PDF《流动技术保安》

?动技术保安

2011 ?7月?香港特别?政区政府 这份文件的内容为香港特别?政区政府的财产,未经香港特别?政区政府的明文批 准,?得转载全部或部份文件内容.

免责声明:政府尽?确保本文资?准确,但?明示或隐含保证资?准确无误.对於因使用本文资? 而引致或与之有关的任何错误或遗?,香港特别?政区政府概?承担任何法?责任. ?动技术保安 第1页目? 摘要.2 I. 管?人员的?动科技保安须知.3 简介.3 商业的趋势及影响

3 政府的政策及IT管治

4 II. IT业界人员的?动技术保安须知.5 无线网络的分?

5 实施策?.7 企业的保安考虑及措施

7 III. 终端用户的?动技术保安须知

9 ?动技术保安 第2页摘要 现今科技一日千?,?动电话、平板电脑和手提电脑均愈趋普及,这些电子装置的计算功 能持续提高,同时又变得越?越细小和轻巧,甚至出现集多种功能於一身的?动电子产 品.这些产品让人???身处何方都能够上网处?自己的?,?如电子邮件及股票买卖 等. 这些?动装置为我们带?很多方?,亦影响?传统的商业运作,保安问题上的考虑是必要 的.各机构需要关注?动装置的保安情况,?如盗窃或遗失、由?动装置泄?的公司资 ?、导致的电脑病毒感染和未获授权的网络拦截等.因此,当我们享用新的?动通讯科技 所带?的快捷和?利时,亦要?意设计和执?适当的保安措施,以保障敏感资??会外 泄. 本文将介绍最常?的?动通讯科技以及使用时的保安缺点,此外还为终端用户提供在使用 ?动装置时的个人保安贴士. ?动技术保安 第3页I. 管?人员的?动科技保安须知 简介 桌上电脑和电话传统上是?种?同的装置.现今科技一日千?,?者的功能已?能清晰划 分.手提电脑和?动电话的结合,形成集运算和沟通功能於一身的手提装置.?动电子装 置(或?动装置)是?於携带,又能够在?同地点轻?地储存及处?大?资?的资讯系 统.?动电子装置的?子包括?动电话、智能电话、个人?码助?(PDA)、平板电脑和 手提电脑. ?动科技可以改变个人的日常生活,现在已可用?动电话?收发电子邮件,甚至通过3G及Wi-Fi的功能设备浏览互?网. 商业的趋势及影响 根缪豆?局资?显示,香港在2011?3月的?动电话服务用户普及?高达194.3%,即有 超过1370万的?动电话服务用户,以及超过680万2.5G及3G?动电话服务用户

1 .另外,资 ?亦显示香港现时有超过9000个公共Wi-Fi热点(2011?5月)提供免费Wi-Fi服务.无可置 疑,这些?硎鞠愀垡殉晌饕奈尴叱鞘. 用户可方?地使用?动装置接达公共服务和/或机构的应用系统资?,除?简?快捷,? ?受时间地点的限制.然而,有?必有弊,伺服器及客户端分别受到保安方面的挑战.本 文只集中叙述客户端,即?动装置上的保安问题.一般?动装置上的保安弱点包括: 1. ?动装置一旦遗失或被盗,储存在内的重要电子邮件或敏感的个人资?或会外 泄. 2. ?动装置轻巧又多用途(?如储存及摄影功能),?诚实或未经许可的员工可 ?用它们作为盗窃公司敏感资?的工具. 3. 电脑病毒也可在?动装置之间散播.跟桌上电脑软件一样,?动装置应用系统 亦有机会出现保安??及错误. 4. GSM/GPRS的通讯规定欠缺严格的讯号保护,在网络上较容?被截取. 虽然?动装置所提供的?动性及网络功能可增加生产?、缩短沟通时间,要在机构内推? ?动科技必须审慎考虑保安问题,也应制订关於使用?动装置适当的保安政策.

1 http://www.ofta.gov.hk/en/datastat/key_stat.html ?动技术保安 第4页政府的政策及IT管治 香港政府的?码21?图以及「GovWiFi」计划的执?,显示?动装置在商业上的应用将无 可避免地大幅提升.然而,使用电子邮件、短讯或话音传输等?动科技?络他人虽则轻 ?,但接收非应邀讯息的机会也相应提高.香港政府自2005?起?努?与业界合作,打击 非应邀讯息的问题.在2007?5月修订「非应邀电子讯息条?」(UEMO),以规管商业电 子讯息(CEMs)的发放.此条?涵盖电子推广产品或服务讯息,均以文字及预先?制的 话音讯息发放到传真机或电邮地址

2 . 与此同时,?动装置亦为各界带?其它保安问题及风险.举??,?动装置通常有网络接 驳功能,可?接到企业的网络.如该装置未经检查或管???接到网络上,?会导致潜在 的保安事故.因此,当企业要采用?动技术,必须制订清晰的保安政策,针对在使用?动 电话/平板电脑/PDAs/手提电脑的保安问题上最低限?的处?手法如下: 1. ?动装置的实体保安问题∶防止遗失及被盗;

2. ?动操作系统问题∶采取防御措施以防及侦测电脑病毒或?性程式码;

3. ?动装置储存敏感资?问题∶制订明确的管?政策,平衡资?外泄的风险和 ??的需要;

4. 其它技术上的措施∶制订保安程序及措施以保护?动商业应用系统及?.

2 http://www.ofta.gov.hk/en/uem/main.html ?动技术保安 第5页II. IT业界人员的?动技术保安须知 这一节阐述主要的?动技术和通讯规定,包括1G、2G、2.5G、3G和4G、无线区域网络与 无线个人区域网络(Wireless Personal Area Network, WPAN ). 无线网络的分? 无线宽广区域网络 第一代(1G)?动通讯技术於1970?代后期出现,最初是模拟系统,只适用於话音传输. 80?代末至90?代初,第二代(2G)?动通讯系统面世

3 ,话音讯号从此以?码传输,以低 成本提供高质素的通讯规定.基於Time Division Multiple Access(TDMA)

4 的技术,Global System for Mobile(GSM)

5 的通讯规定可归?为2G的电话系统. 为?使话音传输服务进一步发展至资?收发,GSM营运商开始提供General Packet Radio Services(GPRS)

6 ,即2.5G

7 ;

其后再推出Enhanced Data rates for GSM Evolution(EDGE)

8 , 即2.75G

9 .EDGE可提供高达384 Kbps 的资?传输速?. 国际电讯?盟(ITU)继而发展第三代(3G)

10 ?动通讯规定

11 ,??动技术再进一步至多 媒体通讯(视像、图片、文字、图像和资?).?动用户的资?传输速?可达384kbit/s, 在静止?态下的资?传输速??高达2Mbps.3G Partnership Project(3GPP)12 於1998?12 月成?,其目标是以演进?的GSM核心网络及其支援的无线电接达技术,为第三代?动通 讯系统订?全球认可的技术规格和技术报告.

3 http://www.itu.int/osg/spu/ni/3g/technology/index.html

4 http://www.privateline.com/Cellbasics/hart-ch3IS-136.pdf

5 http://www.etsi.org/WebSite/Technologies/gsm.aspx

6 http://www.etsi.org/WebSite/Technologies/gprs.aspx

7 http://en.wikipedia.org/wiki/2.5G

8 http://www.etsi.org/WebSite/Technologies/edge.aspx

9 http://www.mobileburn.com/term.jsp?term=2.75G

10 http://en.wikipedia.org/wiki/3G

11 http://www.itu.int/newsarchive/press/PP98/Documents/Backgrounder2IMT2000.html

12 http://www.3gpp.org/About/about.htm ?动技术保安 第6页当资?传 输速??断提升,?出现一种新技术High-Speed Downlink Packet Access (HSDPA)

13 ,即3.5G

14 的??.HSDPA?资?传输速?大大提高至14.4Mbps. 第四代(4G)

15 通讯规定按计划支援高质素多媒体服务,目标是在?动情况下资?传输速 ?标准可高达100 Mbps,在静止?态下则有1 Gbps. 无线城市区域网络及无线区域网络 当手提电话系统?断提升传输速?技术,其它具竞争性的技术?如Wi-Fi(或无线LAN或WLAN)及WiMAX(Worldwide Interoperability for Microwave Access)也向这目标进发,为综 合多媒体服务提供?高带宽.Wi-Fi无线技术是依IEEE802.11的标准,虽然有某程?上的 限制,却能够提供达54Mbps的资?传输速?,比HSDPA的14.4Mbps?快. WiMAX亦称为无线城市区域网络(或无线MAN),是WiMAX?坛的商标.WiMAX?坛是 一间非牟?机构,以IEEE 802.16标准

16 为业界证实及推广宽频无线产品的互通和互相兼容 的特性.WiMAX比WLAN(Wi-Fi)支援?宽频谱,在有线的宽频如cable及DSL

17 等服务外 提供另一无线网络的选择.对於固定的应用系统,WiMAX可提供达40Mbps的传输容?;

至於?动用户在3000米距?之内则可享受高达15Mbps的传输速?. WiMAX网络的接达控制提供?码证书或预设的共用密码匙认证机制,并支援严格的AES加 密算法,其密码匙管?规约的设计包含内置保护,可防止中继攻击.然而,WiMAX还未被 大规模推?,其防御能?仍处於评估阶段. 无线个人区域网络 (Wireless Personal Area Networks, WPAN) 除?以上提及的通讯规定,?动装置还支援无线个人区域网络(WPAN),?如?芽 (Bluetooth)及红外线,可在短距?内(以米计算,?如1米之内)?接及控制?同的产品 及装置.

13 http://en.wikipedia.org/wiki/High-Speed_Downlink_Packet_Access

14 http://en.wikipedia.org/wiki/3.5G

15 http://en.wikipedia.org/wiki/4G

16 http://www.wimaxforum.org/about/

17 http://www.wimaxforum.org/technology/ ?动技术保安 第7页?芽的技术规格是开放的,由?芽Special Interest Group(SIG)监管.?芽提供低带宽的无 线?接功能,在约10米的距?内支援资?(非同步)及话音(同步)通讯,总带宽可达1 Mb/sec

18 . 红外线?接是短程的无线讯号,像一条电线以建?通讯网络,档案及资?可在约1米距? 之内双向传输.然而,?红外线的视线受阻,?会失去?接. 实施策? ?动装置被广泛使用,包括?动文字通讯和浏览网页等,最普遍是?动用户收发电子邮 件.一些商业网站?特别开发相应的网页以满足使用这??动技术的用户. 当商业机构决定使用?动技术,?需要制订清晰的保安政策,以防止因?动用户的活动而 引致内部网络入侵、病毒感染和资?外泄. 企业的保安考虑及措施 企业实施?动技术时或会出现以下的保安问题: 1. 小型?动装置被窃或遗失 2. 员工?诚实或未经许可使用?动装置而引致资?外泄 3. 病毒散播或其它修补程式管?的问题 4. GSM通讯可能发生的窥视及截取 在准许员工使用手提装置工作前应考虑装置可能会遗失或被窃.要避免因而资?外泄,其 中一个方法是事前替装置启动密码保护功能,要认证才可以使用该装置.这个方法需要明 确的密码管?政策.另一个方法是用装置的遥距资?毁灭功能,当该装置遗失或被窃时, 装置内所有的资??可被遥距毁灭.此外,应维护一份获准使用於工作上的?动装置清 单,并且定期核对清单.?要在装置内储存敏感资?,则必须加密予以保护. 因员工?诚实或未经许可使用?动装置而引致资?外泄是机构的一大隐忧.当员工获授权 接达敏感资?,??蓄意或人为错误,资?外泄是有机会的.因此必须实施防御方法,包 括要求所有员工签署一份保密声明及协议.有些工作环境?如客户中心,员工需要接触大 ?客户的个人资?,机构或有需要采取措施,?如?准员工携带手提电话等个人物品进入 工作围.

18 http://www.wirelessdevnet.com/channels/bluetooth/features/bluetooth.html ?动技术保安 第8页电脑病毒日渐威胁?动装置,2004?第一只被证实的蠕虫Cabir可感染?动电话及使用 Symbian操作系统的装置

19 .蠕虫在受感染的操作系统上?用?芽技术?断散播,解决方法 却於稍后才出现.因此,企业必须考虑制订保安政策以保护?动电话,包括安装防毒软件 并?新病毒?别码定义,以及实施并定期?新适当的修补程式管?政策. 因应早期的模拟话音传输而出现的GSM,其设计目的是建?安全的通讯渠道,然而GSM通 讯并非如?想般安全,有被截取的可能性

20 .美国一群研究员发现这问题,并破解?用於 GSM认证及加密的COMP128算法

21 .因此,企业要在商业应用系统使用?动装置,必须考 虑使用?先进的通讯规定(?如3G、Wi-Fi等).

19 http://news.bbc.co.uk/2/hi/technology/3809855.stm

20 http://www.gsm-security.net/papers/securityingsm.pdf

21 http://www.isaac.cs.berkeley.edu/isaac/gsm-faq.html ?动技术保安 第9页III. 终端用户的?动技术保安须知 终端用户使用?动装置时须符合一些保安措施,?如美国国防部曾要求员工将所有储存在 「容?移走的电脑装置」的资?全部加密,包括手提电脑及个人?码助?

22 . 一个未加适当保护的?动装置一旦被盗或遗失的话,歹徒就可以轻?取得装置上的资?. 如果装置感染??意软件,有可能偷偷地被?用而使用?一些高消费的服务,或者泄?敏 感资?.以下是给用户在使用?动装置时的一些保安提示. 当你设定?动装置时 ? 在许可的情况下,应启动开机密码或其它装置密码管?工具. ? 配置你的?动装置,使它在一段指定的非活动?态时间内自动锁定. ? 应在?动装置上安装手机保安软件,如防毒软件和防火墙. ? 应安装最新?动装置作业系统和相关的备份/同步软件的修补程式,替软件升级至 最新版本. ? 应彻底审察应用程式/服务的所有权限要求,特别是一些涉及特权的存取. ? 应替储存在?动装置或抽取式媒体内的敏感资?进?加密. ? 应在许可的情况下,设定远端清除功能. ? 在?使用时,应关闭无线?接,像Wi-Fi、?芽和/或红外线无线通................