移动办公终端安全浅析

gclome

原文链接：移动办公终端安全浅析

本文从移动办公环境下移动终端面临的风险入手，详细分析移动终端的安全需求，结合国家现有技术标准规范，明确移动办公环境下安全的移动终端应采用的各种技术。希望本文能为我国移动终端安全性选型及系统建设有所帮助。

1、移动办公终端面临的安全风险

移动办公融合了移动通信、智能终端、信息技术，与传统电子办公相比有很大区别，例如，使用公共无线信道传输信息，对移动终端有更多的控制权；移动终端在有访问需求时，会接入用户业务内网等。可以说，移动办公的安全问题不仅包含了传统电子办公系统的安全问题，还包含了移动化引入的许多新的安全问题与隐患。

这些新的安全风险包括如下7个方面。

1）移动终端违规接入用户业务内网。由于移动办公涉及公共移动运营商网络，若缺乏有效的移动终端身份认证机制及接入权限控制措施，则存在来自非法终端或恶意用户对办公信息系统进行非授权或异常访问的风险。

2）移动终端无线信道潜在的窃听风险。在移动通信网络中，主要通过无线信道传送网络通信内容。通过适当的无线设备，任何人都可利用相应技术手段，窃听无线信道来获得所需信息。若在移动办公过程中，通过无线信道传输的信息未加密，则存在严重的泄露风险。

3）移动终端的离散化特性加大了数据的监管难度。由于移动终端位于用户身边，地理位置相对分散，因此加大了移动终端及其数据访问管理、跟踪审计等难度。若缺乏必要管控手段，则可能出现监管死角，造成办公数据泄露。

4）移动终端易丢失、更换频繁。由于移动终端具有随身携带方便、易用等特点，办公人员易将敏感的商业信息和个人资料存入其中，与携带者一起流动，增加了丢失和被窃概率。另外，移动终端的更换周期相对较短，由于缺乏专业的回收或销毁机制，淘汰产品通过二手市场流传，容易造成办公信息泄露。

5）移动终端应用程序管理困难。移动终端使用者可能从不受监管的第三方下载并安装移动应用程序，而这些应用程序可能预先被感染或被篡改，同时后续的升级、新增、下架应用程序等操作，也缺乏统一管理手段。

6）移动终端上存储未加密的办公数据。若移动终端上的办公数据不加密进行存储，且未与移动终端私人运行环境隔离，一旦被木马、病毒等恶意程序感染，则存在办公系统登录账号、密码被窃取，敏感办公信息被泄露的风险。

7）办公数据在移动终端上缺乏隔离措施。普通的移动终端未对办公应用运行环境与个人应用运行环境进行区别对待，但在移动办公场景下，对个人用户而言，易出现同一终端公私混用的情况。若缺乏有效的隔离措施，容易产生互联网恶意代码窃取办公敏感数据的风险。

2、移动办公终端的安全需求

为避免以上安全风险，移动办公终端需具备如下安全需求。

1）身份认证需具有可靠的、唯一的接入身份标识，杜绝身份伪造；确保只有通过身份认证的移动终端能够连接移动办公后台系统，并访问后台数据；确保只有合法用户能够访问移动终端的办公数据；在高安全性需求场景下，移动终端需采用硬件数字证书作为身份标识。

2）通信安全移动终端通过身份认证接入移动办公后台系统后，无线链路需采取可靠的加密措施，以保护办公数据在传输过程中的可用性、完整性、保密性，防止被窃听、被泄露；移动终端上多个办公应用同时连接各自业务后台时，尽量为每个应用建立隔离的安全传输通道，确保多应用之间传输通道的安全隔离；在高安全性需求场景下，移动终端需使用硬件密码元件对通信数据进行加解密，以获得对传输内容的高安全性保护。

3）安全管理移动终端需支持后台统一安全策略的下发及执行，便于用户单位统一管理；移动终端需支持远程设备管理，例如，支持设备硬件、网络、系统、应用及用户信息上报，支持远程对移动终端设备进行注销、禁用和锁定管理，以及限制或禁用终端硬件模块如录音、蓝牙等功能；移动终端需支持安全管控，例如，安全准入检查、对终端软硬件环境、运行状态及安全事件的持续监控、安全审计及预警，并能够针对终端违规行为，采取限制访问、警告、锁定、禁用、数据擦除等有效控制措施；在失窃、失控等意外情况下，移动终端办公数据可被管理后台远程销毁、远程禁用或重新启用；移动终端需支持移动办公应用的远程推送、安装、发布、更新，支持移动应用的黑白名单策略，并设置应用用户的访问权限；移动终端需支持移动办公文档的分类管理，设置用户访问权限，支持来自后台的文档推送。

4）数据安全若办公数据在移动终端落地，需采用加密技术进行保护，确保办公数据在移动终端上的完整性、保密性，同时保证办公数据与个人数据隔离存储；确保存储移动办公数据的文件、目录和数据库记录等所在的存储空间被释放或被重新分配前得到清除，并不可恢复。

5）应用运行环境安全。移动办公应用运行时，应采用隔离技术，保证移动终端办公应用与个人应用运行环境有效隔离；终端上多个移动办公应用之间的隔离技术需具有防截屏、防键盘截获等数据防泄露功能；若移动办公系统数据安全级别较高，需保证相关数据仅在服务端上运行和存储，移动终端仅保存必要的缓存数据，并随着应用结束及时清除。

6）审计安全移动终端应支持对本地办公数据访问、后台业务系统接入事件的记录及上报；移动终端应支持对设备硬件、网络、系统、应用及用户信息的统计及上报；移动终端应支持安全策略违规事件的记录及上报；移动终端应支持用户下载、查阅文档的记录及上报。

3、移动办公终端的安全技术规范现状

针对以上安全需求，国家信息安全主管部门近年来组织相关研究机构、设备厂商、安全厂商等进行了深入研究，发布了一系列移动终端信息安全技术规范及移动办公安全技术规范。

在移动设备信息安全技术要求标准规定方面，工信部于2007年发布了YD/T1699-2007《移动终端信息安全技术要求》，该标准规定了移动终端设备的总体安全要求、终端硬件安全要求、终端软件安全要求、操作系统安全要求及对安全应用支持；随后又相继发布了YD/T1886-2009《移动终端芯片安全技术要求和测试方法》、YD/T2407-2013《移动智能终端安全能力技术要求》、YD/T2408-2013《移动智能终端安全能力测试方法》。这一系列标准共同组成了对通用移动终端硬件、操作系统、外围接口、应用特性、用户数据保护等信息安全的基本要求。在移动办公信息安全等级保护标准规定方面，我国有GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》可供参考，但目前专门针对移动办公的等级保护规范及技术要求仍在制定中。

在政务移动办公信息安全标准方面，国家电子政务外网管理中心发布了《国家电子政务外网安全等级保护基本要求（试行）》，并于2014年发布了GW0101-2014《国家电子政务外网信息安全标准体系框架》及GW0202-2014《国家电子政务外网安全接入平台技术规范》等一系列移动办公相关规范；2016年6月，国家电子政务外网管理中心已在审核《电子政务外网移动办公系统安全技术规范（报批稿）》，即将正式发布。从现有的技术标准规范现状来看，目前政务移动办公方面的规范较为完善，这些规范对移动终端在移动办公场景下需采用的安全技术做出了框架规定。
4、移动办公终端的安全实现

参照以上移动办公终端的安全需求和安全技术规范现状，移动终端可采用以下安全技术/措施予以加固。

1）采用TF密码卡及数字证书技术，以满足身份认证需求；

2）采用IPSECVPN/SSLVPN技术，以满足通信安全需求；

3）采用EMM技术，以满足安全管理需求；

4）采用容器/沙箱技术，以满足数据安全及应用运行环境安全需求；

5）采用日志技术，以满足审计安全需求。

（1）TF密码卡及数字证书技术

移动终端可通过整合TF密码卡等形态的硬安全元件，实现本地办公数据存储、数据通信加解密运算。在移动终端硬安全元件中，写入第三方CA数字证书，作为唯一的身份标识及后台身份认证依据，保证非授权用户无法接入移动办公后台系统。数字证书存储个人身份信息及签名私钥，为移动终端提供数字签名、签名验证和数据加解密等密码服务，保证信息的加密性、完整性和不可抵赖性。必要时，可在TF密码卡硬件证书方式之外，引入多重身份认证因子，辅助进一步提升身份认证的安全性。

（2）IPSecVPN/SSLVPN技术

移动终端远程接入移动办公后台包括3种方式：基于互联网接入、基于专线接入、基于VPN接入。基于互联网接入灵活便捷，但安全性较差，访问速度慢；基于专线接入速度快，可靠性佳，用户体验好，但价格昂贵、灵活性差，适用于特定行业；基于VPN接入既灵活便捷，又能保证安全性和传输效率，集合了互联网和专线接入的优势，能为用户提供安全、便捷、高效、低成本的接入方案。所以，当移动终端通过移动蜂窝网络GPRS／3G／4G/5G或Wi-Fi等公共无线网络接入政务网络时，应构建VPN隧道安全传输。

目前，成熟的VPN应用技术包括IPSecVPN和SSLVPN。IPSec安全协议工作在网络层，安全性建立在隧道技术基础上，隧道间传输密文，两端是明文。IPSecVPN需在用户移动终端上安装特定VPN客户端，以建立安全隧道，没有装载IPSec客户端系统的远程用户不能连VPN。但IPSec安全协议方案在运行和长期维护方面，需要大量的IT技术和费用支持，在实际应用中，IPSec协议的移动终端通常只运行Windows系统和Android系统，很少在其他操作系统平台上运行。SSLVPN的安全性建立在SSL协议基础上，利用PKI证书体系完成加密传输。SSL协议基于Web浏览器，对客户端软硬件没有需求，易于配置和扩展。SSLVPN不受接入位置限制，可使更多远程用户在不同地点接入，对移动终端设备要求较低，因而降低了配置和运行支撑成本。SSLVPN要求，只有经认证的用户才能对资源进行访问，将不同访问权限赋予不同用户，实现伸缩性访问，这种精确接入控制功能对于远程接入IPSecVPN是不可能实现的。

（3）企业移动管理技术

企业移动管理（EMM）技术，是专为移动办公过程中统一管理大批量移动终端而研发的技术，它整合了移动设备管理（MDM）、移动应用管理（MAM）、移动内容管理（MCM）技术，在移动终端上的存在方式一般是EMM客户端软件。

MDM技术主要实现移动终端的信息查询及外围设备的统一管理，主要功能描述如下：

● 支持移动终端首次使用前注册到MDM平台，支持建立设备序列号、证书序列号、人员和手机号码等绑定关系；

● 支持移动终端设备信息统计，包括硬件、网络、系统、应用、位置及用户信息等；

● 支持远程对移动终端设备进行注销、禁用和锁定管理；

● 支持基于用户进行管理，支持一个用户绑定多个移动终端设备，支持通过用户分组和关联角色进行管理控制；

● 支持限制或禁用移动终端硬件模块功能，如摄像头、录音、蓝牙、麦克风等；

● 支持对移动终端的安全准入检查，不合规设备不准注册；

● 支持与接入认证网关联动，不合规的移动终端不准接入；

● 支持对移动终端的软硬件环境、运行状态及安全事件的持续监控、安全审计与预警；

● 支持针对终端违规行为采取有效控制措施；

● 若检测到移动终端有ROOT行为，立即锁定终端。

MAM技术主要实现移动终端上应用程序的统一管理，主要功能描述如下：

● 支持远程推送、安装移动企业应用到指定移动终端；

● 支持对移动企业应用的安装、使用情况进行统计；

● 支持对移动企业应用的版本管理，并可回退至指定历史版本；

● 通过建立企业移动应用商店，实现对移动企业应用的统一发布、更新和管理；

● 支持移动应用黑白名单策略，并设置移动企业应用的用户访问权限；

● 支持远程监控和管理移动终端上安装的企业应用，包括应用安装、更新和删除等；

● 删除移动企业应用的同时，擦除应用数据；

● 移动企业应用不应在未认证的移动终端中安装和运行；

● 支持违规自动处理，自动向使用者和管理者发出警告；

● 支持将沙箱等安全容器推送至移动终端默认安装，增加应用访问的安全性；

● 支持对移动企业应用进行安全扫描，阻止含恶意代码和严重漏洞的应用发布至应用商店；

● 支持对移动企业应用进行安全防护和加固，防止受到恶意程序的破坏、破解和篡改。

MCM技术主要实现移动终端上相关办公文档的统一管理，主要功能描述如下：

● 支持JPG、GIF、BMP、PDF、DOC、DOCX、XSL、CSV、TXT、HTML等多种格式文件的导入、上传、发布和下载；

● 支持企业办公文档的分类管理，并设置用户访问权限，如读写、拷贝、下载等；

● 支持向移动终端自动分发或推送企业办公文档；

● 支持对用户下载、查阅文档的统计记录。

（4）容器/沙箱技术

容器/沙箱技术是一种按照安全策略，限制程序行为的执行环境，早期主要用于测试可疑软件等，现在则主要运用在信息安全防御中，是比较新的技术。更高级的沙箱技术需与本地数据加密技术相结合。沙箱在读写数据时，采用软密码算法或直接调用硬件密码模块（如TF密码卡），对办公数据进行加密存储、解密访问，并在删除时彻底清除数据存储空间，从而满足上述数据的安全需求。移动终端上的沙箱技术通常以安全SDK的形式，向第三方移动办公应用开放调用接口。

（5）日志记录技术

移动终端上的EMM软件及VPN软件中，可实现较强的日志记录能力，从而满足上述审计安全需求。

移动终端上的EMM软件应支持对移动终端运行状态的统计上报；支持对用户移动终端上的办公应用访问操作进行审计及上报；支持对移动终端的设备状态变化及用户违规行为等安全事件进行审计及上报；支持用户对敏感文档操作事件的审计及上报。

移动终端上的VPN软件应支持对移动终端接入移动办公后台系统事件的审计及上报。审计日志应记录事件的发生时间、对象、描述和结果等，便于后台管理员分析追溯。