移動(dòng)政務(wù)辦公模式下等級(jí)保護(hù)基本要求探討

◆朱凱華 王和平

（內(nèi)蒙古自治區(qū)人民檢察院 內(nèi)蒙古 010000）

移動(dòng)政務(wù)辦公模式下等級(jí)保護(hù)基本要求探討

◆朱凱華 王和平

（內(nèi)蒙古自治區(qū)人民檢察院 內(nèi)蒙古 010000）

移動(dòng)政務(wù)辦公是政府職能轉(zhuǎn)變的一種方式，顯著提高了工作效率、服務(wù)質(zhì)量。安全技術(shù)為其更好的發(fā)展提供了保障基礎(chǔ)，但傳統(tǒng)等級(jí)保護(hù)對移動(dòng)政務(wù)辦公在移動(dòng)終端、通信網(wǎng)絡(luò)、服務(wù)器（虛擬化）及數(shù)據(jù)等方面缺失或缺少安全技術(shù)方面的防護(hù)措施，本論文在等級(jí)保護(hù)基礎(chǔ)上，對上述四方面在新的工作模式下所受威脅，進(jìn)行分析并提出了應(yīng)對技術(shù)措施，以達(dá)到等級(jí)保護(hù)的適用性。

移動(dòng)政務(wù)辦公；等級(jí)保護(hù)；虛擬化

0 引言

移動(dòng)互聯(lián)技術(shù)及BYOD的出現(xiàn)發(fā)展，使生活、娛樂移動(dòng)化變?yōu)槌B(tài)，政府部門在業(yè)務(wù)模式、公眾需求驅(qū)動(dòng)下正由固定式政務(wù)辦公向移動(dòng)式政務(wù)辦公轉(zhuǎn)變。

移動(dòng)政務(wù)辦公在帶來業(yè)務(wù)高效、服務(wù)便捷及資源利用同時(shí)，在安全技術(shù)、管理方面面臨著嚴(yán)峻挑戰(zhàn)。等級(jí)保護(hù)系列標(biāo)準(zhǔn)是針對邊界明晰、物理實(shí)體及有線通信的傳統(tǒng)政務(wù)系統(tǒng)，從計(jì)算環(huán)境安全、網(wǎng)絡(luò)通信安全、區(qū)域邊界安全三部分提供安全防護(hù)的，而對于移動(dòng)政務(wù)的移動(dòng)性、虛擬性及多終端性沒有實(shí)質(zhì)性的安全定義，所以完全套用等級(jí)保護(hù)不能保障移動(dòng)政務(wù)的安全，對等級(jí)保護(hù)也是一種挑戰(zhàn)。

1 移動(dòng)政務(wù)辦公概述

1.1 移動(dòng)政務(wù)辦公與傳統(tǒng)政務(wù)辦公比對

移動(dòng)政務(wù)辦公與傳統(tǒng)政務(wù)辦公從業(yè)務(wù)模式、安全威脅、安全防護(hù)及安全參考標(biāo)準(zhǔn)等四個(gè)方面進(jìn)行對比。

（1）業(yè)務(wù)模式

移動(dòng)化政務(wù)可實(shí)現(xiàn)高效、多業(yè)務(wù)應(yīng)用的實(shí)時(shí)辦公。傳統(tǒng)化政務(wù)辦公在多業(yè)務(wù)應(yīng)用的情況下時(shí)效性較低。

（2）安全威脅

移動(dòng)化政務(wù)的安全威脅可從三方面概述：

①虛擬化環(huán)境引入新的風(fēng)險(xiǎn)：虛擬化平臺(tái)/VMM自身的安全漏洞、虛機(jī)隔離（由于共享硬件，可能以虛機(jī)為跳板進(jìn)行攻擊，造成虛機(jī)全部癱瘓）、資源分配問題等。

②傳統(tǒng)信息安全威脅：非法接入/外聯(lián)、惡意代碼、木馬、DDos攻擊、釣魚攻擊、網(wǎng)絡(luò)攻擊、漏洞掃描、緩沖區(qū)溢出等。

③信息安全效應(yīng)影響（間接威脅）：數(shù)據(jù)泄露或損失更嚴(yán)重、惡意傳播更迅速、社會(huì)影響更大等。

傳統(tǒng)化政務(wù)的安全威脅主要來自傳統(tǒng)安全威脅：移動(dòng)化政務(wù)中的②所有。

（3）安全防護(hù)

傳統(tǒng)化政務(wù)的安全防護(hù)主要是傳統(tǒng)安全手段：防火墻、IDS/IPS、安全網(wǎng)關(guān)、安全審計(jì)、PKI/CA、應(yīng)用交付、防病毒等。

移動(dòng)化政務(wù)的安全防護(hù)可從兩方面入手：

①虛擬化安全技術(shù)：虛擬防火墻、虛擬安全審計(jì)、虛擬IPS/IDS及虛擬防病毒等。

②新興安全技術(shù)：威脅情報(bào)感知、大數(shù)據(jù)安全平臺(tái)、安全可視化等。

（4）安全參考標(biāo)準(zhǔn)

①傳統(tǒng)化政務(wù)安全參考標(biāo)準(zhǔn)主要是等級(jí)保護(hù)系列標(biāo)準(zhǔn)和國家地方相關(guān)政務(wù)安全標(biāo)準(zhǔn)規(guī)范，如《電子政務(wù)標(biāo)準(zhǔn)化指南及六項(xiàng)電子政務(wù)相關(guān)標(biāo)準(zhǔn)》、《電子政務(wù)信息安全國家標(biāo)準(zhǔn)宣》、《北京市移動(dòng)電子政務(wù)平臺(tái)總體技術(shù)要求》等。

②移動(dòng)化政務(wù)安全參考標(biāo)準(zhǔn)主要是基于等級(jí)保護(hù)系列標(biāo)準(zhǔn)和相關(guān)傳統(tǒng)電子政務(wù)標(biāo)準(zhǔn)，現(xiàn)階段沒有針對移動(dòng)政務(wù)安全的專用標(biāo)準(zhǔn)。

1.2 移動(dòng)政務(wù)辦公架構(gòu)模型

移動(dòng)政務(wù)辦公按照業(yè)務(wù)數(shù)據(jù)流的流轉(zhuǎn)，可以劃分為三個(gè)域：移動(dòng)終端域、通信網(wǎng)絡(luò)域、業(yè)務(wù)應(yīng)用域，如圖1所示。

（1）移動(dòng)終端域：由各種操作系統(tǒng)（Android、IOS、Symbian、Windows phone等）的移動(dòng)終端設(shè)備（智能手機(jī)、BYOD、平板、定制設(shè)備等）組成，其是整個(gè)移動(dòng)平臺(tái)的基礎(chǔ)支撐，提供政務(wù)業(yè)務(wù)的源數(shù)據(jù)，通過C/S、B/S模式與業(yè)務(wù)應(yīng)用域進(jìn)行通信。

（2）通信網(wǎng)絡(luò)域：用于傳輸端到端數(shù)據(jù)的移動(dòng)網(wǎng)絡(luò)域，主要包括運(yùn)營商網(wǎng)絡(luò)（GSM、CDMA及LTE）、互聯(lián)網(wǎng)及公共信息網(wǎng)絡(luò)等。該區(qū)域介于終端域與業(yè)務(wù)應(yīng)用域之間，并與業(yè)務(wù)應(yīng)用域邏輯隔離。

（3）業(yè)務(wù)應(yīng)用域：用于完成移動(dòng)政務(wù)辦公業(yè)務(wù)，是移動(dòng)平臺(tái)的核心，主要包括服務(wù)前置、數(shù)據(jù)交換平臺(tái)及應(yīng)用處理環(huán)境。

通過對移動(dòng)政務(wù)辦公架構(gòu)模型分析，基于對《基本要求》的理解，應(yīng)更關(guān)注移動(dòng)終端所受的安全威脅及采取應(yīng)對措施，對網(wǎng)絡(luò)安全、主機(jī)安全等進(jìn)行威脅分析及措施防范。

圖1 移動(dòng)政務(wù)辦公架構(gòu)模型

2 移動(dòng)政務(wù)辦公模式下等級(jí)保護(hù)基本要求安全需求

國務(wù)院147號(hào)令明確指出“對信息系統(tǒng)實(shí)行等級(jí)保護(hù)是國家法定制度和基本國策；是信息安全保護(hù)工作的發(fā)展方向”。移動(dòng)政務(wù)辦公屬于信息系統(tǒng)，但基于移動(dòng)政務(wù)辦公的特性及其用到的新技術(shù)，等級(jí)保護(hù)安全措施并不完全適用于移動(dòng)政務(wù)辦公，需在現(xiàn)有安全基礎(chǔ)上結(jié)合移動(dòng)辦公受到威脅對等保進(jìn)行相應(yīng)的完善改進(jìn)。

基于等級(jí)保護(hù)中的技術(shù)安全，增加了技術(shù)類“終端安全”，并對“網(wǎng)絡(luò)安全、主機(jī)安全及數(shù)據(jù)安全”中的控制點(diǎn)/要求項(xiàng)依據(jù)所受威脅進(jìn)行了安全防護(hù)措施的部署，對物理安全、應(yīng)用安全暫不考慮。

2.1 終端安全

終端是移動(dòng)政務(wù)信息來源，其安全性直接關(guān)系到政務(wù)的成敗，移動(dòng)終端受到的威脅主要表現(xiàn)在以下幾個(gè)方面：

（1）終端準(zhǔn)入機(jī)制不健全：由于移動(dòng)終端設(shè)備的多樣性，有些終端在未經(jīng)過合法身份認(rèn)證隨意接入網(wǎng)絡(luò)，訪問計(jì)算和網(wǎng)絡(luò)資源，對整個(gè)移動(dòng)政務(wù)平臺(tái)造成安全威脅。

（2）終端系統(tǒng)漏洞：移動(dòng)終端系統(tǒng)不同于PC系統(tǒng)，其呈現(xiàn)多樣性、碎片化，如現(xiàn)行Android系統(tǒng)，其發(fā)行與更新各廠商相互獨(dú)立，系統(tǒng)本身存在漏洞。另一方面，辦公軟件、娛樂軟件、媒體播放器及瀏覽器等常用應(yīng)用軟件存在漏洞。這些漏洞如不及時(shí)修復(fù)，將感染病毒、木馬等惡意代碼。

（3）惡意代碼攻擊方式種類繁多：現(xiàn)行的惡意代碼（木馬、病毒、蠕蟲）、垃圾郵件、流氓軟件、網(wǎng)頁掛馬及U盤病毒等通過線上線下方式對終端系統(tǒng)產(chǎn)生安全威脅。

（4）系統(tǒng)補(bǔ)丁及軟件升級(jí)包未經(jīng)第三方安全測試：基于網(wǎng)絡(luò)在線升級(jí)，加快了軟件更新速度和頻率，但多數(shù)補(bǔ)丁、軟件包沒有經(jīng)過第三方安全測試，其可用性、完整性及適用性，特別是安全性難以得到保障。

（5）用戶安全意識(shí)淺薄：由于終端用戶對移動(dòng)安全認(rèn)識(shí)的粗淺、保護(hù)移動(dòng)設(shè)備觀念不足及不良行為習(xí)慣，造成移動(dòng)終端潛在的威脅，如移動(dòng)設(shè)備系統(tǒng)補(bǔ)丁陳舊、安全配置不正確，常用軟件未及時(shí)更新等。有些用戶出于個(gè)人利益將政務(wù)信息泄露給間諜，造成國家安全損害。

面對移動(dòng)終端威脅，為做好防護(hù)措施，并與等級(jí)保護(hù)相對應(yīng)，在等保基礎(chǔ)上增加以下技術(shù)要求項(xiàng)：

（1）移動(dòng)終端硬件安全：終端唯一身份標(biāo)識(shí)（終端集成數(shù)字證書、安全介質(zhì)（TF卡、USB KEY）存儲(chǔ)數(shù)字證書、TF卡+SIM卡+終端設(shè)備號(hào)等三種方式）、終端安全訪問及終端授權(quán)。

（2）操作系統(tǒng)安全：系統(tǒng)安全加固、一致性校驗(yàn)（裝載器、內(nèi)核及配置信息校驗(yàn)并對輸入/輸出接口進(jìn)行安全控制）和完整性保護(hù)、API調(diào)用權(quán)限分級(jí)控制保護(hù)及及時(shí)更新操作系統(tǒng)（從官網(wǎng)實(shí)施該操作）。

（3）終端網(wǎng)絡(luò)準(zhǔn)入控制：通過配置準(zhǔn)入安全策略控制移動(dòng)終端的驗(yàn)證接入。對于終端認(rèn)證成功但其安全性檢測沒有通過的，需將放入安全隔離區(qū)域進(jìn)行完整性修復(fù)；對于認(rèn)證、安全性檢測都通過的，才允許準(zhǔn)入接入；對于認(rèn)證失敗的，直接阻斷網(wǎng)絡(luò)連接。

（4）確保系統(tǒng)及應(yīng)用軟件安全防護(hù)：通過安裝經(jīng)過第三方安全測評(píng)中心測評(píng)通過的插件、更新程序和其他安全工具，確保其系統(tǒng)安全性，并且定期對其進(jìn)行防病毒檢測、漏洞掃描及安全審計(jì)等。

（5）統(tǒng)一部署終端安全策略

通過終端安全防護(hù)系統(tǒng)進(jìn)行安全策略的統(tǒng)一下發(fā)，包括密碼設(shè)置（密碼長度、數(shù)字+字母結(jié)合等）、漏洞更新策略、惡意代碼掃描策略及系統(tǒng)配置等，并搜集安全日志進(jìn)行統(tǒng)計(jì)分析。

（6）規(guī)范日常使用行為：從官網(wǎng)下載安裝經(jīng)過認(rèn)證的應(yīng)用軟件并提防要求獲取高危敏感權(quán)限的軟件、不隨意點(diǎn)擊鏈接（釣魚攻擊）、不隨意掃碼、設(shè)置復(fù)雜度較高的密碼及增強(qiáng)安全意識(shí)等。

2.2 通信網(wǎng)絡(luò)安全

移動(dòng)通信是移動(dòng)政務(wù)辦公中傳輸信息的通道，其主要的安全威脅為：

（1）鏈路設(shè)計(jì)威脅：由于多類型網(wǎng)絡(luò)（包括運(yùn)營商網(wǎng)絡(luò)、互聯(lián)網(wǎng)及各種公共網(wǎng)絡(luò)），使得網(wǎng)絡(luò)上存在眾多不可控和不可知的監(jiān)聽、攻擊手段（篡改、中間人攻擊、重放攻擊等）。

（2）內(nèi)網(wǎng)安全威脅：傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)設(shè)備只針對物理實(shí)體間防護(hù)，而對虛機(jī)與虛機(jī)/虛機(jī)與物理機(jī)間網(wǎng)絡(luò)通信沒有防護(hù)作用，使得其間出現(xiàn)惡意代碼、病毒、DDos、漏洞掃描等傳統(tǒng)安全威脅。

面對通信網(wǎng)絡(luò)安全威脅，基于等保網(wǎng)絡(luò)安全控制點(diǎn)，采取如下技術(shù)措施：

（1）通信認(rèn)證：通過采用虛擬網(wǎng)卡+代理方式對數(shù)據(jù)進(jìn)行封裝；采用基于雙向的協(xié)商協(xié)議進(jìn)行密鑰交換和身份驗(yàn)證，并采用RSA簽名技術(shù)，確保移動(dòng)端不可否認(rèn)性。

（2）虛機(jī)通信安全：通過在Hypervisor層部署軟件/虛擬防火墻、軟件/虛擬防病毒引擎等來對虛機(jī)與物理機(jī)之間、虛機(jī)與虛機(jī)之間通信進(jìn)行安全防護(hù)。

（3）訪問控制：通過在Hypervisor層部署軟件/虛擬防火墻并配置策略對虛機(jī)進(jìn)行訪問控制，并可實(shí)現(xiàn)對通過物理機(jī)流入虛擬網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行L2-L7的過濾。

（4）審計(jì)操作安全：通過在Hypervisor層部署VMM管理審計(jì)引擎，可實(shí)現(xiàn)對VMM管理員的身份鑒別、訪問控制及操作行為審計(jì)；部署用戶操作審計(jì)引擎，可實(shí)現(xiàn)對用戶的操作行為進(jìn)行監(jiān)控；部署網(wǎng)絡(luò)審計(jì)引擎，對虛機(jī)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控審計(jì)；部署堡壘機(jī)對運(yùn)維人員的行為操作進(jìn)行審計(jì)。

（5）入侵檢測/惡意代碼防范：在Hypervisor層部署防病毒引擎，通過安全虛機(jī)對病毒、惡意代碼進(jìn)行檢測清除。

2.3 主機(jī)安全

移動(dòng)政務(wù)辦公采用了虛擬化技術(shù)，對業(yè)務(wù)應(yīng)用相關(guān)服務(wù)器進(jìn)行虛擬化，保證了資源高效利用，同時(shí)引入了虛擬化安全威脅，主機(jī)安全威脅主要包括：

（1）虛擬化平臺(tái)自身威脅：現(xiàn)有的虛擬化平臺(tái)大都是國外產(chǎn)品（Vmware、KVM、Hyper-V等）或開源產(chǎn)品，平臺(tái)自身存在安全漏洞。

（2）虛擬資源分配不合理：服務(wù)器虛擬化后，其上的虛機(jī)運(yùn)行不同的應(yīng)用，應(yīng)用對共享硬件資源進(jìn)行競爭，導(dǎo)致服務(wù)器負(fù)載過重。

（3）虛機(jī)用戶身份威脅：虛機(jī)用戶可能通過社會(huì)工程學(xué)、暴力攻擊及遍歷等方式對虛機(jī)進(jìn)行非法接入。

（4）訪問授權(quán)威脅：在沒有授權(quán)情況下，對虛機(jī)進(jìn)行訪問，并盜取數(shù)據(jù)。

（5）惡意代碼威脅：虛機(jī)可能受到來自內(nèi)部、外部惡意代碼的威脅，造成虛擬池資源的感染。

（6）入侵攻擊：虛機(jī)可能受到來自黑客、個(gè)人的攻擊，可能攻擊自己，也可能以為跳板，攻擊其他的虛機(jī)，造成物理機(jī)的癱瘓。

面對虛擬化主機(jī)威脅，在等保基礎(chǔ)上，增加或改進(jìn)如下措施加以防護(hù)：

（1）虛擬化平臺(tái)更新及補(bǔ)丁：對平臺(tái)及時(shí)進(jìn)行更新修復(fù)、禁止或關(guān)閉不用的端口和服務(wù)、關(guān)閉不用的虛機(jī)、僅安裝所需的程序。

（2）服務(wù)器負(fù)載安全：通過對物理主機(jī)進(jìn)行不斷的監(jiān)控來分析其容量的使用，并依據(jù)服務(wù)高峰期的時(shí)間及資源需求來確定工作負(fù)荷。

（3）身份鑒別：可采取雙因子鑒別、強(qiáng)口令、動(dòng)態(tài)口令及生物識(shí)別等方式。

（4）訪問授權(quán)：在Hypervisor層部署虛擬防火墻或軟件防火墻實(shí)現(xiàn)基于虛擬防火墻的訪問控制。

（5）虛機(jī)通信方式：虛機(jī)與主機(jī)間通信，通過使用強(qiáng)化加密或VPN方式確保其間通信安全；虛機(jī)與虛機(jī)間通信，通過不同網(wǎng)段的獨(dú)立接口確保其間通信安全。

（6）安全審計(jì)：在核心網(wǎng)絡(luò)層部署堡壘主機(jī)，實(shí)現(xiàn)對運(yùn)維人員的全程行為操作的審計(jì)，并將審計(jì)內(nèi)容進(jìn)行分析整理。

（7）惡意代碼防范：在Hypervisor層部署防病毒、防木馬檢查監(jiān)測引擎，并通過安全虛擬機(jī)實(shí)現(xiàn)對虛機(jī)的的惡意代碼、病毒的檢查和清除。

（8）資源控制安全：通過統(tǒng)一監(jiān)管平臺(tái)對所有的虛擬服務(wù)器進(jìn)行監(jiān)視，包括虛機(jī)的CPU、內(nèi)存、網(wǎng)絡(luò)及硬盤等相關(guān)資源。

2.4 數(shù)據(jù)安全

移動(dòng)政務(wù)辦公中依據(jù)數(shù)據(jù)流的流轉(zhuǎn)方式，數(shù)據(jù)存在的安全隱患集中在移動(dòng)終端側(cè)、通信網(wǎng)絡(luò)側(cè)及業(yè)務(wù)存儲(chǔ)側(cè)。

移動(dòng)終端側(cè)主要是受各異終端平臺(tái)、非官方應(yīng)用軟件及用戶不良習(xí)慣等對數(shù)據(jù)的存儲(chǔ)和訪問威脅；通信網(wǎng)絡(luò)側(cè)主要是受多類型網(wǎng)絡(luò)傳輸威脅；業(yè)務(wù)存儲(chǔ)側(cè)主要受到異構(gòu)存儲(chǔ)介質(zhì)（SATA、SAS、SSD等）、網(wǎng)絡(luò)文件系統(tǒng)及存儲(chǔ)備份策略等威脅。

為保障各環(huán)節(jié)數(shù)據(jù)的安全，采取以下技術(shù)措施：

（1）移動(dòng)端數(shù)據(jù)存儲(chǔ)：將敏感數(shù)據(jù)存儲(chǔ)到加密卡（如TF卡、內(nèi)置加密模塊等）中，確保統(tǒng)一存儲(chǔ)。

（2）數(shù)據(jù)完整性與保密性：通過采用專網(wǎng)方式（物理專網(wǎng)、虛擬專網(wǎng)）進(jìn)行端到端的加密通信。

（3）業(yè)務(wù)應(yīng)用端數(shù)據(jù)存儲(chǔ)：通過分布式存儲(chǔ)技術(shù)，將數(shù)據(jù)存儲(chǔ)到不同的物理位置上，并定期/不定期的備份恢復(fù)，對于重要數(shù)據(jù)可異地備份，應(yīng)定期執(zhí)行應(yīng)急演練。

3 總結(jié)

移動(dòng)政務(wù)辦公已逐漸成為政府辦公發(fā)展的新模式，安全保障是其穩(wěn)定、健康發(fā)展的基礎(chǔ)。本論文基于等級(jí)保護(hù)基本要求，在此基礎(chǔ)上對各控制點(diǎn)加以思考并增加了相應(yīng)的防護(hù)措施。其中移動(dòng)終端安全作為新增加控制點(diǎn)，對其受到的威脅進(jìn)行分析并提出了相應(yīng)的防護(hù)手段；通信網(wǎng)絡(luò)安全、主機(jī)安全及數(shù)據(jù)安全在等保基礎(chǔ)上并結(jié)合移動(dòng)政務(wù)辦公特點(diǎn)提出了改進(jìn)措施。

等級(jí)保護(hù)基本要求在移動(dòng)政務(wù)辦公模式下需反復(fù)論證、修改，才可適應(yīng)其安全要求。

[1]馬帥.等級(jí)保護(hù)設(shè)計(jì)要求下的移動(dòng)業(yè)務(wù)系統(tǒng)安全防御體系[J].保密科學(xué)技術(shù)，2012.

[2]蘇陽浪.基于等級(jí)保護(hù)的電子政務(wù)安全保障體系設(shè)計(jì)與實(shí)現(xiàn)[J].全國信息安全等級(jí)保護(hù)技術(shù)大會(huì)會(huì)議，2013.

[3]蔡鵬程，馮方回.等級(jí)保護(hù)與政務(wù)終端安全[J].等級(jí)保護(hù)，2010.

[4]劉洋.移動(dòng)電子政務(wù)平臺(tái)問題研究[D].吉林大學(xué)，2010.

[5]王炳輝，黃春.移動(dòng)辦公的安全解決方案[J].移動(dòng)通信，2010.

[6]唐莉莉.移動(dòng)辦公系統(tǒng)解決方案及其安全體系[J].數(shù)字技術(shù)與應(yīng)用，2010.

[7]李健.政府信息系統(tǒng)應(yīng)對云安全問題的解決方案[J].數(shù)字化用戶，2014.