Android* 5.0 的最佳安全实践

Android 是世界上最受欢迎的移动系统之一。 许多人都使用 Android 设备。

尽管 Android 非常受欢迎,但由于存在安全风险,大多数企业都避免使用 Android 设备。

之前的 Android 版本存在许多安全漏洞。 Google 在提升安全性方面取得了很大的进步。 除支持数据加密和自动屏幕锁定外,最新设备还可限制应用的权限,以防范安全漏洞。

另外一项重大改进是 Google 面向企业制定的新计划 — Android for Work。 该计划可提供企业级安全性,并支持散装化,能够将员工 Android 设备上的工作数据和个人数据分开。

得益于这些显著的改进,倘若可以解决遗留的固有安全问题,企业就可以安全地使用 Android 设备。 本文将介绍四条有关 Android 设备管理的最佳实践。

  • 防止 root 或越狱
  • 防范移动恶意软件
  • 采取强劲的安全措施
  • 实施设备管理政策

防止 root 或越狱

root 指解锁 Android 操作系统,以便用户安装未经许可、可能存在恶意的应用,更新操作系统,以及更换固件等等。


图片: 简单开发以 root Lenovo Yoga 平板电脑

企业经常会遭遇严峻的安全挑战。 被 root 的设备更易受到恶意应用的攻击。 被 root 的设备可能会曝光公司网络,将公司敏感数据置于危险之中,也更容易遭受黑客的攻击。 越狱指通过使用软硬件开发消除 Apple iOS* 设备的硬件限制。 此类设备包括 iPhone*、iPod* touch、iPad* 和第二代 Apple TV。 越狱授权对 iOS 文件系统和管理器的根访问,允许下载其他官方 Apple 应用商店不提供的应用、扩展指令集和主题。如要防止对 Android 设备进行 root 或越狱,推荐阻止被 root 的设备联网,并告诉员工 root 智能手机所带来的危险和后果。

防范危险的移动软件

Android 用户能够从任何地方(不仅从 Google Play 商店)安装应用,因此会接触到大量包含恶意软件的应用。 这样会对企业造成影响,因为包含恶意软件的应用能够窃取登录验证、访问公司网络,并造成关键数据丢失。 防止公司网络受移动恶意软件攻击的最佳方法是为许可设备安装反恶意软件的软件。 大家可以考虑使用以下 10 项计划来防范恶意软件:

  1. Dr.Web Antivirus*
  2. Antivirus and Mobile Security* (Avast)
  3. Mobile Security and Antivirus* (ESET)
  4. Armor* for Android
  5. AntiVirus Security Free* (AVG)
  6. Mobile Security and AntiVirus* (Avast)
  7. Zoner* AntiVirus Free
  8. BitDefender* AntiVirus Free
  9. Hornet* AntiVirus Free
  10. Norton* Security Antivirus

此外,IT 部门需要了解所有已安装应用、实施检测移动恶意软件、将易受攻击的应用列入黑名单,并使用安全的企业应用商店或目录发布和更新许可应用。

采取强劲的安全措施

对于所有移动设备而言,强劲的安全措施对保护公司网络不可或缺。 尽管各行业的具体政策各不相同,但我们基本上推荐为所有许可设备执行企业移动性管理:需要强密码、执行数据加密、根据 Wi-Fi* 网络控制应用使用,并阻止部分功能,包括复制/粘贴、位置服务、电子邮件、摄像头和麦克风(根据访问政策和设备位置)。

最佳安全实践

此外,最佳安全实践包括:

安全性和数据分离 – Android for Work 部署的设备使用基于硬件的加密和管理员管理政策,以确保企业数据远离恶意软件,以及个人信息的隐秘。

支持员工自有设备和公司供应的设备 – Android for Work 用户可安全地使用一台安全设备处理公司业务和个人事务,而公司可以供应公司所有的设备,并在员工自有设备上配置工作文件。

远程管理 – 管理员可以远程控制所有与工作相关的政策、应用和数据,并在不接触设备所有者的私人数据的情况下将它们从设备中清除。

无缝用户体验 – Android for Work 可为所有设备提供一致的体验,并支持用户轻松直观地切换工作应用和个人应用。 企业应用与个人应用同时出现在启动栏和近期应用列表中,但企业应用图标上带有清晰的标志,以方便区分。

简化的应用部署 – 管理员能够使用 Google Play 为 Android for Work 设备查找、创建白名单,并部署企业应用。 他们甚至还可以使用 Google Play 部署内部应用和资源。 (请查看 Google Play for Work Help Center。)

划分办公套件 – 没有 Google App for Work 的用户可以使用专为 Android for Work 设计的安全办公应用套件。 该套件包含企业电子邮件、日历、通讯录、任务和下载管理。

Google 提供即购即用的 Android for Work 解决方案以及 Google Apps for Work 办公套件。 该解决方案支持 Google Apps for Work 管理员访问管理员控制台的 EMM 功能,从而扩展当前的设备管理功能。

实施设备管理政策

IT 部门需能够集中管理和配置 Android 设备。 建议远程清除丢失或被盗的设备、几次解锁失败后自动清除设备,实施位置服务以实时识别坐标并执行相应的访问政策。

Google 对 Android 和 Google Play 商店进行了精心的设计,以提供更加安全的体验。 为此,Android 安全团队努力将 Android 设备的安全风险降到最低。 Google 的多层次安全机制从预防开始,持续进行恶意软件检测,并在问题出现时进行快速响应。 具体来说,Google:

  • 通过设计评估、渗透测试和代码审查努力防范安全问题的出现。
  • 在发布新版 Android 和 Google Play 之前执行安全评估
  • 发布面向 Android 的源代码,支持更广泛的社区发现缺陷,共同将 Android 打造成最安全的移动平台
  • 通过应用沙盒等特性努力将安全问题的影响降至最低
  • 定期扫描 Google Play 应用以发现漏洞和安全问题,并在用户设备或数据遭受严重损失之前解决这些问题
  • 与硬件和运营商合作伙伴共同制定快速响应计划,以处理 Android 应用中发现的漏洞,从而快速解决安全问题并推送安全补丁

Android 团队与广泛的安全研究社区保持着密切的合作关系,共同分享创意、运用最佳实践和实施改进。 Android 是 Google 补丁奖励计划的一部分,为常用开源项目贡献安全补丁的开发人员会得到该计划的奖励,其中许多为 Android 开源项目 (AOSP) 打下了良好的基础。 Google 还是应急事件及安全团队论坛 (FIRST) 的成员之一。

相关文章与资源

关于作者

Vitaliy Kalinin 任职于英特尔公司的软件和服务事业部。 他是罗巴切夫斯基州立大学(俄罗斯诺夫哥罗德)的一名博士研究生。 他获得了经济与数学专业的学士学位,以及应用经济学与信息学专业的硕士学位。 他主要专注于移动技术和游戏开发领域。


声明

任何计算机系统都无法提供绝对的安全性。

本文档不代表英特尔公司或其它机构向任何人明确或隐含地授予任何知识产权。

有关编译器优化的更完整信息,请参阅优化通知