探索中国CIO人才现状 | 第四季调研报告
默认Android加密对企业BYOD的影响
2015-05-27  来源:techtarget

从Android L开始,谷歌将在默认情况下进行数据加密。这将对Android设备的安全态势有什么影响?对于企业BYOD政策这是好事情吗?

在美国国家安全局(NSA)前雇员斯诺登披露该局的窃听项目后,隐私成为企业和个人关注的大问题。然而,当涉及到实际更改设备的默认设置时,人们往往还是相当不积极。他们可能会用自己的照片替换基本头像以及更改默认铃声,但很多人从来不会再进一步设置其他内容。而那些更具安全意识的用户可能会尝试启用数据加密,但这通常很难找到如何做到这一步,因为指导手册中的技术术语让人混淆且难以遵循。为了解决这个问题,很多技术公司都在其最新操作系统中推出了更易于使用且更好避免政府监听的安全功能。

自2011年以来,Android已经在一些设备提供可选的加密功能;但在Android 5 Lollipop中,加密会自动进行,不再需要用户或管理员启用这一重要的安全控制。加密密钥在设备的PIN码中,根据谷歌表示,这个PIN码被保护在设备中,不能由谷歌本身或安全服务访问。然而,这意味着忘记PIN码会使设备上的所有数据无法访问,但企业版本将能够集中管理PIN码。(请注意,由于潜在的设备性能问题,谷歌表示,虽然硬件必须支持加密,OEM现在不需要在默认情况下将它开启。)

为了简化锁定和解锁设备,Lollipop推出了“trusted Places”和“trusted Devices”。如果设备的GPS确定其在可信物理区域,例如办公室或家里,设备会保持解锁,但当其离开安全区域时,就会锁定设备。当近场通信(或者蓝牙配对的设备)在范围之内,trusted Devices会以同样的方式工作;离开范围会自动锁定设备。这是一个很棒的功能,因为不需要不断锁定设备意味着安全不会影响用户可用性。这个“trusted Face”功能是很便捷的全功能解锁方式;在用户用自己的脸注册设备后该功能开始启用(但谷歌警告用户那些看起来长得像他/她的人可能可以解锁设备)。

虽然这些功能将造福于所有用户,企业可能对谷歌在Lollipop中面向企业的控制更感兴趣,用以提高BYOD中使用的个人设备。三星的Knox容器化技术的子功能允许管理员对个人和工作数据及应用使用不同的安全政策。每个配置文件的数据都是隔离的,独立于其他配置文件。而对个人或工作配置文件的通知可在统一视图中显示,“work badge”表明应用及其数据由IT管理员在工作配置文件中管理。

管理员还可以控制特定个人或群体可以通过工作配置文件安装哪些Google Play应用。

Android 5.0的目的是吸引更多企业的部署,但管理员将需要注意的是,制造商和移动运营商的设备使用Android操作系统可能有不同的开发周期,并在不同时间推送新版本给其客户;所有Android设备实现默认加密可能需要多年时间。检查哪些员工的设备已经在运行Lollipop(摩托罗拉提供对其设备的升级时间表),并在可能的情况下,尽量试图避免管理具有不同安全功能多版本Android。