移動設(shè)備安全接入技術(shù)與管理策略

陳智勇

　　背景介紹

　　隨著現(xiàn)代信息技術(shù)的發(fā)展，越來越多的企業(yè)將日常辦公平臺逐漸遷移到網(wǎng)絡(luò)平臺、統(tǒng)一應(yīng)用平臺之上。辦公網(wǎng)絡(luò)化、應(yīng)用集中化的變革帶來了資源全局統(tǒng)一調(diào)配、業(yè)務(wù)流程化、辦公規(guī)范化的巨大優(yōu)勢。

　　隨著智能手機、平板以及無線網(wǎng)絡(luò)的普及，移動設(shè)備和移動互聯(lián)網(wǎng)帶來的移動化不再是一個趨勢的概念，它正以不可阻擋之勢改變?nèi)藗兊墓ぷ鞣绞?，成為日常辦公的重要工具。利用移動設(shè)備，我們可以利用更多的碎片時間處理郵件、流程，查看數(shù)據(jù)報表，特別是作為政府監(jiān)管單位，可以借助移動化手段進一步加大監(jiān)管力度，提高應(yīng)急處理能力。

　　面臨的問題

　　(1)企業(yè)內(nèi)部人員在出差或者開會期間也需要接入辦公網(wǎng)絡(luò)，如何保證安全接入方式;

　　(2)大量企業(yè)工作人員需要借助移動終端實現(xiàn)快速現(xiàn)場取證以及回傳，如何保證數(shù)據(jù)傳輸?shù)陌踩?

　　(3)原有適用于電腦的公文流轉(zhuǎn)系統(tǒng)如何有效遷移到移動終端上;

　　(4)大量第三方企業(yè)也可以通過移動終端實現(xiàn)快速安全數(shù)據(jù)上報;

　　(5)大量的移動終端如何實現(xiàn)有效設(shè)備管理、內(nèi)容管理。

　　一、 方案介紹

　　隨著移動設(shè)備越來越多的介入到企業(yè)的移動辦公乃至企業(yè)核心應(yīng)用領(lǐng)域，數(shù)量龐大的移動設(shè)備在企業(yè)中如何保證其安全接入，移動設(shè)備上的企業(yè)數(shù)據(jù)安全如何保障，日益成為IT管理者需要急需解決的問題。移動設(shè)備安全接入方案正是為了解決這一系列的問題而推出的解決方案。

　　移動設(shè)備安全接入解決方案，通過軟硬件的整合，從移動終端到網(wǎng)絡(luò)接入提供全方面安全的移動應(yīng)用體系，提供網(wǎng)絡(luò)安全，設(shè)備完全，應(yīng)用安全，數(shù)據(jù)安全的全套解決方案。

　　二、 系統(tǒng)特點

　　技術(shù)優(yōu)勢

　　l 算法安全：平臺采用國密的SM系列硬件和軟件加密算法作為核心引擎(SM1/SM4/SM2)

　　l 硬件網(wǎng)關(guān)：均已通過公安部和國家密碼管理局檢測和權(quán)威認證

　　l 政策安全：硬件/算法均采用目前國內(nèi)移動安全領(lǐng)域最高的安全技術(shù)標準，符合國家相關(guān)安全規(guī)定

　　l 安全TF卡+證書：采用公安部專用的安全TF卡作為移動終端核心認證設(shè)備，結(jié)合數(shù)字證書進行高安全的移動接入身份認證

　　l 移動辦公安全：不僅能實現(xiàn)移動安全接入安全(身份安全+通道安全)，還能實現(xiàn)移動辦公應(yīng)用的數(shù)據(jù)落地加密和移動終端管理

　　l VPN支持：支持主流VPN協(xié)議，支持SSL

　　l 標準SDK接口：可提供標準移動安全接入平臺 SDK接口，可與應(yīng)用緊密集合，基于應(yīng)用系統(tǒng)平臺框架可構(gòu)建安全、有效的移動辦公應(yīng)用解決方案

　　l 兼容性強：平臺支持Android、IOS、Windows主流系統(tǒng)

　　三、 核心功能

　　1. 移動安全接入

　　移動安全接入具備以下特點：

　　n 身份認證安全： 用戶名和密碼、證書/ 動態(tài)口令認證、 安全TF卡復(fù)合認證;

　　n 數(shù)據(jù)傳輸加密： 采用國家商用密碼SM1/SM4/SM2算法為核心引擎、支持 BF、SSL等國際標準算法/協(xié)議進行網(wǎng)絡(luò)信道加密;

　　n 應(yīng)用訪問安全：可以基于用戶角色進行安全訪問控制的設(shè)定，保證用戶權(quán)限的統(tǒng)一集中運維管理;

　　n 設(shè)備可靠： 移動安全接入網(wǎng)關(guān)是經(jīng)國家商用密碼管理局檢測認證的硬件設(shè)備，支持網(wǎng)絡(luò)數(shù)據(jù)包的高速加解密，實現(xiàn)系統(tǒng)配置管理等功能，支持負載均衡和多機熱備， 具備優(yōu)良的網(wǎng)絡(luò)適應(yīng)能力;

　　2. 移動應(yīng)用安全

　　n 移動安全應(yīng)用：安全瀏覽器、安全郵件、安全閱讀器等安全組件;針對行業(yè)級專屬應(yīng)用，可定制化開發(fā)

　　n 文件存儲控制：文件存儲路徑邏輯加固處置(存儲安全區(qū))

　　n 移動應(yīng)用數(shù)據(jù)存儲加密：應(yīng)用過程與結(jié)果數(shù)據(jù)加密保護

　　n 廣泛應(yīng)用支撐：基于安全支撐框架SDK的開放式系統(tǒng)架構(gòu)，可靈活調(diào)用

　　3. 移動終端管理

　　n 集中化外設(shè)管理，與設(shè)備廠商聯(lián)動可實現(xiàn)對藍牙、紅外、WIFI、存儲卡等實現(xiàn)實停用控制;

　　n 自動檢測終端環(huán)境，判斷當前終端狀態(tài)是否合規(guī)/越獄，實時進行隔離和預(yù)警，為遠程管理提供依據(jù);

　　n 支持終端數(shù)據(jù)的遠程銷毀管理;

　　n 提供日志審計，方便事后查看;

　　移動設(shè)備安全策略

　　3.1物理安全策略

　　在機場、圖書館等公共場所中，注意看管好自己的物品，不要讓移動設(shè)備離開自己的視線。不要將移動設(shè)備存放在沒有人照看的汽車中，以防被盜。其他一些防盜措施包括：

　　(1)記錄設(shè)備的有關(guān)的細節(jié)信息：如電話號碼、品牌型號、顏色外觀、設(shè)備ID號、GSM手機的IMEI號碼、PIN號碼等。

　　(2)用記號筆在設(shè)備和電池上做上標記。如可以寫下住址的單元號碼、生日日期等等。

　　(3)啟用PIN或者安全鎖密碼，鎖住移動設(shè)備

　　(4)將移動設(shè)備的IMEI號碼在運營商那里進行注冊，一旦設(shè)備被盜，可以申請運營商阻斷被盜設(shè)備。這樣做的風險是即使找回被盜設(shè)備也無法繼續(xù)使用了。

　　另外，采取一定技術(shù)手段，一旦移動設(shè)備被盜，可以順利地定位被盜設(shè)備的位置。例如可以在移動設(shè)備上安裝追蹤定位軟件，當被盜設(shè)備接入互聯(lián)網(wǎng)，它會悄悄地與公司的監(jiān)控中心聯(lián)系，公司可以在權(quán)威部門的配合下追蹤并收回被盜設(shè)備。

　　3.2網(wǎng)絡(luò)安全策略

　　在網(wǎng)絡(luò)接入層對移動設(shè)備進行準入認證。安裝了指定客戶端安全檢查軟件的移動設(shè)備才準予接入網(wǎng)絡(luò)。這個策略與固定終端網(wǎng)絡(luò)環(huán)境下的要求是一致的。所不同的是，對于移動設(shè)備多數(shù)情況下使用無線鏈路，為了避免移動設(shè)備接入到欺詐網(wǎng)絡(luò)，對無線設(shè)備的準入控制應(yīng)該是雙向的，即符合準入條件的可以接入企業(yè)內(nèi)網(wǎng)，同時也不能隨便接入未經(jīng)認證的網(wǎng)絡(luò)。這種阻止移動終端接入非認證網(wǎng)絡(luò)的工作機制同樣是依靠客戶端軟件與認證服務(wù)器之間的通訊進行準入判斷。

　　3.3操作系統(tǒng)及應(yīng)用程序安全策略

　　操作系統(tǒng)的安全策略主要包括三個方面，一是正確進行配置，避免因為配置缺陷而遭受攻擊。二是避免隨意安裝未經(jīng)安全認證的應(yīng)用程序。三是及時進行系統(tǒng)更新和應(yīng)用程序的版本升級。為了實現(xiàn)上述目標，應(yīng)該：

　　(1)在企業(yè)內(nèi)部建立移動設(shè)備的應(yīng)用程序庫，程序庫中的應(yīng)用程序都是經(jīng)驗過安全驗證，證實沒有安全問題的。移動設(shè)備只能從應(yīng)用程序庫中下載安裝程序。

　　(2)為移動設(shè)備提供轉(zhuǎn)譯服務(wù)，避免在移動設(shè)備的本地打開附件。

　　(3)此外還應(yīng)對移動設(shè)備的配置定期進行滲透測試和配置核查，以及時發(fā)現(xiàn)移動設(shè)備上的各種脆弱性。

　　3.4數(shù)據(jù)安全策略

　　數(shù)據(jù)安全策略的目的是防止靜止和傳輸中的數(shù)據(jù)泄露。這些策略包括數(shù)據(jù)存儲和清除以及通信數(shù)據(jù)的加密兩個方面：

　　(1)企業(yè)應(yīng)該明確規(guī)定機密數(shù)據(jù)范圍以及可存放于移動設(shè)備的數(shù)據(jù)的范圍。

　　(2)要求機密數(shù)據(jù)必須存儲于加密空間。

　　(3)支持遠程刪除丟失或遭竊設(shè)備中的數(shù)據(jù)。

　　(4)對重要業(yè)務(wù)系統(tǒng)的訪問需要通過加密通道。

　　(5)從公網(wǎng)訪問企業(yè)內(nèi)網(wǎng)，必須通過VPN鏈路。

　　3.5安全管理策略與實踐

　　在固定終端設(shè)備中的一些安全管理要求，同樣適用于對移動設(shè)備的管理。例如對密碼口令設(shè)置的要求(口令的強度要求以及更換周期等)。

　　應(yīng)該以書面形式將前述的各個層面的安全策略以正式的文檔公布出來，并要求使用移動設(shè)備的員工簽訂安全責任書，以正式明確相關(guān)義務(wù)。

　　落實執(zhí)行前述安全策略，需要有一套IT支撐系統(tǒng)，從技術(shù)上保證對移動設(shè)備的統(tǒng)一監(jiān)控和管理。通常稱這個系統(tǒng)稱為移動設(shè)備管理(MDM，Mobile Device Management)系統(tǒng)。