基于動(dòng)態(tài)策略的移動(dòng)警務(wù)終端安全管控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

樊志杰，鄭長松，曹志威

(1.上海辰銳信息科技公司 研發(fā)中心，上海 200031;2.公安部第三研究所 信息安全技術(shù)部，上海 200031;3.四川省公安廳 科技信息化總隊(duì)，成都 610041)

0 引言

移動(dòng)警務(wù)安全接入平臺(tái)主要基于社會(huì)移動(dòng)公網(wǎng)接入公安網(wǎng)，便于充分利用公安信息資源，提升案件偵破、逃犯抓捕、人口核查、車輛比對(duì)、犯罪打擊和預(yù)防等公安工作的效率。同時(shí)，移動(dòng)警務(wù)應(yīng)用有效地提升了公安干警快速反應(yīng)、綜合作戰(zhàn)的能力，提高公安機(jī)關(guān)維護(hù)穩(wěn)定、打擊犯罪的水平，也進(jìn)一步提升公安機(jī)關(guān)行政管理和服務(wù)群眾的質(zhì)量，提升公安的形象。

當(dāng)前的移動(dòng)警務(wù)平臺(tái)主要通過終端設(shè)備的接入認(rèn)證和端到端的數(shù)據(jù)加密，實(shí)現(xiàn)用戶可信和鏈路安全傳輸。但隨著黑客技術(shù)的不斷變化和安全防護(hù)需求的逐步提升，終端自身的安全防護(hù)問題日益突出。同時(shí)，通過“一機(jī)兩用”、外設(shè)端口訪問、應(yīng)用軟件無管控和系統(tǒng)弱口令等帶來的安全隱患也成為了亟待解決的安全問題。鑒于此，基于移動(dòng)警務(wù)安全標(biāo)準(zhǔn)的終端安全管控系統(tǒng)(TSMS,terminal security management system)將作為重要方式來保障移動(dòng)警務(wù)平臺(tái)的安全。

《全國公安移動(dòng)警務(wù)總體技術(shù)方案》中將移動(dòng)終端依據(jù)安全受控程度，分為增強(qiáng)受控終端、一般受控終端和個(gè)人普通終端。其中增強(qiáng)受控終端與一般受控終端中需安裝終端安全軟件即移動(dòng)設(shè)備安全管控系統(tǒng)。同時(shí)，終端安全管控系統(tǒng)應(yīng)事前對(duì)安全事件進(jìn)行報(bào)警預(yù)測，對(duì)終端主機(jī)能夠做到預(yù)先規(guī)范使用行為，能夠準(zhǔn)確有效地實(shí)現(xiàn)行為可控制、可統(tǒng)計(jì)，將管控制度轉(zhuǎn)化為有效的技術(shù)管控系統(tǒng)進(jìn)行執(zhí)行，從而有效提升整個(gè)系統(tǒng)的可管理性和信息安全水平[1-5]。

現(xiàn)有TSMS系統(tǒng)在使用過程中主要存在以下問題：

1)開發(fā)TSMS客戶端需要與終端廠商進(jìn)行大量的適配工作。TSMS客戶端用于接收TSMS后臺(tái)控制策略并與手機(jī)底層硬件接口耦合，實(shí)現(xiàn)控制手機(jī)硬件(如藍(lán)牙、WIFI等)的開啟或關(guān)閉、終端運(yùn)行環(huán)境的檢查以及安全日志的上報(bào)等功能。

2)已開發(fā)的TSMS很難進(jìn)行直接復(fù)用。由于不同終端廠商的系統(tǒng)代碼均基于原生安卓系統(tǒng)進(jìn)行了個(gè)性化定制開發(fā)，故不同品牌、型號(hào)的終端系統(tǒng)必然存在一定的差異。

3)TSMS客戶端在實(shí)際使用過程中耗電量偏高。由于TSMS客戶端一般是運(yùn)行在系統(tǒng)應(yīng)用層的獨(dú)立程序(APP)，必須常駐內(nèi)存，方可接收控制策略并提交系統(tǒng)日志。

針對(duì)上述問題，本文提出并研制一種基于模塊化與動(dòng)態(tài)策略的移動(dòng)警務(wù)終端安全管控系統(tǒng)，主要優(yōu)勢包括：

1)降低系統(tǒng)耦合度。減少終端廠商與TSMS應(yīng)用開發(fā)廠商之間的終端適配工作。

2)提高系統(tǒng)安全性。終端廠商不必對(duì)外開放過多的硬件調(diào)用接口，進(jìn)一步降低系統(tǒng)被非法入侵的可能性。

3)推進(jìn)系統(tǒng)標(biāo)準(zhǔn)化。對(duì)終端廠商、安全通道廠商以及后臺(tái)策略控制系統(tǒng)開發(fā)商之間的數(shù)據(jù)接口進(jìn)行標(biāo)準(zhǔn)化處理。

1 系統(tǒng)結(jié)構(gòu)及原理

依據(jù)公安移動(dòng)警務(wù)安全接入平臺(tái)的網(wǎng)絡(luò)特點(diǎn)，結(jié)合移動(dòng)安全接入的需求，并按照公安主管部門的有關(guān)管理規(guī)范和建設(shè)要求，本文研制出一套終端安全管控系統(tǒng)，簡稱TSMS。主要分為：客戶端、前置服務(wù)端和內(nèi)網(wǎng)服務(wù)端，其系統(tǒng)結(jié)構(gòu)如圖1所示[6-9]。

圖1 終端安全管控系統(tǒng)結(jié)構(gòu)

其中，前置服務(wù)端主要部署在前置服務(wù)區(qū)內(nèi)，內(nèi)網(wǎng)服務(wù)端主要部署在內(nèi)網(wǎng)管理服務(wù)區(qū)內(nèi)。通過上述系統(tǒng)結(jié)構(gòu)的部署方式，可確保在移動(dòng)接入?yún)^(qū)和公安內(nèi)網(wǎng)區(qū)有效進(jìn)行物理隔離的前提下，實(shí)現(xiàn)前后置系統(tǒng)配置和安全策略同步，進(jìn)而有效防止移動(dòng)終端非法訪問移動(dòng)接入?yún)^(qū)的應(yīng)用系統(tǒng)，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。

本文研究的終端安全管控系統(tǒng)的策略執(zhí)行原理如圖2所示，其主要通過中心服務(wù)器平臺(tái)制定終端Agent代理程序端的安全策略，并通過網(wǎng)絡(luò)下發(fā)到各個(gè)終端。Agent代理程序收到安全策略后，對(duì)移動(dòng)終端本地狀態(tài)及用戶行為進(jìn)行檢測，對(duì)不滿足安全策略的狀態(tài)或行為形成審計(jì)信息并上報(bào)到中心服務(wù)器平臺(tái)。最終，管理員通過中心服務(wù)器平臺(tái)完成對(duì)下屬所有移動(dòng)終端的統(tǒng)一管理及審計(jì)。

圖2 策略執(zhí)行原理

2 軟件系統(tǒng)架構(gòu)設(shè)計(jì)

2.1 TSMS軟件設(shè)計(jì)整體框架

根據(jù)建立移動(dòng)警務(wù)安全管控生態(tài)圈的理念，以及開放、共生、通用的原則，本文將TSMS模塊按部署位置分為移動(dòng)終端和控制后臺(tái)兩個(gè)部分，在通信層、數(shù)據(jù)層和應(yīng)用層3個(gè)層次劃分成不同的功能維度，最終形成整體解決框架。主要包括以下3個(gè)功能模塊[10-13]：

1)終端安全模塊。主要實(shí)現(xiàn)對(duì)設(shè)備硬件(如WIFI、移動(dòng)網(wǎng)絡(luò)等)狀態(tài)監(jiān)控、硬件控制、日志收集等功能。

2)數(shù)據(jù)傳輸模塊。分為終端通信模塊(部署在終端上)與后臺(tái)通信模塊(部署于控制后臺(tái))。終端通信模塊部署在移動(dòng)終端上，以標(biāo)準(zhǔn)接口的方式與終端安全模塊對(duì)接，實(shí)現(xiàn)終端控制策略接收、數(shù)據(jù)加密傳輸和終端日志回傳等功能；后臺(tái)通信模塊部署于TSMS中，支持多級(jí)部署，提供標(biāo)準(zhǔn)通信框架接口，與TSMS后臺(tái)策略控制模塊對(duì)接，配合終端通信模塊實(shí)現(xiàn)高并發(fā)條件下的控制策略數(shù)據(jù)傳輸、日志數(shù)據(jù)接收等功能。

3)策略控制模塊。與數(shù)據(jù)傳輸模塊間通過標(biāo)準(zhǔn)接口進(jìn)行對(duì)接，實(shí)現(xiàn)已制定策略的安全下發(fā)、終端日志獲取，同時(shí)實(shí)現(xiàn)對(duì)已接收的數(shù)據(jù)進(jìn)行分析處理、深度挖掘、集中動(dòng)態(tài)展示等功能。

圖3 TSMS軟件設(shè)計(jì)整體框架

2.2 TSMS內(nèi)部軟件設(shè)計(jì)框架

本文提出的終端安全管控系統(tǒng)其內(nèi)部可抽象為上層應(yīng)用、接口層及功能層，通過各層之間的相互封裝調(diào)用，為用戶提供統(tǒng)一的用戶界面，并為系統(tǒng)的擴(kuò)展進(jìn)行保留。

圖4 實(shí)現(xiàn)表示圖

終端安全管控系統(tǒng)中心服務(wù)器平臺(tái)內(nèi)部結(jié)構(gòu)如圖5所示。

圖5 中心服務(wù)器平臺(tái)內(nèi)部結(jié)構(gòu)

移動(dòng)筆記本Agent代理程序內(nèi)部結(jié)構(gòu)如圖6所示。

圖6 移動(dòng)筆記本Agent代理程序內(nèi)部結(jié)構(gòu)

智能手機(jī)Agent代理程序內(nèi)部結(jié)構(gòu)如圖7所示。

圖7 智能手機(jī)Agent代理程序內(nèi)部結(jié)構(gòu)圖

所提移動(dòng)警務(wù)終端安全管控系統(tǒng)的界面設(shè)計(jì)如圖8所示。

圖8 系統(tǒng)首頁原型圖

3 關(guān)鍵技術(shù)設(shè)計(jì)與實(shí)現(xiàn)

3.1 安全管控策略設(shè)計(jì)

本文提出的移動(dòng)警務(wù)終端安全管控系統(tǒng)主要在中心服務(wù)器平臺(tái)制定安全策略，并將安全策略下發(fā)到移動(dòng)終端，相應(yīng)的規(guī)則包括[14]：

1)全局安全規(guī)則管理。用于對(duì)系統(tǒng)中應(yīng)用到移動(dòng)終端主機(jī)或證書用戶的安全規(guī)則進(jìn)行集中管理，包括添加、編輯、復(fù)制、刪除規(guī)則以及刷新規(guī)則等。

2)全部終端安全事件管理。用于對(duì)系統(tǒng)所有移動(dòng)終端觸發(fā)并上報(bào)的安全事件進(jìn)行集中管理，包括查看事件詳細(xì)、導(dǎo)出事件備份以及對(duì)事件進(jìn)行搜索等。

3)網(wǎng)絡(luò)訪問規(guī)則控制。用于設(shè)置終端主機(jī)的網(wǎng)絡(luò)訪問規(guī)則，從而最大程度的保證系統(tǒng)網(wǎng)絡(luò)正常有序地運(yùn)行。

4)違規(guī)外聯(lián)行為檢測。用于檢測當(dāng)前用戶是否接入互聯(lián)網(wǎng)，如果發(fā)現(xiàn)用戶移動(dòng)終端接入互聯(lián)網(wǎng)則立即進(jìn)行斷網(wǎng)處理，防止移動(dòng)終端發(fā)生“一機(jī)兩用”行為。

5)外設(shè)端口訪問控制。用于設(shè)置終端主機(jī)指定外設(shè)端口的可用狀態(tài)，從而保障網(wǎng)絡(luò)數(shù)據(jù)安全。本系統(tǒng)支持對(duì)移動(dòng)硬盤(U盤)、軟盤、CD/DVD刻錄機(jī)、串行口(COM口)、并行口(LPT口)、打印機(jī)、USB控制器外設(shè)端口的管理，且不可更改。

6)違規(guī)軟件主動(dòng)卸載。用于防止終端側(cè)違規(guī)使用的軟件，并對(duì)發(fā)現(xiàn)的違規(guī)軟件進(jìn)行主動(dòng)卸載。

7)應(yīng)用程序白名單。用于設(shè)置終端可以可用的軟件或指定供應(yīng)商提供的軟件，系統(tǒng)會(huì)對(duì)白名單中設(shè)定的內(nèi)容進(jìn)行自動(dòng)放行，對(duì)未在白名單中設(shè)定的內(nèi)容進(jìn)行阻止。

8)強(qiáng)力終止進(jìn)程功能。用于對(duì)終端主機(jī)運(yùn)行的，且在規(guī)則配置中的進(jìn)程進(jìn)行強(qiáng)力終止，從而保證終端主機(jī)不能運(yùn)行非法進(jìn)程。

9)非法網(wǎng)站(頁)訪問控制功能。用于對(duì)終端主機(jī)訪問非法網(wǎng)站(頁)的情況進(jìn)行管理，非法網(wǎng)站(頁)可以根據(jù)需要進(jìn)行配置。

10) 防病毒軟件檢測功能。用于對(duì)終端主機(jī)常見防病毒軟件安裝情況進(jìn)行檢測，并對(duì)未安裝任何常見防病毒軟件的客戶端進(jìn)行安全預(yù)警。

11)網(wǎng)絡(luò)防火墻檢測功能。用于對(duì)終端主機(jī)網(wǎng)絡(luò)防火墻軟件安裝情況進(jìn)行檢測，并根據(jù)配置對(duì)沒有安裝指定防火墻軟件之一的主機(jī)進(jìn)行安全預(yù)警。

3.2 安全管控功能實(shí)現(xiàn)

本文提出的TSMS系統(tǒng)的主要功能包括[15]：

1)統(tǒng)一管理：系統(tǒng)通過在移動(dòng)終端(智能手機(jī)、移動(dòng)筆記本)上部署專有的客戶端軟件，實(shí)現(xiàn)對(duì)各移動(dòng)終端設(shè)備安全和行為的統(tǒng)一管理和規(guī)范。

2)資源訪問控制：對(duì)移動(dòng)終端的各類資源訪問行為進(jìn)行全面的控制和審計(jì)，包括網(wǎng)絡(luò)訪問行為、打印機(jī)訪問行為和外設(shè)端口使用行為等。

3)數(shù)據(jù)安全保護(hù)：系統(tǒng)針對(duì)移動(dòng)終端的運(yùn)行使用特點(diǎn)，提供移動(dòng)終端本地?cái)?shù)據(jù)保護(hù)功能，控制和審計(jì)終端本地文件和網(wǎng)絡(luò)數(shù)據(jù)的訪問行為。

4)終端安全狀態(tài)檢測：對(duì)移動(dòng)終端自身的各種安全狀態(tài)進(jìn)行檢查和加固，主動(dòng)防止安全狀態(tài)不符合要求的移動(dòng)終端接入網(wǎng)絡(luò)。

5)系統(tǒng)綜合審計(jì)：將各移動(dòng)終端相關(guān)資產(chǎn)、違規(guī)行為等信息統(tǒng)一上報(bào)至管理平臺(tái)并進(jìn)行分類，提供各項(xiàng)安全功能的檢查結(jié)果、終端用戶行為的匯總報(bào)表，實(shí)現(xiàn)對(duì)移動(dòng)終端各種安全狀態(tài)及事件的全面審計(jì)。

6)客戶端安全：客戶端與操作系統(tǒng)進(jìn)行緊密結(jié)合，使用者在軟件安裝后無法擅自卸載客戶端，保證了系統(tǒng)實(shí)施的效果。

7)客戶端安裝功能：系統(tǒng)部署簡單，提供獨(dú)立的客戶端安裝包，安裝便捷。

8)客戶端引擎功能：客戶端于后臺(tái)運(yùn)行無需任何工作界面，并采用事件驅(qū)動(dòng)機(jī)制和休眠機(jī)制，使任何具體事務(wù)的處理不影響移動(dòng)終端使用者的工作，既不浪費(fèi)移動(dòng)終端本身的資源，同時(shí)基于事件觸發(fā)的高效工作模式最大可能地降低了對(duì)網(wǎng)絡(luò)資源的使用。

9)基于IE的管理功能：采用IE瀏覽器作為其管理界面，在具體工作中方便管理員在網(wǎng)絡(luò)可達(dá)的地點(diǎn)登陸系統(tǒng)，進(jìn)行管理。

4 系統(tǒng)應(yīng)用實(shí)施方案

4.1 運(yùn)行環(huán)境

1)硬件環(huán)境：本系統(tǒng)運(yùn)行所需要的硬件環(huán)境如表1所示。

表1 設(shè)備硬件環(huán)境

2)軟件環(huán)境：本系統(tǒng)運(yùn)行所需要的軟件環(huán)境如表2所示。

表2 設(shè)備軟件環(huán)境

4.2 應(yīng)用實(shí)施方案

TSMS系統(tǒng)采用旁路模式部署于網(wǎng)絡(luò)拓?fù)渲校爸梅?wù)端部署于移動(dòng)警務(wù)安全接入平臺(tái)的移動(dòng)接入?yún)^(qū)，內(nèi)網(wǎng)服務(wù)端部署于移動(dòng)警務(wù)安全接入平臺(tái)的公安內(nèi)網(wǎng)區(qū)，網(wǎng)絡(luò)中其它設(shè)備的配置信息不需要進(jìn)行修改。終端安全客戶端軟件分別安裝于移動(dòng)Windows終端和Android終端，在鏈路中VPN接入網(wǎng)關(guān)建立通道后，終端安全管理前置服務(wù)端自動(dòng)檢測與終端安全管理系統(tǒng)內(nèi)網(wǎng)服務(wù)端的通信情況，自動(dòng)獲取安全策略，接受統(tǒng)一管控[16-18]。具體部署如圖9所示。

圖9 網(wǎng)絡(luò)部署示意圖

本文提出的部署方案在保障移動(dòng)警務(wù)安全接入方面具有以下特點(diǎn)[19-21]：

1)前后置服務(wù)端模式。在移動(dòng)接入?yún)^(qū)和公安內(nèi)網(wǎng)區(qū)有效進(jìn)行物理隔離的前提下，實(shí)現(xiàn)前后置系統(tǒng)配置和安全策略同步，有效防止移動(dòng)終端非法訪問移動(dòng)接入?yún)^(qū)的應(yīng)用系統(tǒng)，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

2)安全策略“脫網(wǎng)”執(zhí)行。當(dāng)移動(dòng)終端首次通過VPN接入網(wǎng)關(guān)成功建立通道后，終端安全管理客戶端自動(dòng)到前置服務(wù)端進(jìn)行安全策略下載，并保存于移動(dòng)終端本地自動(dòng)執(zhí)行。實(shí)現(xiàn)移動(dòng)用戶在未連接VPN接入網(wǎng)關(guān)的前提下也能安全訪問前置應(yīng)用。

3)同時(shí)支持Windows終端和Android終端。安全管理客戶端同時(shí)支持對(duì)移動(dòng)筆記本和智能手機(jī)進(jìn)行管理，適應(yīng)用戶需同時(shí)管控智能手機(jī)和移動(dòng)筆記本的需求，降低了管理復(fù)雜度。

4)詳細(xì)的資源訪問控制。對(duì)移動(dòng)終端的本地軟硬件資源以及網(wǎng)絡(luò)資源進(jìn)行了嚴(yán)格限制，可以通過管理平臺(tái)對(duì)移動(dòng)終端的資源使用進(jìn)行控制。

5)全面監(jiān)測和預(yù)防控制。對(duì)各移動(dòng)終端用戶的違規(guī)訪問、操作行為進(jìn)行全面監(jiān)測和預(yù)防，準(zhǔn)確及時(shí)地進(jìn)行審計(jì)。

6)客戶端防卸載。當(dāng)移動(dòng)終端按照要求安裝完成終端安全管理客戶端后，用戶無法手動(dòng)卸載，確保移動(dòng)終端環(huán)境的安全環(huán)境不變，同時(shí)配合VPN客戶端做校驗(yàn)檢測，若移動(dòng)終端沒有安裝終端安全管理客戶端，則VPN客戶端無法啟用，禁止撥號(hào)連接。

5 結(jié)束語

移動(dòng)警務(wù)安全接入平臺(tái)自2006年起即進(jìn)行試點(diǎn)建設(shè)工作并逐步完善，平臺(tái)的建設(shè)有效提升了公安干警快速反應(yīng)和綜合作戰(zhàn)的能力，提升了公安機(jī)關(guān)行政管理和服務(wù)群眾的質(zhì)量，但是移動(dòng)警務(wù)終端所處環(huán)境復(fù)雜、部分終端會(huì)與公安網(wǎng)進(jìn)行數(shù)據(jù)交互，存在通過終端入侵公安網(wǎng)的安全風(fēng)險(xiǎn)。本文提出的移動(dòng)警務(wù)終端安全管控系統(tǒng)采用前后置服務(wù)端模式，通過在服務(wù)端平臺(tái)制定各種安全策略，實(shí)現(xiàn)安全策略下發(fā)到移動(dòng)終端執(zhí)行，各移動(dòng)終端將相關(guān)資產(chǎn)、違規(guī)行為等信息統(tǒng)一上報(bào)至管理平臺(tái)進(jìn)行綜合審計(jì)，實(shí)現(xiàn)了詳細(xì)的資源訪問控制，對(duì)各移動(dòng)終端用戶的違規(guī)訪問、操作行為進(jìn)行全面監(jiān)測和預(yù)防。同時(shí)，本文提出的基于模塊化架構(gòu)的移動(dòng)警務(wù)終端安全管控系統(tǒng)，有效地解決了客戶端開發(fā)與終端廠商的適配對(duì)接工作，并且提高了客戶端軟件自身的安全性、軟件開發(fā)效率和可復(fù)用性等。