楊春燕 賓冬梅 凌穎 余通 黎新

（廣西電網有限責任公司電力科學研究院 廣西壯族自治區(qū)南寧市 530023）

1 研究背景及意義

1.1 研究背景

隨著4G、5G 移動通信網絡以及移動智能終端的迅猛發(fā)展，特別是移動上網、移動應用等功能的普及，電網開始逐步利用移動智能移動終端（包括PDA、智能手機、平板電腦等）、移動通信技術（4G網絡及GPS 定位技術）和虛擬網絡技術（VPN 等）作為企業(yè)信息化的擴展，實現(xiàn)電力移動營銷、移動作業(yè)、移動辦公等業(yè)務[1]。

電網通信網絡采取內外網絡隔離，所有應用服務器在公司內網只能通過有線局域網接入方式進行訪問，無線網絡無法接入公司內網。移動智能終端在接入應用系統(tǒng)時，內網和外網需要經常進行場景切換，且接入的業(yè)務應用可能存在大量的內外網數(shù)據(jù)交互，如何有效的在不同的工作場景保證移動智能終端以及終端上的應用數(shù)據(jù)安全[2]，是亟需解決的網絡安全問題。

1.2 研究意義

移動智能終端的使用，極大提升了應用的便利性，但同時也帶來諸多安全隱患。

本文旨在從終端、應用、網絡等層面全面分析，梳理移動智能終端面臨的安全風險，研究基于可信計算技術的智能終端雙系統(tǒng)隔離技術、可信保障技術、工作區(qū)安全防護技術、一體化可信管控技術等終端安全防護關鍵技術，構建智能終端可信安全防護體系，形成公司智能終端安全防護技術規(guī)范，以保障公司移動端安全營銷、安全作業(yè)、安全辦公。對接入電網業(yè)務應用的移動智能終端進行全生命周期的管理，提高移動智能終端系統(tǒng)安全性。同時為公司業(yè)務相關的移動應用構建安全的執(zhí)行環(huán)境，從而提升移動終端上業(yè)務應用及數(shù)據(jù)的安全防護能力，降低敏感數(shù)據(jù)泄露的風險。

2 關鍵技術研究

2.1 輕量級虛擬化安全隔離技術研究

通過研究輕量級虛擬化安全隔離技術，實現(xiàn)移動智能終端雙系統(tǒng)隔離，雙系統(tǒng)隔離應用架構如圖1所示。輕量級虛擬化安全隔離突出體現(xiàn)了應用隔離模型、信息交互模型和語義傳遞模型的作用，并將模型中的元素與平臺實體對應起來。在應用隔離模型中，根據(jù)不同應用程序的實際功能，為應用進程和資源定義相應的應用域標簽，限制應用進程所能觀察到的資源對象范圍，從而建立應用進程的隔離空間。在定義應用域標簽時，以最小權限為原則，僅賦予應用進程完成任務所必需的最小權限。在信息交互模型中，應用域間的信息交互表現(xiàn)為進程間的干擾關系，根據(jù)應用進程的安全級和系統(tǒng)安全策略，能夠實現(xiàn)對進程間干擾關系的控制，排除惡意干擾，確保應用進程運行的安全性。在語義傳遞模型中，通過捕獲應用層主體、客體和訪問方式等信息，將其傳遞到操作系統(tǒng)內核層，在操作系統(tǒng)內核層實現(xiàn)對上層應用的訪問控制。

圖1：雙系統(tǒng)隔離架構

圖2：執(zhí)行程序知識庫

雙系統(tǒng)隔離主要應用安全沙箱技術，在移動智能終端建立虛擬安全工作區(qū)，實現(xiàn)數(shù)據(jù)的隔離、數(shù)據(jù)加密、應用控制等安全功能。安全工作區(qū)作為一個獨立的邏輯存儲空間，將設備上的企業(yè)應用、存儲區(qū)域和個人的應用隔離開，并限制兩方數(shù)據(jù)通信，實現(xiàn)移動智能終端的雙系統(tǒng)隔離。雙系統(tǒng)隔離將每個目標應用實例運行在不同的沙箱內，并使用用戶自定義規(guī)則對每個沙箱的權限進行管控，實現(xiàn)沙箱間存儲和權限的隔離，從而進一步提升了企業(yè)應用及應用數(shù)據(jù)的安全性。

另外，制定了移動智能終端安全隔離機制：一方面移動智能終端通過安全認證，實現(xiàn)接入可信，最大程度地確保平臺的安全機制不被旁路或篡改；另一方面，在不改變平臺上運行的應用程序代碼的前提下，通過對操作系統(tǒng)的安全增強，由位于系統(tǒng)內核的安全模塊去執(zhí)行安全策略，從而為上層應用提供系統(tǒng)級的安全支撐，確保上層應用的安全可靠運行。

2.2 智能終端可信保障技術研究

針對電網移動智能終端業(yè)務場景的特點，提出基于可信計算的信任傳遞方案。即在移動智能終端工作區(qū)操作系統(tǒng)中安裝可信基礎軟件，以實現(xiàn)系統(tǒng)運行過程中度量、存儲、報告等功能?？尚呕A軟件為應用和系統(tǒng)的運行建立可信的計算環(huán)境，通過可信連接形成可信網絡，將可信計算功能的接口提供給應用和操作系統(tǒng)使用?？尚跑浖ㄟ^和操作系統(tǒng)融合，能夠完成對操作系統(tǒng)核心態(tài)行為的度量，進一步掌握操作系統(tǒng)內核自身運行狀態(tài)的可信性。同時，操作系統(tǒng)通過調用可信軟件基提供的可信支撐接口，實現(xiàn)對自身功能（如身份認證、數(shù)據(jù)加解密等）的可信增強?？尚跑浖攒浖男问桨惭b在承載業(yè)務系統(tǒng)的操作系統(tǒng)之中，實現(xiàn)可信認證、可信度量、可信存儲、可信連接和可信監(jiān)控等功能，保證了用戶數(shù)據(jù)安全，為用戶提供可信任的計算環(huán)境。。

可信基礎軟件實現(xiàn)了從移動終端開機到操作系統(tǒng)、再到工作區(qū)操作系統(tǒng)以及工作區(qū)移動應用的層次化度量，確保了移動應用自身及運行環(huán)境可信，從而為其構建了主動防御體系，實現(xiàn)對已知、未知攻擊的防御能力。

2.3 工作區(qū)安全防護技術研究

移動智能終端工作區(qū)直接承載移動辦公、移動營銷、移動作業(yè)等業(yè)務，安全性極為重要。以訪問控制技術為核心，截獲應用的資源訪問請求，包括程序啟動、文件訪問、網絡連接，對相應主、客體進行度量，限制辦公環(huán)境移動應用的權限，使其擁有完成任務的最小權限，使得即使移動應用漏洞被利用，攻擊者也難以形成實質性攻擊，從而確保工作區(qū)的安全，確保只有工作區(qū)的移動應用能夠接入公司服務。

在工作區(qū)根據(jù)用戶需求，定制僅包含工作應用的安全桌面，實現(xiàn)應用鎖定、桌面鎖定等安全機制，工作區(qū)與非工作區(qū)可一鍵切換。對工作區(qū)移動應用進行統(tǒng)一管控，包括應用的統(tǒng)一分發(fā)與管理、應用安全策略的統(tǒng)一管理、應用數(shù)據(jù)安全管理等。企業(yè)應用的統(tǒng)一管理可實現(xiàn)涉及企業(yè)業(yè)務的移動應用從部署到退運全生命周期的統(tǒng)一管控，包括應用上架、應用維護、應用分發(fā)等。應用策略管理支持統(tǒng)一配置應用軟件黑白名單功能，通過應用黑白名單策略監(jiān)控和限制用戶使用不合規(guī)的應用。在用戶安裝、運行不合規(guī)的應用時，將違規(guī)信息上報至管理平臺，并對用戶發(fā)出告警信息。實現(xiàn)企業(yè)移動應用的統(tǒng)一管理。企業(yè)應用包含很多敏感和企業(yè)機密信息，為使敏感信息得到有效的安全防護，提供了移動智能終端的數(shù)據(jù)防泄漏功能，可對應用提供數(shù)據(jù)加密、防復制粘貼、防截屏、防分享、應用水印等應用安全策略功能，有效的保護應用數(shù)據(jù)。

2.4 智能終端一體化可信管控技術研究

深入分析電網智能終端的應用特點，將可信的移動應用及應用的權限形成安全知識庫，結構如圖2所示，基于知識庫構建執(zhí)行程序一體化管控平臺，對移動智能終端上的執(zhí)行程序（包括可信性、配置、權限）、安全策略等進行管理，實現(xiàn)對移動終端的“可信、可控、可管”的全生命周期、一體化安全管控。

執(zhí)行程序可信知識庫作為終端執(zhí)行程序可信認證的基礎平臺，其主要目的是為終端執(zhí)行程序可信認證提供基礎支撐。知識庫由安全技術團隊通過可信分析過程，將程序的可信性變成知識，存放在基礎庫中。針對嵌入式終端執(zhí)行程序的特點，需要建立可信性指標體系。利用可信性指標體系，通過對源代碼分析，實現(xiàn)對程序文件可信計算，確定程序的可信摘要值；通過對程序所需配置文件的檢測，實現(xiàn)可信程序安全配置文件；通過對程序行為及攻擊行為的分析，實現(xiàn)安全行為配置文件；通過分析檢測源代碼，查找漏洞，實現(xiàn)漏洞信息統(tǒng)計。

基于可信基礎軟件提供的度量、判定、支撐等可信功能，結合適配多類移動智能終端的訪問控制技術，在移動智能終端上實現(xiàn)程序執(zhí)行控制，負責度量和驗證執(zhí)行程序的完整性，確?？蓤?zhí)行程序符合預期。通過在系統(tǒng)執(zhí)行流程中加入驗證步驟實現(xiàn)，限制僅有通過驗證、符合預期的可執(zhí)行程序才能夠運行，從而保證移動終端系統(tǒng)中不會引入惡意代碼。

實現(xiàn)程序基線配置控制：負責驗證和確保程序配置符合預期。通過在移動終端系統(tǒng)的文件訪問流程中加入驗證步驟實現(xiàn)，限制僅有通過驗證、符合預期的配置文件才能夠讀入系統(tǒng)，從而保證終端系統(tǒng)在配置加載流程中不會引入惡意代碼。

實現(xiàn)程序行為控制：通過訪問控制技術，對執(zhí)行程序的應用訪問行為、連接進行分析，以最小權限的原則，根據(jù)執(zhí)行程序的類型，電力系統(tǒng)業(yè)務邏輯下不同業(yè)務數(shù)據(jù)的調用關系、訪問連接方式進行控制，確保嵌入式終端執(zhí)行程序即使存在漏洞前，應用在移動智能終端上仍能安全運行。

實現(xiàn)程序漏洞修復：以執(zhí)行程序可信知識庫中的漏洞信息庫為核心，通過對移動終端執(zhí)行程序進行分析，查看可信知識庫中是否存在的漏洞更新，如有漏洞，及時進行更新，保證終端執(zhí)行程序無漏洞。

3 總結

通過研究基于可信計算的智能終端雙系統(tǒng)隔離技術、可信保障技術、工作區(qū)安全防護技術、一體化可信管控技術等終端安全防護關鍵技術，構建電網移動智能終端安全防護體系，形成電網移動智能終端的安全防護技術規(guī)范，以保障電網移動端營銷、作業(yè)、辦公等業(yè)務的安全穩(wěn)定運行，及數(shù)據(jù)的安全防泄露。

對接入電網業(yè)務應用的移動智能終端進行全生命周期的管理，提高移動智能終端系統(tǒng)安全性。同時為公司業(yè)務相關的移動應用構建安全的執(zhí)行環(huán)境，從而提升移動終端上業(yè)務應用及數(shù)據(jù)的安全防護能力，降低敏感數(shù)據(jù)泄露的風險。實現(xiàn)了移動智能終端自身的安全性、運行環(huán)境的標準化、移動業(yè)務數(shù)據(jù)的全面防護。對所有接入電網業(yè)務的移動智能終端實現(xiàn)了統(tǒng)一、有效的管理，移動終端的安全策略能夠實現(xiàn)統(tǒng)一配置，業(yè)務應用能夠得到高效分發(fā)，有效提升了移動智能終端的安全管控能力。在應用層采用虛擬空間技術，實現(xiàn)移動智能終端私人區(qū)和工作區(qū)隔離，有效降低了移動應用業(yè)務數(shù)據(jù)外泄的風險。