那些所谓的安全手机真的那么安全吗?
先分享两个案例。第一个是关于德国总理的电话被美国窃听。众所周知,2013年,斯诺登揭露美国窃听德国总理安格拉·默克尔的通讯,在全世界引起轩然大波。德国当局为此对美国窃听默克尔手机一事启动调查程序。然而,到本月23日,由于德国司法部门始终没有发现美国窃听的证据,媒体报道称相关调查可能会终止。但全世界都应该明白是否被窃听了。尤其是在智能手机普及的今天,对于政府和企业客户来说,安全手机在整个信息安全中更是具有挑战性。
为什么到了智能手机时代,我们的个人信息安全挑战,尤其是集团客户的个人信息安全挑战更大?一是因为越来越多的个人生活和企业生产数据越来越智能手机化;第二,是因为智能操作系统的开放性。任何人都可以开发应用程序,在你的手机上安装软件,阅读你的通讯录。尤其是对于集团客户来说,显然谈安全手机不能只谈手机安全。这是一个系统工程。如果有人跟你谈安全手机,不保护以下几个方面,你可以直接忽略:手机安全、应用安全、网络安全;芯片安全,操作系统安全,安全密钥,尤其是官方认可的密钥。这是因为自从棱镜门之后,以伪安全为名的手机产品越来越多。笔者认为,真正的安全手机的基本概念必须还原。
一、安全手机必须考虑的三个要素缺一不可!以下三个要素是安全手机不可或缺的。否则就像开着宝马去酒吧炫富,只懂一点啤酒让人发笑。必须考虑通信安全。好了,下面是权威解释:语音和短信的通信安全,防止通话或信息被拦截。必须考虑数据传输的安全性。是的,正式的说法是数据访问的传输通道的安全性。这方面一般是电信运营商的事情。他们通常为客户提供加密通信解决方案,如提供语音加密移动电话,为政府和企业客户提供专线接入,以及专有接入点APN。手机本身的信息安全是必须考虑的。嗯,专家会这样解释这句话:智能终端本地和云端存储的数据信息的安全性,避免手机上恶意软件的丢失或感染,导致手机上敏感信息的泄露。
第二,如果拿个人手机给老板打工,会带来安全隐患,但没有人欣赏政府和企业拥有大量有价值的敏感数据资产,比如锤子手机在天猫的出货。嗯,这是个秘密,马云和罗永浩都应该明白吧?因此,如果智能手机带来安全隐患,可能造成的后果将更加严重,不可估量。对于政府公务员或企业员工来说,将个人手机带入工作场所早已司空见惯,也会用来处理一些工作。外国人把这个东西叫做byod——自带设备。就是你总是带着自己的家人!数据显示,78%的跨国公司员工将他们的移动设备带入工作,64%的人表示他们使用智能手机和平板电脑来提高工作效率。这不是开玩笑。默多克是前车之鉴。
三、安全手机的两个流派第一个方案是试图强制所有公务员或者这类员工换一个所谓的加密手机。比如今年8月,上海有报道说公务员换了安全手机。这是中国电信定制的加密手机,是在手机的声码器中加入了加密/解密模块的定制手机。每次打电话都需要先向运营商申请密码,然后进行加密通话。我想说,我不知道这个安全手机的芯片是用的还是高通的。如果是,还不如换成华为海思,那就真的安全了,国产的,独立的,省发改委会担心罚款高通吧?其实以我的判断,这种手机安全只是解决了语音通话传输的安全,对于数据传输和数据存储、访问、复制、篡改的威胁可能就没那么有效了;另外,按照国家密码管理局的要求,所有的密码都必须经过安全部门的认证和批准,所以存在老大哥在背后监视你的可能性,对吗?第二种方案是为集团客户提供所谓的“端到端安全服务”。如果你不知道端到端是什么意思,请面向墙壁充电。这方面我发现其实可以分为三派:运营商、设备商、互联网。第一派,设备商派:我给你几个华为Anyoffice的移动安全解决方案;明朝万达的Chinasec数据安全方案:MobileArk,由烽火星空开发管理,面向企业移动应用;趋势科技的企业移动终端安全解决方案TMMS。你们有什么共同特征吗?答案是:这些安全解决方案主要从数据和数据传输的角度为企业客户提供安全解决方案,云集成的一体化解决方案是发展趋势。第二派,运营商派:运营商有优势,比较独特,主要是可以同时解决通信、传输、信息三位一体的安全。也就是端到端的安全性。在写这篇文章的时候,我在通信世界网发现了一个小发现:一个名为MDM云平台的运营商项目已经上线,初期建设规模为654.38+0万用户,“满足运营商集团客户日益增长的移动终端安全控制和应用管理需求”,“支持应用隔离、数据隔离、数据加密、远程控制等安全功能”。在我看来,这是电信运营商思考突破的新途径。也是从另一个角度解决单纯的安全手机无法解决的通信、传输、信息三位一体的安全问题的尝试。在平台层面,解决了内容安全、设备安全、访问安全等手机终端的安全问题。在终端层面,运营商已经明确提出了双域安全手机的概念,其特点是能够划分开放域和安全域,也就是说一个站点免费供用户使用并自行负责,另一个站点由单位监控。。最后一派是互联网派,主要以数据安全为主。至于普通人,这类安全软件接触的还是比较多的。互联网厂商提供的应用层安全软件,如各种安全软件、杀毒软件等。
第四,全方位安全是集团客户需要的真正安全。说了这么多,我最后说说我严肃的观点!集团客户需要的安全不仅仅是一部加密手机。我问过负责安全的同事,他们告诉我,安全手机的定义是这样的:手机信息安全,而且必须是双域+手机APP通信安全+语音短信通信安全+芯片安全+操作系统安全。双域,这个词,估计很多同学都不一样。专家一般是这样说的:一个终端在双域独立运行,支持应用隔离、数据隔离、数据加密和远程控制。普通用户可以理解这一点。你可以玩一个私人剧情,想看什么就看什么。该公司对一块公共土地拥有最终决定权。这四个方面任何一个都可疑,比如芯片是国外的,或者操作系统不开源,或者短信不加密,都不靠谱!说极端一点,其实如果芯片是国外的,那么你做的一切都有可能被后门窃听,操作系统是非开源或者国外的,那么你做的一切都有可能被后门当真。其实是这样解释的:集团客户需要的是全方位的安全解决方案,要从传统的语音、短信、设备远程控制向应用和数据安全、软件系统安全、智能控制转变。从安全的范围来说,至少应该包括设备安全、访问安全、内容安全、应用安全、数据资产安全等多重安全解决方案,才算是一个合格的移动安全解决方案。这也是真正意义上的安全。这种安全性显然不是一个简单的以语音通信加密传输为主的所谓保密手机所能满足的。这是集团客户需要的最安全的手机,绝不应该只是手机!