教育電子專家陳智勇談移動設備安全技術

移動設備安全接入技術與管理策略

陳智勇

　　背景介紹

　　隨著現代信息技術的發展，越來越多的企業將日常辦公平臺逐漸遷移到網絡平臺、統一應用平臺之上。辦公網絡化、應用集中化的變革帶來了資源全局統一調配、業務流程化、辦公規范化的巨大優勢。

　　隨著智能手機、平板以及無線網絡的普及，移動設備和移動互聯網帶來的移動化不再是一個趨勢的概念，它正以不可阻擋之勢改變人們的工作方式，成為日常辦公的重要工具。利用移動設備，我們可以利用更多的碎片時間處理郵件、流程，查看數據報表，特別是作為政府監管單位，可以借助移動化手段進一步加大監管力度，提高應急處理能力。

　　面臨的問題

　　(1)企業內部人員在出差或者開會期間也需要接入辦公網絡，如何保證安全接入方式;

　　(2)大量企業工作人員需要借助移動終端實現快速現場取證以及回傳，如何保證數據傳輸的安全性;

　　(3)原有適用于電腦的公文流轉系統如何有效遷移到移動終端上;

　　(4)大量第三方企業也可以通過移動終端實現快速安全數據上報;

　　(5)大量的移動終端如何實現有效設備管理、內容管理。

　　一、 方案介紹

　　隨著移動設備越來越多的介入到企業的移動辦公乃至企業核心應用領域，數量龐大的移動設備在企業中如何保證其安全接入，移動設備上的企業數據安全如何保障，日益成為IT管理者需要急需解決的問題。移動設備安全接入方案正是為了解決這一系列的問題而推出的解決方案。

　　移動設備安全接入解決方案，通過軟硬件的整合，從移動終端到網絡接入提供全方面安全的移動應用體系，提供網絡安全，設備完全，應用安全，數據安全的全套解決方案。

　　二、 系統特點

　　技術優勢

　　l 算法安全：平臺采用國密的SM系列硬件和軟件加密算法作為核心引擎(SM1/SM4/SM2)

　　l 硬件網關：均已通過公安部和國家密碼管理局檢測和權威認證

　　l 政策安全：硬件/算法均采用目前國內移動安全領域最高的安全技術標準，符合國家相關安全規定

　　l 安全TF卡+證書：采用公安部專用的安全TF卡作為移動終端核心認證設備，結合數字證書進行高安全的移動接入身份認證

　　l 移動辦公安全：不僅能實現移動安全接入安全(身份安全+通道安全)，還能實現移動辦公應用的數據落地加密和移動終端管理

　　l VPN支持：支持主流VPN協議，支持SSL

　　l 標準SDK接口：可提供標準移動安全接入平臺 SDK接口，可與應用緊密集合，基于應用系統平臺框架可構建安全、有效的移動辦公應用解決方案

　　l 兼容性強：平臺支持Android、IOS、Windows主流系統

　　三、 核心功能

　　1. 移動安全接入

　　移動安全接入具備以下特點：

　　n 身份認證安全： 用戶名和密碼、證書/ 動態口令認證、 安全TF卡復合認證;

　　n 數據傳輸加密： 采用國家商用密碼SM1/SM4/SM2算法為核心引擎、支持 BF、SSL等國際標準算法/協議進行網絡信道加密;

　　n 應用訪問安全：可以基于用戶角色進行安全訪問控制的設定，保證用戶權限的統一集中運維管理;

　　n 設備可靠： 移動安全接入網關是經國家商用密碼管理局檢測認證的硬件設備，支持網絡數據包的高速加解密，實現系統配置管理等功能，支持負載均衡和多機熱備， 具備優良的網絡適應能力;

　　2. 移動應用安全

　　n 移動安全應用：安全瀏覽器、安全郵件、安全閱讀器等安全組件;針對行業級專屬應用，可定制化開發

　　n 文件存儲控制：文件存儲路徑邏輯加固處置(存儲安全區)

　　n 移動應用數據存儲加密：應用過程與結果數據加密保護

　　n 廣泛應用支撐：基于安全支撐框架SDK的開放式系統架構，可靈活調用

　　3. 移動終端管理

　　n 集中化外設管理，與設備廠商聯動可實現對藍牙、紅外、WIFI、存儲卡等實現實停用控制;

　　n 自動檢測終端環境，判斷當前終端狀態是否合規/越獄，實時進行隔離和預警，為遠程管理提供依據;

　　n 支持終端數據的遠程銷毀管理;

　　n 提供日志審計，方便事后查看;

　　移動設備安全策略

　　3.1物理安全策略

　　在機場、圖書館等公共場所中，注意看管好自己的物品，不要讓移動設備離開自己的視線。不要將移動設備存放在沒有人照看的汽車中，以防被盜。其他一些防盜措施包括：

　　(1)記錄設備的有關的細節信息：如電話號碼、品牌型號、顏色外觀、設備ID號、GSM手機的IMEI號碼、PIN號碼等。

　　(2)用記號筆在設備和電池上做上標記。如可以寫下住址的單元號碼、生日日期等等。

　　(3)啟用PIN或者安全鎖密碼，鎖住移動設備

　　(4)將移動設備的IMEI號碼在運營商那里進行注冊，一旦設備被盜，可以申請運營商阻斷被盜設備。這樣做的風險是即使找回被盜設備也無法繼續使用了。

　　另外，采取一定技術手段，一旦移動設備被盜，可以順利地定位被盜設備的位置。例如可以在移動設備上安裝追蹤定位軟件，當被盜設備接入互聯網，它會悄悄地與公司的監控中心聯系，公司可以在權威部門的配合下追蹤并收回被盜設備。

　　3.2網絡安全策略

　　在網絡接入層對移動設備進行準入認證。安裝了指定客戶端安全檢查軟件的移動設備才準予接入網絡。這個策略與固定終端網絡環境下的要求是一致的。所不同的是，對于移動設備多數情況下使用無線鏈路，為了避免移動設備接入到欺詐網絡，對無線設備的準入控制應該是雙向的，即符合準入條件的可以接入企業內網，同時也不能隨便接入未經認證的網絡。這種阻止移動終端接入非認證網絡的工作機制同樣是依靠客戶端軟件與認證服務器之間的通訊進行準入判斷。

　　3.3操作系統及應用程序安全策略

　　操作系統的安全策略主要包括三個方面，一是正確進行配置，避免因為配置缺陷而遭受攻擊。二是避免隨意安裝未經安全認證的應用程序。三是及時進行系統更新和應用程序的版本升級。為了實現上述目標，應該：

　　(1)在企業內部建立移動設備的應用程序庫，程序庫中的應用程序都是經驗過安全驗證，證實沒有安全問題的。移動設備只能從應用程序庫中下載安裝程序。

　　(2)為移動設備提供轉譯服務，避免在移動設備的本地打開附件。

　　(3)此外還應對移動設備的配置定期進行滲透測試和配置核查，以及時發現移動設備上的各種脆弱性。

　　3.4數據安全策略

　　數據安全策略的目的是防止靜止和傳輸中的數據泄露。這些策略包括數據存儲和清除以及通信數據的加密兩個方面：

　　(1)企業應該明確規定機密數據范圍以及可存放于移動設備的數據的范圍。

　　(2)要求機密數據必須存儲于加密空間。

　　(3)支持遠程刪除丟失或遭竊設備中的數據。

　　(4)對重要業務系統的訪問需要通過加密通道。

　　(5)從公網訪問企業內網，必須通過VPN鏈路。

　　3.5安全管理策略與實踐

　　在固定終端設備中的一些安全管理要求，同樣適用于對移動設備的管理。例如對密碼口令設置的要求(口令的強度要求以及更換周期等)。

　　應該以書面形式將前述的各個層面的安全策略以正式的文檔公布出來，并要求使用移動設備的員工簽訂安全責任書，以正式明確相關義務。

　　落實執行前述安全策略，需要有一套IT支撐系統，從技術上保證對移動設備的統一監控和管理。通常稱這個系統稱為移動設備管理(MDM，Mobile Device Management)系統。