EMM項目助力銅仁市煙草公司移動辦公安全新模式

周鑫 張華 朱仲珂

摘要 煙草行業是我國稅收來源的關鍵，其業務的穩定性對國家的發展有著重要意義。隨著我國互聯網科技的發展，隨著移動信息化技術的加強，企業對信息安全有著更為嚴格的要求，本文以銅仁市煙草為例，對其在貴州省煙草系統內開展以移動安全為核心的網絡安全建設進行論述，充分展示了銅仁移動辦公安全新模式。

【關鍵詞】EMM 銅仁煙草公司 移動安全

煙草行業作為國家納稅大戶，其業務運營的穩定性對國家的發展具有十分重要的意義，因而對企業信息安全也有更為嚴格的要求。隨著移動信息化技術的快速發展，煙草行業在提高生產和辦公效率方面也得到了許多應用，現場人員可以通過移動終端隨時查看企業數據、完成互動工作，企業員工可以通過移動設備實時了解企業最新資訊。但由于煙草行業本身具有生產、銷售、管理較為分散的特性，這也成為該行業移動信息管理、移動信息安全建設中的特殊挑戰。傳統的安全管理措施很難實施在移動終端上，相比于PC端的安全防護，從移動端網關接入、移動殺毒、移動端APP管理、移動端數據加密及相關數據傳輸，幾乎是零防護，一旦設備發生數據泄漏事故，后果將不堪設想。

2017年，貴州省煙草公司銅仁市公司（以下簡稱銅仁煙草公司）首次在貴州省煙草系統內開展以移動安全為核心的網絡安全建設，相關建設方案及建設工作由北京天融信網絡安全技術有限公司（以下簡稱天融信公司）提供，保障移動辦公過程中的移動終端安全、企業移動辦公APP安全、以及移動辦公的數據網絡傳輸安全。在提高數據安全性的同時，也降低了移動設備管理的難度。

移動安全的一個重要核心即企業移動數據安全，是移動安全產品的時代價值。因此，互聯網時代的EMM （enterprise mobilemanagement）產品必須以企業移動信息數據安全管控為核心，針對移動互聯業務的各個環節做出環環相扣的可組合安全技術功能及方案，為企業提供全程移動安全數據防護。

天融信公司憑借多年以來的安全產品研發經驗，總結并實現了一套易用、強大的移動智能終端數據安全管理功能。在支持傳統的移動設備管理、移動APP管理、移動內容管理的基礎上考慮到從平臺到終端的基本移動安全框架安全體系，從終端到內網的APP業務交互的客戶常規操作行為，開發出：企業APP安全門戶、移動終端殺毒、企業APP安全商店、企業APP漏洞掃描、加固、企業移動數據沙箱、時間/地理圍欄等一系列高級安全功能。這些高級安全功能不斷升級、補全各種企業客戶功能要求，從安全為出發點，將移動數據安全防護功能立體交錯地梳理、整合、展現給銅仁煙草公司，幫助銅仁煙草公司建立最符合自身特性、需求的移動信息安全防護體系。

1 設備丟失數據保護

移動設備便捷性的同時也帶來了設備丟失的后的數據風險隱患，移動設備保存大量企業核心及機密數據以及個人隱私數據，所以針對設備丟失后的判斷來自于移動安全防護平臺對設備的監控狀態判斷設備是否處于脫管狀態，以及用戶自身確定設備丟失后向運維人員請求相應的數據保護機制。

1.1 移動設備丟失定位

當移動設備涉嫌丟失時，EMM可以對移動設備進行遠程定位，定位技術不僅局限于GPS定位，還可通過GPRS、3G、4G、Wi-Fi等網絡設施進行精準定位，支持對移動設備的行動軌跡進行智能繪制，完整的掌握移動設備及移動設備使用人員的行動軌跡。

1.2 設備丟失數據保護

當設備丟失后不確定是否能找回時，可以先通過管理后臺對移動設備進行遠程GPS定位、記錄行動軌跡嘗試找回設備，當確認無法找回后，終端安全管理平臺可根據設定設備脫管的時長，終端客戶端可以對數據安全進行如表l所示規則的保護。

2 移動端本地數據安全

在終端數據安全方面，EMM系統提供了終端防病毒以及終端數據防泄漏技術。

2.1 在終端防護查殺層面

EMM系統針對己知的惡意代碼及越獄、Root設備進行查殺隔離，這些惡意代碼是針對已知的系統漏洞。雖然漏洞的軟件廠商已經提供了相應的軟件漏洞補丁，但是企業由于管理或者人力的問題，大多數的企業都很難隨時更新到最新的修補程序。而銅仁煙草公司搭建的一套企業級移動防病毒系統，通過部署全球技術領先的移動防毒引擎和專業病毒庫，能夠有效查殺各種病毒、木馬和惡意代碼。同時可對移動操作系統進行漏洞掃描和補丁修復，從系統底層保證企業應用環境的安全。EMM系統采用智能病毒雙引擎查殺技術保障移動設備的安全，對移動設備上的應用進行全面的安全檢查和控制，防止因用戶安裝安全性差的應用程序，從而影響企業信息系統的安全性。智能應用危險感知技術及時上報客戶端可疑程序，專業的分析團隊及時分析并上報病毒樣本對病毒庫進行更新。

自主病毒查殺引擎綜合了傳統的特征碼技術和主動的啟發式分析技術以及基于行為的分析技術，保護企業移動設備遠離病毒、間諜軟件、木馬、蠕蟲、bots等威脅的侵害。2.2針對越獄、Root、有病毒設備

EMM的企業殺毒終端與管理平臺做準入聯動，限制有安全隱患的移動設備連入銅仁煙草公司內網，為銅仁煙草公司內網安全把好第一道大門。

2.3 引用數據防泄漏DLP理念

EMM系統秉承PC端數據防泄漏DLP理念，將數據存儲安全移植到移動智能終端上，采用沙箱技術為客戶移動APP、文檔提供隔離存儲空間，安全的將個人數據與企業數據隔離開來，并對安全終端存儲的APP進行數據加密，針對安全內數據提供防分享、防傳輸等移動數據防泄漏功能。EMM系統考慮移動終端，尤其是安卓系統產品的系統自身安全漏洞問題，特備研發了安全門戶功能，將APP進行特殊處理，通過APP安全超市推送到移動端的安全門戶應用內，與系統其他APP及運行環境隔離并做數據加密。

2.4 沙箱理念使數據不落地

APP安全門戶采用沙箱理念，將辦公APP在門戶內獨立運行，不會與移動終端系統內其他數據做交互，防止惡意APP或后臺程序盜取煙草公司重要數據信息。煙草公司更可以根據APP使用場景，對用戶在門戶內的操作做策略級限制，例如：禁止對門戶內APP頁面進行“復制黏貼”、“截屏”、“即時通訊工具分享”、“藍牙傳輸”、“USB另存為”等一系列操作。

2.5 安全合規的APP管理平臺

EMM系統提供了企業自有應用市場，有效避免了銅仁煙草公司移動辦公應用在混亂的安卓市場上發布后被反編譯、被植入惡意代碼病毒等安全風險，通過企業自有應用市場進行移動辦公應用管理，包括APP發布、APP上線前檢測、APP更新及提醒、APP遠程管理等。

3 數據傳輸全程加密

在數據傳輸方面，EMM系統與銅仁煙草公司當前在用VPN SDK深度集成，配合EMM安全門戶套件（己集成VPN客戶端），在使用APP時自動創建安全通道，保護用戶數據鏈路，并將本地數據進行加密保存（國際標準算法或者國密標準算法加密），創建安全通道、保存安全數據的過程對用戶完全透明，減少用戶在智能終端上的操作，簡化用戶認證流程，規避了在數據傳輸過程中信息泄露的風險。VPN通過外部認證機制實現EMM與VPN賬號整合，兩套系統采用同一套賬號體系認證，且登錄EMM時會自動將EMM賬戶信息填寫到EMM客戶端VPN配置里，簡化了管理員對于用戶管理流程及用戶對于客戶端配置過程。同時，將EMM作為移動智能終端接入銅仁煙草公司內網的唯一入口，在此要求上，對VPN進行版本定制升級，禁止使用除EMM之外其他方式（如SSL VPN客戶端及Web網頁）建立VPN隧道接入企業內網，保證終端用戶接入銅仁煙草公司內網入口的唯一性。防止用戶賬號泄露，不法分子繞過EMM通過其他方式接入銅仁煙草公司內網，大大提高了移動辦公終端接入安全性。

至此EMM系統己開始正式為銅仁煙草公司移動安全保駕護航，從移動終端防泄漏、移動應用防篡改、移動數據傳輸防竊取及移動終端安全接入等多方面保護銅仁煙草公司移動辦公安全。這是銅仁煙草公司首次將移動安全納入網絡安全信息化安全建設，也是貴州煙草行業首創，將移動安全概念突破傳統網絡邊界外延，PC和移動終端進行統一遠程管控、病毒掃描查殺、網絡合規準入、上網行為審計等防護一體化管理，讓銅仁煙草公司的網絡安全體系更加完善。

展望未來，基于EMM系統的移動安全，可以針對煙草行業在全省的APP做移動APP漏掃加固平臺;可以針對煙草行業移動辦公終端以及其他移動設備做移動終端管理和監測平臺;未來也可以為煙草行業提供基于移動終端、APP、網絡通訊等客戶關注內容的大數據風險探知平臺。

參考文獻

[1]宋岐國，張詩珊，尚文利.基于移動辦公的煙草企業協同辦公系統[J].制造業自動化，2011（33）.