关于安全智能工作的移动设备管理系统的威胁模型分析外文翻译资料
2022-09-06 11:36:02
英语原文共 14 页,剩余内容已隐藏,支付完成后下载完整资料
关于安全智能工作的移动设备管理系统的威胁模型分析
李根宇(이근우),王东浩(왕동호),张相云(장상운),蔡秀英(채수영),朴尚禹(박상우)
摘要:为了提高移动设备的安全性,诸多企业都正在开发并采用移动设备管理系统。然而,如果一个移动设备管理系统推广开来的话,那么移动设备和包含在其中的数据都很容易遭到窃取。因此,执行大量的威胁模型分析是非常重要的,这可以有效地生成真实的、有意义的安全需求和功能。在本文当中,我们分析了现有的某些威胁分析模型的建模方法,提出了一种新的威胁分析模型,并且通过分析和识别攻击方、重要资源以及非法行为,从而提出了所有针对移动设备管理系统的可能威胁。这项工作将可用于开发相关的安全需求,例如安全保护配置文件,以及设计一个安全的系统。
关键词:移动设备管理系统;威胁模型分析;安全需求;智能手机;平板电脑
Electron Commer Res (2013) 13:243–256
DOI 10.1007/s10660-013-9121-4
网上发表时间:2013年5月11日
copy;施普林格科学 商业媒体纽约·2013
- 绪论
近年来,由于智能手机以及平板电脑具备非常高的可移动性,因此它们在商务当中的使用率在逐年上涨,但是移动设备的普及也增加了因用户遗失或者误操作设备所带来的信息泄露风险。 因此,许多企业会采用移动设备管理 (MDM) 系统来提高公司以及员工所拥有的移动设备的安全性。
然而,如果开发者不考虑到所有针对 MDM 系统可能的威胁,那么就无法提供足够的安全性来阻止所有的威胁,这可能会对移动设备造成极大的损害。
因此,本文详细列出了所有可能的威胁。这是开发安全功能需求的基础,例如在通用标准 [4] 当中的安全保护配置文件。此外,了解潜在威胁对于安全功能的设计是至关重要的。
对于诸如 MDM [5, 7, 9-12, 19, 20, 22, 23,27, 28, 30, 33] 之类的复杂系统,有许多相关的正式威胁分析模型建模的研究。根据以前的研究 [20, 30],一个威胁模型分析过程包含了以下步骤:(1) 系统的特性描述,以及技术背景的分析;(2) 重要资源识别; 以及 (3) 威胁的定义。
ISO/IEC TR 13335-1 [15] 以及 ISO/IEC 15408 (CC 通用标准) [4] 说明了为什么攻击方、重要资源以及漏洞应当被定义、识别为威胁所在。根据 ISO/IEC 15408 的定义,攻击方对重要资源进行非法行为即可定义为威胁。换句话说,能否识别攻击方、重要资源以及利用漏洞进行的非法行为,是定义“威胁”的关键所在。因此,通过整合和扩展 [20, 30] ISO/ IEC TR 13335-1 以及 ISO/IEC 15408,我们为 MDM 系统提出了一个威胁分析模型的建模方法。拟议的威胁分析模型建模方法有五个步骤:(1) 系统的特性描述,以及技术背景的分析;(2) 攻击方的识别;(3) 重要资源以及其价值的识别;(4) 安全漏洞和非法行为的识别;(5) 进行威胁定义。图2.1描述了组成威胁的各个部分之间的修正关系。
本文的其余部分组织如下:第二部分提供了关于 MDM 系统的详细说明,然后第三部分将对构成威胁的各个部分——攻击方、重要资源,以及非法行为进行识别。基于这些组成部分,文章的第四部分将定义所有 MDM 系统中可能的威胁。最后,第五部分将讨论本文的研究意义和普适性。
- 移动设备管理系统
威胁建模的第一步是对目标系统完全地进行理解分析。这就需要确定其使用范围,并且理解每一个组件以及它们之间相互连接的作用 [4]。
MDM 系统用以远程管理智能手机和平板电脑,可以监控它们的状态以及对它们进行操控。表 2.1 列出了 MDM 系统中一些主要的检测、控制,以及管理功能 [1, 6, 17, 34]。
表2.1 MDM 系统应具备的功能
功能 |
描述 |
应用 管理 |
安装或者卸载企业应用 运行或者停止企业和非企业应用 更新企业和非企业应用 阻止企业应用的卸载 移除非企业应用 安装证书 |
设备 管理 |
启用或者禁用相机、截屏、蓝牙、Wi-Fi、GPS、耳机、同步等功能、接入点控制 |
设备 库存 |
检查分配的 IP 地址、SIM 状态、操作系统信息、应用程序 ID/名称/版本、蓝牙状态、Wi-Fi 状态、GPS 状态、电话号码、IMEI 信息、硬件资源信息、数据漫游设置、设备类型等等 |
安全 管理 |
锁定或者解锁远程设备 远程设备数据擦除 重置远程设备 推送或者移除配置数据 设置密码及设置密码策略(字符组合、长度、历史、失败技术等等) 加密或者解密数据 账户配置(Exchange ActiveSync、电子邮件、VPN 等等) |
图2.1 修正后的威胁组件之间的关系
图2.2 MDM 系统架构及可能存在的攻击
如图2.2 所示,在 MDM 系统当中,有四种必要的组件:
- MDM 代理:MDM 代理用以收集移动设备的状态数据,并且将它们发送到 MDM 服务器上。同样还有从 MDM 服务器接收并发送给移动设备的应用策略数据,然后将结果返回给服务器。MDM 代理以应用的形式安装在移动设备上。
- MDM 服务器:MDM 服务器用以管理注册过的移动设备、注册用户的数据,以及分发移动设备管理策略和应用。
- MDM 管理控制台:MDM 管理控制台是一款允许管理员登录 MDM 服务器管理系统的软件。
- MDM 中继服务器:因为某些因为安全问题或者物理布局导致无法直接通信的实体来说,MDM 中继服务器用以中继和控制这类实体之间的信息流。
上述四个组件之间的交互包括以下五个步骤:
- 步骤 1. 注册/配置:组织的移动设备数据和用户数据会在 MDM 系统中进行注册,并且每个移动设备的应用策略都会进行相关配置。
- 步骤 2. 分发:MDM 代理将被分发并安装在移动设备上。MDM 代理可以通过应用商店/市场或者内部进行分发。
- 步骤 3. 认证:当 MDM 代理安装并运行后,一些移动设备数据(例如 IMEI、IP/MAC 地址、电话号码等等)将被发送到 MDM 服务器中,用以验证它们是否匹配系统中所注册过的数据。
- 步骤 4. 指令:MDM 服务器给每一个 MDM 代理都会发送移动设备控制策略,并且根据并发送诸如 “远程擦除数据” 之类的命令。
- 步骤 5. 控制/报告:MDM 代理根据移动设备控制策略/命令,控制移动设备的相关功能,并且向 MDM 服务器报告结果。
第3章 威胁来源、重要资源,以及非法行为
在本节当中,我们将对在章节 2 当中对系统所分析的威胁来源、重要资源,以及非法行为进行识别。由于这些是威胁的组成部分,因此为了确定潜在威胁,完全识别这些组成部分是非常重要的。
3.1 威胁来源
威胁来源是可以对重要资源造成不利影响的实体 [4]。一般而言,我们认为只有未经授权的实体才算得上是威胁来源,不过移动设备用户和系统管理员也可以成为威胁来源的一员。此外,诸如洪水、地震、火灾之类的自然灾害也可以成为威胁来源的意愿。在 MDM 系统中,有四种威胁来源:
- 管理员:如果管理员没有受到良好训练的话,他们可能会在无意中威胁到 MDM 系统。然而,管理人员通常都受到过良好的培训,并且都很谨慎地对系统进行操作。由于管理员负责管理系统,他们拥有足够的能力和机会对系统进行攻击。一般而言,我们认为管理员是可信任的。但是,有时候,他人对管理员的贿赂,或者管理员心生不满都会导致恶意事件的发生。
- 用户:用户可以访问移动设备、MDM 代理以及商业应用。因此,他们有足够的资源和机会去攻击系统。一般而言,一个普通的用户并不是擅长于攻击系统。然而,诸如 IT 工程师之类的用户可以以高层次的角度来分析并攻击系统。他/她们可能会在想要访问特权但是又没有给他们这项权利的时候,进行恶意行为。
- 未经授权的实体:未经授权的实体通常上是黑客、竞争对手,以及他们的恶意软件。因此,他们非常擅长于攻击系统。他们怀有恶意,并且拥有充足的能力。此外,丢失设备的发现者也是未经授权的实体。他/她可能也是怀有恶意的。但是他/她并不擅长于攻击系统,并且也没有足够的能力。他/她没有什么机会来攻击系统,因为他/她并不是系统的所有者或者管理员。
- 自然灾害:自然灾害构成的威胁包括地震、洪水、火灾等等。它拥有强大的能量,可以严重地对系统造成破坏。然而,这种威胁是没有动机或者威胁程度的。自然是完全无法进行预测的。
表3.2 威胁来源
威胁来源 |
威胁程度 |
破坏能力 |
威胁机会 |
破坏动机 |
管理员 |
高 |
充足 |
多 |
恶意或者无意 |
用户 |
高或者低 |
充足 |
多 |
恶意或者无意 |
未经授权的实体 |
高或者低 |
充足或者不充足 |
少 |
恶意 |
自然灾害 |
- |
充足 |
- |
- |
表3.2给出了这些威胁来源的详细分析,包含了他们的威胁程度、破坏能力、威胁机会以及破坏动机这几个方面。
为了定义真实并且有意义的威胁,我们做出了两种假设:
假设 1:得到系统授权,并且经过良好训练的管理员是可以信任的,因为在面对授权管理员的攻击时,没有任何系统是安全的。
假设 2:MDM 中继服务器、MDM 服务器,以及 MDM 管理控制台是位于物理安全的位置当中的,因此不会受到地震、洪水、火灾等自然灾害的破坏。
通过这两个假设,我们可以只需要处理用户 (T1) 以及未经授权的实体 (T2) 这两种威胁来源即可。
3.2 重要资源
重要资源是拥有重要价值的实体,但是这种评判价值比较主观。这种价值一般是依据商业价值进行判定的,但是重要资源的商业价值的范围波动会比较大,可能会非常高,也可能会非常低。例如,推销员移动设备上的客户私人信息拥有非常高的商业价值,但是入门手册的商业价值就非常低。因此,我们将价值的判定重新定义为依据需要保护的准则来进行判定。有四种经典的原则:保密性 (Confidentiality)、完整性 (Integrity)、可用性 (Availability) 和真实性 (Authenticity),这整体被称之为 CIAA。
为了允许识别的进行,我们从接入点中列出了所有可能的重要资源。如图 2.2所示,接入点包含了 MDM 系统的组成部分,以及组成部分之间的信息流。图3.1展示的是根据位置和资源类型所确定的各种重要资源。为了识别真实的、有意义的重要资源,服务器平台以及硬件都被排除在重要资源名单之外。
确定的重要资源可以分为业务数据(例如保密下载的或者生成的业务数据)、移动设备状态(例如 IMEI、电话号码、IP 地址等等)、系统功能数据(例如策略/指令/报告管理,访问 MDM 服务器的简介,等等)、系统机密数据(例如加密/解密密钥、会话密钥等等)、用户/管理员的机密数据(例如电子邮件/VPN/Wi-Fi 账户、设备的密码/PIN/锁定手势、管理员的 ID/密码,等等)、软件(例如企业应用、MDM 系统应用、移动设备的操作系统,等等),以及硬件模块(例如相机、W
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[146905],资料为PDF文档或Word文档,PDF文档可免费转换为Word