于勇

摘 要 現(xiàn)階段，隨著社會科技的發(fā)展，我國的互聯(lián)網(wǎng)技術(shù)的發(fā)展也有了一定的改善。目前移動辦公隨著我國政府全面推進“互聯(lián)網(wǎng)+”而蓬勃發(fā)展，為了防范潛在的安全風(fēng)險，要在建設(shè)移動辦公系統(tǒng)之前，全方位考慮安全防護措施，搭建安全的應(yīng)用體系架構(gòu)，把各種安全防護技術(shù)有機地融合在平臺系統(tǒng)體系架構(gòu)設(shè)計和實現(xiàn)方案之中。本文旨在分析移動辦公在政務(wù)辦公的場景下可能遇到的一系列安全問題，并為解決這些安全問題嘗試搭建一個通用的安全防護架構(gòu)，為移動辦公業(yè)務(wù)保駕護航。

關(guān)鍵詞 移動辦公;安全防護;系統(tǒng)架構(gòu)研究

引言

無線網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)使無線信號覆蓋面積不斷增大，無線信號與有線網(wǎng)絡(luò)相對來說，移動辦公由于接入用戶業(yè)務(wù)內(nèi)網(wǎng)與傳統(tǒng)電子辦公有很大區(qū)別，使用公共無線信道進行信息的傳送，需要移動辦公系統(tǒng)擁有更多的控制權(quán)，能夠?qū)σ苿油ㄐ胖悄芙K端信息技術(shù)加以掌控。

1移動辦公應(yīng)用面臨的安全挑戰(zhàn)

隨著移動辦公應(yīng)用的大量涌現(xiàn)，安全風(fēng)險隨之而來，具體表現(xiàn)為以下幾個方面：移動設(shè)備容易丟失，內(nèi)部數(shù)據(jù)泄露隱患嚴(yán)重;非授權(quán)訪問并泄露重要數(shù)據(jù);移動設(shè)備的種類較多，接入到辦公系統(tǒng)后對設(shè)備的安全管理形成挑戰(zhàn);移動應(yīng)用軟件種類和數(shù)量繁多，如何避免惡意軟件訪問也是重大的安全問題;如何避免黑客利用合法的移動設(shè)備滲透到辦公網(wǎng)絡(luò)內(nèi)部;傳輸信息被非法竊聽、截獲或者修改和惡意攻擊破壞等。

2移動辦公安全防護系統(tǒng)架構(gòu)優(yōu)化

2.1 服務(wù)層安全

（1）應(yīng)用程序安全開發(fā)

服務(wù)層集中運行著業(yè)務(wù)處理邏輯，業(yè)務(wù)邏輯實現(xiàn)得是否安全應(yīng)首先從軟件安全設(shè)計、開發(fā)、編碼等環(huán)節(jié)進行安全防護，要盡可能規(guī)避中間件、應(yīng)用程序框架上的安全漏洞，避免實現(xiàn)業(yè)務(wù)邏輯實現(xiàn)機制上觸發(fā)或產(chǎn)生安全隱患，給攻擊者提供便利條件，常用的安全機制包括以下方面[1]：①基于數(shù)字證書身份認(rèn)證，杜絕非授權(quán)訪問應(yīng)用;②角色訪問控制，杜絕非授權(quán)訪問特定的功能集;③數(shù)據(jù)加密存儲，防止內(nèi)部信息外泄;④三員管理，符合政務(wù)處理的相關(guān)法律安全規(guī)范;⑤密級流向管理，符合涉密業(yè)務(wù)處理的法律和安全規(guī)范;⑥密級標(biāo)識，符合涉密行業(yè)相關(guān)規(guī)定;⑦安全審計，事后查證和問責(zé)的必要依據(jù)。

（2）支撐系統(tǒng)

支撐系統(tǒng)是應(yīng)用所依賴的基礎(chǔ)設(shè)施類的系統(tǒng)，它們構(gòu)成了政務(wù)辦公安全防護的基本保障，這些系統(tǒng)對上層提供了標(biāo)準(zhǔn)的服務(wù)接口，業(yè)務(wù)應(yīng)用系統(tǒng)應(yīng)使用此類支撐系統(tǒng)的服務(wù)完成身份認(rèn)證、數(shù)據(jù)加密、文檔加密、文檔簽名等標(biāo)準(zhǔn)化業(yè)務(wù)操作，支撐系統(tǒng)包括但不限于以下方面：①數(shù)字證書管理系統(tǒng)，為全體辦公應(yīng)用提供身份認(rèn)證和加密的底層支持;②密級標(biāo)識管理系統(tǒng)，為文檔流轉(zhuǎn)提供符合安全保密規(guī)范的基礎(chǔ)工具;③電子簽章管理系統(tǒng)，實現(xiàn)辦公自動化的必要手段。終端漏洞一旦被惡意人員掌握，操作系統(tǒng)就會出現(xiàn)其他版本，甚至可以在高度定制的軟件系統(tǒng)環(huán)境。此時采用信息化建設(shè)的方式，加大網(wǎng)絡(luò)和信息安全防護能力，采用各類安全日志告警信息，將傳統(tǒng)的安全設(shè)備加以升級，將入侵行為帶來的數(shù)據(jù)泄露和業(yè)務(wù)應(yīng)用受阻的情況加以規(guī)避。通過在場景下進行的網(wǎng)絡(luò)威脅建模技術(shù)，強化安全設(shè)備清單，安全設(shè)備配置，網(wǎng)絡(luò)拓撲以及漏洞掃描報告等安全防護措施。

2.2 安全容器

由于安卓系統(tǒng)默認(rèn)每個應(yīng)用都有獨立的UID，運行在獨立沙箱，可以使用容器技術(shù)將其他一個或多個應(yīng)用運行于容器應(yīng)用中。容器技術(shù)既可以在操作系統(tǒng)層面實現(xiàn)，也可以在應(yīng)用層實現(xiàn)。一方面為容器內(nèi)的應(yīng)用提供隔離的運行環(huán)境和存儲空間，實現(xiàn)容器內(nèi)多個內(nèi)部應(yīng)用數(shù)據(jù)的安全互訪問;另一方面可以對容器內(nèi)應(yīng)用的數(shù)據(jù)進行必要的分析、告警以及備份上傳，實現(xiàn)安全審計和失泄密監(jiān)管。安全容器，在產(chǎn)品形態(tài)方面可以做成安全域、安全桌面、應(yīng)用保險箱等形式，一些公開市場上的分身應(yīng)用也用的是相似的技術(shù);也可以做成用戶透明的形態(tài)，即用戶無感知，只提供數(shù)據(jù)加密、失泄密監(jiān)管等功能[2]。容器是一個在安卓操作系統(tǒng)上通過虛擬機、插件化技術(shù)和Hook技術(shù)為第三方應(yīng)用構(gòu)建的輕量級虛擬化運行環(huán)境。在這個環(huán)境下，第三方應(yīng)用能夠像在真實手機上一樣被啟動執(zhí)行，虛擬環(huán)境下運行的應(yīng)用與真實手機中運行的應(yīng)用相互之間完全隔離，互不影響。通過Hook技術(shù)能為運行在虛擬環(huán)境中的應(yīng)用提供多種定制功能。①應(yīng)用層：導(dǎo)入安全容器中的第三方移動辦公應(yīng)用Apk文件，使其運行在容器中。②框架層：透明容器提供給應(yīng)用運行時所必需的各類系統(tǒng)服務(wù)，保證應(yīng)用層的應(yīng)用能正常地獨立運行，獲得操作系統(tǒng)提供的系統(tǒng)調(diào)用支持。③系統(tǒng)庫層：容器的核心模塊。實現(xiàn)系統(tǒng)服務(wù)的函數(shù)Hook，包括Java層Hook技術(shù)和Native層Hook技術(shù)，實現(xiàn)對指定應(yīng)用的特殊功能定制，包括數(shù)據(jù)傳輸加密、存儲加密以及對數(shù)據(jù)的失泄密監(jiān)測。

2.3 自內(nèi)而外，敏感數(shù)據(jù)層層脫敏，防護細粒度化

傳統(tǒng)的內(nèi)網(wǎng)系統(tǒng)中，郵件、遠程桌面、瀏覽器等有限的幾個應(yīng)用能夠通過網(wǎng)絡(luò)邊界設(shè)備實現(xiàn)內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)交換，僅需在網(wǎng)絡(luò)邊界和郵件應(yīng)用中進行DLP（Dataleakageprevention，數(shù)據(jù)泄露防護）限制就可以防范數(shù)據(jù)泄漏。而在移動互聯(lián)場景下，由于移動設(shè)備使用場景更加復(fù)雜，個人應(yīng)用與辦公應(yīng)用相互混雜，不同應(yīng)用之間數(shù)據(jù)共享方式靈活多樣，用戶難以甄別不同應(yīng)用申請的眾多系統(tǒng)權(quán)限是否合理，所有這些都給數(shù)據(jù)泄漏帶來了更高的風(fēng)險。

3結(jié)束語

計算機行業(yè)與辦公行業(yè)結(jié)合在一起，智能移動終端移動到辦公系統(tǒng)中，可以更大更好地提高工作效率，使得內(nèi)部信息資源能夠被高效地推送到移動終端，構(gòu)建更安全的移動辦公環(huán)境。對內(nèi)部業(yè)務(wù)應(yīng)用來說更加安全和便捷，保證了終端的安全性，強化了網(wǎng)絡(luò)層面、用戶層面、應(yīng)用層面的安全可控性，使得用戶在一個相對安全的環(huán)境下，能夠應(yīng)用移動辦公各項功能，實現(xiàn)對信息系統(tǒng)和單位內(nèi)部網(wǎng)絡(luò)的安全防護。

參考文獻

[1] 呂伯軒，劉景文，許瑋，等.面向智能終端的移動辦公系統(tǒng)[J].電信科學(xué)，2018，34（2）：115-121.

[2] 深圳市買買提信息科技有限公司.一種實現(xiàn)移動終端辦公的方法、移動終端及系統(tǒng)：中國，CN201810642411.9[P].2018-12-21.