יום רביעי, 20 ביוני 2012

אסטרטגיית שימוש במכשירים ניידים של משרד ההגנה האמריקאי

משרד ההגנה האמריקאי (DoD)  פרסם ב - 15/6/12 את מסמך האסטרטגייה השאפתנית שלו עבור שימוש במכשירים ניידים (mobile device strategy). המסמך מגדיר יעדים ומטרות תוך התמקדות ב - 3 נושאים בתחום המכשירים הניידים: תשתיות אלחוטיות, מכשירים ניידים ואפליקציות ניידות. עקרון העל של מדיניות המשרד היא לוודא אמינות, אבטחת מידע וגמישות ב - 3 תחומים אלה.

סיכום קצר שלי של האסטרטגייה: מדובר בכיוונים מאוד מעניינים, כמו שימוש ב - LTE, בקרות PKI, ניהול מכשירים ניידים והממשקים שלהם, אבטחת וחתימת אפליקציות ניידות, מסגרת לפיתוח אפליקציות, סביבה מרכזית לניהול אפליקציות, יחד עם שילוב BYOD...
רואים שה - DoD הולך עם הזרם במקום להילחם בו. משרד ההגנה האמריקאי החליט להשתלב במהפיכת הניידות תוך שילוב מנגנוני בקרה הכרחיים והתוויית כיוון ברור בשכבות התקשורת, המכשירים, ולא פחות חשוב, האפליקציות הניידות.

בפוסט זה אציג את עיקרי אסטרטגיית ה - DoD בתחומים אלה, בראייתי:

1. ניהול תחום התדרים - ביצוע שיפור מתמיד בתהליכי ניהול תחום התדרים, תוך שיתוך פעולה עם האקדמיה ומחקר לניצול מקסימלי של תחום התדרים הקיים.

2. שימוש בטכנולוגיות אלחוטיות - שימוש ושיפור טכנולוגיות 802.11X ו - 3GPP LTE על מנת לאפשר תעבורה לא מסווגת ומסווגת, תוך צמצום מגבלות רוחב סרט עבור תקשורת טקטית.

3. ארכיטקטורת אבטחה למכשירים ניידים - צמצום ניצול החשיפות במכשירים הניידים עצמם. ניהול המכשירים הניידים, האפליקציות הניידות והקישורים השונים תוך אבטחת הממשק בין רשתות ה - DoD לרשתות ציבוריות. נדרש שימוש בבקרות DoD PKI, גישה וזיהוי בשכבות התקשורת, הרכיב הנייד והאפליקציה הניידת.

4. הגדרת מדיניות וסטנדרטים - נדרש להנחות על תהליך מאובטח אך מהיר של שילוב מכשירים ניידים מסחריים בפעולות ה - DoD. יש להגדיר את מדיניות ה - BYOD וגם את מדיניות ה - Personal Use of DoD Device.

5. שירות לניהול המכשירים הניידים - נדרש שירות מאוחד לניהול מכשירים ניידים ליעול תהליכי התפעול והתחזוקה, לשיפור אבטחת המידע, ולאפשור סנכרון של המכשירים הניידים. שירות זה חייב להיות מבוסס על דרישות הארגון והמשתמשים. נדרש תכנון אשר ישלב בקרת גישה, הצפנת מידע, זיהוי Malwares,  גיבויי מידע, בקרות מכשיר נייד, עדכוני אבטחת מידע, שימוש בכלי חסימת גישה / מחיקת מידע עם פגיעה מינימלית בביצועי המכשירים הניידים.

6. הדרכת משתמשים - נדרשת הדרכה של המשתמשים לגבי אופן השימוש במכשירים הניידים, לרבות בנושא יישום של מנגנוני אכיפה מבוססי משתמש.

7. מסגרת לפיתוח אפליקציות ניידות - נדרשת מסגרת לפיתוח אפליקציות ניידות על מנת לאפשר שילוב על מספר גדול של מערכות הפעלה. המסגרת תבוסס על סטנדרטיים קיימים ודרישות אבטחת מידע. המסגרת תגדיר, בין היתר, קריטרוני בדיקות לאפליקציות ותהליכי חתימה של אפליצקיות עם מפתחות קריפטוגרפיים.

8. תהליך תקינה לאפליקציות ניידות - נדרשת הגדרת תהליך חתימה מאובטחת של אפליקציות ניידות על מנת להבטיח שהן נקיות מקבצים זדוניים וגם מחשיפות.

9. סביבה מרכזית לניהול אפליקציות ניידות -  נדרשת סביבת hosting מרכזית ומאוחדת עבור תהליך תקינה ואישור, הפצה וניהול אפליקציות ניידות.