淺論移動辦公環境下的移動終端安全實現

一、引言

隨著移動智能終端性能的迅速提升以及4G網絡的廣泛普及，移動辦公已成為各行各業共同關注的熱點。數據顯示，我國移動辦公人數呈逐年增加態勢，2016年移動辦公人數高達4.45億，預計到2018年，該人數將超過6億。可以說，移動辦公是未來發展的必然趨勢，而信息安全則是移動辦公過程中需要重點考慮的問題。

二、移動辦公終端面臨的安全風險

移動辦公融合了移動通信、智能終端、信息技術，與傳統電子辦公相比有很大區別，例如，使用公共無線信道傳輸信息，對移動終端有更多的控制權；移動終端在有訪問需求時，會接入用戶業務內網等。可以說，移動辦公的安全問題不僅包含了傳統電子辦公系統的安全問題，還包含了移動化引入的許多新的安全問題與隱患。

這些新的安全風險包括如下7個方面。

1.移動終端違規接入用戶業務內網。由于移動辦公涉及公共移動運營商網絡，若缺乏有效的移動終端身份認證機制及接入權限控制措施，則存在來自非法終端或惡意用戶對辦公信息系統進行非授權或異常訪問的風險。

2.移動終端無線信道潛在的竊聽風險。在移動通信網絡中，主要通過無線信道傳送網絡通信內容。通過適當的無線設備，任何人都可利用相應技術手段，竊聽無線信道來獲得所需信息。若在移動辦公過程中，通過無線信道傳輸的信息未加密，則存在嚴重的泄露風險。

3.移動終端的離散化特性加大了數據的監管難度。由于移動終端位于用戶身邊，地理位置相對分散，因此加大了移動終端及其數據訪問管理、跟蹤審計等難度。若缺乏必要管控手段，則可能出現監管死角，造成辦公數據泄露。

4.移動終端易丟失、更換頻繁。由于移動終端具有隨身攜帶方便、易用等特點，辦公人員易將敏感的商業信息和個人資料存入其中，與攜帶者一起流動，增加了丟失和被竊概率。另外，移動終端的更換周期相對較短，由于缺乏專業的回收或銷毀機制，淘汰產品通過二手市場流傳，容易造成辦公信息泄露。

5.移動終端應用程序管理困難。移動終端使用者可能從不受監管的第三方下載并安裝移動應用程序，而這些應用程序可能預先被感染或被篡改，同時后續的升級、新增、下架應用程序等操作，也缺乏統一管理手段。

6.移動終端上存儲未加密的辦公數據。若移動終端上的辦公數據不加密進行存儲，且未與移動終端私人運行環境隔離，一旦被木馬、病毒等惡意程序感染，則存在辦公系統登錄賬號、密碼被竊取，敏感辦公信息被泄露的風險。

7.辦公數據在移動終端上缺乏隔離措施。普通的移動終端未對辦公應用運行環境與個人應用運行環境進行區別對待，但在移動辦公場景下，對個人用戶而言，易出現同一終端公私混用的情況。若缺乏有效的隔離措施，容易產生互聯網惡意代碼竊取辦公敏感數據的風險。

三、移動辦公終端的安全需求

為避免以上安全風險，移動辦公終端需具備如下安全需求。

1.身份認證需具有可靠的、唯一的接入身份標識，杜絕身份偽造；確保只有通過身份認證的移動終端能夠連接移動辦公后臺系統，并訪問后臺數據；確保只有合法用戶能夠訪問移動終端的辦公數據；在高安全性需求場景下，移動終端需采用硬件數字證書作為身份標識。

2.通信安全移動終端通過身份認證接入移動辦公后臺系統后，無線鏈路需采取可靠的加密措施，以保護辦公數據在傳輸過程中的可用性、完整性、保密性，防止被竊聽、被泄露；移動終端上多個辦公應用同時連接各自業務后臺時，盡量為每個應用建立隔離的安全傳輸通道，確保多應用之間傳輸通道的安全隔離；在高安全性需求場景下，移動終端需使用硬件密碼元件對通信數據進行加解密，以獲得對傳輸內容的高安全性保護。

3.安全管理移動終端需支持后臺統一安全策略的下發及執行，便于用戶單位統一管理；移動終端需支持遠程設備管理，例如，支持設備硬件、網絡、系統、應用及用戶信息上報，支持遠程對移動終端設備進行注銷、禁用和鎖定管理，以及限制或禁用終端硬件模塊如錄音、藍牙等功能；移動終端需支持安全管控，例如，安全準入檢查、對終端軟硬件環境、運行狀態及安全事件的持續監控、安全審計及預警，并能夠針對終端違規行為，采取限制訪問、警告、鎖定、禁用、數據擦除等有效控制措施；在失竊、失控等意外情況下，移動終端辦公數據可被管理后臺遠程銷毀、遠程禁用或重新啟用；移動終端需支持移動辦公應用的遠程推送、安裝、發布、更新，支持移動應用的黑白名單策略，并設置應用用戶的訪問權限；移動終端需支持移動辦公文檔的分類管理，設置用戶訪問權限，支持來自后臺的文檔推送。

4.數據安全若辦公數據在移動終端落地，需采用加密技術進行保護，確保辦公數據在移動終端上的完整性、保密性，同時保證辦公數據與個人數據隔離存儲；確保存儲移動辦公數據的文件、目錄和數據庫記錄等所在的存儲空間被釋放或被重新分配前得到清除，并不可恢復。

5.應用運行環境安全

移動辦公應用運行時，應采用隔離技術，保證移動終端辦公應用與個人應用運行環境有效隔離；終端上多個移動辦公應用之間的隔離技術需具有防截屏、防鍵盤截獲等數據防泄露功能；若移動辦公系統數據安全級別較高，需保證相關數據僅在服務端上運行和存儲，移動終端僅保存必要的緩存數據，并隨著應用結束及時清除。

6.審計安全移動終端應支持對本地辦公數據訪問、后臺業務系統接入事件的記錄及上報；移動終端應支持對設備硬件、網絡、系統、應用及用戶信息的統計及上報；移動終端應支持安全策略違規事件的記錄及上報；移動終端應支持用戶下載、查閱文檔的記錄及上報。

四、移動辦公終端的安全技術規范現狀

針對以上安全需求，國家信息安全主管部門近年來組織相關研究機構、設備廠商、安全廠商等進行了深入研究，發布了一系列移動終端信息安全技術規范及移動辦公安全技術規范。

在移動設備信息安全技術要求標準規定方面，工信部于2007年發布了YD/T1699-2007《移動終端信息安全技術要求》，該標準規定了移動終端設備的總體安全要求、終端硬件安全要求、終端軟件安全要求、操作系統安全要求及對安全應用支持；隨后又相繼發布了YD/T1886-2009《移動終端芯片安全技術要求和測試方法》、YD/T2407-2013《移動智能終端安全能力技術要求》、YD/T2408-2013《移動智能終端安全能力測試方法》。這一系列標準共同組成了對通用移動終端硬件、操作系統、外圍接口、應用特性、用戶數據保護等信息安全的基本要求。在移動辦公信息安全等級保護標準規定方面，我國有GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》可供參考，但目前專門針對移動辦公的等級保護規范及技術要求仍在制定中。

在政務移動辦公信息安全標準方面，國家電子政務外網管理中心發布了《國家電子政務外網安全等級保護基本要求（試行）》，并于2014年發布了GW0101-2014《國家電子政務外網信息安全標準體系框架》及GW0202-2014《國家電子政務外網安全接入平臺技術規范》等一系列移動辦公相關規范；2016年6月，國家電子政務外網管理中心已在審核《電子政務外網移動辦公系統安全技術規范（報批稿）》，即將正式發布。從現有的技術標準規范現狀來看，目前政務移動辦公方面的規范較為完善，這些規范對移動終端在移動辦公場景下需采用的安全技術做出了框架規定。

五、移動辦公終端的安全實現

參照以上移動辦公終端的安全需求和安全技術規范現狀，移動終端可采用以下安全技術/措施予以加固。

1.采用TF密碼卡及數字證書技術，以滿足身份認證需求；

2.采用IPSECVPN/SSLVPN技術，以滿足通信安全需求；

3.采用EMM技術，以滿足安全管理需求；

4.采用容器/沙箱技術，以滿足數據安全及應用運行環境安全需求；

5.采用日志技術，以滿足審計安全需求。

（1）TF密碼卡及數字證書技術

移動終端可通過整合TF密碼卡等形態的硬安全元件，實現本地辦公數據存儲、數據通信加解密運算。在移動終端硬安全元件中，寫入第三方CA數字證書，作為唯一的身份標識及后臺身份認證依據，保證非授權用戶無法接入移動辦公后臺系統。數字證書存儲個人身份信息及簽名私鑰，為移動終端提供數字簽名、簽名驗證和數據加解密等密碼服務，保證信息的加密性、完整性和不可抵賴性。必要時，可在TF密碼卡硬件證書方式之外，引入多重身份認證因子，輔助進一步提升身份認證的安全性。

（2）IPSecVPN/SSLVPN技術

移動終端遠程接入移動辦公后臺包括3種方式：基于互聯網接入、基于專線接入、基于VPN接入。基于互聯網接入靈活便捷，但安全性較差，訪問速度慢；基于專線接入速度快，可靠性佳，用戶體驗好，但價格昂貴、靈活性差，適用于特定行業；基于VPN接入既靈活便捷，又能保證安全性和傳輸效率，集合了互聯網和專線接入的優勢，能為用戶提供安全、便捷、高效、低成本的接入方案。所以，當移動終端通過移動蜂窩網絡GPRS／3G／4G或Wi-Fi等公共無線網絡接入政務網絡時，應構建VPN隧道安全傳輸。

目前，成熟的VPN應用技術包括IPSecVPN和SSLVPN。IPSec安全協議工作在網絡層，安全性建立在隧道技術基礎上，隧道間傳輸密文，兩端是明文。IPSecVPN需在用戶移動終端上安裝特定VPN客戶端，以建立安全隧道，沒有裝載IPSec客戶端系統的遠程用戶不能連VPN。但IPSec安全協議方案在運行和長期維護方面，需要大量的IT技術和費用支持，在實際應用中，IPSec協議的移動終端通常只運行Windows系統和Android系統，很少在其他操作系統平臺上運行。SSLVPN的安全性建立在SSL協議基礎上，利用PKI證書體系完成加密傳輸。SSL協議基于Web瀏覽器，對客戶端軟硬件沒有需求，易于配置和擴展。SSLVPN不受接入位置限制，可使更多遠程用戶在不同地點接入，對移動終端設備要求較低，因而降低了配置和運行支撐成本。SSLVPN要求，只有經認證的用戶才能對資源進行訪問，將不同訪問權限賦予不同用戶，實現伸縮性訪問，這種精確接入控制功能對于遠程接入IPSecVPN是不可能實現的。

（3）企業移動管理技術

企業移動管理（EMM）技術，是專為移動辦公過程中統一管理大批量移動終端而研發的技術，它整合了移動設備管理（MDM）、移動應用管理（MAM）、移動內容管理（MCM）技術，在移動終端上的存在方式一般是EMM客戶端軟件。

MDM技術主要實現移動終端的信息查詢及外圍設備的統一管理，主要功能描述如下：

支持移動終端首次使用前注冊到MDM平臺，支持建立設備序列號、證書序列號、人員和手機號碼等綁定關系；

支持移動終端設備信息統計，包括硬件、網絡、系統、應用、位置及用戶信息等；

支持遠程對移動終端設備進行注銷、禁用和鎖定管理；

支持基于用戶進行管理，支持一個用戶綁定多個移動終端設備，支持通過用戶分組和關聯角色進行管理控制；

支持限制或禁用移動終端硬件模塊功能，如攝像頭、錄音、藍牙、麥克風等；

支持對移動終端的安全準入檢查，不合規設備不準注冊；

支持與接入認證網關聯動，不合規的移動終端不準接入；

支持對移動終端的軟硬件環境、運行狀態及安全事件的持續監控、安全審計與預警；

支持針對終端違規行為采取有效控制措施；

若檢測到移動終端有ROOT行為，立即鎖定終端。

MAM技術主要實現移動終端上應用程序的統一管理，主要功能描述如下：

支持遠程推送、安裝移動企業應用到指定移動終端；

支持對移動企業應用的安裝、使用情況進行統計；

支持對移動企業應用的版本管理，并可回退至指定歷史版本；

通過建立企業移動應用商店，實現對移動企業應用的統一發布、更新和管理；

支持移動應用黑白名單策略，并設置移動企業應用的用戶訪問權限；

支持遠程監控和管理移動終端上安裝的企業應用，包括應用安裝、更新和刪除等；

刪除移動企業應用的同時，擦除應用數據；

移動企業應用不應在未認證的移動終端中安裝和運行；

支持違規自動處理，自動向使用者和管理者發出警告；

支持將沙箱等安全容器推送至移動終端默認安裝，增加應用訪問的安全性；

支持對移動企業應用進行安全掃描，阻止含惡意代碼和嚴重漏洞的應用發布至應用商店；

支持對移動企業應用進行安全防護和加固，防止受到惡意程序的破壞、破解和篡改。

MCM技術主要實現移動終端上相關辦公文檔的統一管理，主要功能描述如下：

支持JPG、GIF、BMP、PDF、DOC、DOCX、XSL、CSV、TXT、HTML等多種格式文件的導入、上傳、發布和下載；

支持企業辦公文檔的分類管理，并設置用戶訪問權限，如讀寫、拷貝、下載等；

支持向移動終端自動分發或推送企業辦公文檔；

支持對用戶下載、查閱文檔的統計記錄。

（4）容器/沙箱技術

容器/沙箱技術是一種按照安全策略，限制程序行為的執行環境，早期主要用于測試可疑軟件等，現在則主要運用在信息安全防御中，是比較新的技術。更高級的沙箱技術需與本地數據加密技術相結合。沙箱在讀寫數據時，采用軟密碼算法或直接調用硬件密碼模塊（如TF密碼卡），對辦公數據進行加密存儲、解密訪問，并在刪除時徹底清除數據存儲空間，從而滿足上述數據的安全需求。移動終端上的沙箱技術通常以安全SDK的形式，向第三方移動辦公應用開放調用接口。

（5）日志記錄技術

移動終端上的EMM軟件及VPN軟件中，可實現較強的日志記錄能力，從而滿足上述審計安全需求。

移動終端上的EMM軟件應支持對移動終端運行狀態的統計上報；支持對用戶移動終端上的辦公應用訪問操作進行審計及上報；支持對移動終端的設備狀態變化及用戶違規行為等安全事件進行審計及上報；支持用戶對敏感文檔操作事件的審計及上報。

移動終端上的VPN軟件應支持對移動終端接入移動辦公后臺系統事件的審計及上報。審計日志應記錄事件的發生時間、對象、描述和結果等，便于后臺管理員分析追溯。

六、結語

本文從移動辦公環境下移動終端面臨的風險入手，詳細分析了移動終端的安全需求，結合國家現有技術標準規范，逐步明確移動辦公環境下安全的移動終端應采用的各種技術。希望本文能為我國移動終端安全性選型及系統建設有所幫助。

 

（原載于《保密科學技術》雜志2017年9月刊）