淺論移動辦公環(huán)境下的移動終端安全實現(xiàn)

一、引言

隨著移動智能終端性能的迅速提升以及4G網(wǎng)絡(luò)的廣泛普及，移動辦公已成為各行各業(yè)共同關(guān)注的熱點。數(shù)據(jù)顯示，我國移動辦公人數(shù)呈逐年增加態(tài)勢，2016年移動辦公人數(shù)高達4.45億，預(yù)計到2018年，該人數(shù)將超過6億。可以說，移動辦公是未來發(fā)展的必然趨勢，而信息安全則是移動辦公過程中需要重點考慮的問題。

二、移動辦公終端面臨的安全風險

移動辦公融合了移動通信、智能終端、信息技術(shù)，與傳統(tǒng)電子辦公相比有很大區(qū)別，例如，使用公共無線信道傳輸信息，對移動終端有更多的控制權(quán)；移動終端在有訪問需求時，會接入用戶業(yè)務(wù)內(nèi)網(wǎng)等�？梢哉f，移動辦公的安全問題不僅包含了傳統(tǒng)電子辦公系統(tǒng)的安全問題，還包含了移動化引入的許多新的安全問題與隱患。

這些新的安全風險包括如下7個方面。

1.移動終端違規(guī)接入用戶業(yè)務(wù)內(nèi)網(wǎng)。由于移動辦公涉及公共移動運營商網(wǎng)絡(luò)，若缺乏有效的移動終端身份認證機制及接入權(quán)限控制措施，則存在來自非法終端或惡意用戶對辦公信息系統(tǒng)進行非授權(quán)或異常訪問的風險。

2.移動終端無線信道潛在的竊聽風險。在移動通信網(wǎng)絡(luò)中，主要通過無線信道傳送網(wǎng)絡(luò)通信內(nèi)容。通過適當?shù)臒o線設(shè)備，任何人都可利用相應(yīng)技術(shù)手段，竊聽無線信道來獲得所需信息。若在移動辦公過程中，通過無線信道傳輸?shù)男畔⑽醇用�，則存在嚴重的泄露風險。

3.移動終端的離散化特性加大了數(shù)據(jù)的監(jiān)管難度。由于移動終端位于用戶身邊，地理位置相對分散，因此加大了移動終端及其數(shù)據(jù)訪問管理、跟蹤審計等難度。若缺乏必要管控手段，則可能出現(xiàn)監(jiān)管死角，造成辦公數(shù)據(jù)泄露。

4.移動終端易丟失、更換頻繁。由于移動終端具有隨身攜帶方便、易用等特點，辦公人員易將敏感的商業(yè)信息和個人資料存入其中，與攜帶者一起流動，增加了丟失和被竊概率。另外，移動終端的更換周期相對較短，由于缺乏專業(yè)的回收或銷毀機制，淘汰產(chǎn)品通過二手市場流傳，容易造成辦公信息泄露。

5.移動終端應(yīng)用程序管理困難。移動終端使用者可能從不受監(jiān)管的第三方下載并安裝移動應(yīng)用程序，而這些應(yīng)用程序可能預(yù)先被感染或被篡改，同時后續(xù)的升級、新增、下架應(yīng)用程序等操作，也缺乏統(tǒng)一管理手段。

6.移動終端上存儲未加密的辦公數(shù)據(jù)。若移動終端上的辦公數(shù)據(jù)不加密進行存儲，且未與移動終端私人運行環(huán)境隔離，一旦被木馬、病毒等惡意程序感染，則存在辦公系統(tǒng)登錄賬號、密碼被竊取，敏感辦公信息被泄露的風險。

7.辦公數(shù)據(jù)在移動終端上缺乏隔離措施。普通的移動終端未對辦公應(yīng)用運行環(huán)境與個人應(yīng)用運行環(huán)境進行區(qū)別對待，但在移動辦公場景下，對個人用戶而言，易出現(xiàn)同一終端公私混用的情況。若缺乏有效的隔離措施，容易產(chǎn)生互聯(lián)網(wǎng)惡意代碼竊取辦公敏感數(shù)據(jù)的風險。

三、移動辦公終端的安全需求

為避免以上安全風險，移動辦公終端需具備如下安全需求。

1.身份認證需具有可靠的、唯一的接入身份標識，杜絕身份偽造；確保只有通過身份認證的移動終端能夠連接移動辦公后臺系統(tǒng)，并訪問后臺數(shù)據(jù)；確保只有合法用戶能夠訪問移動終端的辦公數(shù)據(jù)；在高安全性需求場景下，移動終端需采用硬件數(shù)字證書作為身份標識。

2.通信安全移動終端通過身份認證接入移動辦公后臺系統(tǒng)后，無線鏈路需采取可靠的加密措施，以保護辦公數(shù)據(jù)在傳輸過程中的可用性、完整性、保密性，防止被竊聽、被泄露；移動終端上多個辦公應(yīng)用同時連接各自業(yè)務(wù)后臺時，盡量為每個應(yīng)用建立隔離的安全傳輸通道，確保多應(yīng)用之間傳輸通道的安全隔離；在高安全性需求場景下，移動終端需使用硬件密碼元件對通信數(shù)據(jù)進行加解密，以獲得對傳輸內(nèi)容的高安全性保護。

3.安全管理移動終端需支持后臺統(tǒng)一安全策略的下發(fā)及執(zhí)行，便于用戶單位統(tǒng)一管理；移動終端需支持遠程設(shè)備管理，例如，支持設(shè)備硬件、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用及用戶信息上報，支持遠程對移動終端設(shè)備進行注銷、禁用和鎖定管理，以及限制或禁用終端硬件模塊如錄音、藍牙等功能；移動終端需支持安全管控，例如，安全準入檢查、對終端軟硬件環(huán)境、運行狀態(tài)及安全事件的持續(xù)監(jiān)控、安全審計及預(yù)警，并能夠針對終端違規(guī)行為，采取限制訪問、警告、鎖定、禁用、數(shù)據(jù)擦除等有效控制措施；在失竊、失控等意外情況下，移動終端辦公數(shù)據(jù)可被管理后臺遠程銷毀、遠程禁用或重新啟用；移動終端需支持移動辦公應(yīng)用的遠程推送、安裝、發(fā)布、更新，支持移動應(yīng)用的黑白名單策略，并設(shè)置應(yīng)用用戶的訪問權(quán)限；移動終端需支持移動辦公文檔的分類管理，設(shè)置用戶訪問權(quán)限，支持來自后臺的文檔推送。

4.數(shù)據(jù)安全若辦公數(shù)據(jù)在移動終端落地，需采用加密技術(shù)進行保護，確保辦公數(shù)據(jù)在移動終端上的完整性、保密性，同時保證辦公數(shù)據(jù)與個人數(shù)據(jù)隔離存儲；確保存儲移動辦公數(shù)據(jù)的文件、目錄和數(shù)據(jù)庫記錄等所在的存儲空間被釋放或被重新分配前得到清除，并不可恢復(fù)。

5.應(yīng)用運行環(huán)境安全

移動辦公應(yīng)用運行時，應(yīng)采用隔離技術(shù)，保證移動終端辦公應(yīng)用與個人應(yīng)用運行環(huán)境有效隔離；終端上多個移動辦公應(yīng)用之間的隔離技術(shù)需具有防截屏、防鍵盤截獲等數(shù)據(jù)防泄露功能；若移動辦公系統(tǒng)數(shù)據(jù)安全級別較高，需保證相關(guān)數(shù)據(jù)僅在服務(wù)端上運行和存儲，移動終端僅保存必要的緩存數(shù)據(jù)，并隨著應(yīng)用結(jié)束及時清除。

6.審計安全移動終端應(yīng)支持對本地辦公數(shù)據(jù)訪問、后臺業(yè)務(wù)系統(tǒng)接入事件的記錄及上報；移動終端應(yīng)支持對設(shè)備硬件、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用及用戶信息的統(tǒng)計及上報；移動終端應(yīng)支持安全策略違規(guī)事件的記錄及上報；移動終端應(yīng)支持用戶下載、查閱文檔的記錄及上報。

四、移動辦公終端的安全技術(shù)規(guī)范現(xiàn)狀

針對以上安全需求，國家信息安全主管部門近年來組織相關(guān)研究機構(gòu)、設(shè)備廠商、安全廠商等進行了深入研究，發(fā)布了一系列移動終端信息安全技術(shù)規(guī)范及移動辦公安全技術(shù)規(guī)范。

在移動設(shè)備信息安全技術(shù)要求標準規(guī)定方面，工信部于2007年發(fā)布了YD/T1699-2007《移動終端信息安全技術(shù)要求》，該標準規(guī)定了移動終端設(shè)備的總體安全要求、終端硬件安全要求、終端軟件安全要求、操作系統(tǒng)安全要求及對安全應(yīng)用支持；隨后又相繼發(fā)布了YD/T1886-2009《移動終端芯片安全技術(shù)要求和測試方法》、YD/T2407-2013《移動智能終端安全能力技術(shù)要求》、YD/T2408-2013《移動智能終端安全能力測試方法》。這一系列標準共同組成了對通用移動終端硬件、操作系統(tǒng)、外圍接口、應(yīng)用特性、用戶數(shù)據(jù)保護等信息安全的基本要求。在移動辦公信息安全等級保護標準規(guī)定方面，我國有GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》可供參考，但目前專門針對移動辦公的等級保護規(guī)范及技術(shù)要求仍在制定中。

在政務(wù)移動辦公信息安全標準方面，國家電子政務(wù)外網(wǎng)管理中心發(fā)布了《國家電子政務(wù)外網(wǎng)安全等級保護基本要求（試行）》，并于2014年發(fā)布了GW0101-2014《國家電子政務(wù)外網(wǎng)信息安全標準體系框架》及GW0202-2014《國家電子政務(wù)外網(wǎng)安全接入平臺技術(shù)規(guī)范》等一系列移動辦公相關(guān)規(guī)范；2016年6月，國家電子政務(wù)外網(wǎng)管理中心已在審核《電子政務(wù)外網(wǎng)移動辦公系統(tǒng)安全技術(shù)規(guī)范（報批稿）》，即將正式發(fā)布。從現(xiàn)有的技術(shù)標準規(guī)范現(xiàn)狀來看，目前政務(wù)移動辦公方面的規(guī)范較為完善，這些規(guī)范對移動終端在移動辦公場景下需采用的安全技術(shù)做出了框架規(guī)定。

五、移動辦公終端的安全實現(xiàn)

參照以上移動辦公終端的安全需求和安全技術(shù)規(guī)范現(xiàn)狀，移動終端可采用以下安全技術(shù)/措施予以加固。

1.采用TF密碼卡及數(shù)字證書技術(shù)，以滿足身份認證需求；

2.采用IPSECVPN/SSLVPN技術(shù)，以滿足通信安全需求；

3.采用EMM技術(shù)，以滿足安全管理需求；

4.采用容器/沙箱技術(shù)，以滿足數(shù)據(jù)安全及應(yīng)用運行環(huán)境安全需求；

5.采用日志技術(shù)，以滿足審計安全需求。

（1）TF密碼卡及數(shù)字證書技術(shù)

移動終端可通過整合TF密碼卡等形態(tài)的硬安全元件，實現(xiàn)本地辦公數(shù)據(jù)存儲、數(shù)據(jù)通信加解密運算。在移動終端硬安全元件中，寫入第三方CA數(shù)字證書，作為唯一的身份標識及后臺身份認證依據(jù)，保證非授權(quán)用戶無法接入移動辦公后臺系統(tǒng)。數(shù)字證書存儲個人身份信息及簽名私鑰，為移動終端提供數(shù)字簽名、簽名驗證和數(shù)據(jù)加解密等密碼服務(wù)，保證信息的加密性、完整性和不可抵賴性。必要時，可在TF密碼卡硬件證書方式之外，引入多重身份認證因子，輔助進一步提升身份認證的安全性。

（2）IPSecVPN/SSLVPN技術(shù)

移動終端遠程接入移動辦公后臺包括3種方式：基于互聯(lián)網(wǎng)接入、基于專線接入、基于VPN接入。基于互聯(lián)網(wǎng)接入靈活便捷，但安全性較差，訪問速度慢；基于專線接入速度快，可靠性佳，用戶體驗好，但價格昂貴、靈活性差，適用于特定行業(yè)；基于VPN接入既靈活便捷，又能保證安全性和傳輸效率，集合了互聯(lián)網(wǎng)和專線接入的優(yōu)勢，能為用戶提供安全、便捷、高效、低成本的接入方案。所以，當移動終端通過移動蜂窩網(wǎng)絡(luò)GPRS／3G／4G或Wi-Fi等公共無線網(wǎng)絡(luò)接入政務(wù)網(wǎng)絡(luò)時，應(yīng)構(gòu)建VPN隧道安全傳輸。

目前，成熟的VPN應(yīng)用技術(shù)包括IPSecVPN和SSLVPN。IPSec安全協(xié)議工作在網(wǎng)絡(luò)層，安全性建立在隧道技術(shù)基礎(chǔ)上，隧道間傳輸密文，兩端是明文。IPSecVPN需在用戶移動終端上安裝特定VPN客戶端，以建立安全隧道，沒有裝載IPSec客戶端系統(tǒng)的遠程用戶不能連VPN。但IPSec安全協(xié)議方案在運行和長期維護方面，需要大量的IT技術(shù)和費用支持，在實際應(yīng)用中，IPSec協(xié)議的移動終端通常只運行Windows系統(tǒng)和Android系統(tǒng)，很少在其他操作系統(tǒng)平臺上運行。SSLVPN的安全性建立在SSL協(xié)議基礎(chǔ)上，利用PKI證書體系完成加密傳輸。SSL協(xié)議基于Web瀏覽器，對客戶端軟硬件沒有需求，易于配置和擴展。SSLVPN不受接入位置限制，可使更多遠程用戶在不同地點接入，對移動終端設(shè)備要求較低，因而降低了配置和運行支撐成本。SSLVPN要求，只有經(jīng)認證的用戶才能對資源進行訪問，將不同訪問權(quán)限賦予不同用戶，實現(xiàn)伸縮性訪問，這種精確接入控制功能對于遠程接入IPSecVPN是不可能實現(xiàn)的。

（3）企業(yè)移動管理技術(shù)

企業(yè)移動管理（EMM）技術(shù)，是專為移動辦公過程中統(tǒng)一管理大批量移動終端而研發(fā)的技術(shù)，它整合了移動設(shè)備管理（MDM）、移動應(yīng)用管理（MAM）、移動內(nèi)容管理（MCM）技術(shù)，在移動終端上的存在方式一般是EMM客戶端軟件。

MDM技術(shù)主要實現(xiàn)移動終端的信息查詢及外圍設(shè)備的統(tǒng)一管理，主要功能描述如下：

支持移動終端首次使用前注冊到MDM平臺，支持建立設(shè)備序列號、證書序列號、人員和手機號碼等綁定關(guān)系；

支持移動終端設(shè)備信息統(tǒng)計，包括硬件、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、位置及用戶信息等；

支持遠程對移動終端設(shè)備進行注銷、禁用和鎖定管理；

支持基于用戶進行管理，支持一個用戶綁定多個移動終端設(shè)備，支持通過用戶分組和關(guān)聯(lián)角色進行管理控制；

支持限制或禁用移動終端硬件模塊功能，如攝像頭、錄音、藍牙、麥克風等；

支持對移動終端的安全準入檢查，不合規(guī)設(shè)備不準注冊；

支持與接入認證網(wǎng)關(guān)聯(lián)動，不合規(guī)的移動終端不準接入；

支持對移動終端的軟硬件環(huán)境、運行狀態(tài)及安全事件的持續(xù)監(jiān)控、安全審計與預(yù)警；

支持針對終端違規(guī)行為采取有效控制措施；

若檢測到移動終端有ROOT行為，立即鎖定終端。

MAM技術(shù)主要實現(xiàn)移動終端上應(yīng)用程序的統(tǒng)一管理，主要功能描述如下：

支持遠程推送、安裝移動企業(yè)應(yīng)用到指定移動終端；

支持對移動企業(yè)應(yīng)用的安裝、使用情況進行統(tǒng)計；

支持對移動企業(yè)應(yīng)用的版本管理，并可回退至指定歷史版本；

通過建立企業(yè)移動應(yīng)用商店，實現(xiàn)對移動企業(yè)應(yīng)用的統(tǒng)一發(fā)布、更新和管理；

支持移動應(yīng)用黑白名單策略，并設(shè)置移動企業(yè)應(yīng)用的用戶訪問權(quán)限；

支持遠程監(jiān)控和管理移動終端上安裝的企業(yè)應(yīng)用，包括應(yīng)用安裝、更新和刪除等；

刪除移動企業(yè)應(yīng)用的同時，擦除應(yīng)用數(shù)據(jù)；

移動企業(yè)應(yīng)用不應(yīng)在未認證的移動終端中安裝和運行；

支持違規(guī)自動處理，自動向使用者和管理者發(fā)出警告；

支持將沙箱等安全容器推送至移動終端默認安裝，增加應(yīng)用訪問的安全性；

支持對移動企業(yè)應(yīng)用進行安全掃描，阻止含惡意代碼和嚴重漏洞的應(yīng)用發(fā)布至應(yīng)用商店；

支持對移動企業(yè)應(yīng)用進行安全防護和加固，防止受到惡意程序的破壞、破解和篡改。

MCM技術(shù)主要實現(xiàn)移動終端上相關(guān)辦公文檔的統(tǒng)一管理，主要功能描述如下：

支持JPG、GIF、BMP、PDF、DOC、DOCX、XSL、CSV、TXT、HTML等多種格式文件的導(dǎo)入、上傳、發(fā)布和下載；

支持企業(yè)辦公文檔的分類管理，并設(shè)置用戶訪問權(quán)限，如讀寫、拷貝、下載等；

支持向移動終端自動分發(fā)或推送企業(yè)辦公文檔；

支持對用戶下載、查閱文檔的統(tǒng)計記錄。

（4）容器/沙箱技術(shù)

容器/沙箱技術(shù)是一種按照安全策略，限制程序行為的執(zhí)行環(huán)境，早期主要用于測試可疑軟件等，現(xiàn)在則主要運用在信息安全防御中，是比較新的技術(shù)。更高級的沙箱技術(shù)需與本地數(shù)據(jù)加密技術(shù)相結(jié)合。沙箱在讀寫數(shù)據(jù)時，采用軟密碼算法或直接調(diào)用硬件密碼模塊（如TF密碼卡），對辦公數(shù)據(jù)進行加密存儲、解密訪問，并在刪除時徹底清除數(shù)據(jù)存儲空間，從而滿足上述數(shù)據(jù)的安全需求。移動終端上的沙箱技術(shù)通常以安全SDK的形式，向第三方移動辦公應(yīng)用開放調(diào)用接口。

（5）日志記錄技術(shù)

移動終端上的EMM軟件及VPN軟件中，可實現(xiàn)較強的日志記錄能力，從而滿足上述審計安全需求。

移動終端上的EMM軟件應(yīng)支持對移動終端運行狀態(tài)的統(tǒng)計上報；支持對用戶移動終端上的辦公應(yīng)用訪問操作進行審計及上報；支持對移動終端的設(shè)備狀態(tài)變化及用戶違規(guī)行為等安全事件進行審計及上報；支持用戶對敏感文檔操作事件的審計及上報。

移動終端上的VPN軟件應(yīng)支持對移動終端接入移動辦公后臺系統(tǒng)事件的審計及上報。審計日志應(yīng)記錄事件的發(fā)生時間、對象、描述和結(jié)果等，便于后臺管理員分析追溯。

六、結(jié)語

本文從移動辦公環(huán)境下移動終端面臨的風險入手，詳細分析了移動終端的安全需求，結(jié)合國家現(xiàn)有技術(shù)標準規(guī)范，逐步明確移動辦公環(huán)境下安全的移動終端應(yīng)采用的各種技術(shù)。希望本文能為我國移動終端安全性選型及系統(tǒng)建設(shè)有所幫助。

 

（原載于《保密科學(xué)技術(shù)》雜志2017年9月刊）