董晶晶，霍珊珊，袁 泉，孫 琪，劉藝翔

(1.中國(guó)電子科技集團(tuán)公司第十五研究所 北京 100083;2.信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心，北京 100083)

0 引 言

隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，移動(dòng)智能終端設(shè)備的功能越來(lái)越強(qiáng)大，移動(dòng)智能終端在人們的工作和生活中扮演著越來(lái)越重要的角色。移動(dòng)智能終端為企事業(yè)單位提供了更為豐富的辦公渠道、提高了工作效率，同時(shí)，也為企事業(yè)單位保護(hù)和維護(hù)系統(tǒng)安全、數(shù)據(jù)安全帶來(lái)了更大的挑戰(zhàn)。移動(dòng)智能終端接入辦公網(wǎng)絡(luò)，要考慮的安全包括移動(dòng)終端安全[1-4]、通信網(wǎng)絡(luò)安全、移動(dòng)接入?yún)^(qū)安全三部分。接入部分的安全使用傳統(tǒng)的安全技術(shù)手段就可以解決，如部署邊界防護(hù)設(shè)備等，而對(duì)于移動(dòng)終端安全和通信網(wǎng)絡(luò)安全，不是簡(jiǎn)單部署一套移動(dòng)辦公終端管理系統(tǒng)對(duì)終端進(jìn)行監(jiān)測(cè)和管理就能解決的，移動(dòng)辦公終端自身的安全性更加值得關(guān)注。

文中首先對(duì)移動(dòng)辦公終端面臨的安全問(wèn)題進(jìn)行分類，分析不同類別的安全問(wèn)題及其可能的應(yīng)對(duì)策略，然后對(duì)比分析基于沙箱防護(hù)和雙系統(tǒng)兩種移動(dòng)辦公終端安全技術(shù)，并驗(yàn)證兩種技術(shù)方案的有效性，最后對(duì)研究成果進(jìn)行總結(jié)展望。

1 移動(dòng)辦公終端安全問(wèn)題及應(yīng)對(duì)策略

1.1 非法移動(dòng)終端接入

由于移動(dòng)辦公場(chǎng)景的多樣性、靈活性以及無(wú)線接入的開放性，導(dǎo)致內(nèi)部的重要數(shù)據(jù)資源處于一種完全暴露的狀態(tài)。如果在用戶接入時(shí)，不能對(duì)接入終端合法性進(jìn)行有效鑒別，將導(dǎo)致非法移動(dòng)終端通過(guò)偽裝身份后，接入內(nèi)部網(wǎng)絡(luò)訪問(wèn)內(nèi)部重要資源，導(dǎo)致信息泄露。使用不易偽造的終端設(shè)備及嚴(yán)謹(jǐn)?shù)慕K端管理和認(rèn)證方式，確保接入終端的合法身份，最大程度防止非法接入。

1.2 移動(dòng)終端惡意程序侵入

移動(dòng)設(shè)備隨時(shí)隨地聯(lián)網(wǎng)的特性，如果對(duì)其安全防護(hù)不夠，很容易遭受惡意程序的攻擊。目前，針對(duì)移動(dòng)終端惡意程序大肆傳播，在終端設(shè)備后臺(tái)執(zhí)行靜默安裝，不僅能夠竊取終端設(shè)備隱私、敏感數(shù)據(jù)甚至能夠進(jìn)行遠(yuǎn)程控制，造成內(nèi)部重要信息資源和數(shù)據(jù)被竊的安全風(fēng)險(xiǎn)。對(duì)移動(dòng)終端應(yīng)用程序進(jìn)行嚴(yán)格的管理和監(jiān)控，實(shí)現(xiàn)應(yīng)用的合法安裝和運(yùn)行，避免引入惡意程序。

1.3 移動(dòng)終端企業(yè)數(shù)據(jù)和個(gè)人數(shù)據(jù)混合存儲(chǔ)

移動(dòng)終端設(shè)備企業(yè)內(nèi)部數(shù)據(jù)和個(gè)人數(shù)據(jù)不加以區(qū)分存放，而且通常是明文存儲(chǔ)，容易導(dǎo)致數(shù)據(jù)丟失和被盜，輕易被非法使用，造成內(nèi)部數(shù)據(jù)泄露。移動(dòng)終端連接內(nèi)部網(wǎng)絡(luò)時(shí)，實(shí)現(xiàn)內(nèi)部數(shù)據(jù)與其他數(shù)據(jù)隔離存放，并且進(jìn)行加密存儲(chǔ)，避免數(shù)據(jù)外泄。

1.4 移動(dòng)終端不安全連接

移動(dòng)辦公終端訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源時(shí)，數(shù)據(jù)在無(wú)加密的傳輸通道或以明文方式進(jìn)行傳輸時(shí)，使得數(shù)據(jù)容易被竊聽或篡改。同時(shí)，由于無(wú)線網(wǎng)絡(luò)的開放性和惡意接入點(diǎn)的存在，更是增加了移動(dòng)辦公終端接入的安全問(wèn)題，給內(nèi)部數(shù)據(jù)的保護(hù)帶來(lái)了隱患。因此，一方面需要對(duì)移動(dòng)終端連接無(wú)線網(wǎng)絡(luò)進(jìn)行嚴(yán)格管理；另一方面，移動(dòng)辦公終端連接內(nèi)部網(wǎng)絡(luò)時(shí)，強(qiáng)制執(zhí)行安全連接和加密傳輸，最大限度地避免傳輸數(shù)據(jù)泄露。

1.5 移動(dòng)終端丟失泄密

移動(dòng)終端設(shè)備體積較小，攜帶方便，在便捷的同時(shí)也容易丟失或被盜，非法獲取者可能獲取終端中存儲(chǔ)的敏感數(shù)據(jù)，甚至利用終端設(shè)備保存的信息冒充使用者身份訪問(wèn)內(nèi)部系統(tǒng)和數(shù)據(jù)，造成內(nèi)部數(shù)據(jù)被竊和泄露。在移動(dòng)辦公終端丟失或處于不可信狀態(tài)時(shí)，終端自身應(yīng)具有安全保護(hù)措施，確保其存儲(chǔ)的敏感信息不被非法獲取，其合法身份信息不被非法使用。

2 移動(dòng)辦公終端安全技術(shù)研究

針對(duì)上述移動(dòng)辦公終端可能面臨的安全隱患，為了解決存在的安全問(wèn)題，提出了兩種應(yīng)對(duì)技術(shù)。

2.1 基于沙箱防護(hù)的移動(dòng)辦公終端安全技術(shù)

沙箱[5]是在移動(dòng)終端設(shè)備系統(tǒng)層面運(yùn)行并創(chuàng)建的虛擬環(huán)境，包括主屏幕、任務(wù)欄、應(yīng)用程序及小組件，能夠?qū)崿F(xiàn)與外部(用戶個(gè)人使用空間)應(yīng)用程序及數(shù)據(jù)隔離的一種技術(shù)。沙箱通過(guò)在終端上創(chuàng)建安全的虛擬運(yùn)行環(huán)境，將自身運(yùn)行與終端本地的運(yùn)行嚴(yán)格區(qū)分開，進(jìn)行安全隔離，從而實(shí)現(xiàn)專門地處理內(nèi)部應(yīng)用程序和數(shù)據(jù)，稱為“工作空間”。工作空間中通常運(yùn)行著內(nèi)部的一些應(yīng)用程序，如內(nèi)網(wǎng)電子郵件、內(nèi)網(wǎng)應(yīng)用、瀏覽器，下載和存儲(chǔ)著內(nèi)網(wǎng)的一些數(shù)據(jù)，而且對(duì)數(shù)據(jù)進(jìn)行加密存儲(chǔ)。沙箱外部運(yùn)行個(gè)人使用的應(yīng)用程序，稱為“個(gè)人空間”，個(gè)人空間中的應(yīng)用程序不能訪問(wèn)工作空間中的任何數(shù)據(jù)；工作空間中的應(yīng)用程序通常也不能與個(gè)人空間中的應(yīng)用程序交互或訪問(wèn)外部資源，但是在移動(dòng)終端管控系統(tǒng)(MDM)授權(quán)的情況下，能夠獲得個(gè)人空間中數(shù)據(jù)的只讀權(quán)限。

基于沙箱防護(hù)技術(shù)使得一臺(tái)移動(dòng)終端既可作為個(gè)人使用又可以為工作使用。通過(guò)系統(tǒng)層面的獨(dú)立運(yùn)行實(shí)現(xiàn)隔離，保證工作空間中的應(yīng)用和數(shù)據(jù)不脫離防護(hù)沙箱的保護(hù)，減少數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

2.2 基于雙系統(tǒng)的移動(dòng)辦公終端安全技術(shù)

雙系統(tǒng)移動(dòng)辦公終端是在一個(gè)終端上實(shí)現(xiàn)兩個(gè)操作系統(tǒng)[6-8]，一個(gè)為安全系統(tǒng)(工作系統(tǒng))，一個(gè)為生活系統(tǒng)(個(gè)人系統(tǒng))，兩個(gè)系統(tǒng)同時(shí)運(yùn)行，互相隔離，兼顧工作使用和個(gè)人使用。雙系統(tǒng)移動(dòng)終端技術(shù)[9]利用Linux Namespaces機(jī)制提供的基于容器的虛擬化技術(shù)，實(shí)現(xiàn)資源的隔離。工作系統(tǒng)和生活系統(tǒng)分別有各自獨(dú)立的文件系統(tǒng)、應(yīng)用和數(shù)據(jù)，工作系統(tǒng)通常安裝內(nèi)網(wǎng)的工作應(yīng)用，生活系統(tǒng)安裝個(gè)人應(yīng)用，兩個(gè)系統(tǒng)擁有各自獨(dú)立的數(shù)據(jù)存儲(chǔ)區(qū)，實(shí)現(xiàn)應(yīng)用和數(shù)據(jù)的隔離。在工作系統(tǒng)內(nèi)，通常還可以根據(jù)用戶需求，從硬件驅(qū)動(dòng)層進(jìn)行限制(包括禁用工作系統(tǒng)的USB口、藍(lán)牙和SD卡等)，防止數(shù)據(jù)泄露。

雙系統(tǒng)移動(dòng)辦公終端接收移動(dòng)終端管控系統(tǒng)(MDM)推送的安全控制策略，實(shí)現(xiàn)工作系統(tǒng)和生活系統(tǒng)使用各自獨(dú)立的安全策略管控，有效避免工作應(yīng)用和個(gè)人應(yīng)用的混淆使用，減少內(nèi)部數(shù)據(jù)外泄風(fēng)險(xiǎn)。

3 移動(dòng)辦公終端安全技術(shù)實(shí)驗(yàn)

3.1 實(shí)驗(yàn)環(huán)境

通過(guò)實(shí)驗(yàn)來(lái)驗(yàn)證基于沙箱防護(hù)和基于雙系統(tǒng)兩種移動(dòng)辦公終端安全技術(shù)的特點(diǎn)和安全性。實(shí)驗(yàn)中分別使用各自支持的移動(dòng)終端管控系統(tǒng)(MDM)實(shí)現(xiàn)安全策略的推送。

基于沙箱防護(hù)移動(dòng)辦公終端的實(shí)驗(yàn)環(huán)境如圖1所示。通過(guò)運(yùn)營(yíng)商提供的網(wǎng)絡(luò)接入互聯(lián)網(wǎng)，在訪問(wèn)工作內(nèi)網(wǎng)時(shí)，需要使用VPN進(jìn)行安全連接[10-12]。其中，用于接收MDM服務(wù)器推送策略的MDM客戶端安裝在沙箱防護(hù)的外部區(qū)域“個(gè)人空間”中。

圖1 沙箱防護(hù)移動(dòng)辦公終端實(shí)驗(yàn)環(huán)境

基于雙系統(tǒng)移動(dòng)辦公終端實(shí)驗(yàn)環(huán)境如圖2所示。通過(guò)運(yùn)營(yíng)商提供的公用APN接入互聯(lián)網(wǎng)，提供的專用APN接入工作內(nèi)網(wǎng)。其中，用于接收MDM服務(wù)器推送策略的MDM客戶端安裝在“工作系統(tǒng)”中。

圖2 雙系統(tǒng)移動(dòng)辦公終端實(shí)驗(yàn)環(huán)境

3.2 實(shí)驗(yàn)過(guò)程

實(shí)驗(yàn)過(guò)程中，對(duì)基于沙箱防護(hù)和基于雙系統(tǒng)兩種移動(dòng)辦公終端安全技術(shù)提供的安全機(jī)制分別進(jìn)行了驗(yàn)證，包括數(shù)據(jù)隔離、應(yīng)用隔離、外設(shè)控制、網(wǎng)絡(luò)安全連接、用戶鑒別認(rèn)證等。

3.2.1 基于沙箱防護(hù)移動(dòng)辦公終端安全機(jī)制驗(yàn)證

(1)數(shù)據(jù)隔離。

①通過(guò)個(gè)人空間內(nèi)的應(yīng)用程序訪問(wèn)工作空間內(nèi)的數(shù)據(jù)，如：嘗試通過(guò)個(gè)人空間的文件瀏覽類應(yīng)用或社交應(yīng)用訪問(wèn)工作空間的文檔文件或圖片文件等；

②通過(guò)工作空間的應(yīng)用程序訪問(wèn)個(gè)人空間的數(shù)據(jù)，如：嘗試通過(guò)工作空間的相冊(cè)應(yīng)用或郵件應(yīng)用訪問(wèn)個(gè)人空間的文檔文件或圖片文件等；

③在MDM服務(wù)器上推送允許數(shù)據(jù)移動(dòng)策略前，嘗試將工作空間的數(shù)據(jù)移動(dòng)到個(gè)人空間，嘗試將個(gè)人空間的數(shù)據(jù)移動(dòng)到工作空間；

④在MDM服務(wù)器上推送允許數(shù)據(jù)移動(dòng)策略后，嘗試將工作空間的數(shù)據(jù)移動(dòng)到個(gè)人空間，嘗試將個(gè)人空間的數(shù)據(jù)移動(dòng)到工作空間。

(2)應(yīng)用隔離。

①嘗試將工作空間應(yīng)用程序的鏈接或內(nèi)容分享到個(gè)人空間的應(yīng)用程序中，驗(yàn)證工作空間和個(gè)人空間的應(yīng)用程序是否隔離運(yùn)行[13-14]，互不影響；

②在工作空間和個(gè)人空間分別安裝、卸載不同的應(yīng)用，驗(yàn)證個(gè)人空間和工作空間的應(yīng)用是否互不影響。

(3)外設(shè)控制。

①在MDM服務(wù)器上推送截屏功能、攝像頭功能禁止策略前，驗(yàn)證是否可以正常使用工作空間的截屏和攝像頭的功能；

②在MDM服務(wù)器上推送截屏功能、攝像頭功能禁止策略后，驗(yàn)證工作空間的截屏和攝像頭功能是否不能正常使用。

(4)網(wǎng)絡(luò)安全連接。

①在工作空間配置VPN，并且嘗試與工作內(nèi)網(wǎng)進(jìn)行連接；

②連接成功后，檢查是否能夠正常進(jìn)行工作內(nèi)網(wǎng)應(yīng)用訪問(wèn)。

(5)用戶鑒別認(rèn)證。

①在進(jìn)入工作空間時(shí)，驗(yàn)證是否只有輸入正確的用戶鑒別信息才能成功；

②在輸入鑒別信息不正確時(shí)，進(jìn)行多次嘗試，檢查工作空間是否采取相應(yīng)的鎖定策略，避免進(jìn)一步嘗試操作。

3.2.2 基于雙系統(tǒng)移動(dòng)辦公終端安全機(jī)制驗(yàn)證

(1)數(shù)據(jù)隔離。

①在工作系統(tǒng)中產(chǎn)生相應(yīng)數(shù)據(jù)，如執(zhí)行新建文檔、錄制視頻、保存通訊錄等操作，切換到生活系統(tǒng)，嘗試訪問(wèn)工作系統(tǒng)中的相關(guān)內(nèi)容；

②在生活系統(tǒng)中產(chǎn)生相應(yīng)數(shù)據(jù)，如執(zhí)行新建文檔、錄制視頻、保存通訊錄等操作，切換到工作系統(tǒng)，嘗試訪問(wèn)生活系統(tǒng)中的相關(guān)內(nèi)容。

(2)應(yīng)用隔離。

①在兩個(gè)系統(tǒng)中分別安裝、卸載不同的應(yīng)用，驗(yàn)證兩個(gè)系統(tǒng)中的應(yīng)用是否互不影響；

②在兩個(gè)系統(tǒng)中分別運(yùn)行相同的應(yīng)用，使用不同賬戶分別進(jìn)行登錄，確認(rèn)兩個(gè)系統(tǒng)中相同應(yīng)用的運(yùn)行互不影響。

(3)外設(shè)控制。

①分析對(duì)外設(shè)使用進(jìn)行控制的相關(guān)功能，如攝像頭、USB接口、Wifi等，驗(yàn)證對(duì)外設(shè)的使用是否符合MDM服務(wù)器設(shè)置的策略；

②修改MDM策略后，驗(yàn)證對(duì)外設(shè)的使用是否符合修改后的策略。

(4)網(wǎng)絡(luò)安全連接。

①在生活系統(tǒng)中配置公用APN，在工作系統(tǒng)中配置專用APN，檢查兩個(gè)系統(tǒng)是否能夠分別接入網(wǎng)絡(luò)；

②接入成功后，嘗試在生活系統(tǒng)中訪問(wèn)互聯(lián)網(wǎng)和工作內(nèi)網(wǎng)，工作系統(tǒng)中訪問(wèn)互聯(lián)網(wǎng)和工作內(nèi)網(wǎng)，確認(rèn)是否只有生活系統(tǒng)能夠訪問(wèn)互聯(lián)網(wǎng)，只有工作系統(tǒng)能夠訪問(wèn)工作內(nèi)網(wǎng)；

③驗(yàn)證兩個(gè)系統(tǒng)是否能通過(guò)更改APN實(shí)現(xiàn)兩個(gè)系統(tǒng)的交叉訪問(wèn)。

(5)用戶鑒別認(rèn)證。

①在進(jìn)入工作系統(tǒng)時(shí)，驗(yàn)證是否只有輸入正確的用戶鑒別信息才能進(jìn)入；

②在輸入鑒別信息不正確時(shí)，進(jìn)行多次嘗試，檢查工作系統(tǒng)是否采取相應(yīng)的鎖定策略，避免進(jìn)一步嘗試操作。

3.3 實(shí)驗(yàn)結(jié)果

對(duì)基于沙箱防護(hù)和基于雙系統(tǒng)兩種移動(dòng)辦公終端安全技術(shù)提供的安全機(jī)制驗(yàn)證結(jié)果進(jìn)行記錄，如表1所示。

表1 實(shí)驗(yàn)結(jié)果比較

由表1可以看出，兩種移動(dòng)辦公終端技術(shù)均能實(shí)現(xiàn)數(shù)據(jù)隔離、應(yīng)用隔離、外設(shè)控制、網(wǎng)絡(luò)安全連接和用戶鑒別認(rèn)證等安全功能，同時(shí)，兩種技術(shù)均需要在不同程度上對(duì)移動(dòng)辦公終端從硬件層面進(jìn)行必要的定制，使其支持沙箱防護(hù)或雙系統(tǒng)運(yùn)行，需要依靠MDM提供的移動(dòng)終端管理功能，實(shí)現(xiàn)移動(dòng)終端設(shè)備的有效管理和監(jiān)控。

4 結(jié)束語(yǔ)

針對(duì)基于沙箱防護(hù)和雙系統(tǒng)兩種移動(dòng)辦公終端安全技術(shù)的研究，已經(jīng)取得了一定的成果，對(duì)外發(fā)布了兩項(xiàng)技術(shù)檢測(cè)規(guī)范：《ISCCC-TR-046-2015移動(dòng)終端安全域加固產(chǎn)品安全技術(shù)要求》和《ISCCC-TR-051-2016雙系統(tǒng)移動(dòng)終端安全技術(shù)要求》，希望對(duì)相關(guān)技術(shù)的發(fā)展、產(chǎn)品研發(fā)設(shè)計(jì)以及產(chǎn)品檢測(cè)評(píng)估起到一定的指導(dǎo)作用。

[1] 袁志堅(jiān)，王春平，陳 融，等.Android平臺(tái)安全威脅及其應(yīng)對(duì)策略[J].計(jì)算機(jī)技術(shù)與發(fā)展,2013,23(9):110-113.

[2] 宋 杰，黨李成，郭振朝，等.Android OS手機(jī)平臺(tái)的安全機(jī)制分析和應(yīng)用研究[J].計(jì)算機(jī)技術(shù)與發(fā)展,2010,20(6):152-155.

[3] 張玉清，王 凱，楊 歡，等.Android安全綜述[J].計(jì)算機(jī)研究與發(fā)展,2014,51(7):1385-1396.

[4] 朱佳偉，喻梁文，關(guān) 志，等.Android權(quán)限機(jī)制安全研究綜述[J].計(jì)算機(jī)應(yīng)用研究,2015,32(10):2881-2885.

[5] 李 彬.基于Android沙箱的軟件行為分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京:北京郵電大學(xué),2013.

[6] 蔣紹林，王金雙，張 濤，等.Android安全研究綜述[J].計(jì)算機(jī)應(yīng)用與軟件,2012，29(10):205-210.

[7] 朱筱贅，胡愛(ài)群，邢月秀，等.基于Android平臺(tái)的移動(dòng)辦公安全方案綜述[J].信息網(wǎng)絡(luò)安全,2015(1):76-83.

[8] 錢海龍.移動(dòng)終端應(yīng)用安全加固關(guān)鍵技術(shù)研究[D].北京:北京郵電大學(xué),2014.

[9] BOSE A, HU X, KANG G S,et al.Behavioral detection of malware on mobile handsets[C]//International conference on mobile systems,applications,and services.[s.l.]:[s.n.],2008:225-238.

[10] 董 鐘.面向移動(dòng)辦公的安全接入方法的研究與實(shí)現(xiàn)[D].北京:北京郵電大學(xué),2015.

[11] 張 濱，趙 剛，袁 捷.移動(dòng)終端安全關(guān)鍵技術(shù)與應(yīng)用分析[M].北京:人民郵電出版社,2015.

[12] 張京京，閆曉蔚，蔡建順，等.基于Android系統(tǒng)的手機(jī)隱私安全的研究與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2012(5):59-63.

[13] KANTOLA D,CHIN E,HE W,et al.Reducing attack surfaces for intra-application communication in android[C]//ACM workshop on security and privacy in smartphones and mobile devices.[s.l.]:ACM,2012:69-80.

[14] ENCK W,OCTEAU D,MCDANIEL P,et al.A study of android application security[C]//USENIX conference on security.[s.l.]:USENIX Association,2011:21.