BYOD安全保護的「原生態」方法

企業BYOD的應用潮流是不可逆的，愈來愈多的企業在追逐這個潮流。安全問題是隨之而來企業高管們須要慎重考慮的，他們正在投資構建諸如MDM（移動設備管理）、MAM（移動應用管理）的平臺，還要在設備鏈接到組織的網絡以前被組織的IT部門集中受權來執行安全設置。其實，除了這些方法以外，市面上主流的移動設備有其出廠即有的「原生態」安全保護方法。本文將爲讀者們介紹這些很是容易被忽視的「原生態」方法。

 應用內置的安全功能 

 今天最多見的基於蘋果iOS平臺和谷歌Android平臺的設備，是和應用程序商店聯繫的，應用程序商店旨在提供一種方法，經過該方法，在應用程序發佈以供下載以前，程序開發商應該是要被蘋果或谷歌驗證的以及其應用程序是要受到蘋果或谷歌審查的。此外，iOS和Android做爲操做系統是用於使設備上的應用程序彼此隔離的。所以，除非用戶容許，應用程序之間是禁止共享數據的。這種配置背後的意圖是，若是一個流氓或惡意應用程序將被下載到設備上，僅會限制該應用程序的曝光，流氓應用程序將沒法從另外一個程序上獲取設備上的數據。
繞過操做系統軟件裏的內在控制的越獄iOS設備或得到根權限的Android設備，打破了這種模式，避開了預期的應用程序隔離。爲此，越獄和得到根權限的設備都對企業網絡構成了嚴重威脅。若是移動設備的安全性可疑，不管是設備上的數據，仍是移動設備正在訪問的任何網絡，都存在風險。

 一旦設備越獄或得到根權限，用戶能夠從蘋果應用商店，谷歌市場，或Android市場之外的其餘服務下載或側面加載第三方應用程序。側面加載的意思是安裝不是從官方的應用程序源得到的應用程序到移動設備(特別是Android設備)。由於這些第三方應用程序的完整性還沒有審覈,用戶可能會有意或無心地從設備或從其所鏈接到的公司網絡下載竊取信息和數據的惡意程序。

 用好移動設備的密碼

 許多設備(包括Windows Mobile、奔邁、蘋果iOS和Android系統)提供了在設備上設置PIN碼或密碼的選項，使設備的全部者保護它，不讓其餘有可能想訪問設備數據的人訪問。可是你一樣也能夠在設備上啓用加密設置，這是針對大多數新的iOS設備的狀況。許多移動設備製造商也提供了加強的密碼設定功能，包括但不限於：

 密碼長度 
 密碼複雜性 
 鎖屏寬限期 
 歷史密碼 
 密碼使用期限 
 容許的登錄失敗嘗試次數 

許多標準和行業合規框架（連同通常推薦的最佳實踐）要求強制密碼，密碼最小長度，密碼的複雜性，歷史密碼，屏幕鎖和其餘內置安全設置。在一個組織中，一臺移動設備的強化標準應該用於指定安全地部署移動設備所需的選項。許多移動設備的管理和安全供應商賦予了組織在設備上執行標準化的安全設置的能力。這些政策不只應該被強制執行，並且應該被監控以肯定是否任何用戶能在設備上手動禁用所需的設置。若是發現設備不符合組織的政策規定，應該用安全管理產品來隔離設備，同時用戶須要採起適當的措施來更正設備上的安全設置，或者是消除它以提供一個乾淨的安裝平臺。

 一樣重要的是要注意到,四位PIN不是與生俱來就安全的，是能夠被強力***到的。例如,在2012年的***大會Defcon 20年會上，viaForensics機構代表，能夠用PIN碼或密碼強力***工具破解Android系統的加密技術。所以，相對於PIN碼來講，堅定首選口令或字母數字密碼。

 不可忽視的加密

 當前許多移動設備提供了內置的加密，可是加密選項一般在缺省狀況下是禁用的。iOS系統使用基於硬件的AES 256位加密。蘋果公司表示，「把密鑰固化到ROM芯片中以防止它們被篡改或被繞過，同時保證只有經過AES引擎才能夠訪問到他們。」 做爲一個額外的安全層，蘋果也使用數據保護，來保護閃存和硬件密鑰。數據保護要求用戶在設備上設置一個密碼，手動設置一個或者是執行安全策略強加一個密碼來保護電子郵件和附件。

 Android提供了滿空間的文件系統AES128位加密，以源於用戶PIN碼或密碼的密鑰爲基礎。Android系統加密能夠應用到設備上，也可選擇應用到SD卡上。最終用戶必須啓用加密。若是還沒有設置密碼或PIN碼,在用戶能夠啓用加密（加密的密碼或密碼提供了種子密鑰）以前，用戶須要先設置設備密碼或設備PIN碼，而後在啓用加密以前用戶會被提醒一個截止時間。做爲一個額外的安全措施,組織的管理員能夠利用Android API來要求知足特定的複雜度要求的密碼。

 三星有一系列的三星SAFE(三星批准用於企業的)Android設備，能夠爲企業提供加強的安全性能。這些設備使用FIPS 140 - 2標準兼具AES 256位加密,以保護設備。若是啓用，它須要一個六位的包含字母數字的密碼，能夠是經過MDM策略，微軟的同步軟件或是手動的方式來啓用。