文／范士喜 李昌 王彬

高校移動(dòng)安全現(xiàn)狀

隨著移動(dòng)計(jì)算時(shí)代的到來(lái)，我們都經(jīng)歷著從有線(xiàn)到無(wú)線(xiàn)的變化[1]。異地辦公、遠(yuǎn)程審批、在線(xiàn)服務(wù)、移動(dòng)學(xué)習(xí)等高效便捷靈活的移動(dòng)辦公形式，引發(fā)了高?？蒲?、管理和服務(wù)方式的變革，極大地提升了高校的服務(wù)效率和管理能力。目前，高校有多種業(yè)務(wù)移動(dòng)化場(chǎng)景，涉及到多種辦公設(shè)備和平臺(tái)，面向不同用戶(hù)群體[2]，包括面向領(lǐng)導(dǎo)的管理類(lèi)應(yīng)用（審批等）、面向辦公室人員的通用辦公類(lèi)應(yīng)用（郵件、OA辦公等）、以及面向科研人員的私密數(shù)據(jù)（科研結(jié)果等）等。這些應(yīng)用場(chǎng)景極大提高了校內(nèi)師生和領(lǐng)導(dǎo)的工作效率，促進(jìn)了業(yè)務(wù)創(chuàng)新，為教師和學(xué)生的校園生活提供了便利[3][4]。在快捷方便的同時(shí)，移動(dòng)辦公在一定程度上也帶來(lái)了安全隱患，如何實(shí)現(xiàn)安全可靠的校園移動(dòng)辦公變得尤為重要[5]。相比傳統(tǒng)辦公，移動(dòng)辦公面臨著更加復(fù)雜的安全問(wèn)題，信息數(shù)據(jù)和計(jì)算終端走出高校的安全邊界、脫離內(nèi)部管控、多樣的設(shè)備類(lèi)型和復(fù)雜的數(shù)據(jù)運(yùn)行環(huán)境，大大增加了數(shù)據(jù)泄露的風(fēng)險(xiǎn)[6]。

校園移動(dòng)場(chǎng)景的多樣性與復(fù)雜性

隨著高校信息化快速發(fā)展，學(xué)校內(nèi)存在繁多的校園應(yīng)用，復(fù)雜的移動(dòng)設(shè)備系統(tǒng)和類(lèi)型。不同應(yīng)用之間的數(shù)據(jù)交換與共享，面向不同的職能崗位、對(duì)象、移動(dòng)應(yīng)用的差異化模式管理，權(quán)限、對(duì)象的復(fù)雜化，不同設(shè)備數(shù)據(jù)聯(lián)通等問(wèn)題，為高校移動(dòng)安全管理帶來(lái)極大挑戰(zhàn)[7]。同時(shí)，移動(dòng)化本身涉及到的專(zhuān)業(yè)知識(shí)與技術(shù)架構(gòu)，與傳統(tǒng)的IT環(huán)境存在很大差異。

校園安全管理與個(gè)人隱私的平衡

當(dāng)前師生使用的移動(dòng)設(shè)備上既有個(gè)人常用的應(yīng)用軟件，也有工作中需要用到的工作應(yīng)用。存在個(gè)人應(yīng)用軟件可以隨意訪(fǎng)問(wèn)、存取工作數(shù)據(jù)的風(fēng)險(xiǎn)，甚至很容易通過(guò)個(gè)人應(yīng)用軟件將工作數(shù)據(jù)非法上傳、共享和外泄，工作應(yīng)用同樣也會(huì)觸及到個(gè)人數(shù)據(jù)。為了解決這種新趨勢(shì)帶來(lái)的安全問(wèn)題，需要同一個(gè)智能手機(jī)、平板上運(yùn)行兩套相互隔離操作系統(tǒng)的解決方案，同時(shí)滿(mǎn)足個(gè)人日常使用及移動(dòng)辦公的需求[8]。

校園業(yè)務(wù)數(shù)據(jù)泄露風(fēng)險(xiǎn)高

智能移動(dòng)設(shè)備的接入，給信息安全管理帶來(lái)極大挑戰(zhàn)。移動(dòng)設(shè)備具有使用方便、處理高效、信息及時(shí)等優(yōu)點(diǎn)，然而移動(dòng)設(shè)備易丟失、常更換，可以在任何時(shí)間、任何地點(diǎn)、任何網(wǎng)絡(luò)、任何環(huán)境下使用。相比PC端，移動(dòng)系統(tǒng)自身具備的便捷操作性，使得每一個(gè)移動(dòng)用戶(hù)都能夠快捷地將工作信息分享、外泄出去，承載了越來(lái)越多業(yè)務(wù)流程及數(shù)據(jù)的移動(dòng)設(shè)備成為信息泄露的重要風(fēng)險(xiǎn)點(diǎn)。

基于虛擬安全域技術(shù)的移動(dòng)辦公解決方案

為了有效解決移動(dòng)辦公帶來(lái)的安全隱患，旨在打造安全防護(hù)性高、用戶(hù)體驗(yàn)好、可擴(kuò)展性強(qiáng)的移動(dòng)安全平臺(tái)。哈爾濱工業(yè)大學(xué)（深圳）建設(shè)了一個(gè)基于虛擬安全域技術(shù)的移動(dòng)辦公平臺(tái)。該平臺(tái)具備強(qiáng)大的安全防護(hù)能力，面對(duì)紛繁復(fù)雜的移動(dòng)環(huán)境能夠快速迭代、及時(shí)適應(yīng)。同時(shí)，也要讓師生愿意用、樂(lè)意用。

虛擬安全域

建設(shè)輕量化、用戶(hù)體驗(yàn)好、安全策略靈活的移動(dòng)安全平臺(tái)，最首要的技術(shù)就是虛擬安全域（Virtual Security Area,VSA），這是一種通過(guò)在系統(tǒng)底層實(shí)現(xiàn)提供移動(dòng)應(yīng)用安全保護(hù)能力的技術(shù)，在無(wú)需獲取應(yīng)用源代碼，也不需要Root權(quán)限；在代碼零改造的基礎(chǔ)上對(duì)應(yīng)用形成的一個(gè)虛擬安全域。在該安全域中可實(shí)現(xiàn)各種移動(dòng)業(yè)務(wù)安全運(yùn)行的通用性需求：數(shù)據(jù)防泄露、應(yīng)用功能安全調(diào)用、運(yùn)行安全保護(hù)和隱私類(lèi)保護(hù)等，也可以快速地適配實(shí)現(xiàn)其他個(gè)性化的網(wǎng)絡(luò)安全保護(hù)和內(nèi)容審計(jì)等需求。用戶(hù)將機(jī)密數(shù)據(jù)控制在一個(gè)安全的區(qū)域，能夠了解用戶(hù)的上網(wǎng)行為模式和進(jìn)行行為監(jiān)控，在學(xué)校開(kāi)展移動(dòng)業(yè)務(wù)的同時(shí)能夠保證業(yè)務(wù)的安全運(yùn)行。

圖1 虛擬安全域

虛擬安全域技術(shù)的原理是通過(guò)VSA實(shí)現(xiàn)建立一個(gè)單獨(dú)的、安全的虛擬系統(tǒng)，構(gòu)建在應(yīng)用和系統(tǒng)之間的橋梁，從系統(tǒng)底層對(duì)應(yīng)權(quán)限和用戶(hù)使用行為等進(jìn)行全方位的管理和保護(hù)。應(yīng)用發(fā)起的請(qǐng)求先經(jīng)過(guò)該安全虛擬系統(tǒng)中進(jìn)行安全判斷和審計(jì)，阻斷不安全請(qǐng)求，防止將應(yīng)用中的機(jī)密信息外泄等情況，使學(xué)校應(yīng)用運(yùn)行在一個(gè)安全可靠的環(huán)境中?？蓞⒄?qǐng)D1。

構(gòu)建內(nèi)部移動(dòng)應(yīng)用商店

建立一個(gè)學(xué)校內(nèi)部應(yīng)用商店，實(shí)現(xiàn)對(duì)所有移動(dòng)軟件統(tǒng)一管理?？筛鶕?jù)業(yè)務(wù)特性、安全要求，無(wú)需通過(guò)App Store等外部應(yīng)用商店的復(fù)雜流程，自行管理發(fā)布移動(dòng)業(yè)務(wù)應(yīng)用，大大縮短應(yīng)用更新發(fā)布迭代周期，避免繁瑣的應(yīng)用上架外部審核過(guò)程，保護(hù)學(xué)校內(nèi)部應(yīng)用資產(chǎn)。

圖2 “個(gè)人”和“工作”模式

學(xué)校的內(nèi)部應(yīng)用商店相當(dāng)于創(chuàng)建一個(gè)虛擬安全域。這是一種沙箱技術(shù)，將通過(guò)學(xué)校內(nèi)部應(yīng)用商店下載的應(yīng)用和App Store下載的應(yīng)用分離，有效實(shí)現(xiàn)用戶(hù)個(gè)人數(shù)據(jù)與政企業(yè)務(wù)數(shù)據(jù)的安全隔離，既保障了政企數(shù)據(jù)的安全性，同時(shí)極大提升了移動(dòng)辦公的用戶(hù)體驗(yàn)。實(shí)現(xiàn)了一個(gè)設(shè)備兼?zhèn)洹皞€(gè)人”和“工作”兩套“區(qū)域”，兼顧工作數(shù)據(jù)安全及個(gè)人生活隱私。校內(nèi)其他業(yè)務(wù)部門(mén)或者師生自己研發(fā)的APP應(yīng)用可以在虛擬安全域上二次打包，既保證了校園移動(dòng)應(yīng)用的統(tǒng)一入口，又保證了校園移動(dòng)應(yīng)用的安全。這種統(tǒng)一管控的模式讓校園應(yīng)用運(yùn)行在虛擬安全域中作為工作區(qū)域，其他個(gè)人應(yīng)用正常運(yùn)行在系統(tǒng)上，就像形成兩個(gè)獨(dú)立的空間一樣。具體的模式如圖2“個(gè)人”和“工作”模式。師生在使用的過(guò)程中，只要下載一個(gè)“校園內(nèi)部商店APP”就可以看到虛擬安全域內(nèi)所有的校內(nèi)應(yīng)用，用戶(hù)根據(jù)需要下載刪除各類(lèi)APP應(yīng)用。實(shí)現(xiàn)了校內(nèi)移動(dòng)APP的統(tǒng)一安全管理、統(tǒng)一使用、統(tǒng)一升級(jí)。

防護(hù)模塊

虛擬安全域并不能解決所有的問(wèn)題，也還需要集成相關(guān)安全防護(hù)模塊。包括的模塊有網(wǎng)絡(luò)安全訪(fǎng)問(wèn)、上網(wǎng)內(nèi)容審計(jì)、功能安全調(diào)用、隱私保護(hù)等，可根據(jù)不同業(yè)務(wù)場(chǎng)景配置不同的安全策略。

在保證應(yīng)用正常的情況下阻斷應(yīng)用的不安全請(qǐng)求，防止機(jī)密信息外泄的同時(shí)，也防止外部方式對(duì)該類(lèi)信息的截取，包括對(duì)應(yīng)用文件進(jìn)行加密處理，禁止將內(nèi)部數(shù)據(jù)粘貼到外部，添加水印對(duì)內(nèi)容的拍攝之后形成溯源等各種保護(hù)方式。詳細(xì)見(jiàn)圖3安全防護(hù)模塊。

總結(jié)

圖3 安全防護(hù)模塊

高校在大力發(fā)展業(yè)務(wù)移動(dòng)化的同時(shí)，應(yīng)加強(qiáng)移動(dòng)安全建設(shè)，打造移動(dòng)應(yīng)用安全服務(wù)平臺(tái)，將學(xué)校的APP有效管理起來(lái)，個(gè)人應(yīng)用和工作應(yīng)用分離，個(gè)人數(shù)據(jù)和工作數(shù)據(jù)分離。同時(shí)，提供從終端數(shù)據(jù)保護(hù)、應(yīng)用級(jí)隔離、多級(jí)安全等一站式整合的移動(dòng)安全服務(wù)。在充分滿(mǎn)足用戶(hù)需求的基礎(chǔ)上，保障業(yè)務(wù)移動(dòng)化安全，實(shí)現(xiàn)簡(jiǎn)化有效的管理。

同時(shí)，個(gè)人使用習(xí)慣也至關(guān)重要。要加強(qiáng)對(duì)移動(dòng)設(shè)備的安全防護(hù)，減少因病毒導(dǎo)致數(shù)據(jù)的泄露，在公共場(chǎng)合不連接不安全的Wi-Fi，對(duì)非常重要和保密的數(shù)據(jù)，要有自我保護(hù)意識(shí)，積極學(xué)習(xí)保密相關(guān)條例，定期備份重要數(shù)據(jù)，申請(qǐng)相關(guān)的保密存儲(chǔ)設(shè)備等。