摘要:目前不少政企已经具有一定的无线网络基础与相应的应用系统,同时未来将会迅速发展。基础设施可能会扩展到所有局域网覆盖范围;终端类型将会把手机、平板电脑、笔记本等纳入到业务终端之中,而且异构终端如智能机器人、无人机、传感器、网络摄像头等数量也会有明显增长;业务系统则可能专门为移动化办公开发新的业务系统并制定专门的工作流程。从全局角度分析,无线网络基础设施建设的扩大能够有效提升移动办公的便捷性,但值得注意的是,无线信号覆盖面增强也方便了非法终端接入,无线信号与有线网络相比,其边界更为模糊,信号可能会泄露到物理办公边界之外,使得非法人员无需通过门卫等安保措施审核即可截取到相关信号。截取后无论是进行数据监听还是网络攻击都会变得更加简单。
关键词:移动办公;终端信息;安全技术
1移动办公终端面临的安全风险
移动办公融合了移动通信、智能终端、信息技术,与传统电子办公相比有很大区别,使用公共无线信道传输信息,对移动终端有更多的控制权;移动终端在有访问需求时,会接入用户业务内网,可以说,移动办公的安全问题不仅包含了传统电子办公系统的安全问题,还包含了移动化引入的许多新的安全问题与隐患。这些新的安全风险包括如下5个方面。(1)移动终端违规接入用户业务内网。由于移动办公涉及公共移动运营商网络,若缺乏有效的移动终端身份认证机制及接入权限控制措施,则存在来自非法终端或恶意用户对办公信息系统进行非授权或异常访问的风险。(2)移动终端无线信道潜在的窃听风险。在移动通信网络中,主要通过无线信道传送网络通信内容。通过适当的无线设备,任何人都可利用相应技术手段,窃听无线信道来获得所需信息。若在移动办公过程中,通过无线信道传输的信息未加密,则存在严重的泄露风险。(3)移动终端的离散化特性加大了数据的监管难度。由于移动终端位于用户身边,地理位置相对分散,因此加大了移动终端及其数据访问管理、跟踪审计等难度。若缺乏必要管控手段,则可能出现监管死角,造成办公数据泄露。(4)移动终端易丢失、更换频繁。由于移动终端具有随身携带方便、易用等特点,办公人员易将敏感的商业信息和个人资料存入其中,与携带者一起流动,增加了丢失和被窃概率。另外,移动终端的更换周期相对较短,缺乏专业的回收或销毁机制,淘汰产品通过二手市场流传[1],容易造成办公信息泄露。(5)移动终端应用程序管理困难。移动终端使用者可能从不受监管的第三方下载并安装移动应用程序,这些应用程序可能预先被感染或被篡改,后续的升级、新增、下架应用程序等操作,也缺乏统一管理手段。
2基于场景的防护策略
2.1无线安全态势感知
传统态势感知往往侧重于有线端的威胁识别,很少涉及到无线射频层面的安全态势感知,当黑客通过无线射频层面的异常入侵,并伪装成合法用户,将较难以通过有线端的态势感知察觉。无线安全态势感知可以通过无线射频层面的大数据分析计算,可以标记出每个出现在射频环境内的终端危险等级,监控无线终端的一举一动,一旦发现有可疑的射频入侵行为,立即予以感知呈现。
2.2终端漏洞防护
智能手机与其他智能机器人等异构终端所采用的操作系统都比较繁多,版本不一,有些设备甚至采用高度定制的软件系统,安全性可能存在大量未知漏洞。一旦漏洞被恶意人员掌握,从设备控制权到巡逻的业务数据,都有可能面临非常大的威胁。
2.3网络威胁建模
长期的信息化建设下,不少政企的网络设备、应用系统和移动终端日渐增多,各类安全日志、告警信息也随之增多,导致真正的安全问题、威胁情报被淹没,网络与信息安全防护压力也越来越大,安全事件发生的可能性随之增加。
期刊文章分类查询,尽在期刊图书馆由于网络的复杂化及攻击手段的多样化,传统安全设备缺少对流量的深入分析,难以准确的判断入侵行为及入侵行为造成的影响,导致数据泄漏、业务应用系统使用受阻等情况发生。对于这些场景,通过网络威胁建模技术,对网络拓扑、安全设备清单、安全设备的配置策略、告警策略、漏洞扫描报告以及业务系统受访问次数,流量大小等信息进行分析,针对每一个特殊的场景进行对应的防御模型。
2.4通信加密
差旅办公场景虽然变化多端,但均发生在网络安全系统不可控的环境中,因此要随时做好通道被窃听,数据被截获的准备。为预防此类事件发生后导致的大量安全问题,需要在节点接入、身份校验、通信过程方面进行全流程加密。方案将研究高度安全的节点接入技术,以确保终端在接入过程中能够顺利与AP或者信号基站建立连接,同时自身设备、系统、人员等信息不会随着连接而泄露,对诱导性的所谓“认证界面”进行警惕性防御,防止差旅人员在接入过程中发送泄露敏感信息的事情发生。在身份校验方面,方案将研究业务系统对终端的动态认证技术,确保合法人员使用合法设备进行接入。
2.5业务数据防落地
业务数据可能会因为差旅人员的随意操作而导致泄露,因此存储有业务数据的差旅办公终端,如手机、平板电脑等都需要有效的DLP机制。因此,根据终端类型、操作系统的不同情况,提供一套合适的安全解决方案。使得用户不能随意的使用USB连接电脑、不能插入SD卡拷贝设备数据等,做到行为上的安全防护。而就基于Android、iOS系统的设备上,则采取数据隔离的方式,避免数据留存在本地存储上从而被非法提取。
3产品实现方案
3.1云端部分
1)云端管理平台,主要提供的是基础的平台运营能力,包括策略的定制、租户管理,移动推送、用户管理、工单体系等重要模块。2)应用云管理平台是用于企业使用公有云发布应用的平台,其使用与平台相同的用户验证体系,在应用方面,以提供应用加固、应用管理与安全检测为核心服务。
3.2本地部分
1)UEBA功能的设计,主要针对客户的具体使用环境下的特征分析,对移动终端的合法使用提供准确的分析数据。2)综合管理平台的建设,主要进行策略定制、策略管理、策略分发、资产管理、设备管控、桌面管理、协同管理、数据管控、应用管理、可信管理、无线管控、设备安全与本地应用安全等功能;3)身份验证平台的建设,主要进行可信用户的相关验证策略的数据收集、数据处理与管理的相关功能;4)可信信道网关的建设,主要进行NAC网关、VPN网关的相关策略定制、策略实现与设备管控的功能。
4结论
移动办公是当今高速发展通信行业与计算机行业融合的产物,它将通信行业在沟通上的便捷、在用户上的规模,与计算机行业在软件应用上的成熟、在业务内容上的丰富,较好地结合在一起.将办公系统完全移植到智能移动终端,可以较大地提高工作效率和工作水平,有效地进行科学管理.在应用上实现方便、高效、快捷的同时,移动办公应用模式也存在较多安全问题.在通过智能移动设备访问办公应用时,移动互联网平台架构开放、终端与用户身份紧密关联、网络接人类型多样、数据易获取等特点,使得内部信息资源推送至智能移动终端时具有较高安全风险.鉴于上述情况需要构建安全的移动办公环境,确保用户能够安全、便捷地访问到内部的业务应用,保障内部信息推送至终端的安全性.从移动办公基本框架看,确保在用户层面、网络层面、接人层面和应用层面的各个环节实现安全可控,才能够保证用户在一个相对安全的环境中使用移动办公的各项功能,也能实现对单位内部网络与信息系统的安全保护。
参考文献:
[1]陈庆辉.浅谈移动终端应用的信息安全[J].科技经济导刊,2016,(16):18-19.
论文作者:邓新强
论文发表刊物:《基层建设》2018年第1期
论文发表时间:2018/5/18
标签:终端论文; 数据论文; 业务论文; 用户论文; 移动办公论文; 网络论文; 策略论文; 《基层建设》2018年第1期论文;