网络安全-移动办公设备接入内网风险分析报告
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
文件编码:TRL-T007
办公运维项目
移动办公设备接入内网
安全风险分析报告
(版本号:V1.1)
文件版本历史
一、背景:
移动办公又称为无线办公,即strong无论何时何地,只要在网络信号覆盖的地方,用户就可以利用手机、平板电脑、笔记本电脑等移动终端设备通过无线网络、短信、WAP、GPRS等多种方式与企业的OA办公系统进行连接,从而将公司内部局域网扩大成为一个安全的广域网,实现移动办公。
随着公司的发展,业务不断扩大。
为了便于工作,公司领导全部配备了iPad平板电脑,一部分iPad有接入公司Rstrong无线网络的要求。
公司使用SEP客户端作为防病毒软件,办公区的有线和无线网络均需要安装SEP才能接入,到目前为止没有适用于iPad使用的SEP客户端。
因而陆续为一些领导的iPad进行了无SEP 验证接入公司无线网络的设置,该操作会带来一些风险,后面将详细进行分析。
二、移动办公能为员工及企业带来什么
1、拓展办公空间,处理公务不再受到时间和地点的限制,即使在机场候机也不例外;
2、提高办公效率,重要公文不再因为负责人出差而迟迟得不到处理;
3、减少办公成本,不用花费长途奔波的成本,工作照常进行;
三、移动办公设备接入内网安全风险分析
移动办公目前非常流行,并且用处很大,同时它们也存在着安全风险。
目前安全焦点在移动办公设备上,随着这些设备被大量地用于处理公司信息,IT部门已经无法再用管理公司PC 的方式管理这些移动设备。
因为,这些移动设备使用了不同的平台,它们的安全能力也不尽相同。
针对移动办公设备接入企业内网所存在的安全风险,依据移动办公设备的不同,分析如下, 笔记本电脑,目前主流分为基于微软公司研发的Windows和苹果公司MAC OSX操作系统两种。
基于Windows操作系统的笔记本电脑,若接入企业内网,必须统一安装购买的企业桌面安全防护软件SEP11(Symantec研发)和VRV(研发),如果笔记本电脑没有安装安全防护软件,可借助于Symantec强制准入设备,强制笔记本电脑安装两款企业桌面安全防护软件,否则接入不进企业内网。
基于MAC OSX操作系统的苹果笔记本电脑,若接入企业内网,必须保证已经安装了主流安全防护软件,(例如Symantec、趋势、Mcafee、卡巴斯基等安全厂商推出的防病毒软件)网络管理员才能允许接入企业内网。
针对苹果笔记本电脑没有技术手段强制安装安全防护软件,并且并没有购买企业安全防护软件,需要用户自己购买并安装安全防护软件,并定
期到苹果官网,下载更新操作系统补丁。
平板电脑,主要用于游戏娱乐,及简单办公。
若用户接入企业内网必须安装相应安全防护软件(Symantec、趋势、mcafee、卡巴斯基等厂商研发的防护产品),目前没有购买针对平板电脑的企业级安全防护软件,需要用户个人自己购买并安装安全防护软件。
智能手机,若接入企业内网,也必须安装安全防护软件。
也没有购买针对智能手机的企业级安全防护软件,需要用户自己购买并安装安全防护软件。
许多用户认为非Windows平台移动产品很安全,不容易感染风险,许多用户没有安装任何安全防护软件。
相对于Windows平台产品感染风险程序的机会小些,这是因为使用非Windows 平台用户群体规模小,因为不能获得更大利益,所以黑客没有大量研发风险程序,但随着使用非Windows平台用户群体越来越多,黑客们把目光也转向非Windows平台产品,研发出现越来越多的风险程序。
若这些移动设备没有安装相应安全防护软件,且感染了风险程序,接入企业内网,则会下载恶意程序、间谍软件,占用大量出口带宽,影响网络;能够跨平台攻击、感染企业内网中其它计算机及服务器,影响应用,造成企业正常业务中断,给企业造成巨大经济损失。
越来越多的移动设备丢失或者被盗窃,而这些移动设备往往包含大量个人信息和重要信息。
丢失或者被盗窃的设备往往包含姓名、出生日期和社会安全号码等等,例如,在2010年,一台被盗窃的未加密的笔记本包含某医疗机构中12500名病人的社会安全号码和医疗记录。
这样的例子举不胜举,也为我们提出了很重要的观点:重要数据不应该存在于移动设备中,除非企业采取了有力的措施和多层次加密技术可以足以保护数据安全,这样的话,即便重要数据落入别人手中,数据仍然是安全的。
如果企业不能完全保护移动设备的安全,那么企业只能将重要数据存储在企业服务器中以保证安全性。
在企业系统中可以安装身份验证的工具来限制数据访问,包括来自远程站点的数据访问,但绝对不能允许数据下载。