎng)絡(luò)可能會在DHS人員使用時帶來安全風(fēng)險。例如，蜂窩網(wǎng)絡(luò)基礎(chǔ)設(shè)施通常不歸蜂窩網(wǎng)絡(luò)運營商所有，其還可供其他運營商和分包商使用；因此，使用公共無線網(wǎng)絡(luò)（如機場、會議中心和其他公共場所）的DHS人員應(yīng)使用DHS VPN服務(wù)訪問DHS資源。

入侵保護系統(tǒng)

 入侵系統(tǒng)是基于主機或基于網(wǎng)絡(luò)的技術(shù)，用于保護信息資產(chǎn)不被他人所用。

入侵防御系統(tǒng)（IPS）是一種主動防御技術(shù)，可根據(jù)應(yīng)用內(nèi)容自動進行訪問控制決策。

入侵檢測系統(tǒng)（IDS）是一種較為被動的檢測技術(shù)，用于在發(fā)生攻擊時或攻擊之后檢測攻擊。系統(tǒng)安全計劃應(yīng)采用適當?shù)木W(wǎng)絡(luò)保護機制，如IDS與IPS相結(jié)合。

網(wǎng)絡(luò)接口保護

當提及網(wǎng)絡(luò)接口或端點時，通?？紤]兩個基本組件：網(wǎng)絡(luò)基站（例如，用于無線局域網(wǎng)（WLAN）接入的接入點）和客戶端。

典型的移動設(shè)備無線接口如圖2所示，例如藍牙，WLAN和蜂窩技術(shù)。

圖1典型的移動設(shè)備無線接口

藍牙

 藍牙是一種無線個域網(wǎng)（WPAN）技術(shù)，通常用于耳機、鍵盤和其他外圍設(shè)備等設(shè)備的近距離無線通信。由電氣和電子工程師協(xié)會（IEEE）802.15.1標準化的藍牙技術(shù)提供預(yù)共享密鑰認證和加密功能，以使設(shè)備能夠相互認證并加密數(shù)據(jù)業(yè)務(wù)，但其安全協(xié)議未經(jīng)FIPS認證，該技術(shù)存在固有的弱點。當前有幾種藍牙版本可用，包括高速率3.0 + HS和低功耗（LE）4.0，并支持不同級別的安全模式。例如，對于藍牙3.0，安全模式3是安全性最強的模式，因為它需要在藍牙物理鏈路完全建立之前建立認證和加密。對于藍牙LE 4.0，安全模式1的第3級被認為是安全性最強的模式，因為它需要認證配對和加密。 NIST SP 800-121“藍牙安全指南”提供了詳細的安全建議以及漏洞信息。

無線局域網(wǎng)（WLAN）

 WLAN可以與配備有IEEE 802.11無線網(wǎng)絡(luò)適配器的移動設(shè)備進行通信。雖然WLAN通常只覆蓋有限的區(qū)域，但是想要截取數(shù)據(jù)的敵手可以通過使用特殊的定向設(shè)備大大擴展WLAN范圍。

蜂窩技術(shù)

 蜂窩無線廣域網(wǎng)（WWAN）是由許多小型無線電小區(qū)組成的網(wǎng)絡(luò)。每個小區(qū)覆蓋有限的地理區(qū)域（半徑3至5公里），并配備有一個固定的發(fā)射機，通過其空中接口將移動設(shè)備連接到蜂窩運營商的網(wǎng)絡(luò)。商業(yè)蜂窩運營商提供的安全策略不符合DHS政策要求，因此，對于AO和系統(tǒng)所有者來說，確保移動設(shè)備系統(tǒng)管理員和用戶受到適當?shù)陌踩嘤?xùn)并且正確實施安全控制措施是至關(guān)重要的。

 本文介紹了《DHS 4300A-Q2》(敏感系統(tǒng)手冊附件Q2)的大致內(nèi)容，以及美方對移動設(shè)備安全管控的政策要求，并詳細說明可應(yīng)用于移動設(shè)備的諸多措施。但是，由于無線技術(shù)的快速發(fā)展，并不是所有的移動設(shè)備都可以采用本文中所述的安全措施。隨著科技的發(fā)展，一些新興技術(shù)也可能會對保護移動設(shè)備的安全性提供新思路。比如生物識別和智能卡、環(huán)境適配的安全策略、近場通信安全政策等。

【本文為51CTO專欄作者“中國保密協(xié)會科學(xué)技術(shù)分會”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文