哈爾濱工業大學（深圳）虛擬安全域守護移動應用

文／范士喜 李昌 王彬

高校移動安全現狀

隨著移動計算時代的到來，我們都經歷著從有線到無線的變化[1]。異地辦公、遠程審批、在線服務、移動學習等高效便捷靈活的移動辦公形式，引發了高校科研、管理和服務方式的變革，極大地提升了高校的服務效率和管理能力。目前，高校有多種業務移動化場景，涉及到多種辦公設備和平臺，面向不同用戶群體[2]，包括面向領導的管理類應用（審批等）、面向辦公室人員的通用辦公類應用（郵件、OA辦公等）、以及面向科研人員的私密數據（科研結果等）等。這些應用場景極大提高了校內師生和領導的工作效率，促進了業務創新，為教師和學生的校園生活提供了便利[3][4]。在快捷方便的同時，移動辦公在一定程度上也帶來了安全隱患，如何實現安全可靠的校園移動辦公變得尤為重要[5]。相比傳統辦公，移動辦公面臨著更加復雜的安全問題，信息數據和計算終端走出高校的安全邊界、脫離內部管控、多樣的設備類型和復雜的數據運行環境，大大增加了數據泄露的風險[6]。

校園移動場景的多樣性與復雜性

隨著高校信息化快速發展，學校內存在繁多的校園應用，復雜的移動設備系統和類型。不同應用之間的數據交換與共享，面向不同的職能崗位、對象、移動應用的差異化模式管理，權限、對象的復雜化，不同設備數據聯通等問題，為高校移動安全管理帶來極大挑戰[7]。同時，移動化本身涉及到的專業知識與技術架構，與傳統的IT環境存在很大差異。

校園安全管理與個人隱私的平衡

當前師生使用的移動設備上既有個人常用的應用軟件，也有工作中需要用到的工作應用。存在個人應用軟件可以隨意訪問、存取工作數據的風險，甚至很容易通過個人應用軟件將工作數據非法上傳、共享和外泄，工作應用同樣也會觸及到個人數據。為了解決這種新趨勢帶來的安全問題，需要同一個智能手機、平板上運行兩套相互隔離操作系統的解決方案，同時滿足個人日常使用及移動辦公的需求[8]。

校園業務數據泄露風險高

智能移動設備的接入，給信息安全管理帶來極大挑戰。移動設備具有使用方便、處理高效、信息及時等優點，然而移動設備易丟失、常更換，可以在任何時間、任何地點、任何網絡、任何環境下使用。相比PC端，移動系統自身具備的便捷操作性，使得每一個移動用戶都能夠快捷地將工作信息分享、外泄出去，承載了越來越多業務流程及數據的移動設備成為信息泄露的重要風險點。

基于虛擬安全域技術的移動辦公解決方案

為了有效解決移動辦公帶來的安全隱患，旨在打造安全防護性高、用戶體驗好、可擴展性強的移動安全平臺。哈爾濱工業大學（深圳）建設了一個基于虛擬安全域技術的移動辦公平臺。該平臺具備強大的安全防護能力，面對紛繁復雜的移動環境能夠快速迭代、及時適應。同時，也要讓師生愿意用、樂意用。

虛擬安全域

建設輕量化、用戶體驗好、安全策略靈活的移動安全平臺，最首要的技術就是虛擬安全域（Virtual Security Area,VSA），這是一種通過在系統底層實現提供移動應用安全保護能力的技術，在無需獲取應用源代碼，也不需要Root權限；在代碼零改造的基礎上對應用形成的一個虛擬安全域。在該安全域中可實現各種移動業務安全運行的通用性需求：數據防泄露、應用功能安全調用、運行安全保護和隱私類保護等，也可以快速地適配實現其他個性化的網絡安全保護和內容審計等需求。用戶將機密數據控制在一個安全的區域，能夠了解用戶的上網行為模式和進行行為監控，在學校開展移動業務的同時能夠保證業務的安全運行。

圖1 虛擬安全域

虛擬安全域技術的原理是通過VSA實現建立一個單獨的、安全的虛擬系統，構建在應用和系統之間的橋梁，從系統底層對應權限和用戶使用行為等進行全方位的管理和保護。應用發起的請求先經過該安全虛擬系統中進行安全判斷和審計，阻斷不安全請求，防止將應用中的機密信息外泄等情況，使學校應用運行在一個安全可靠的環境中。可參照圖1。

構建內部移動應用商店

建立一個學校內部應用商店，實現對所有移動軟件統一管理。可根據業務特性、安全要求，無需通過App Store等外部應用商店的復雜流程，自行管理發布移動業務應用，大大縮短應用更新發布迭代周期，避免繁瑣的應用上架外部審核過程，保護學校內部應用資產。

圖2 “個人”和“工作”模式

學校的內部應用商店相當于創建一個虛擬安全域。這是一種沙箱技術，將通過學校內部應用商店下載的應用和App Store下載的應用分離，有效實現用戶個人數據與政企業務數據的安全隔離，既保障了政企數據的安全性，同時極大提升了移動辦公的用戶體驗。實現了一個設備兼備“個人”和“工作”兩套“區域”，兼顧工作數據安全及個人生活隱私。校內其他業務部門或者師生自己研發的APP應用可以在虛擬安全域上二次打包，既保證了校園移動應用的統一入口，又保證了校園移動應用的安全。這種統一管控的模式讓校園應用運行在虛擬安全域中作為工作區域，其他個人應用正常運行在系統上，就像形成兩個獨立的空間一樣。具體的模式如圖2“個人”和“工作”模式。師生在使用的過程中，只要下載一個“校園內部商店APP”就可以看到虛擬安全域內所有的校內應用，用戶根據需要下載刪除各類APP應用。實現了校內移動APP的統一安全管理、統一使用、統一升級。

防護模塊

虛擬安全域并不能解決所有的問題，也還需要集成相關安全防護模塊。包括的模塊有網絡安全訪問、上網內容審計、功能安全調用、隱私保護等，可根據不同業務場景配置不同的安全策略。

在保證應用正常的情況下阻斷應用的不安全請求，防止機密信息外泄的同時，也防止外部方式對該類信息的截取，包括對應用文件進行加密處理，禁止將內部數據粘貼到外部，添加水印對內容的拍攝之后形成溯源等各種保護方式。詳細見圖3安全防護模塊。

總結

圖3 安全防護模塊

高校在大力發展業務移動化的同時，應加強移動安全建設，打造移動應用安全服務平臺，將學校的APP有效管理起來，個人應用和工作應用分離，個人數據和工作數據分離。同時，提供從終端數據保護、應用級隔離、多級安全等一站式整合的移動安全服務。在充分滿足用戶需求的基礎上，保障業務移動化安全，實現簡化有效的管理。

同時，個人使用習慣也至關重要。要加強對移動設備的安全防護，減少因病毒導致數據的泄露，在公共場合不連接不安全的Wi-Fi，對非常重要和保密的數據，要有自我保護意識，積極學習保密相關條例，定期備份重要數據，申請相關的保密存儲設備等。