信息化 频道

保护好你“穿戴在身上”的数据安全

  【IT168 评论】苹果iWatch、谷歌Glass、Ambit手表、阿迪达斯Resolution跑鞋、Zeal Optics Z3滑雪护目镜……可穿戴计算正在受到IT业界和用户的追捧。美国科技智库ABI咨询公司预计,到2018年,可穿戴计算设备的出货量将达到4.86亿台。

  将计算设备“穿在身上”固然很酷,但是这股潮流背后的安全隐忧却不可小觑。

保护好你“穿戴在身上”的数据安全

  与人身安全相关隐私风险高

  事实上,可穿戴计算并不是新鲜的产品,只是因为云计算和移动互联网逐渐渗透到人们的工作和生活中,从而使可穿戴计算设备迎来了广泛普及的新契机。

  安全性是普通用户对可穿戴计算设备最大的疑虑。除了设备终端本身的安全之外,由于高度依赖网络,网络安全的状况对可穿戴计算设备的安全性影响很大。对此,中国电子信息产业发展研究院信息安全研究所研究员王闯认为:“可穿戴计算高度依赖网络,而其可接入的网络种类又非常多,包括移动通信网络、无线网络等,面临不同网络的安全接入风险及数据传输安全风险等。”除此之外,在网络通信上,王闯担心由于近距离通信在可穿戴计算设备中应用较多,例如蓝牙和近场通信(NFC),这些通信方式存在的安全隐患使得用户面临的安全风险上升。

  从本质上看,可穿戴计算设备就是高度依赖网络的便携式计算机,其核心的安全风险在于数据泄露。正如王闯所言,可穿戴计算设备“只在外形设计、输入方式、携带方式等用户体验方面进行了改变,具备更强的信息获取能力,从而将涉及更多的个人隐私信息。”而基于谷歌安卓系统的恶意软件数量大幅上升和谷歌搜集、存储用户信息的“前科”,王闯对于谷歌眼镜等可穿戴计算的安全性持怀疑态度,认为这些设备存在隐私和数据泄露风险。

  个人隐私信息泄露也是瑞星安全专家唐威最担心的问题。在他看来,可穿戴计算设备,例如计步器、健康腕表、腕带等,“都具有GPS精准定位功能,并且能够收集更多用户信息,比如运动规律及数据,心率、睡眠情况等。”唐威警告称,“如果过分依赖这些设备,使用者的人身安全将可能遭到威胁。”

  据了解,目前在中国销售的可穿戴计算设备,大多与个人运动状况追踪有关,并且需要与PC或手机上的社区或应用相联通。当用户通过PC或手机登录相关社区或应用时,需要输入详细的个人身体状况数据,比如年龄、身高、体重、血型、具体饮食、运动数据等,然后将运动追踪器与个人账户相关联,数据就会通过云端实时上传到社区中,并且形成个人健康数据库。

  “云的规模使用使其成为网络罪犯的首选攻击目标,甚至比大型企业的传统IT基础设施更具有吸引力。”赛门铁克中国区安全产品总监卜宪录认为,可穿戴计算设备都需要云端支持,而黑客对这些数据垂涎已久。唐威则指出,目前中国在售的可穿戴计算设备,都忽略了用户可能遇到的云端和移动互联的安全风险。

  此外,由于与物联网、云计算、移动互联网等新兴技术紧密相连,新技术领域存在的安全问题也将给可穿戴计算设备带来安全威胁。正如唐威所言:“信息安全的风险点越多,数据泄露的风险也越高。”

  商业间谍的有利工具

  可穿戴计算设备让人们的生活更加便利、科学和高效。除了设备本身和应用程序面临的安全风险之外,这些可穿戴计算设备也使黑客“如虎添翼”。

  由于谷歌安卓系统的漏洞和恶意软件数量不断攀升,基于安卓系统开发的可穿戴计算设备给开发者提供了比智能手机和平板电脑更加有价值的隐私数据,因此备受黑客和恶意软件开发者的关注,那些在智能手机上通过植入恶意软件来窃取用户隐私的黑客未来可能将目光转向可穿戴计算设备。

  此外,谷歌眼镜等可穿戴计算设备大多具有微型拍照功能,不易被人发现。这为那些想要窃取用户隐私或者企业机密信息的黑客提供了更加便捷的犯罪手段。比如,使用者通过谷歌眼镜拍摄机密资料后,可以一键传输到网络上,导致企业信息泄露。

  对此,王闯表示:“这是典型的BYOD问题。企业应部署专门的移动设备管理策略,比如限制这种可穿戴计算设备进入企业安全级别较高的区域,禁止员工通过类似设备登录企业内部网络,以及处理涉及工作的邮件等。”

  然而,由于接入网络的方式多种多样,体型小,携带方便,企业很难对可穿戴计算设备进行有效监控。唐威透露,瑞星正在进行相关产品的研发,比如在某些应用场景下,禁止移动设备的拍照功能。他表示,尽管这一功能并不是专门针对可穿戴计算设备,但是可以有效防止某些应用场景下的重要信息被泄露。

  安全需要多方协作

  6月初,谷歌表示将不允许开发者为谷歌眼镜开发面部识别应用。谷歌眼镜产品总监史蒂夫·李称,除非具有强大的隐私保护功能,否则将不会加入新的面部识别功能。对此,唐威认为很难彻底限制相关应用的开发:“即使谷歌在硬件上进行限制,也难不倒IT达人。开发者可以通过软件实现相关功能。因此,光靠谷歌一家企业来保护企业和用户的隐私并不现实。因此,谷歌无法做到彻底杜绝,只能相对提高技术门槛。”

  唐威的观点透露出一个重要的信息:当可穿戴计算时代来临,对这些设备及其服务的安全防护,并不是设备提供商、服务提供商或应用开发者任何一个方面的企业能够单独解决的,而是需要多方携手努力、竭诚合作。

  王闯认为,从设备提供商和服务提供商的角度看,对于可穿戴计算的安全防护,企业首先要加强自律,“不要在相关设备和配套软件服务中预留后门程序,不在未允许的情况下留存和搜集用户信息”,还应提高对信息安全的重视程度,应该“成立专门的安全部门,并加强与专业安全厂商合作,加强相关设备的安全防护能力”。此外,王闯认为数据是可穿戴计算设备防护的核心内容,因此企业应该“加强设备相关服务中的数据保护,加强对与设备相关的云计算、物联网等服务平台的安全体系建设和安全防护工作”。

  对于可穿戴计算设备给企业带来的潜在安全风险上升,唐威表示,企业必须建立完善的安全策略,包括终端安全管理策略、网络接入安全策略以及精准的身份认证体系等。他强调:“企业必须建立非常精准的身份验证系统,同时从无线网络、3G网络等不同方面将可穿戴计算设备的网络传输信号屏蔽掉,还应该从制度上禁止相关设备在办公环境下使用,以避免信息泄露。”卜宪录则从保护企业核心数据的角度出发,认为企业应该加强DLP的部署,防止信息外泄,并且制定事故响应计划,同时教育和培训员工如何处理机密信息。

  作为可穿戴计算设备的最终用户,必须学会自我保护,加强安全防护意识。对此,王闯给出的建议是:“首先,要安装防护软件来保障网络安全,避免因设备本身感染恶意软件导致信息泄露;其次,要注意保护个人账户信息,采取多种访问控制措施,避免因个人原因导致数据泄露;再次,要注意网络通道的安全性,避免使用公共无线网络等不安全的网络;最后,注意相关网络服务的安全性,选择可靠的服务提供商。”

0
相关文章