Android 5.0 安全最佳实践
5.00/5 (1投票)
本文将介绍 Android 设备管理的四项最佳实践。
Intel® 开发者专区提供跨平台应用开发工具和操作指南、平台和技术信息、代码示例以及同行专业知识,帮助开发者进行创新并取得成功。加入我们的社区,面向 Android、物联网、Intel® RealSense™ 技术和 Windows,下载工具、获取开发套件、与志同道合的开发者分享想法,并参与黑客马拉松、竞赛、路演和本地活动。
Android 是全球最受欢迎的移动操作系统之一。许多人都在使用 Android 设备。
尽管 Android 非常受欢迎,但由于其安全风险,企业在很大程度上一直回避使用 Android 设备。
早期版本的 Android 存在众多漏洞。此后,Google 进行了广泛的安全改进。除了支持数据加密和自动屏幕锁定外,最新设备还限制了应用程序的权限,以帮助防止安全漏洞。
另一项重要的增强功能是 Google 面向企业推出的新计划——Android for Work。它提供企业级安全性,并支持容器化,即能够在员工的 Android 设备上分离工作数据和个人数据。
这些重大的增强功能使得在企业内部安全使用 Android 成为可能,前提是组织能够解决剩余的固有安全问题。本文将介绍 Android 设备管理的四项最佳实践。
- 防止 Root 或越狱
- 防范移动恶意软件
- 执行强大的安全措施
- 实施设备管理策略
防止 Root 或越狱
Root 是指解锁 Android 操作系统,使用户能够安装未经批准的、潜在有害的应用,更新操作系统,以及替换固件等。
这是一个普遍存在的现象,给企业带来了重大的安全挑战。Root 过的设备更容易受到恶意应用的影响。Root 过的设备会暴露公司网络,存在敏感数据泄露的风险,并且更容易受到黑客攻击。越狱是通过利用软件和硬件漏洞来移除苹果 iOS* 设备上的硬件限制的过程。这类设备包括 iPhone*、iPod* touch、iPad* 和第二代 Apple TV。越狱允许对 iOS 文件系统和管理器进行 Root 访问,从而可以下载官方 Apple App Store 无法提供的附加应用程序、扩展和主题。为防止 Android 设备被 Root 或越狱,建议阻止 Root 过的设备连接到网络,并对员工进行 Root 手机的危险性和后果的培训。
防范危险的移动软件
Android 用户可以从任何地方(不仅仅是 Google Play)安装应用程序,因此会接触到包含恶意软件的更多应用。这会影响企业,因为受恶意软件攻击的应用会窃取登录凭据、访问公司网络并导致关键数据丢失。保护公司网络免受移动恶意软件侵害的最佳方法是在已批准的设备上安装反恶意软件。以下是 10 款可用于防范恶意软件的程序列表:
- Dr.Web Antivirus*
- Antivirus and Mobile Security* (Avast)
- Mobile Security and Antivirus* by ESET
- Armor* for Android
- AntiVirus Security Free* by AVG
- Mobile Security and AntiVirus* by Avast
- Zoner* AntiVirus Free
- BitDefender* AntiVirus Free
- Hornet* AntiVirus Free
- Norton* Security Antivirus
此外,IT 部门还需要了解所有已安装的应用程序、实时检测移动恶意软件、列出易受攻击的应用程序的黑名单,并利用安全的企业应用程序商店或目录来分发和更新已批准的应用程序。
执行强大的安全措施
与所有移动设备一样,需要强大的安全措施来保护公司网络。尽管具体策略会因行业而异,但以下是我们针对所有已批准设备的企业移动管理的基本建议:要求强密码、强制数据加密、根据 Wi-Fi* 网络控制应用程序使用,并根据访问策略和设备位置阻止某些功能,包括复制/粘贴、位置服务、电子邮件、摄像头和麦克风。
最佳安全实践
此外,最佳安全实践包括:
安全和数据分离 – Android for Work 部署中的设备使用基于硬件的加密和管理员管理的策略,以确保业务数据与恶意软件隔离并保持安全,同时个人信息保持私密。
支持员工自有设备和公司配置的设备 – Android for Work 用户可以安全地使用一部 Android 设备用于商务和个人用途,公司可以配置他们拥有的设备,并在员工自有设备上配置工作配置文件。
远程管理 – 管理员可以远程控制所有工作相关的策略、应用程序和数据,并且可以在不触碰设备所有者的个人数据的情况下将其从设备中擦除。
无缝的用户体验 – Android for Work 在所有设备上提供一致的体验,并允许用户直观、轻松地在工作和个人应用程序之间切换。业务应用程序会与个人应用程序一起出现在启动器和最近使用的应用程序列表中,但业务应用程序图标带有清晰区分它们的徽章。
简化的应用程序部署 – 管理员可以使用 Google Play 来查找、列入白名单并向 Android for Work 设备部署业务应用程序。他们甚至可以使用 Google Play 来部署内部应用程序和资源。(请参阅 Google Play for Work 帮助中心。)
区分生产力套件 – 没有 Google Apps for Work 的用户可以使用一套专门为 Android for Work 设计的完整安全生产力应用程序。该套件包括业务电子邮件、日历、联系人、任务和下载管理。
Google 通过其 Google Apps for Work 生产力套件提供开箱即用的 Android for Work 解决方案。该解决方案允许 Google Apps for Work 管理员在管理员控制台中访问 EMM 功能,从而扩展他们现有的设备管理能力。
实施设备管理策略
IT 部门需要能够集中管理和配置 Android 设备。建议远程擦除丢失或被盗的设备、在多次解锁尝试失败后自动擦除设备,并实施位置服务以实时识别设备坐标并据此强制执行访问策略。
Google 设计 Android 和 Google Play 以提供更安全的使用体验。本着这一目标,Android 安全团队努力最大限度地降低 Android 设备上的安全风险。Google 的多层方法始于预防,接着是恶意软件检测,并在出现任何问题时进行快速响应。具体而言,Google:
- 通过设计审查、渗透测试和代码审计,努力防止安全问题的发生
- 在发布新版本的 Android 和 Google Play 之前进行安全审查
- 发布 Android 的源代码,从而让更广泛的社区发现漏洞并为使 Android 成为最安全的移动平台做出贡献
- 努力通过应用程序沙箱等功能最大限度地减少安全问题的影响
- 定期扫描 Google Play 应用程序是否存在漏洞和安全问题,如果它们对用户设备或数据造成严重危害,则将其移除
- 建立快速响应计划,通过与硬件和运营商合作伙伴合作,快速解决安全问题并推送安全补丁,以处理在 Android 中发现的漏洞
Android 团队与更广泛的安全研究社区紧密合作,共享想法、应用最佳实践并实施改进。Android 是 Google 漏洞奖励计划的一部分,该计划会向为流行的开源项目贡献安全补丁的开发者支付费用,其中许多项目构成了 Android 开源项目 (AOSP) 的基础。Google 也是事件响应和安全团队论坛 (FIRST) 的成员。
相关文章和资源
关于作者
Vitaliy Kalinin 供职于英特尔公司的软件与服务部门。他是俄罗斯下诺夫哥罗德市洛巴切夫斯基国立大学的博士生。他拥有经济学和数学学士学位,以及应用经济学和信息学硕士学位。他的主要兴趣是移动技术和游戏开发。