移動辦公終端信息安全技術研究

董晶晶，霍珊珊，袁 泉，孫 琪，劉藝翔

(1.中國電子科技集團公司第十五研究所 北京 100083;2.信息產業信息安全測評中心，北京 100083)

0 引 言

隨著移動互聯網技術的飛速發展，移動智能終端設備的功能越來越強大，移動智能終端在人們的工作和生活中扮演著越來越重要的角色。移動智能終端為企事業單位提供了更為豐富的辦公渠道、提高了工作效率，同時，也為企事業單位保護和維護系統安全、數據安全帶來了更大的挑戰。移動智能終端接入辦公網絡，要考慮的安全包括移動終端安全[1-4]、通信網絡安全、移動接入區安全三部分。接入部分的安全使用傳統的安全技術手段就可以解決，如部署邊界防護設備等，而對于移動終端安全和通信網絡安全，不是簡單部署一套移動辦公終端管理系統對終端進行監測和管理就能解決的，移動辦公終端自身的安全性更加值得關注。

文中首先對移動辦公終端面臨的安全問題進行分類，分析不同類別的安全問題及其可能的應對策略，然后對比分析基于沙箱防護和雙系統兩種移動辦公終端安全技術，并驗證兩種技術方案的有效性，最后對研究成果進行總結展望。

1 移動辦公終端安全問題及應對策略

1.1 非法移動終端接入

由于移動辦公場景的多樣性、靈活性以及無線接入的開放性，導致內部的重要數據資源處于一種完全暴露的狀態。如果在用戶接入時，不能對接入終端合法性進行有效鑒別，將導致非法移動終端通過偽裝身份后，接入內部網絡訪問內部重要資源，導致信息泄露。使用不易偽造的終端設備及嚴謹的終端管理和認證方式，確保接入終端的合法身份，最大程度防止非法接入。

1.2 移動終端惡意程序侵入

移動設備隨時隨地聯網的特性，如果對其安全防護不夠，很容易遭受惡意程序的攻擊。目前，針對移動終端惡意程序大肆傳播，在終端設備后臺執行靜默安裝，不僅能夠竊取終端設備隱私、敏感數據甚至能夠進行遠程控制，造成內部重要信息資源和數據被竊的安全風險。對移動終端應用程序進行嚴格的管理和監控，實現應用的合法安裝和運行，避免引入惡意程序。

1.3 移動終端企業數據和個人數據混合存儲

移動終端設備企業內部數據和個人數據不加以區分存放，而且通常是明文存儲，容易導致數據丟失和被盜，輕易被非法使用，造成內部數據泄露。移動終端連接內部網絡時，實現內部數據與其他數據隔離存放，并且進行加密存儲，避免數據外泄。

1.4 移動終端不安全連接

移動辦公終端訪問內部網絡資源時，數據在無加密的傳輸通道或以明文方式進行傳輸時，使得數據容易被竊聽或篡改。同時，由于無線網絡的開放性和惡意接入點的存在，更是增加了移動辦公終端接入的安全問題，給內部數據的保護帶來了隱患。因此，一方面需要對移動終端連接無線網絡進行嚴格管理；另一方面，移動辦公終端連接內部網絡時，強制執行安全連接和加密傳輸，最大限度地避免傳輸數據泄露。

1.5 移動終端丟失泄密

移動終端設備體積較小，攜帶方便，在便捷的同時也容易丟失或被盜，非法獲取者可能獲取終端中存儲的敏感數據，甚至利用終端設備保存的信息冒充使用者身份訪問內部系統和數據，造成內部數據被竊和泄露。在移動辦公終端丟失或處于不可信狀態時，終端自身應具有安全保護措施，確保其存儲的敏感信息不被非法獲取，其合法身份信息不被非法使用。

2 移動辦公終端安全技術研究

針對上述移動辦公終端可能面臨的安全隱患，為了解決存在的安全問題，提出了兩種應對技術。

2.1 基于沙箱防護的移動辦公終端安全技術

沙箱[5]是在移動終端設備系統層面運行并創建的虛擬環境，包括主屏幕、任務欄、應用程序及小組件，能夠實現與外部(用戶個人使用空間)應用程序及數據隔離的一種技術。沙箱通過在終端上創建安全的虛擬運行環境，將自身運行與終端本地的運行嚴格區分開，進行安全隔離，從而實現專門地處理內部應用程序和數據，稱為“工作空間”。工作空間中通常運行著內部的一些應用程序，如內網電子郵件、內網應用、瀏覽器，下載和存儲著內網的一些數據，而且對數據進行加密存儲。沙箱外部運行個人使用的應用程序，稱為“個人空間”，個人空間中的應用程序不能訪問工作空間中的任何數據；工作空間中的應用程序通常也不能與個人空間中的應用程序交互或訪問外部資源，但是在移動終端管控系統(MDM)授權的情況下，能夠獲得個人空間中數據的只讀權限。

基于沙箱防護技術使得一臺移動終端既可作為個人使用又可以為工作使用。通過系統層面的獨立運行實現隔離，保證工作空間中的應用和數據不脫離防護沙箱的保護，減少數據泄露的風險。

2.2 基于雙系統的移動辦公終端安全技術

雙系統移動辦公終端是在一個終端上實現兩個操作系統[6-8]，一個為安全系統(工作系統)，一個為生活系統(個人系統)，兩個系統同時運行，互相隔離，兼顧工作使用和個人使用。雙系統移動終端技術[9]利用Linux Namespaces機制提供的基于容器的虛擬化技術，實現資源的隔離。工作系統和生活系統分別有各自獨立的文件系統、應用和數據，工作系統通常安裝內網的工作應用，生活系統安裝個人應用，兩個系統擁有各自獨立的數據存儲區，實現應用和數據的隔離。在工作系統內，通常還可以根據用戶需求，從硬件驅動層進行限制(包括禁用工作系統的USB口、藍牙和SD卡等)，防止數據泄露。

雙系統移動辦公終端接收移動終端管控系統(MDM)推送的安全控制策略，實現工作系統和生活系統使用各自獨立的安全策略管控，有效避免工作應用和個人應用的混淆使用，減少內部數據外泄風險。

3 移動辦公終端安全技術實驗

3.1 實驗環境

通過實驗來驗證基于沙箱防護和基于雙系統兩種移動辦公終端安全技術的特點和安全性。實驗中分別使用各自支持的移動終端管控系統(MDM)實現安全策略的推送。

基于沙箱防護移動辦公終端的實驗環境如圖1所示。通過運營商提供的網絡接入互聯網，在訪問工作內網時，需要使用VPN進行安全連接[10-12]。其中，用于接收MDM服務器推送策略的MDM客戶端安裝在沙箱防護的外部區域“個人空間”中。

圖1 沙箱防護移動辦公終端實驗環境

基于雙系統移動辦公終端實驗環境如圖2所示。通過運營商提供的公用APN接入互聯網，提供的專用APN接入工作內網。其中，用于接收MDM服務器推送策略的MDM客戶端安裝在“工作系統”中。

圖2 雙系統移動辦公終端實驗環境

3.2 實驗過程

實驗過程中，對基于沙箱防護和基于雙系統兩種移動辦公終端安全技術提供的安全機制分別進行了驗證，包括數據隔離、應用隔離、外設控制、網絡安全連接、用戶鑒別認證等。

3.2.1 基于沙箱防護移動辦公終端安全機制驗證

(1)數據隔離。

①通過個人空間內的應用程序訪問工作空間內的數據，如：嘗試通過個人空間的文件瀏覽類應用或社交應用訪問工作空間的文檔文件或圖片文件等；

②通過工作空間的應用程序訪問個人空間的數據，如：嘗試通過工作空間的相冊應用或郵件應用訪問個人空間的文檔文件或圖片文件等；

③在MDM服務器上推送允許數據移動策略前，嘗試將工作空間的數據移動到個人空間，嘗試將個人空間的數據移動到工作空間；

④在MDM服務器上推送允許數據移動策略后，嘗試將工作空間的數據移動到個人空間，嘗試將個人空間的數據移動到工作空間。

(2)應用隔離。

①嘗試將工作空間應用程序的鏈接或內容分享到個人空間的應用程序中，驗證工作空間和個人空間的應用程序是否隔離運行[13-14]，互不影響；

②在工作空間和個人空間分別安裝、卸載不同的應用，驗證個人空間和工作空間的應用是否互不影響。

(3)外設控制。

①在MDM服務器上推送截屏功能、攝像頭功能禁止策略前，驗證是否可以正常使用工作空間的截屏和攝像頭的功能；

②在MDM服務器上推送截屏功能、攝像頭功能禁止策略后，驗證工作空間的截屏和攝像頭功能是否不能正常使用。

(4)網絡安全連接。

①在工作空間配置VPN，并且嘗試與工作內網進行連接；

②連接成功后，檢查是否能夠正常進行工作內網應用訪問。

(5)用戶鑒別認證。

①在進入工作空間時，驗證是否只有輸入正確的用戶鑒別信息才能成功；

②在輸入鑒別信息不正確時，進行多次嘗試，檢查工作空間是否采取相應的鎖定策略，避免進一步嘗試操作。

3.2.2 基于雙系統移動辦公終端安全機制驗證

(1)數據隔離。

①在工作系統中產生相應數據，如執行新建文檔、錄制視頻、保存通訊錄等操作，切換到生活系統，嘗試訪問工作系統中的相關內容；

②在生活系統中產生相應數據，如執行新建文檔、錄制視頻、保存通訊錄等操作，切換到工作系統，嘗試訪問生活系統中的相關內容。

(2)應用隔離。

①在兩個系統中分別安裝、卸載不同的應用，驗證兩個系統中的應用是否互不影響；

②在兩個系統中分別運行相同的應用，使用不同賬戶分別進行登錄，確認兩個系統中相同應用的運行互不影響。

(3)外設控制。

①分析對外設使用進行控制的相關功能，如攝像頭、USB接口、Wifi等，驗證對外設的使用是否符合MDM服務器設置的策略；

②修改MDM策略后，驗證對外設的使用是否符合修改后的策略。

(4)網絡安全連接。

①在生活系統中配置公用APN，在工作系統中配置專用APN，檢查兩個系統是否能夠分別接入網絡；

②接入成功后，嘗試在生活系統中訪問互聯網和工作內網，工作系統中訪問互聯網和工作內網，確認是否只有生活系統能夠訪問互聯網，只有工作系統能夠訪問工作內網；

③驗證兩個系統是否能通過更改APN實現兩個系統的交叉訪問。

(5)用戶鑒別認證。

①在進入工作系統時，驗證是否只有輸入正確的用戶鑒別信息才能進入；

②在輸入鑒別信息不正確時，進行多次嘗試，檢查工作系統是否采取相應的鎖定策略，避免進一步嘗試操作。

3.3 實驗結果

對基于沙箱防護和基于雙系統兩種移動辦公終端安全技術提供的安全機制驗證結果進行記錄，如表1所示。

表1 實驗結果比較

由表1可以看出，兩種移動辦公終端技術均能實現數據隔離、應用隔離、外設控制、網絡安全連接和用戶鑒別認證等安全功能，同時，兩種技術均需要在不同程度上對移動辦公終端從硬件層面進行必要的定制，使其支持沙箱防護或雙系統運行，需要依靠MDM提供的移動終端管理功能，實現移動終端設備的有效管理和監控。

4 結束語

針對基于沙箱防護和雙系統兩種移動辦公終端安全技術的研究，已經取得了一定的成果，對外發布了兩項技術檢測規范：《ISCCC-TR-046-2015移動終端安全域加固產品安全技術要求》和《ISCCC-TR-051-2016雙系統移動終端安全技術要求》，希望對相關技術的發展、產品研發設計以及產品檢測評估起到一定的指導作用。

[1] 袁志堅，王春平，陳 融，等.Android平臺安全威脅及其應對策略[J].計算機技術與發展,2013,23(9):110-113.

[2] 宋 杰，黨李成，郭振朝，等.Android OS手機平臺的安全機制分析和應用研究[J].計算機技術與發展,2010,20(6):152-155.

[3] 張玉清，王 凱，楊 歡，等.Android安全綜述[J].計算機研究與發展,2014,51(7):1385-1396.

[4] 朱佳偉，喻梁文，關 志，等.Android權限機制安全研究綜述[J].計算機應用研究,2015,32(10):2881-2885.

[5] 李 彬.基于Android沙箱的軟件行為分析系統的設計與實現[D].北京:北京郵電大學,2013.

[6] 蔣紹林，王金雙，張 濤，等.Android安全研究綜述[J].計算機應用與軟件,2012，29(10):205-210.

[7] 朱筱贅，胡愛群，邢月秀，等.基于Android平臺的移動辦公安全方案綜述[J].信息網絡安全,2015(1):76-83.

[8] 錢海龍.移動終端應用安全加固關鍵技術研究[D].北京:北京郵電大學,2014.

[9] BOSE A, HU X, KANG G S,et al.Behavioral detection of malware on mobile handsets[C]//International conference on mobile systems,applications,and services.[s.l.]:[s.n.],2008:225-238.

[10] 董 鐘.面向移動辦公的安全接入方法的研究與實現[D].北京:北京郵電大學,2015.

[11] 張 濱，趙 剛，袁 捷.移動終端安全關鍵技術與應用分析[M].北京:人民郵電出版社,2015.

[12] 張京京，閆曉蔚，蔡建順，等.基于Android系統的手機隱私安全的研究與實現[J].信息網絡安全，2012(5):59-63.

[13] KANTOLA D,CHIN E,HE W,et al.Reducing attack surfaces for intra-application communication in android[C]//ACM workshop on security and privacy in smartphones and mobile devices.[s.l.]:ACM,2012:69-80.

[14] ENCK W,OCTEAU D,MCDANIEL P,et al.A study of android application security[C]//USENIX conference on security.[s.l.]:USENIX Association,2011:21.