刘锋：系统厂商如何远程安全操控移动设备

　　刘锋：清华同方电脑总工程师

　　目前，移动互联终端在政务信息化领域正逐渐被采用，并处于稳定的上升期，这已对政务信息安全构成直接而现实的威胁。

　　在完全受控于系统厂商的情况下，操作系统、硬件、应用程序、操作系统升级等都由其控制。在PC业界，操作系统厂商一般要将部分技术细节和程序代码提交政府审查，而在新兴移动互联终端没有这方面限制，这就导致了移动互联系统厂商在市场策略上态度更为强硬。

　　在移动互联设备中，几乎每部产品都安有定位装置。这样系统厂商在其浏览器内可随时找到任何一部受控设备的物理位置，并远程锁定，实施数据删除、数据存放、置入用户不可编辑的策略文件，从而限制用户必须启用账号并开放位置信息。

　　在智能手机使用过程中，云计算一旦上线，设备就会通过厂商服务器备份和同步数据，包括邮件、相片、通话记录和应用程序数据等。至于在通知和推送方面，无论是智能手机还是其他移动终端，永远都是在线的，设备厂商可主动向用户推送信息和指令。例如，如果智能手机丢了，只要用户向厂商备案，厂商就可远程锁定丢失手机，令其不能开机。

　　另外，用户平时在智能终端上应用的数据加密是设备自身的漏洞。首先，加密强度不够。一般手机加密都是128位AES，其密钥缺省是在系统厂商服务器上备份。不仅如此，加密口令在设备里是明文存放配置文件，虽然用户平时看不到，但是对系统厂商而言随时可以看到，而口令防护本身实际上也可由很多手段被轻易绕过。

　　从本质上讲，无论是智能手机还是平板电脑，都是标准的具有全功能的计算机，具备操作系统、完整的外设和IO能力。更重要的是，PC可由用户随时关机，而手机网络外网是永远在线。这样，当用户使用WIFI登录到内网时，就成为攻击内网的跳板。用户可在外网部署入侵检测系统、防火墙、病毒过滤等防护措施。但对移动终端内网安全而言，由于用户的安全意识相对较弱，终端本身对安全模式的支持也比较薄弱，用户只能对手机等设备做一些简单的控制和权限限制。

　　在现实生活中，很少听说有企业或国家机关将反病毒系统、入侵检测系统等各类防护工具部署在内网进行安全防护。这样，就使得来自外网的攻击可绕过所有防护措施，通过内部设备作为引桥攻击内网。只要在部署办公网络时实行移动办公，就意味着为攻击者扫清了所有防护障碍。所以，包括国家机关、企事业单位在内的机构部署网络安全系统时，一定要坚固内外网同期安全。（梁爽 广文）