哈爾濱工業(yè)大學(xué)（深圳）虛擬安全域守護移動應(yīng)用

文／范士喜 李昌 王彬

高校移動安全現(xiàn)狀

隨著移動計算時代的到來，我們都經(jīng)歷著從有線到無線的變化[1]。異地辦公、遠程審批、在線服務(wù)、移動學(xué)習(xí)等高效便捷靈活的移動辦公形式，引發(fā)了高校科研、管理和服務(wù)方式的變革，極大地提升了高校的服務(wù)效率和管理能力。目前，高校有多種業(yè)務(wù)移動化場景，涉及到多種辦公設(shè)備和平臺，面向不同用戶群體[2]，包括面向領(lǐng)導(dǎo)的管理類應(yīng)用（審批等）、面向辦公室人員的通用辦公類應(yīng)用（郵件、OA辦公等）、以及面向科研人員的私密數(shù)據(jù)（科研結(jié)果等）等。這些應(yīng)用場景極大提高了校內(nèi)師生和領(lǐng)導(dǎo)的工作效率，促進了業(yè)務(wù)創(chuàng)新，為教師和學(xué)生的校園生活提供了便利[3][4]。在快捷方便的同時，移動辦公在一定程度上也帶來了安全隱患，如何實現(xiàn)安全可靠的校園移動辦公變得尤為重要[5]。相比傳統(tǒng)辦公，移動辦公面臨著更加復(fù)雜的安全問題，信息數(shù)據(jù)和計算終端走出高校的安全邊界、脫離內(nèi)部管控、多樣的設(shè)備類型和復(fù)雜的數(shù)據(jù)運行環(huán)境，大大增加了數(shù)據(jù)泄露的風(fēng)險[6]。

校園移動場景的多樣性與復(fù)雜性

隨著高校信息化快速發(fā)展，學(xué)校內(nèi)存在繁多的校園應(yīng)用，復(fù)雜的移動設(shè)備系統(tǒng)和類型。不同應(yīng)用之間的數(shù)據(jù)交換與共享，面向不同的職能崗位、對象、移動應(yīng)用的差異化模式管理，權(quán)限、對象的復(fù)雜化，不同設(shè)備數(shù)據(jù)聯(lián)通等問題，為高校移動安全管理帶來極大挑戰(zhàn)[7]。同時，移動化本身涉及到的專業(yè)知識與技術(shù)架構(gòu)，與傳統(tǒng)的IT環(huán)境存在很大差異。

校園安全管理與個人隱私的平衡

當(dāng)前師生使用的移動設(shè)備上既有個人常用的應(yīng)用軟件，也有工作中需要用到的工作應(yīng)用。存在個人應(yīng)用軟件可以隨意訪問、存取工作數(shù)據(jù)的風(fēng)險，甚至很容易通過個人應(yīng)用軟件將工作數(shù)據(jù)非法上傳、共享和外泄，工作應(yīng)用同樣也會觸及到個人數(shù)據(jù)。為了解決這種新趨勢帶來的安全問題，需要同一個智能手機、平板上運行兩套相互隔離操作系統(tǒng)的解決方案，同時滿足個人日常使用及移動辦公的需求[8]。

校園業(yè)務(wù)數(shù)據(jù)泄露風(fēng)險高

智能移動設(shè)備的接入，給信息安全管理帶來極大挑戰(zhàn)。移動設(shè)備具有使用方便、處理高效、信息及時等優(yōu)點，然而移動設(shè)備易丟失、常更換，可以在任何時間、任何地點、任何網(wǎng)絡(luò)、任何環(huán)境下使用。相比PC端，移動系統(tǒng)自身具備的便捷操作性，使得每一個移動用戶都能夠快捷地將工作信息分享、外泄出去，承載了越來越多業(yè)務(wù)流程及數(shù)據(jù)的移動設(shè)備成為信息泄露的重要風(fēng)險點。

基于虛擬安全域技術(shù)的移動辦公解決方案

為了有效解決移動辦公帶來的安全隱患，旨在打造安全防護性高、用戶體驗好、可擴展性強的移動安全平臺。哈爾濱工業(yè)大學(xué)（深圳）建設(shè)了一個基于虛擬安全域技術(shù)的移動辦公平臺。該平臺具備強大的安全防護能力，面對紛繁復(fù)雜的移動環(huán)境能夠快速迭代、及時適應(yīng)。同時，也要讓師生愿意用、樂意用。

虛擬安全域

建設(shè)輕量化、用戶體驗好、安全策略靈活的移動安全平臺，最首要的技術(shù)就是虛擬安全域（Virtual Security Area,VSA），這是一種通過在系統(tǒng)底層實現(xiàn)提供移動應(yīng)用安全保護能力的技術(shù)，在無需獲取應(yīng)用源代碼，也不需要Root權(quán)限；在代碼零改造的基礎(chǔ)上對應(yīng)用形成的一個虛擬安全域。在該安全域中可實現(xiàn)各種移動業(yè)務(wù)安全運行的通用性需求：數(shù)據(jù)防泄露、應(yīng)用功能安全調(diào)用、運行安全保護和隱私類保護等，也可以快速地適配實現(xiàn)其他個性化的網(wǎng)絡(luò)安全保護和內(nèi)容審計等需求。用戶將機密數(shù)據(jù)控制在一個安全的區(qū)域，能夠了解用戶的上網(wǎng)行為模式和進行行為監(jiān)控，在學(xué)校開展移動業(yè)務(wù)的同時能夠保證業(yè)務(wù)的安全運行。

圖1 虛擬安全域

虛擬安全域技術(shù)的原理是通過VSA實現(xiàn)建立一個單獨的、安全的虛擬系統(tǒng)，構(gòu)建在應(yīng)用和系統(tǒng)之間的橋梁，從系統(tǒng)底層對應(yīng)權(quán)限和用戶使用行為等進行全方位的管理和保護。應(yīng)用發(fā)起的請求先經(jīng)過該安全虛擬系統(tǒng)中進行安全判斷和審計，阻斷不安全請求，防止將應(yīng)用中的機密信息外泄等情況，使學(xué)校應(yīng)用運行在一個安全可靠的環(huán)境中。可參照圖1。

構(gòu)建內(nèi)部移動應(yīng)用商店

建立一個學(xué)校內(nèi)部應(yīng)用商店，實現(xiàn)對所有移動軟件統(tǒng)一管理。可根據(jù)業(yè)務(wù)特性、安全要求，無需通過App Store等外部應(yīng)用商店的復(fù)雜流程，自行管理發(fā)布移動業(yè)務(wù)應(yīng)用，大大縮短應(yīng)用更新發(fā)布迭代周期，避免繁瑣的應(yīng)用上架外部審核過程，保護學(xué)校內(nèi)部應(yīng)用資產(chǎn)。

圖2 “個人”和“工作”模式

學(xué)校的內(nèi)部應(yīng)用商店相當(dāng)于創(chuàng)建一個虛擬安全域。這是一種沙箱技術(shù)，將通過學(xué)校內(nèi)部應(yīng)用商店下載的應(yīng)用和App Store下載的應(yīng)用分離，有效實現(xiàn)用戶個人數(shù)據(jù)與政企業(yè)務(wù)數(shù)據(jù)的安全隔離，既保障了政企數(shù)據(jù)的安全性，同時極大提升了移動辦公的用戶體驗。實現(xiàn)了一個設(shè)備兼?zhèn)洹皞€人”和“工作”兩套“區(qū)域”，兼顧工作數(shù)據(jù)安全及個人生活隱私。校內(nèi)其他業(yè)務(wù)部門或者師生自己研發(fā)的APP應(yīng)用可以在虛擬安全域上二次打包，既保證了校園移動應(yīng)用的統(tǒng)一入口，又保證了校園移動應(yīng)用的安全。這種統(tǒng)一管控的模式讓校園應(yīng)用運行在虛擬安全域中作為工作區(qū)域，其他個人應(yīng)用正常運行在系統(tǒng)上，就像形成兩個獨立的空間一樣。具體的模式如圖2“個人”和“工作”模式。師生在使用的過程中，只要下載一個“校園內(nèi)部商店APP”就可以看到虛擬安全域內(nèi)所有的校內(nèi)應(yīng)用，用戶根據(jù)需要下載刪除各類APP應(yīng)用。實現(xiàn)了校內(nèi)移動APP的統(tǒng)一安全管理、統(tǒng)一使用、統(tǒng)一升級。

防護模塊

虛擬安全域并不能解決所有的問題，也還需要集成相關(guān)安全防護模塊。包括的模塊有網(wǎng)絡(luò)安全訪問、上網(wǎng)內(nèi)容審計、功能安全調(diào)用、隱私保護等，可根據(jù)不同業(yè)務(wù)場景配置不同的安全策略。

在保證應(yīng)用正常的情況下阻斷應(yīng)用的不安全請求，防止機密信息外泄的同時，也防止外部方式對該類信息的截取，包括對應(yīng)用文件進行加密處理，禁止將內(nèi)部數(shù)據(jù)粘貼到外部，添加水印對內(nèi)容的拍攝之后形成溯源等各種保護方式。詳細見圖3安全防護模塊。

總結(jié)

圖3 安全防護模塊

高校在大力發(fā)展業(yè)務(wù)移動化的同時，應(yīng)加強移動安全建設(shè)，打造移動應(yīng)用安全服務(wù)平臺，將學(xué)校的APP有效管理起來，個人應(yīng)用和工作應(yīng)用分離，個人數(shù)據(jù)和工作數(shù)據(jù)分離。同時，提供從終端數(shù)據(jù)保護、應(yīng)用級隔離、多級安全等一站式整合的移動安全服務(wù)。在充分滿足用戶需求的基礎(chǔ)上，保障業(yè)務(wù)移動化安全，實現(xiàn)簡化有效的管理。

同時，個人使用習(xí)慣也至關(guān)重要。要加強對移動設(shè)備的安全防護，減少因病毒導(dǎo)致數(shù)據(jù)的泄露，在公共場合不連接不安全的Wi-Fi，對非常重要和保密的數(shù)據(jù)，要有自我保護意識，積極學(xué)習(xí)保密相關(guān)條例，定期備份重要數(shù)據(jù)，申請相關(guān)的保密存儲設(shè)備等。