首页 > 信息安全 > 正文

微软邮箱给智能手机带来的安全隐患

2011-12-23 16:38:55  来源:tt网络

摘要:如果没有智能手机技术的支持,中小企业在当今互联时代将无法开展业务。员工普遍使用智能手机收发电子邮件,查看日程,和管理联系人。
关键词: 智能手机

  如果没有智能手机技术的支持,中小企业在当今互联时代将无法开展业务。员工普遍使用智能手机收发电子邮件,查看日程,和管理联系人。


  网上到处都是用户论坛,讨论智能手机各种平台的安全问题,以及是否能用Microsoft Exchange ActiveSync与Exchange服务器同步数据。但重要问题不是企业应该采用什么手机平台,而是允许用户将企业电子邮件同步到用户的移动设备上,所必须采取的最低的安全控制是什么。


  在我们深入讨论各种智能手机平台之前,重要的是先讨论下,要支持邮件同步所必须建立的Microsoft Exchange最低配置的环境。同步PDA和智能手机的最核心服务是AES(Microsoft Exchange ActiveSync)。AES最初是一个免费的基于客户端的应用程序,用于通过有线方式(例如USB)与Outlook同步,现在AES位于服务器端,通过无线方式(OTA,over the air),几乎可以通过任何能与Outlook Web Access(OWA)服务器通讯的网络连接进行同步。


  虽然可以通过无线方式,但将Email,日历和联系人同步到手机上,仍然是服务器端-客户端方式。要使Exchange本身的安全控制最大化,需要安装Microsoft Exchange 2003 SP2或更高版本,以及相应的客户端(AES)。虽然在Exchange 2007版和Exchange 2010版中有一些增强的安全控制,2003 SP2版是实现最基本控制的最低版本。参照图一可以迅速了解Exchange最新的三个版本的安全控制功能。

\

  图1–MS Exchange AES安全策略比较


  关于智能手机和Exchange邮件系统的最大误解之一是,只有Windows Mobile智能手机能够和Exchange兼容。事实上,只要能兼容Microsoft AES的手机就可以和Exchange兼容。即使这句话也需要推敲一下,因为AES兼容性的实现,绝大部分都是有选择性的,并且依赖于Exchange服务器所使用的版本。换句话说,只有部分的AES功能是在客户端实现。


  在智能手机连接到企业的Exchange环境中的早期进化期,微软牢牢斩获Pocket PC及Windows Mobile的领导地位,因为这是唯一的原厂支持的可以与Exchange同步的设备,而且无需额外的昂贵的硬件或中间件(例如RIM公司的黑莓企业服务器)。认识到企业设备用户相关的巨大市场,智能手机操作系统供应商很快便开始支持Microsoft Exchange ActiveSync。


  现在,所有主要的智能手机平台都支持不同版本经过改编的AES兼容的客户端,例如,Android使用Droid app: Moxier Mail,Nitro Touchdown,WebOS使用内置的AES,苹果iOS使用内置的AES,RIM使用黑莓ActivSync。因此,现今企业不是要决策采取哪种智能手机平台,而是应该采取什么样的最小,最必要,可接受的的AES安全控制,以降低手机丢失、被盗或受损的损失。


  Microsoft Exchange ActiveSync功能


  已经在使用Microsoft Exchange,并且非常重视移动设备安全的的企业可以使用Exchange自带的移动安全控件,以满足其业务需求。虽然说移动安全控件在Microsoft-centric enterprise 版中是免费的这种说法并不合理,因为你还是要为Exchange客户端软件许可付费,但是你并不需要额外的基础设施或服务器服务,所以,如果你已经在用Exchange 2007 SP3或2010 SP1了,那么你手边就已经有了一套灵活强大的移动设备控件。


  安全控件是通过Exchange ActiveSync邮箱策略设置来实施的。另外,请注意,可用的邮箱安全策略绑定到Exchange客户端访问许可(CAL, Exchange client access license)中的,企业版CAL比标准的CAL有更加丰富的控件,请注意这个关键的区别。


  关于Exchange的最大误解之一是,只有Windows Mobile智能手机能够和Exchange兼容。事实上,只要能兼容Microsoft AES的手机就可以和Exchange兼容。—— Gregg Braunton,


  Exchange 2007和Exchange 2010提供了极为细致具体的安全策略设置,尽管很多IT和安全专业人士可能没注意到这些。担心通过HTML标记造成的隐藏式威胁或漏洞?要对付这种威胁,可以强制所有被同步的邮件必须是纯文本(plain text)类型。担心保密数据或企业内部信息被拷到外部存储卡上,并且你完全控制不了?简单,把外部存储卡禁掉就行了。担心WiFi热点连接不安全?如果这样,关掉智能手机的WiFi好了。收到报告手机丢了或被偷了?没关系,手机和外部存储都已加密过,再远程擦除手机和外部存储卡,睡个好觉吧。Exchange 2007和Exchange 2010上有40多个邮箱安全策略设置可用,但别忘了手机上的AES 客户端支持的策略设置才是真正强制性的。最后,还请买家注意,即使是微软最新大力宣传推出的Windows Mobile 7也并不完全支持全部的可用安全策略。
 


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:kaifangli

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。