移動應用的發展使得資訊移動化已經成為政企業務及資訊化創新的主旋律,BYOD的節能增效也備受追捧。但是移動應用安全風險依舊!據IDC資料顯示,目前在全球範圍內有12億人在外用移動應用辦公,有69%的使用者表示會用自己的手機去訪問公司的網路,且此數量還在不斷攀升。移動互聯時代,每個人,每一臺移動裝置都成為網際網路的入口,資料安全問題從系統層面逐步走到了移動應用安全層,入口同時成為資訊洩密的出口。移動應用安全風險導致的資訊洩密事件頻發,帶來的經濟和名譽損失讓移動應用開發類企業對資料保護的態勢愈加強烈。
這裡是一份2014企業級移動應用安全風險相關調研的資料分析:
背景
針對移動應用安全提供商的部分客戶群,這些移動應用安全提供商涉及了政府、運營商、金融、機械製造業、網際網路、教育及醫療等眾多領域。
移動辦公行業特性
調研結果顯示,移動應用辦公主要集中在政府、電信運營商、金融及網際網路四大行業。
在國家大力推廣資訊化的政策下,政府對移動資訊化保持了更高的執行力度,移動應用資訊保安也提升到戰略高度,可以說政府不僅是極具開發潛力的移動應用安全市場,也是更為廣闊的移動應用安全市場。
金融行業是國家經濟戰略重要體系,資料重要性毋庸置疑。移動網際網路金融對傳統金融的衝擊促使其新業務增速,移動保單、移動開卡等新業務在給金融單位帶來高效收益,同時蘊含的移動應用安全高風險也慢慢暴露出來。
虛擬運營商與傳統運營商的競爭格局已經凸顯,加之運營商自身的行業優勢,對移動應用資訊化的安全有著極高要求。運營商內部的OA、移動應用門戶及電話會議系統的移動化應用帶來資料的高風險;同期運營商的雲建設由於移動應用眾多,更新頻繁,雲端出口難以保障,安全問題也愈加複雜。
近幾年,移動互聯應用和移動電商應用發展迅猛,推動資訊消費也成為國家大力推行的重點戰略。中國有最大的移動應用商務市場和最多的客戶資源,這兩個“最”,就決定了中國有最廣泛的移動應用商務增值空間。在提高使用者移動應用安全體驗度的同時,未來無論是隱私還是安全,都是消費者最關注的,如何處置好二者的平衡成為移動應用安全發展重要因素。
移動辦公個人情況
據資料統計,絕大多數人有移動辦公需求:其中不需要移動辦公的人群僅佔10.3%,有移動辦公需求的人群佔89.7%,人數越多所潛伏的移動應用安全洩密風險就越高。針對這種情況,企業必須建立完善的移動應用安全措施,保障員工在移動應用辦公過程中的敏感資料安全。
移動應用系統分佈情況
我們針對移動應用辦公系統的個人進行統計:移動辦公自動化(OA 系統)佔有率最高。OA系統一般企業都在應用,企業移動資訊化建設也都以OA 建設先行。OA移動化降低了辦公人員對個人電腦、辦公地點的依賴,提高工作流程流轉效率,提高企業的實時響應能力,所以移動應用自動化辦公系統的佔比最高是合情合理的。移動ERP 系統、移動CRM、移動HR及特殊行業的業務流程系統佔比遠低於OA系統,但同樣影響移動應用安全企業的工作效率和實時響應能力。
移動資訊系統的成熟度、安全問題等都是影響移動資訊化的關鍵原因。移動應用安全系統不但是移動資訊系統的重要組成,也是制約移動應用系統發展的瓶頸。移動資訊系統市場催生了移動資訊安全系統市場,大力發展移動資訊保安產品,拓展移動資訊保安市場將會反過來促進移動資訊系統市場的健康發展。
移動資訊系統資料在終端的儲存狀況
對於移動終端在個人使用情況下存放簡訊、照片等隱私資料,在企業級移動資訊 系統使用過程中主要儲存的資料為郵件、通訊錄、資訊系統中的檔案資料。受訪者表示,目前行動網路的使用費用、穩定性、等待時間和展示效果等,都是影響資料需要在本地存放的原因。除了使用者儲存的個人資料以外,絕大多數受訪者表示,移動終端上同時會存放辦公資訊系統的過程資料。
六因素致移動辦公洩密高風險
據調研結果顯示,人們最擔心的移動辦公洩密高風險點佔比集中:有54.9%的人選擇“移動裝置丟失”;49.7%的人選擇“公共wifi”;46.4%的人選擇資料未做加密保護,賬號密碼盜用、惡意APP和手機病毒等緊跟其後。移動應用安全風險巨大!由此瞭解到移動辦公中接入、傳輸和儲存的過程均存在洩密風險,在使用移動裝置辦公時必須同時確保裝置本身和網路環境的安全性。
有很多企業資料(如包含企業重要資訊的電子郵件)儲存在個人手機上,公共場所裝置丟失資訊洩密風險增大;諸多公共Wifi天然處在一個開放狀態,如果沒有加密技術的保護,任何人都可能無障礙地訪問到企業資料,因此資料加密傳輸顯得尤為重要;個人裝置上往往同時安裝很多個人的APP,而個人APP市場惡意軟體多如牛毛,這就將企業資料置於安全隱患之中;移動應用缺乏安全機制,資料或者明文存在的儲存卡里或越獄的終端上,導致惡意程式可竊取、篡改或盜用的風險;手機病毒和惡意app方面,公網的不安全因素、裝置使用場所的不固定都使盜取者可以獲得賬號、密碼,所以賬號、密碼的安全性也是移動辦公中需要注意的洩密風險點。從這些可以看出,移動應用安全存在很大風險!
總結與對策分析
通過資料分析,可以看到企業級移動應用安全存在很大的風險。企業解決移動安全問題刻不容緩。移動應用安全之辦公類APP常見的漏洞及風險有:二次打包、植入惡意程式碼、資原始檔被竊取與篡改風險、賬號密碼等隱私資訊被竊取。針對這些漏洞風險,解決方案可以從dex專業加殼保護、dex專業加花保護、記憶體防dump保護、資原始檔指紋簽名保護、防二次打包保護、防偵錯程式保護、高階記憶體保護、原始碼優化、SO檔案保護。這是移動應用安全行業的第三方平臺-愛加密,提出的專門針對移動辦公類APP的加密解決方案,詳細瞭解入口:
最後,企業應該儘早完善安全體系建設以支撐移動資訊化發展,資訊保安制度和移動安全技術體系建設要兩手抓兩手都要硬。