黃小奇

（廣東電網(wǎng)公司汕頭供電局，廣東汕頭 515000）

移動業(yè)務(wù)安全防范技術(shù)研究與開發(fā)

黃小奇

（廣東電網(wǎng)公司汕頭供電局，廣東汕頭 515000）

隨著移動終端及其應用的快速發(fā)展，企業(yè)開始部署或考慮部署支持移動方式訪問的應用程序，以實現(xiàn)高效的辦公流程和資源共享。汕頭供電局緊跟移動技術(shù)的發(fā)展步伐，正在將傳統(tǒng)的業(yè)務(wù)擴展到了移動終端上，方便用戶進行業(yè)務(wù)處理及移動辦公，但局方用戶的移動終端型號及操作系統(tǒng)多種多樣，缺少統(tǒng)一的管理手段，存在安全缺陷。而通過移動終端安全接入及管理系統(tǒng)的建設(shè)，實現(xiàn)移動終端的統(tǒng)一接入、移動終端的統(tǒng)一管理、移動終端的數(shù)據(jù)安全保護以及接入鏈路安全等功能，將幫助汕頭局實現(xiàn)移動設(shè)備集中控制、統(tǒng)一管理；幫助企業(yè)實現(xiàn)移動設(shè)備的終端安全。

移動業(yè)務(wù)；安全防范；安全管理

0 引言

（1）國內(nèi)外研究水平的現(xiàn)狀和發(fā)展趨勢

基于移動平臺的標準化，商務(wù)應用的普及化，以及持續(xù)增強的網(wǎng)路連結(jié)力，發(fā)生在移動設(shè)備上的威脅攻擊越來越多。移動互聯(lián)網(wǎng)的時代已經(jīng)來臨，人們使用智能移動終端已不再局限于通話和短信交流，智能移動終端中的社交功能也在不斷的被開發(fā)，微博、即時通訊、位置共享、網(wǎng)上娛樂等應用快速增長。然而，在智能移動終端及其應用在快速增長的背后，卻隱藏著極大的安全隱患。垃圾短信、釣魚網(wǎng)站竊取個人信息、智能移動終端病毒和欺詐應用程序威脅著智能移動終端的數(shù)據(jù)安全，根據(jù)安全機構(gòu)的移動威脅監(jiān)控數(shù)據(jù)顯示，平均每秒就有3.5個新的可危害移動設(shè)備的威脅產(chǎn)生，從2011年1-7月，Android移動平臺上的病毒樣本增加1 410%。因此，移動設(shè)備已成為黑客的新攻擊目標，而其安全問題不容忽視[1-3]。

（2）國內(nèi)外研究機構(gòu)對本項目的研究情況

國外移動終端安全管理發(fā)展比較早，但是真正的爆發(fā)是在移動設(shè)備爆炸式增長之后，國外各大巨頭都投入了移動安全管理技術(shù)的研究，如citrix、IBM、SAP、賽門鐵克、DELL都相繼推出了自己研究的產(chǎn)品和成果。國外產(chǎn)品的主要功能體現(xiàn)在設(shè)備激活，設(shè)備配置、安全保護、應用管理、內(nèi)容管理、終端用戶支持等橫跨企業(yè)各個組織的整個生命周期的管理。而國內(nèi)的研究則剛剛開始起步，更多地是依賴國外的研究思想，結(jié)合國內(nèi)的實際情況進行研發(fā)[4-6]。

（3）項目研究的技術(shù)關(guān)鍵與難點

本項目的技術(shù)關(guān)鍵以及難點是解決方案完整性、產(chǎn)品靈活性、產(chǎn)品功能性、多平臺支持能力、安全性保障能力。

解決方案完整性：能否提供企業(yè)移動信息化解決方案的各環(huán)節(jié)內(nèi)容。

產(chǎn)品靈活性：能否為客戶提供個性化的定制服務(wù)。

產(chǎn)品功能性：移動終端管理功能的完備性。

多平臺支持能力：具備支持各種移動OS的能力。

安全性保障能力：提供包括設(shè)備、網(wǎng)絡(luò)以及數(shù)據(jù)在內(nèi)的多方面的安全保障能力，包括使用數(shù)字證書保證用戶信息的安全、使用移動終端殺毒軟件保證終端數(shù)據(jù)的安全等。

1 主要技術(shù)內(nèi)容

移動終端的安全防護體系的研究主要包括三個維度的內(nèi)容：移動終端的安全接入、移動終端的安全管理和移動終端本地數(shù)據(jù)安全。

1.1 移動終端安全接入

移動終端的接入方式包括WIFI的接入及在公網(wǎng)中通過運營商網(wǎng)絡(luò)的接入，為了防止移動終端接入的安全，首先必須通過強認證方式，實現(xiàn)用戶的授權(quán)接入訪問，WIFI啟動身份認證，公網(wǎng)接入時，通過移動接入平臺的基于數(shù)字證書的身份認證，實現(xiàn)強身份認證。

同時為了采用鏈路加密的方式，實現(xiàn)數(shù)據(jù)傳輸?shù)陌踩?，對移動終端的接入進行審計，本地記錄相關(guān)操作日志（并且防止日志篡改），及時傳輸至遠程服務(wù)端供集中審計，可由統(tǒng)一審計平臺完成統(tǒng)一審計，實現(xiàn)事后追蹤。

移動終端用戶訪問Internet認證過程如圖1所示：

（1）終端用戶通過AD域帳號連接WLAN；（2）由于手持終端沒有SEP客戶端，因此會被分配到隔離vlan；

（3）隔離vlan只能訪問文件服務(wù)器的sep插件、junos pulse軟件進行修復；

（4）手持終端用戶通過JUNOS PULSE軟件進行認證和權(quán)限；

（5）認證通過后，SSL VPN將用戶名和密碼推送至IC設(shè)備，同時完成IC用戶認證和權(quán)限；

（6）SSL VPN給終端用戶分配一個新的IP地址使用；

（7）SA將會通過hostchecker檢查手持移動終端MAC地址是否為授權(quán)的用戶，是可以正常瀏覽Internet；

（8）IC將特定的Internet訪問資源推送至防火墻，統(tǒng)一控制移動終端Internet資源訪問控制。

圖1 移動終端用戶訪問Internet認證過程

1.2 移動終端的安全管理

通過對移動終端管理體系的研究和建設(shè)，對企業(yè)所有需要進行移動辦公的移動終端進行統(tǒng)一注冊及管理，實現(xiàn)對移動終端資產(chǎn)跟蹤、策略下發(fā)、數(shù)據(jù)備份、軟件部署等遠程管理功能。

1.2.1 移動終端管理

移動終端管理主要包括兩部分主要內(nèi)容，分別為移動設(shè)備管理和終端安全管理，如圖2。

圖2 移動設(shè)備管理和終端安全管理

（1）移動設(shè)備管理：配置策略管理、終端資產(chǎn)管理、日志審計管理、監(jiān)控策略管理。

（2）終端安全管理：終端防盜管理、移動信息備份服務(wù)、終端殺毒服務(wù)、防垃圾服務(wù)。

1.2.2 生命周期管理

移動終端的生命周期管理經(jīng)歷三個階段：預配階段、使用階段、停用階段。

（1）預配階段

管理方面：分配組成員和策略、配置設(shè)備連接、遠程設(shè)備配置、初始化應用部署。

安全方面：創(chuàng)建企業(yè)安全策略、強制管理終端密碼、遠程分發(fā)并保護數(shù)據(jù)、

遠程安裝并配置、防火墻、殺毒軟件、遠程監(jiān)控。

預配階段先在典型位置進行試點，如變電站、營業(yè)廳或者某一層樓。

（2）使用階段

管理方面：跟蹤資產(chǎn)數(shù)據(jù)、更新/修復軟件、維護/更新設(shè)備配置、分發(fā)/更新文件、軟件許可使用與跟蹤、計劃和自動的活動、遠程控制設(shè)備。

安全方面：備份設(shè)備數(shù)據(jù)、安裝補丁和安全更新、加強安全策略、權(quán)威身份認證和訪問控制、監(jiān)控/跟蹤安全違反行為和威脅、日志審計功能。

（3）停用階段

管理方面：重新提供/重置設(shè)備、用戶更換設(shè)備、更改設(shè)備用途、軟件重新部署、設(shè)備失竊后恢復數(shù)據(jù)。

安全方面：禁用失竊設(shè)備、遠程關(guān)機/鎖定、訪問違規(guī)鎖定、數(shù)據(jù)擦除、禁用設(shè)備、網(wǎng)絡(luò)、應用使用。

1.3 移動終端本地數(shù)據(jù)安全

設(shè)備安全管理系統(tǒng)對接入終端的統(tǒng)一管理，整個系統(tǒng)的移動終端進行全面統(tǒng)一的登記注冊與注銷、監(jiān)管與審計同時還可以實現(xiàn)客戶端身份的創(chuàng)建與密鑰分發(fā)等功能。

部署智能移動終端殺毒軟件，實現(xiàn)病毒快速掃描、全面查殺、實時監(jiān)控、病毒庫升級、漏洞修補，高效查殺各種病毒木馬，實時保護系統(tǒng)安全，防范惡意代碼竊取短信、劫持用戶會話、以及仿冒用戶身份審批的風險。服務(wù)器提供在線病毒庫更新服務(wù)。采用iOS和Android平臺專業(yè)高效的防病毒和漏洞掃描解決方案，嚴格控制終端安全風險。

使用專有殺毒軟件在系統(tǒng)啟動前檢測當前系統(tǒng)環(huán)境安全性，當發(fā)現(xiàn)異常時是否主動提示用戶，防止安裝惡意軟件。

智能移動終端防病毒系統(tǒng)會實時監(jiān)測智能移動終端運行環(huán)境，包括文件系統(tǒng)、內(nèi)存、應用程序、安裝過程、網(wǎng)絡(luò)端口等，發(fā)現(xiàn)異常會立即提醒用戶同時上報服務(wù)器。

垃圾信息過濾功能實現(xiàn)垃圾短信、彩信過濾、騷擾電話屏蔽、黑（白）名單過濾。

終端防盜功能實現(xiàn)移動終端丟失后換SIM卡自動報警；自動隱藏所有敏感個人數(shù)據(jù)及應用數(shù)據(jù)；自動鎖定；遠程遙控取回信息、銷毀信息、強制關(guān)機、位置跟蹤。

部署安全備份服務(wù)實現(xiàn)自動備份和用戶一鍵式快速備份，將用戶終端中的關(guān)鍵應用數(shù)據(jù)、通訊錄、短信、照片等信息加密上傳到服務(wù)器。

以上移動終端客戶端安全功能全部由移動終端客戶端軟件支持。每臺移動終端安裝客戶端軟件，移動終端軟件支持主流的Android和iOS系統(tǒng)。

2 預期目標及創(chuàng)新點

2.1 預期目標

2.1.1 幫助企業(yè)實現(xiàn)移動設(shè)備集中控制、統(tǒng)一管理。

（1）對整個系統(tǒng)的移動終端進行全面統(tǒng)一的登記注冊與注銷、監(jiān)管與審計，實現(xiàn)對終端資產(chǎn)的統(tǒng)一管理，同時還可以實現(xiàn)客戶端身份的創(chuàng)建等功能。

（2）動態(tài)展示系統(tǒng)管理的所有移動終端的狀態(tài)數(shù)據(jù)，對終端信息進行遠程監(jiān)控，實現(xiàn)集中控制。

（3）通過黑（白）名單已經(jīng)應用推送的方式對移動終端上的應用進行統(tǒng)一管理。

（4）對系統(tǒng)管理的所有移動終端進行統(tǒng)一的安全安全策略配發(fā)管理，包括遠程設(shè)置密碼，自動鎖定，密碼復雜度要求，清空密碼。

（5）對移動終端違反策略使用或丟失后，實現(xiàn)遠程擦除數(shù)據(jù)、刪除應用、清除配置、遠程鎖定，清空整個設(shè)備。

2.1.2 幫助企業(yè)實現(xiàn)移動設(shè)備的終端安全

（1）終端設(shè)備安全性：防止越獄，安裝殺毒軟件控制遠程和本地安全漏洞。

（2）身份鑒別機制：支持數(shù)字證書及口令方式進行身份認證，具有密碼策略（密碼長度和復雜度、定期修改密碼、錯誤次數(shù)）限制。

（3）權(quán)限控制機制：不同用戶在同一移動智能終端上登錄，不能讀寫其它用戶的離線、配置及密碼等文件。不可以遠程越權(quán)訪問其他用戶的資源。

（4）安全審計機制：本地記錄相關(guān)操作日志（并且防止日志篡改），及時傳輸至遠程服務(wù)端供集中審計。

（5）入侵防范機制：使用專有殺毒軟件在系統(tǒng)啟動前檢測當前系統(tǒng)環(huán)境安全性，當發(fā)現(xiàn)異常時是否主動提示用戶，防止安裝惡意軟件。

（6）資源控制機制：在規(guī)定時間內(nèi)，用戶沒有操作時自動退出應用。在用戶退出后自動刪除用戶離線文件（資源、信息）。

2.2 創(chuàng)新點

（1）實現(xiàn)企業(yè)對移動終端設(shè)備的集中管理與控制。

（2）豐富的首頁內(nèi)容，動態(tài)展示系統(tǒng)管理的所有移動終端的狀態(tài)數(shù)據(jù)。

（3）內(nèi)置報警中心，對設(shè)備的惡意行為及惡意操作進行實時報警。

（4）監(jiān)控移動終端的安全狀態(tài)。

（5）企業(yè)級的移動終端病毒防護系統(tǒng)對移動終端系統(tǒng)進行修復和系統(tǒng)加固。

（6）對企業(yè)的數(shù)據(jù)進行防盜處理，可遠程鎖定移動終端、跟蹤被盜移動終端位置、遠程卸載企業(yè)核心應用、遠程擦除企業(yè)敏感數(shù)據(jù)。

（7）內(nèi)置企業(yè)應用商店，通過企業(yè)專網(wǎng)對應用程序進行分發(fā)，防止企業(yè)應用外流。

（8）應用程序黑白名單策略，禁止員工安裝和運行非授權(quán)程序。

（9）完備的日志審計系統(tǒng)，便于惡意事件的追溯，可視化、多樣性的分類日志圖標展示，高效進行日志管理。

3 結(jié)論

本文設(shè)計的系統(tǒng)不僅可以成功幫助企業(yè)實現(xiàn)移動設(shè)備集中控制、統(tǒng)一管理，還可以幫助企業(yè)實現(xiàn)移動設(shè)備的終端安全。優(yōu)勢如下:

（1）對整個系統(tǒng)的移動終端進行全面統(tǒng)一的登記注冊與注銷、監(jiān)管與審計，實現(xiàn)對終端資產(chǎn)的統(tǒng)一管理，同時還可以實現(xiàn)客戶端身份的創(chuàng)建等功能；

（2）動態(tài)展示系統(tǒng)管理的所有移動終端的狀態(tài)數(shù)據(jù)，對終端信息進行遠程監(jiān)控，實現(xiàn)集中控制；

（3）通過黑白名單已經(jīng)應用推送的方式對移動終端上的應用進行統(tǒng)一管理；

（4）對系統(tǒng)管理的所有移動終端進行統(tǒng)一的安全安全策略配發(fā)管理，包括遠程設(shè)置密碼，自動鎖定，密碼復雜度要求，清空密碼；

（5）對移動終端違反策略使用或丟失后，實現(xiàn)遠程擦除數(shù)據(jù)、刪除應用、清除配置、遠程鎖定，清空整個設(shè)備；

（6）終端設(shè)備安全性：防止“越獄”，安裝殺毒軟件控制遠程和本地安全漏洞；

（7）身份鑒別機制：支持數(shù)字證書及口令方式進行身份認證，具有密碼策略（密碼長度和復雜度、定期修改密碼、錯誤次數(shù)）限制；

（8）權(quán)限控制機制：不同用戶在同一移動移動終端上登錄，不能讀寫其他用戶的離線、配置及密碼等文件。不可以遠程越權(quán)訪問其他用戶的資源；

（9）安全審計機制：本地記錄相關(guān)操作日志（并且防止日志篡改），及時傳輸至遠程服務(wù)端供集中審計；

（10）入侵防范機制：使用專有殺毒軟件在系統(tǒng)啟動前檢測當前系統(tǒng)環(huán)境安全性，當發(fā)現(xiàn)異常時是否主動提示用戶，防止安裝惡意軟件；

（11）資源控制機制：在規(guī)定時間內(nèi)，用戶沒有操作時自動退出應用，在用戶退出后自動刪除用戶離線文件（資源、信息）。

［1］劉宏.PDCA循環(huán)推進持續(xù)的質(zhì)量改進［J］.電子質(zhì)量，2005（07）：41-42，37.

［2］石雙元，楊琴，單進.IT基礎(chǔ)設(shè)施運營成熟度模型框架初步研究［J］.管理學報，2006（01）：60-63，112.

［3］楊鈺，吳健.ITIL中IT基礎(chǔ)架構(gòu)管理模型設(shè)計與實現(xiàn)［J］.計算機技術(shù)與發(fā)展，2007（04）：250-253.

［4］胡波，詹瑾.淺析IT服務(wù)管理系統(tǒng)的構(gòu)建［J］.廣東技術(shù)師范學院學報，2007（10）：12-13.

［5］黃連月，袁勇，馬玉林.信息系統(tǒng)運行生產(chǎn)化管理及實踐［J］.廣西電力，2008（02）：1-4.

［6］魏葆雅.淺析企業(yè)IT桌面管理［J］.福建電腦，2008（07）：71，67.

Mobile Security Technology Research and Development

HUANG Xiao-qi
（Shantou Power Supply Bureau，Shantou515000，China）

With the rapid development of mobile terminals and its applications， companies are deploying or considering to deploy support for mobile access to applications， in order to achieve efficient office processes and resource sharing.Shantou Power Supply Bureau，keeping up to the pace of development of mobile technology，has been extending the traditional business to the mobile terminal. But lack of unified management tool，there are a lot of security flaws.And through the construction of mobile terminals and secure access management system，the Shantou Power Supply Bureau can achieve unified access the mobile terminal，unified management of mobile terminals，data security and access link security.The system will help Shantou Power Supply Bureau achieve mobile devices centralized control，unified management and help companies achieve mobile devices endpoint security.

mobile services；security protection；security management

TM933

A

1009－9492(2014)09－0144－04

10.3969/j.issn.1009-9492.2014.09.040

黃小奇，男，1983年生，廣東汕頭人，大學本科，助理工程師。研究領(lǐng)域：電力計算機應用。

(編輯：王智圣)

2014－06－01