移動(dòng)辦公的安全問題分析及應(yīng)對(duì)實(shí)踐

1、移動(dòng)辦公的平安問題分析及應(yīng)對(duì)實(shí)踐專業(yè)：計(jì)算機(jī)科學(xué)與技術(shù)姓名：*學(xué)號(hào)：聯(lián)系方式：郵箱：指導(dǎo)老師：意攻擊者利用漏洞進(jìn)行攻擊、對(duì)移動(dòng)APP通過逆向分析和調(diào)試插入等操作進(jìn)行 二次打包等威脅相關(guān)聯(lián)的平安風(fēng)險(xiǎn)得到有效控制，從而保障移動(dòng)應(yīng)用服務(wù)穩(wěn)定可 靠運(yùn)行、用戶信息和數(shù)據(jù)平安。應(yīng)用加固技術(shù)結(jié)合移動(dòng)應(yīng)用管理技術(shù)，應(yīng)用上線前，進(jìn)行應(yīng)用加固、滲透測 試、應(yīng)用合規(guī)檢測保證分發(fā)的移動(dòng)辦公應(yīng)用平安可信。零信任與威脅感知：借鑒零信任思想，在沙箱等可信工作區(qū)內(nèi)部，根據(jù)應(yīng)用 的不同價(jià)值度、敏感度來定義企業(yè)內(nèi)部應(yīng)用之間的邊界，對(duì)一些高敏度應(yīng)用進(jìn)行 基于時(shí)間、位置、行為等因素的持續(xù)動(dòng)態(tài)的增強(qiáng)身份認(rèn)證，確保這些高敏感、高 價(jià)值應(yīng)

2、用在正確時(shí)間、正確地點(diǎn)、被正確用戶平安訪問。采用大數(shù)據(jù)分析和人工 智能技術(shù)，對(duì)用戶、時(shí)間、地點(diǎn)、設(shè)備、網(wǎng)絡(luò)、應(yīng)用、系統(tǒng)環(huán)境屬性等訪問上下 文進(jìn)行感知和建模，持續(xù)進(jìn)行風(fēng)險(xiǎn)檢測、數(shù)據(jù)收集、行為分析、風(fēng)險(xiǎn)評(píng)估等，實(shí) 現(xiàn)風(fēng)險(xiǎn)和信任的持續(xù)度量。通過威脅感知預(yù)判應(yīng)用所面臨的威脅，提前動(dòng)作，防 患于未然。當(dāng)然這中技術(shù)也有缺點(diǎn)，目前誤報(bào)率比擬高，適用于對(duì)于平安威脅防 御水平有較高要求的場景使用。零信任與訪問控制：在系統(tǒng)化平安防護(hù)的基礎(chǔ)上，采用零信任模式增強(qiáng)對(duì)核 心應(yīng)用系統(tǒng)和數(shù)據(jù)資源的平安保護(hù)。零信任架構(gòu)提供了細(xì)粒度、動(dòng)態(tài)化、基于屬 性的訪問控制，增強(qiáng)了對(duì)終端環(huán)境、網(wǎng)絡(luò)環(huán)境、用戶行為等屬性的感知發(fā)現(xiàn)和分 析，可

3、實(shí)現(xiàn)在移動(dòng)辦公過程中實(shí)時(shí)動(dòng)態(tài)控制和調(diào)整平安策略的關(guān)鍵能力。保障高 價(jià)值應(yīng)用和數(shù)據(jù)資源，尤其是防止內(nèi)部違規(guī)和橫向移動(dòng)。4 數(shù)據(jù)平安應(yīng)對(duì)根據(jù)移動(dòng)辦公和和移動(dòng)業(yè)務(wù)應(yīng)用場景對(duì)數(shù)據(jù)進(jìn)行數(shù)據(jù)防泄漏（DLP）策略控 制，主要集中在應(yīng)用的提供控制、數(shù)據(jù)加密、水印、應(yīng)用調(diào)用控制、應(yīng)用功能調(diào) 用限制、應(yīng)用網(wǎng)絡(luò)保護(hù)、等方面。應(yīng)用提供控制、應(yīng)用調(diào)用控制、應(yīng)用功能調(diào)用 限制可以通過應(yīng)用平安方面提到的細(xì)粒度的訪問控制實(shí)現(xiàn)。應(yīng)用網(wǎng)絡(luò)保護(hù)可以通 過傳輸平安的策略實(shí)現(xiàn)。數(shù)據(jù)加密：數(shù)據(jù)存儲(chǔ)階段，采用應(yīng)用層透明加解密技術(shù)，對(duì)需要落地存儲(chǔ)的 文件進(jìn)行高強(qiáng)度加密存儲(chǔ)，對(duì)于數(shù)據(jù)加密密鑰等關(guān)鍵信息通過密鑰沙箱技術(shù)進(jìn)行 平安存儲(chǔ)。數(shù)據(jù)泄露防

4、護(hù)策略防止其他應(yīng)用、惡意軟件對(duì)移動(dòng)辦公產(chǎn)生的數(shù)據(jù)惡 意竊取。移動(dòng)內(nèi)容管理：辦公文檔向移動(dòng)終端自動(dòng)分發(fā)，通過終端客戶端程序預(yù)覽/ 下載、瀏覽、提供相應(yīng)內(nèi)容，實(shí)現(xiàn)辦公文件移動(dòng)管理。同時(shí)根據(jù)不同的文檔進(jìn)行 分級(jí)管理,不同人員具有不同的文檔權(quán)限，具有權(quán)限的人員才能對(duì)文檔進(jìn)行操作, 并且記錄員工的每一次訪問及操作，從而到達(dá)事后追溯的目的。分發(fā)文檔時(shí)指定 文檔可被獲取的權(quán)限，設(shè)定文檔是否允許被下載、是否允許轉(zhuǎn)發(fā)、是否允許被截 屏等權(quán)限。還可通過為文檔設(shè)置有效期，分發(fā)到終端的文檔超過有效期時(shí)自動(dòng)刪 除。文檔在線閱讀：單位不希望機(jī)密文件在本地留存數(shù)據(jù)時(shí)可設(shè)置在線閱讀，從 而保證文檔的保密性。水印、防截屏：權(quán)限

5、管理禁止應(yīng)用截屏操作、禁止應(yīng)用中的復(fù)制/粘貼等操 作，防止過復(fù)制粘貼和截屏等操作造成數(shù)據(jù)泄露。通過在應(yīng)用、文檔瀏覽等關(guān)鍵 頁面啟用屏幕水印，防止通過屏幕拍照、展示屏幕等方式進(jìn)行的數(shù)據(jù)泄露，發(fā)生 泄露事件后可以通過水印信息進(jìn)行源頭追溯、封堵、處置、追責(zé)。審計(jì)：平安審計(jì)是平安運(yùn)營的有力支撐措施，移動(dòng)辦公和移動(dòng)業(yè)務(wù)應(yīng)用場景 中采用平安審計(jì)，對(duì)移動(dòng)應(yīng)用的用戶操作、特權(quán)管理角色的管理操作，對(duì)數(shù)據(jù)的 訪問、后臺(tái)業(yè)務(wù)系統(tǒng)接入事件的記錄及上報(bào)，對(duì)用戶下載、查閱文檔的記錄及上 報(bào)，對(duì)移動(dòng)應(yīng)用的內(nèi)容進(jìn)行數(shù)據(jù)采集及上報(bào)。另外平安審計(jì)數(shù)據(jù)在運(yùn)營過程中的 積累，也能夠?yàn)閿?shù)據(jù)分析和平安態(tài)勢感知能力提供主要的數(shù)據(jù)源支撐。4

6、移動(dòng)辦公平安保障實(shí)踐上面對(duì)移動(dòng)辦公平安問題提出了不同角度的應(yīng)對(duì)措施，平安移動(dòng)辦公實(shí)踐是 一個(gè)系統(tǒng)工程，需要系統(tǒng)規(guī)劃、系統(tǒng)設(shè)計(jì)、系統(tǒng)建議、系統(tǒng)運(yùn)行。任何一個(gè)環(huán)節(jié) 的缺失都會(huì)帶來短板效應(yīng)。作為一個(gè)系統(tǒng)工程，移動(dòng)平安的保障范圍應(yīng)該是全領(lǐng) 域的覆蓋，從移動(dòng)終端環(huán)境的防御到移動(dòng)接入網(wǎng)絡(luò)的保障，從移動(dòng)應(yīng)用的平安開 發(fā)到移動(dòng)業(yè)務(wù)平臺(tái)的平安加固，以至于移動(dòng)數(shù)據(jù)的隔離、加密和保護(hù)等，當(dāng)然也 缺不了相應(yīng)的平安管理、審計(jì)和持續(xù)的平安運(yùn)營。移動(dòng)業(yè)務(wù)場景是隨著移動(dòng)互聯(lián)網(wǎng)開展起來的較新領(lǐng)域，目前針對(duì)移動(dòng)業(yè)務(wù)場 景的平安保障，從國家、到行業(yè)、再到企業(yè)，都已經(jīng)著手建立相關(guān)的平安技術(shù)規(guī) 范，不同層面在標(biāo)準(zhǔn)規(guī)范方面的投入，都是面

7、向移動(dòng)平安領(lǐng)域非常重要和珍貴的 管理實(shí)踐活動(dòng)。筆者調(diào)研發(fā)現(xiàn)在開展移動(dòng)辦公的路上各行業(yè)針對(duì)自身的行業(yè)特點(diǎn) 制定了相應(yīng)的平安體系，并將前文提到技術(shù)應(yīng)用到了實(shí)踐中，下面針對(duì)各行業(yè)的 實(shí)踐進(jìn)行分析。4.1公安移動(dòng)辦公平安保障實(shí)踐公安民警的工作地點(diǎn)多是在一線辦案的現(xiàn)場、交通處置的現(xiàn)場等，對(duì)移動(dòng)辦 公、辦案的需求強(qiáng)烈。早在2006年公安部就開始探索移動(dòng)辦公（稱為移動(dòng)警務(wù)）， 為民警在一線訪問公安內(nèi)網(wǎng)的數(shù)據(jù)提供了通道。公安部在我國率先制定了平安訪 問平臺(tái)、終端平安、訪問控制等一系列的規(guī)范標(biāo)準(zhǔn)，是我國移動(dòng)辦公的先驅(qū)者。 移動(dòng)警務(wù)的探索一直沒有間斷，隨著移動(dòng)通信技術(shù)2G、3G、4G、5G的開展，規(guī) 范標(biāo)準(zhǔn)不斷開

8、展，一直將最新的通信技術(shù)運(yùn)用到移動(dòng)警務(wù)中。根據(jù)公安部公開發(fā)布的標(biāo)準(zhǔn)顯示，自2016年至今相繼制定了針對(duì)終端、安 全組件、應(yīng)用市場、平安接入、集中管控等多個(gè)標(biāo)準(zhǔn)，對(duì)各局部都做了詳細(xì)的要 求。據(jù)不完全統(tǒng)計(jì)全國31個(gè)省、自治區(qū)、直轄市建設(shè)有完善的移動(dòng)警務(wù)的平臺(tái)， 服務(wù)民警、輔警近160萬人，實(shí)現(xiàn)了 60%以上的業(yè)務(wù)在線辦理。移動(dòng)警務(wù)是全行 業(yè)移動(dòng)辦公平安保障實(shí)踐的先行者，也是忠實(shí)的擁護(hù)者。2金融移動(dòng)辦公平安保障實(shí)踐中國人民銀行2019年發(fā)布了 JR/T0092-2019移動(dòng)金融客戶端應(yīng)用軟件安 全管理規(guī)范，面向金融行業(yè)在移動(dòng)端開展的資金采集、資訊查詢、信息采集等 類型的應(yīng)用軟件，從身份認(rèn)證、邏輯平安

9、、平安功能設(shè)計(jì)、密碼算法和密鑰管理、 數(shù)據(jù)平安等五個(gè)方面提出平安技術(shù)要求，從設(shè)計(jì)、開發(fā)、發(fā)布、維護(hù)四個(gè)階段提 出平安管理要求，以規(guī)范金融行業(yè)移動(dòng)應(yīng)用客戶端軟件的平安保障。以銀行機(jī)構(gòu)為代表的金融行業(yè)，往往具備相對(duì)復(fù)雜的移動(dòng)業(yè)務(wù)場景，除去面 向外部用戶的手機(jī)銀行B2c應(yīng)用之外，還有眾多面向員工的B2E應(yīng)用場景，既 有統(tǒng)一下發(fā)移動(dòng)終端的移動(dòng)展業(yè)業(yè)務(wù)場景，銀行客戶經(jīng)理使用統(tǒng)一配發(fā)的平板設(shè) 備，到企業(yè)客戶現(xiàn)場，完成以信貸業(yè)務(wù)為代表的業(yè)務(wù)開展活動(dòng)。又有員工自己的 移動(dòng)辦公場景，行內(nèi)員工使用個(gè)人手機(jī)，完成電子郵件、移動(dòng)0A等移動(dòng)辦公操 作。銀行機(jī)構(gòu)對(duì)于不同的移動(dòng)業(yè)務(wù)場景，有不同的平安保障需求。3 物流行業(yè)移

10、動(dòng)辦公平安保障實(shí)踐物流行業(yè)是社會(huì)經(jīng)濟(jì)生活的重要支撐性行業(yè)，其核心業(yè)務(wù)為快遞業(yè)務(wù)，為了 適應(yīng)快遞業(yè)務(wù)場景，并提高業(yè)務(wù)效率，大型物流服務(wù)公司均全面實(shí)現(xiàn)了速遞業(yè)務(wù) 場景的移動(dòng)化，在移動(dòng)端開發(fā)了支撐物流快遞業(yè)務(wù)的移動(dòng)業(yè)務(wù)APP,數(shù)以萬計(jì)的 員工及外包合作伙伴使用智能移動(dòng)端的應(yīng)用，參與和完成快遞業(yè)務(wù)。以順豐、京 東、德邦、菜鳥、蘇寧等較高市場占有率的物流快遞行業(yè)企業(yè)為例，在一定程度 上信息化程度越高，其配送效率越高，企業(yè)效益越好。以某國內(nèi)龍頭物流服務(wù)企業(yè)為例，該企業(yè)的快遞業(yè)務(wù)移動(dòng)化場景，為業(yè)務(wù)人 員統(tǒng)一配備了專用手機(jī)，在使用場景中對(duì)業(yè)務(wù)人員使用的移動(dòng)設(shè)備需要進(jìn)行統(tǒng)一 的資產(chǎn)管理和策略管理；不允許設(shè)備使用

11、者隨意安裝其他個(gè)人應(yīng)用，控制移動(dòng)設(shè) 備運(yùn)行環(huán)境因不可控應(yīng)用安裝運(yùn)行產(chǎn)生的平安風(fēng)險(xiǎn)；對(duì)移動(dòng)設(shè)備上的物流業(yè)務(wù)應(yīng) 用進(jìn)行統(tǒng)一的發(fā)布、推送、安裝、更新等管理；對(duì)移動(dòng)設(shè)備進(jìn)行統(tǒng)一監(jiān)控，實(shí)時(shí) 獲取設(shè)備電量、信號(hào)強(qiáng)度、物理位置等數(shù)據(jù)；對(duì)移動(dòng)設(shè)備進(jìn)行業(yè)務(wù)數(shù)據(jù)采集、集 中分析、可視化呈現(xiàn)，為業(yè)務(wù)感知和優(yōu)化決策提供支撐。除上述行業(yè)外在電力巡檢、房地產(chǎn)服務(wù)、司法矯正、電子政務(wù)等行業(yè)也在結(jié) 合自己的行業(yè)特點(diǎn)逐步探索移動(dòng)辦公的應(yīng)用場景，提高實(shí)際工作效率，在此不再 一一列舉。5結(jié)論本文結(jié)合目前各行業(yè)移動(dòng)辦公的現(xiàn)狀，從移動(dòng)辦公可能會(huì)面臨的各種平安威 脅分析入手，結(jié)合當(dāng)前信息化平安的主流技術(shù)，技術(shù)手段與管理手段并重給出了 移

12、動(dòng)辦公平安解決方案。文中所提方案是通用解決方案，方案本身具有可落地性，已得到實(shí)踐驗(yàn)證, 但在各單位開展移動(dòng)辦公的時(shí)候還需結(jié)合自身的實(shí)際情況、投入產(chǎn)出比進(jìn)行平安 規(guī)劃，平安無上限，適合的才是最好的。本文認(rèn)為，本次疫情將催生移動(dòng)辦公需求的增長。當(dāng)疫情結(jié)束之后，移動(dòng)辦 公需求也不會(huì)降低，而是成為固定辦公的有益補(bǔ)充，甚至?xí)蔀槟承┢髽I(yè)的常態(tài)。 筆者期待，在不久的未來，隨著網(wǎng)絡(luò)成熟度的提升和移動(dòng)辦公體系的成熟完善, 各行業(yè)用戶能夠?qū)崿F(xiàn)三個(gè)任意（任意時(shí)間、任意地點(diǎn)和任意設(shè)備）的移動(dòng)辦公 平安目標(biāo)。參考文獻(xiàn)1宋鐵成、宋曉勤.移動(dòng)通信技術(shù).第一版.人民郵電出版社，2018年：222-223 (著 作圖書文獻(xiàn))

13、2苗剛中等.網(wǎng)絡(luò)平安攻防技術(shù)：移動(dòng)平安篇.第一版.科學(xué)出版社，2018年：98- 1233張濱等.移動(dòng)網(wǎng)絡(luò)平安體系架構(gòu)與防護(hù)技術(shù).第一版.人民郵電出版社.2018年： 133-1434肖云鵬、劉宴兵、徐光俠著.移動(dòng)互聯(lián)網(wǎng)平安技術(shù)解析.第一版.科學(xué)出版社.2015 年：29-34, 157-1665中國互聯(lián)網(wǎng)協(xié)會(huì)APP數(shù)據(jù)平安測評(píng)服務(wù)工作組.移動(dòng)應(yīng)用平安形勢分析報(bào)告(2020 年)DB/OL ： 9-156謝振華.5G移動(dòng)網(wǎng)絡(luò)平安技術(shù)分析J.郵電設(shè)計(jì)技術(shù)，2019(4): 49-527楊紅梅，林美玉.5G網(wǎng)絡(luò)及平安能力開放技術(shù)研究J.移動(dòng)通信，2020,44(4): 65-68.8國家信息中心等

14、.GBT35282-2017.信息平安技術(shù)電子政務(wù)移動(dòng)辦公系統(tǒng)平安技 術(shù)規(guī)范S.中國.中國標(biāo)準(zhǔn)出版社.20179中國科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心.GM-T 0028-2014.密碼模塊平安技術(shù)要 求S .中國中國標(biāo)準(zhǔn)出版社.201410中國產(chǎn)業(yè)研究院.2021-2023年中國移動(dòng)警務(wù)行業(yè)開展臺(tái)式與前景展望研究報(bào)告.中國.中國行業(yè)研究網(wǎng).2021： 32-40.摘要5G支持更多的應(yīng)用場景，它是移動(dòng)通信上的又一次大的變革，每次變革，都意味著生 產(chǎn)效率的提升，而這也正是科技創(chuàng)新的價(jià)值所在。2020年初新冠疫情肆虐以及近日疫情再 次反撲，使得居家遠(yuǎn)程辦公、移動(dòng)辦公再次成為多數(shù)人的選擇，移動(dòng)辦公可以

15、讓人們?cè)谌魏?時(shí)間、任何地點(diǎn)可以處理任何工作。平安與業(yè)務(wù)總是相伴相生，人們?cè)谙碛靡苿?dòng)辦公帶來的 紅利之時(shí)，不可防止地，會(huì)遇到終端設(shè)備、傳輸鏈路、應(yīng)用平安、數(shù)據(jù)平安等一系列的平安 問題。本文從不同維度分析移動(dòng)辦公中出現(xiàn)的問題和潛在風(fēng)險(xiǎn)，探索使用身份認(rèn)證、終端管 控、數(shù)據(jù)存儲(chǔ)加密、傳輸加密、訪問控制、平安審計(jì)、應(yīng)用加固等措施對(duì)移動(dòng)辦公中遇到的 各薄弱環(huán)節(jié)進(jìn)行加固，旨在為正蓬勃開展的移動(dòng)辦公保駕護(hù)航。關(guān)鍵詞移動(dòng)辦公、信息平安、身份認(rèn)證、傳輸加密、零信任目錄 TOC o 1-5 h z HYPERLINK l bookmark18 o Current Document 移動(dòng)辦公的現(xiàn)狀1 HYPERLI

16、NK l bookmark20 o Current Document 移動(dòng)辦公平安威脅分析2 HYPERLINK l bookmark22 o Current Document 2. 1終端平安威脅分析2 HYPERLINK l bookmark24 o Current Document 2. 2傳輸平安威脅分析3 HYPERLINK l bookmark26 o Current Document 2.3應(yīng)用平安威脅分析3 HYPERLINK l bookmark28 o Current Document 2.4數(shù)據(jù)平安威脅分析3 HYPERLINK l bookmark30 o Curren

17、t Document 3移動(dòng)辦公平安問題的應(yīng)對(duì)措施4 HYPERLINK l bookmark32 o Current Document 1終端平安應(yīng)對(duì)4 HYPERLINK l bookmark34 o Current Document 傳輸平安應(yīng)對(duì)5 HYPERLINK l bookmark36 o Current Document 應(yīng)用平安應(yīng)對(duì)6 HYPERLINK l bookmark2 o Current Document 數(shù)據(jù)平安應(yīng)對(duì)7 HYPERLINK l bookmark4 o Current Document 4移動(dòng)辦公平安保障實(shí)踐8 HYPERLINK l bookmar

18、k10 o Current Document 1公安移動(dòng)辦公平安保障實(shí)踐9 HYPERLINK l bookmark6 o Current Document 2金融移動(dòng)辦公平安保障實(shí)踐9 HYPERLINK l bookmark8 o Current Document 3物流行業(yè)移動(dòng)辦公平安保障實(shí)踐10 HYPERLINK l bookmark12 o Current Document 5結(jié)論10 HYPERLINK l bookmark14 o Current Document 參考文獻(xiàn)12當(dāng)前，以數(shù)字化、網(wǎng)絡(luò)化、智能化為特征的全球第四次工業(yè)革命孕育興起。 作為新一輪科技革命的核心通用技術(shù)，

19、5G以其超大帶寬、超廣連接、超低時(shí)延三 大特性，成為全球各國開展重點(diǎn)，對(duì)于推動(dòng)經(jīng)濟(jì)轉(zhuǎn)型、社會(huì)進(jìn)步、民生改善具有 重要意義。超大帶寬、超廣連接、超低時(shí)延意味著移動(dòng)辦公所需的移動(dòng)通信基礎(chǔ) 網(wǎng)絡(luò)條件已具備。2020年突如其來的新冠疫情給沉浸在春節(jié)團(tuán)圓喜悅中的中國人民按下了暫 停鍵，暫停了走親訪友的腳步，也暫停了假期結(jié)束返工的進(jìn)程。由于新冠病毒具 有傳播快、傳染性強(qiáng)等特點(diǎn)，足不出戶成了最經(jīng)濟(jì)高效的抗疫方式。我國許多單 位采取遠(yuǎn)程辦公模式復(fù)工復(fù)產(chǎn)，各大企事業(yè)單位紛紛打造“專屬”的移動(dòng)辦公系 統(tǒng)。筆者調(diào)研了公安一線民警、電力巡防員、物流快遞員等。他們長期工作在一 線，工作地點(diǎn)不固定，并且需要采集一線的數(shù)據(jù)

20、信息，在一線辦理一些案件、業(yè) 務(wù)。他們對(duì)移動(dòng)辦公有強(qiáng)需求，而且移動(dòng)辦公對(duì)于他們來說不單是處理簽到、考 勤這么簡單的問題，是要涉及業(yè)務(wù)、案件等信息交互的。平安與業(yè)務(wù)總是相伴相 生，如影隨形。人們?cè)谙碛靡苿?dòng)辦公帶來的紅利之時(shí)，不可防止地，會(huì)遇到一系 列平安問題。筆者從不同的方面分析研究，得出移動(dòng)辦公中可能會(huì)遇到的問題, 并總結(jié)出可行的防護(hù)措施。1移動(dòng)辦公的現(xiàn)狀在移動(dòng)互聯(lián)網(wǎng)開展的大背景下，政府、金融、醫(yī)療、教育、制造、交通、能 源、服務(wù)等各行業(yè)機(jī)構(gòu)的內(nèi)部辦公和業(yè)務(wù)應(yīng)用系統(tǒng)，越來越多實(shí)現(xiàn)了移動(dòng)化，從 傳統(tǒng)面向PC終端提供辦公和業(yè)務(wù)應(yīng)用服務(wù)，擴(kuò)展到了面向智能移動(dòng)終端（智能 手機(jī)、平板電腦、筆記本電腦等）

21、提供服務(wù)，辦公和業(yè)務(wù)應(yīng)用移動(dòng)化能夠幫助用 戶擺脫時(shí)間和空間的限制，隨時(shí)隨地按需要處理工作，從而實(shí)現(xiàn)效率提升和協(xié)作 增強(qiáng)。各行業(yè)的辦公和業(yè)務(wù)應(yīng)用移動(dòng)化，在移動(dòng)端主要表達(dá)為較為通用性的移動(dòng)辦 公應(yīng)用（如移動(dòng)0A、即時(shí)通訊、文件云盤、電子郵件等）、以及表達(dá)各行業(yè)特點(diǎn) 的移動(dòng)業(yè)務(wù)應(yīng)用（如政府行業(yè)的無紙化會(huì)議、銀行業(yè)的移動(dòng)展業(yè)、房地產(chǎn)服務(wù)行 業(yè)的移動(dòng)經(jīng)紀(jì)業(yè)務(wù)、物流服務(wù)企業(yè)的移動(dòng)物流和倉儲(chǔ)管理、能源電力行業(yè)的移動(dòng) 巡檢和數(shù)據(jù)采集、制造業(yè)企業(yè)的ERP應(yīng)用等）。各行業(yè)移動(dòng)辦公和業(yè)務(wù)應(yīng)用，在移動(dòng)端的APP形態(tài)主要包括兩類：一是原生 應(yīng)用形態(tài)，二是基于門戶應(yīng)用的混合應(yīng)用形態(tài)。原生應(yīng)用形態(tài)，通過自主/外包方式設(shè)計(jì)開

22、發(fā)獨(dú)立的原生應(yīng)用，實(shí)現(xiàn)特定業(yè) 務(wù)操作入口，政府、金融、運(yùn)營商、企業(yè)等機(jī)構(gòu)都廣泛使用原生形態(tài)的移動(dòng)應(yīng)用， 一個(gè)行業(yè)機(jī)構(gòu)常常為多種業(yè)務(wù)應(yīng)用，開發(fā)多個(gè)原生應(yīng)用，供用戶在移動(dòng)終端安裝 和使用?；陂T戶應(yīng)用的混合應(yīng)用形態(tài)，局部政府、企業(yè)機(jī)構(gòu)，依托政務(wù)釘釘、企業(yè) 微信、藍(lán)信、云之家等第三方門戶應(yīng)用，或者自主/外包方式開發(fā)的門戶應(yīng)用， 在門戶應(yīng)用中嵌入實(shí)現(xiàn)特定業(yè)務(wù)操作的小程序/H5輕應(yīng)用，因?yàn)殚T戶應(yīng)用是原生 應(yīng)用，輕應(yīng)用是Web應(yīng)用，所以這種移動(dòng)端APP被稱為混合應(yīng)用形態(tài)，即在應(yīng)用 客戶端混合使用了 B/S和C/S架構(gòu)。移動(dòng)辦公采用的通信網(wǎng)絡(luò)主要是4G/5G移動(dòng)通信互聯(lián)網(wǎng)、無線WIFI、移動(dòng) 通信運(yùn)營商提供

23、的專用APN/VPDN網(wǎng)絡(luò)、衛(wèi)星通信網(wǎng)絡(luò)、應(yīng)急專用的LTE網(wǎng)絡(luò)等。 大局部政府單位、企事業(yè)單位都是采用4G/5G移動(dòng)通信互聯(lián)網(wǎng)、無線WIFI接入 互聯(lián)網(wǎng)的方式，這樣的本錢較低，開展移動(dòng)辦公的門檻較低，比擬容易實(shí)現(xiàn)。當(dāng) 然，這相對(duì)專用APN/VPDN、LTE、衛(wèi)星通信網(wǎng)絡(luò)來說平安性較低。2移動(dòng)辦公平安威脅分析移動(dòng)辦公從本質(zhì)上改變了傳統(tǒng)的工作模式，也打破了傳統(tǒng)的辦公網(wǎng)絡(luò)平安防 護(hù)邊界。通過移動(dòng)設(shè)備，隨時(shí)隨時(shí)訪問內(nèi)網(wǎng)數(shù)據(jù)，帶來了新的平安隱患。2.1終端平安威脅分析移動(dòng)終端設(shè)備紛繁多樣，有手機(jī)、平板、筆記本電腦等，種類型號(hào)眾多，難 以統(tǒng)一管理。移動(dòng)辦公終端設(shè)備大多是辦公人員自己的終端，即時(shí)是單位統(tǒng)一配

24、發(fā)的終端 也難以做到像單位辦公電腦那樣統(tǒng)一管理。移動(dòng)終端設(shè)備存在遺失或者被盜風(fēng)險(xiǎn), 終端喪失時(shí)其中可能包含企業(yè)敏感數(shù)據(jù)，會(huì)造成數(shù)據(jù)泄露。移動(dòng)終端的使用者身份不可信，身份冒用風(fēng)險(xiǎn)是指移動(dòng)辦公和業(yè)務(wù)應(yīng)用的用 戶賬戶身份信息被破解或泄露后，合法用戶的身份被非法冒用，攻擊者冒充合法 用戶登錄進(jìn)入系統(tǒng)后，訪問敏感數(shù)據(jù)資源。僅依靠用戶名/靜態(tài)口令的身份認(rèn)證 機(jī)制，移動(dòng)辦公和業(yè)務(wù)應(yīng)用系統(tǒng)很容易發(fā)生身份冒用。2 傳輸平安威脅分析從移動(dòng)端到服務(wù)端之間的通信，會(huì)通過移動(dòng)互聯(lián)網(wǎng)（運(yùn)營商移動(dòng)接入網(wǎng)絡(luò)或 無線WIFL以及有線互聯(lián)網(wǎng)局部）進(jìn)行，在開放公眾網(wǎng)絡(luò)中，惡意威脅和風(fēng)險(xiǎn)水 平較高，因此數(shù)據(jù)通信過程中，同樣會(huì)面對(duì)通信

25、竊聽導(dǎo)致敏感信息泄露的風(fēng)險(xiǎn)和 非法篡改通信內(nèi)容危害通信完整性的風(fēng)險(xiǎn)，尤其是行業(yè)機(jī)構(gòu)的移動(dòng)辦公和業(yè)務(wù)應(yīng) 用系統(tǒng)，因?yàn)樘幚砗蛡鬏數(shù)臉I(yè)務(wù)數(shù)據(jù)敏感級(jí)別比個(gè)人消費(fèi)應(yīng)用更高，一旦發(fā)生信 息竊取或篡改，往往造成更加嚴(yán)重的不良影響。2.3 應(yīng)用平安威脅分析針對(duì)辦公終端的惡意病毒木馬，數(shù)據(jù)被竊取。任何通過公開應(yīng)用市場發(fā)布的移動(dòng)APP都會(huì)面臨應(yīng)用仿冒風(fēng)險(xiǎn)，該風(fēng)險(xiǎn)是 指攻擊者對(duì)原官方應(yīng)用程序進(jìn)行逆向分析后，對(duì)程序進(jìn)行篡改或插入代碼，二次 打包后發(fā)布并誘騙用戶進(jìn)行下載安裝，以隱私竊取、廣告推送、惡意扣費(fèi)等方式 侵害用戶利益，實(shí)現(xiàn)非法牟利。移動(dòng)辦公應(yīng)用被安裝在未經(jīng)平安確認(rèn)的移動(dòng)終端上，移動(dòng)終端上存在惡意應(yīng) 用，通過界面

26、劫持攻擊非法竊取移動(dòng)辦公應(yīng)用的數(shù)據(jù)。4 數(shù)據(jù)平安威脅分析個(gè)人應(yīng)用和辦公應(yīng)用安裝在同一個(gè)終端，個(gè)人數(shù)據(jù)與辦公數(shù)據(jù)無法有效區(qū)分 隔離，導(dǎo)致員工可隨意獲取、提供企業(yè)數(shù)據(jù)，造成企業(yè)數(shù)據(jù)信息泄露，給企業(yè)帶 來一定的損失。移動(dòng)終端上其它個(gè)人應(yīng)用，訪問獲取移動(dòng)辦公和業(yè)務(wù)應(yīng)用的數(shù)據(jù), 造成。員工離職或終端喪失，移動(dòng)辦公和業(yè)務(wù)數(shù)據(jù)仍然在移動(dòng)設(shè)備上留存，可能被 非法使用。移動(dòng)應(yīng)用用戶通過截屏、復(fù)制/粘貼等操作，將辦公和業(yè)務(wù)數(shù)據(jù)發(fā)送 至外部應(yīng)用，或提供到互聯(lián)網(wǎng)。以上是筆者調(diào)查分析中得出的局部平安威脅，并不能預(yù)見全部的平安風(fēng)險(xiǎn)。3移動(dòng)辦公平安問題的應(yīng)對(duì)措施得出了移動(dòng)辦公中所會(huì)面臨的平安問題，筆者從終端、傳輸、應(yīng)用、數(shù)

27、據(jù)等 方面著手，采用身份認(rèn)證、終端管控、數(shù)據(jù)存儲(chǔ)加密、傳輸加密、訪問控制、安 全審計(jì)、應(yīng)用加固等技術(shù)，提出相應(yīng)的應(yīng)對(duì)措施，以保障移動(dòng)辦公的平安。1 終端平安應(yīng)對(duì)終端側(cè)面臨的平安威脅可以采取以下技術(shù)措施進(jìn)行加固。移動(dòng)終端管控技術(shù)：在移動(dòng)辦公終端部署管控插件，管控系統(tǒng)具有操作系統(tǒng) root權(quán)限，可以從系統(tǒng)底層獲取終端的身份，杜絕身份偽造。移動(dòng)終端管控從設(shè) 備啟用到設(shè)備淘汰進(jìn)行設(shè)備完整生命周期的管理。從后臺(tái)統(tǒng)一平安策略的下發(fā)及 執(zhí)行，對(duì)終端統(tǒng)一管理，采用受控、可信的平安管理策略；從后臺(tái)可以遠(yuǎn)程對(duì)移 動(dòng)終端設(shè)備進(jìn)行注銷、禁用和鎖定管理，員工離職、調(diào)崗等情況下可以對(duì)終端解 除管控；平安準(zhǔn)入檢查、對(duì)終端軟

28、硬件環(huán)境、運(yùn)行狀態(tài)及平安事件的持續(xù)監(jiān)控、 平安審計(jì)及預(yù)警，并能夠針對(duì)終端違規(guī)行為，采取限制訪問、警告、鎖定、禁用、 數(shù)據(jù)擦除等有效控制措施；在失竊、失控等意外情況下，移動(dòng)終端辦公數(shù)據(jù)可被 管理后臺(tái)遠(yuǎn)程銷毀、遠(yuǎn)程禁用或重新啟用。密碼及數(shù)字證書技術(shù):根據(jù)國家密碼局網(wǎng)站上公布的符合國密要求的密碼模 塊有多種形態(tài)，TF卡形態(tài)、SIM卡形態(tài)、SDK形式的軟件密碼模塊、USB接口的 密碼模塊等，可以適合各種形態(tài)接口的移動(dòng)辦公終端。這些密碼模塊通過密碼運(yùn) 算，可以實(shí)現(xiàn)本地辦公數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)通信加解密運(yùn)算。在密碼模塊中，寫入第 三方CA數(shù)字證書，作為唯一的身份標(biāo)識(shí)及后臺(tái)身份認(rèn)證依據(jù)，保證非授權(quán)用戶 無法接入移

29、動(dòng)辦公后臺(tái)系統(tǒng)。數(shù)字證書存儲(chǔ)個(gè)人身份信息及簽名私鑰，為移動(dòng)終 端提供數(shù)字簽名、簽名驗(yàn)證和數(shù)據(jù)加解密等密碼服務(wù)，保證信息的加密性、完整 性和不可抵賴性。必要時(shí)，可在密碼模塊證書方式之外，引入多重身份認(rèn)證因子， 輔助進(jìn)一步提升身份認(rèn)證的平安性。容器/沙箱技術(shù)：容器/沙箱技術(shù)是一種按照平安策略，限制程序行為的執(zhí)行 環(huán)境，早期主要用于測試可疑軟件等，現(xiàn)在那么主要運(yùn)用在信息平安防御中，是比 較新的技術(shù)。沙箱技術(shù)與本地?cái)?shù)據(jù)加密技術(shù)相結(jié)合，構(gòu)建平安可信的虛擬運(yùn)行環(huán) 境。沙箱在讀寫數(shù)據(jù)時(shí)，采用軟密碼算法或直接調(diào)用上述密碼模塊（如TF密碼 卡），對(duì)辦公數(shù)據(jù)進(jìn)行加密存儲(chǔ)、解密訪問，形成針對(duì)移動(dòng)辦公應(yīng)用的獨(dú)立、可

30、信的平安運(yùn)行空間，保障移動(dòng)辦公數(shù)據(jù)的平安，杜絕其他個(gè)人應(yīng)用或者惡意軟件 對(duì)辦公數(shù)據(jù)的竊取。并在刪除時(shí)徹底清除數(shù)據(jù)存儲(chǔ)空間，從而滿足數(shù)據(jù)的平安需 求。威脅感知防御技術(shù)：近些年針對(duì)Oday漏洞等發(fā)起持續(xù)的ATP攻擊是比擬高 級(jí)的攻擊，并且成功率很高，單一的防控措施難以起效，采用平安服務(wù)企業(yè)的移 動(dòng)威脅感知平臺(tái)，智能捕獲App運(yùn)行時(shí)各種攻擊行為，實(shí)時(shí)平安防控提升風(fēng)險(xiǎn)監(jiān) 測能力。梆梆平安渠道監(jiān)測系統(tǒng)，提供針對(duì)移動(dòng)辦公App的仿冒、釣魚應(yīng)用監(jiān) 測，及時(shí)通知、預(yù)警，并快速聯(lián)系渠道下架仿冒、釣魚應(yīng)用，防止后續(xù)攻擊及媒 體影響。同時(shí)需要注意的是，移動(dòng)辦公針對(duì)設(shè)備的管理可能會(huì)有終端權(quán)限過度索取的 情況，筆者認(rèn)為在對(duì)辦公設(shè)備管理的同時(shí)也需要遵守中華人民共和國個(gè)人信息 保護(hù)法等法律法規(guī)對(duì)個(gè)人隱私保護(hù)的相關(guān)規(guī)定，不能為了辦公數(shù)據(jù)的平安侵犯 個(gè)人隱私。2 傳輸平安應(yīng)對(duì)對(duì)于傳輸平安可以采用VPN技術(shù)、國密密碼技術(shù)、訪問控制技術(shù)、PKI技術(shù) 體系等進(jìn)行傳輸層面的平安防護(hù)。移動(dòng)終端遠(yuǎn)程接入移動(dòng)辦公后臺(tái)包括3種方式：基于互聯(lián)網(wǎng)接入、基于專線 接入、基于VPN接入?；诨ヂ?lián)網(wǎng)接入靈活便捷，但平安性較差，訪問速度慢； 基于專線接入速度快，可靠性佳，用戶體驗(yàn)好，但價(jià)格昂貴、靈活性差，適用于 特定行業(yè)；基于VPN接入既靈活便捷，又能保證平安性和傳輸效率，集合了互