企业移动接入:考虑双因素移动认证

日期: 2012-02-22 作者:Randall Gamby翻译:Odeyssey 来源:TechTarget中国 英文

随着越来越多的员工要求通过他们的移动设备来访问公司数据,IT经理们陷入了两难的境地。一方面他们希望为员工提供企业数据的移动访问,而另一方面他们又担心如果这些设备丢失或损坏会对业务造成风险。去年夏天赛门铁克公司发布的报告中[1],就当前移动操作系统(苹果公司的iOS和Google公司的Android)的安全能力撰文,声明提到尽管厂商新增加的安全措施提高了门槛,但它们或许尚不足以保护那些经常流向设备上的企业资产。   那么,针对通过移动设备访问企业资源的强烈需求,对于那些打算提供强认证服务以保护信息的组织来说,有哪些可用的最佳实践和技术选择呢?   在回答这个问题之前,重要的是明白,在这些移动设备……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

随着越来越多的员工要求通过他们的移动设备来访问公司数据,IT经理们陷入了两难的境地。一方面他们希望为员工提供企业数据的移动访问,而另一方面他们又担心如果这些设备丢失或损坏会对业务造成风险。去年夏天赛门铁克公司发布的报告中[1],就当前移动操作系统(苹果公司的iOS和Google公司的Android)的安全能力撰文,声明提到尽管厂商新增加的安全措施提高了门槛,但它们或许尚不足以保护那些经常流向设备上的企业资产。

  那么,针对通过移动设备访问企业资源的强烈需求,对于那些打算提供强认证服务以保护信息的组织来说,有哪些可用的最佳实践和技术选择呢?

  在回答这个问题之前,重要的是明白,在这些移动设备上不仅只有一或两种操作系统。员工们可以带着支持任何被广泛使用平台之一的设备走过组织的大门,这些平台包括Windows Mobile、 iOS、Blackberry、各种版本的Android、或是一些其它的私有操作系统,每个都有不同的版本级别;所有这些操作系统可以运行在任何设备上,从移动电话到移动游戏设备、到平板电脑。设备间的性能、通信选项、功能会有很大的不同,导致即使对于最灵活的组织来说,认证上的复杂性可能也是无法克服的。那么,组织怎样才能减轻这个问题到一个可管理的水平呢?

  在开始前,组织必须评估移动接入相比于其它用来访问企业信息的电子通道的风险。这些安全风险包括缺乏安全能力的移动应用、日益严重的移动恶意软件威胁,以及永远存在的设备遗忘或是失窃。

  为了减轻这些风险,组织必须通过创建安全策略和流程来建立良好的企业移动接入治理架构。这些流程应包括如何保护移动设备,如何使用它们,以及它们能访问和存储哪些数据。没有建立起一套严格的用于访问管理的规则,组织就无法开始管理这些设备造成的安全风险、或是减少这些设备在访问时造成数据丢失或毁坏的几率。

  这个治理过程必须从组织的董事会管理层和IT领导团队举行一次会议开始,以便协商当涉及到移动访问企业信息时哪些是“在范围内”以及那些是“超出范围”。一些必须做出的决策的例子包括:

  • 是否允许移动设备访问受监管的数据,如受到保护的医疗信息(protected health information,PHI)、或是其它类型的敏感数据诸如财务数据。
  • 是否允许将公司数据存储在移动设备上,若允许,是否必须以加密的方式存储。
  • 将支持哪些移动操作系统、版本和应用,包括任何必要的软件,如软件防火墙、防病毒软件和用于保护设备的其它公司标准。

  除了这些例子外,必须明确界定企业和终端用户的权利和职责。此类规章制度的例子包括,对密码长度和复杂度的强制性要求、报告丢失的设备,以及与朋友和家庭共享的设备。在报告设备丢失的情况下,组织是否有权远程擦除设备上的数据,并且防范未授权访问的物理防护也是非常重要的。最后,组织需要了解哪些移动设备会访问他们的信息。这可以通过建立一个访问请求的正式流程,以及为终端用户提供最低限度的移动设备安全培训来实现。

  在移动接入治理流程定义完成后,企业必须做出的下一个决策是“如何”对访问数据的移动设备进行认证。许多组织依靠密码凭证来认证用户,所以他们必须建立最小密码长度和复杂度规定。除此之外,许多组织在他们的边界应用上使用命中计数器,即在发生重复登录失败后能够锁定、或是硬复位移动设备。尽管这些访问控制是有效的,但许多IT经理质疑,密码是否是一个足够强大的认证技术,可被用来为火车上的员工提供信息、或是从世界上任何的角落来访问企业的数据。因为存在这些风险,现在组织正在评估和部署更为强健的认证方法。例如,现在很多智能手机包括指纹读取器,提供了一个备选方法来开启密码,并且一些移动安全产品也能处理使用手写笔输入的手写签名。除了这些策略,现在许多组织正在要求他们的员工安装支持强大公钥认证技术的移动安全产品,该技术基于的数字证书通过移动设备的通信通道(如MMS、短信和邮件)提供。现在像McAfee有限公司、Good Technology有限公司、Certgate GmbH公司、HID Global公司、SafeNet有限公司和其它公司,都为许多最流行的移动操作系统和设备提供基于这些技术的移动安全现成商品(commercial-off-the-shelf ,COTS)。

  对于那些允许保留企业数据在内部存储上的移动设备来说,认证信息可以存储在移动媒体智能卡上(如MMC卡、SD卡)。这是一种强大的认证方式,因为证书几乎是不可能伪造的。在用户尝试访问信息前他们必须插入该智能卡。只有该智能卡保持被插入状态,信息才是被解锁的。然而,为了防止丢失的移动设备被入侵,当不再需要访问的时候,要将该媒体智能卡从设备上移除并远离设备存放,以保证数据是安全的。

  虽然上面提到的所有这些认证方法在当今的企业移动市场上都是可用的,强大的移动安全认证仍会要求用户物理上插拔硬件、读取信息、查看文本或是手指触摸来访问信息。而企业的安全经理在知道他们的信息更加安全后能在晚上睡得更香,但当前的认证方法要求与移动设备有一定程度的交互,以便对企业数据获得访问。这个技术,由于其性质,是与移动设备厂商提供更加直观、用户界面友好的应用及服务的目标所相悖的。

  为了在安全性和便捷性之间寻求平衡,认证行业的厂商正在研究认证移动设备的新方法,以便达成一个更为平衡的安全架构。处于这个研究过程的前沿是MOBIO项目(Mobile Biometry,移动设备生物统计学),该项目正在尝试通过使用移动设备上的摄像机和麦克风来辨识用户以减轻强认证的负担,这些部件几乎在每个移动设备上都有。MOBIO项目的参与者正在使用面部和声音识别软件来更为强健地认证用户,以完成这个目标。

  随着企业努力定义移动用户将可以访问哪些数据,知道用户是谁这个问题有望在不远的将来,变得同用户对设备讲话并要求访问数据这个过程一样简单。

  关于作者:

  Randall Gamby是纽约医疗信息服务中心(Medicaid Information Service Center of New York ,MISCNY)的信息安全官。MISCNY管理和维护着美国最大的国营医疗索赔数据中心。在从事该职位前他是某全球500强保险金融公司的企业安全架构师。他的工作经历还包括作为分析师在Burton Group公司的安全及风险管理服务部门的工作多年。他涉及的领域包括:安全通信、安全基础架构、身份和访问管理、安全策略和流程、凭证服务以及合规遵从。

相关推荐

  • 数据泄露后:是否应强制执行密码重置?

    据报道,在重大数据泄露事故后,雅虎公司信息安全团队希望公司强制对所有电子邮件账户进行密码重置,但被管理层拒绝。那么,对于遭遇数据泄露的公司,应强制执行密码重置吗?这种做法有什么缺点?

  • 多重认证并非固若金汤,谁是救命稻草?

    就像是所有的安全措施一样,多重认证并不是一种保护凭据的万全之策。但是,理解多重认证局限性的风险是减轻威胁的首要一步……

  • 加密后门是否让美国科技企业面临倒退?

    “为什么政府不能从过去的错误中吸取教训?”Herold问道,“他们应该听听专家们的意见:要求所有美国企业部署加密后门程序只会给政府领导以及相信政府的公众一种安全的错觉。”

  • 企业数据泄漏检测再思考

    多年来,企业已经投入大量资源来购买和部署新的安全产品以防止网络攻击,但却没有对数据泄露检测投资太多……