基于云服务的金融企业移动智能终端安全体系构建

马鸿雁

（长春金融高等专科学校 招生就业处，吉林 长春 130028）

随着移动组网技术的不断发展，越来越多的企业开始利用移动智能终端开展业务。这些移动智能终端包括智能手机、平板电脑等。企业的工作人员利用这些移动智能终端可以收发邮件、处理文件、浏览网页等。金融企业也越来越多地利用移动智能终端来建立一些业务体系，这些业务体系方便了金融企业对客户的终端业务的管理，但是由于金融企业的特殊性，他们的移动智能终端对于安全性的要求特别高，如果移动智能终端出现了安全问题就可能会给客户造成不可估量的损失，也会在很大程度上影响金融企业的信誉。所以如果金融企业开展移动智能终端服务，就必须建立一套完善的安全管理体系，以保证移动智能终端交易和管理的安全性。本文主要讨论利用现在较为流行和技术性较强的云服务建立一套金融企业移动智能终端安全管理体系，并分析该体系在保证移动智能终端安全性方面的有效性。

一、文献回顾

云计算技术是一种最近兴起的基于互联网的分布式交互和使用技术。［1］实际上，早期的云指的是互联网，比喻互联网像云一样覆盖面广，后来也表示电信网的图例，表示的是互联网的基础设施。［2］云计算是在此基础上延展出来的。云计算有广义和狭义之分。狭义的云计算是指通过互联网来实现一些IT的基础设施的交互和使用，也就是通过互联网来实现一些服务的按需分配。广义的云计算不仅仅局限于基础设施的按需分配，而是扩展到了整个互联网服务的按需分配。［3］也就是说在广义的云计算的概念里，计算能力这个抽象的概念也变成了可以在互联网中流通的商品。

通过使计算分布在大量的分布式计算机上，而非本地计算机或远程服务器中，企业数据中心的运行将与互联网更相似。这使得企业能够根据需求访问计算机和存储系统，并且将资源切换到需要的应用上。实际上云计算可以比喻为发电。传统的计算是单台发电机发电，而云计算就是电厂式发电。［4］也就是说，就像电通过电缆流通一样，云计算实现的计算能力也可以通过互联网流通。它也像电一样，使用非常方便，而且费用低廉。

云计算的迅猛发展，一方面为企业节省成本、增强计算能力，使得企业的业务扩展更加灵活；另一方面也让企业的生存和发展高度依赖“云服务”，“云”的可用性和企业核心数据的安全成为应用云计算的关键所在。

对于移动智能终端的恶意攻击检测方案主要有两种：静态检测和动态检测。

静态检测主要是检测移动智能终端的apk包或dex文件。北卡罗来纳州立大学的William Enck提出了对一个Android应用声明的权限进行分析的静态检测方法。［5］在该方法中主要检测移动智能终端的不同组件的权限，再分析AndroidManifest.xml文件声明的权限，如果发现这两者的权限是不同的，就可能在移动智能终端隐藏着一些危险的权限，从而禁止该应用安装。

动态检测方法主要是Thomas Biasing提出利用模拟器进行恶意行为检测的方法。［6］该方法利用一个成为monkey的模拟器来模拟用户在移动智能终端可能会进行的操作行为，然后将这些行为限定在沙箱内，然后将这些调用的信息记录下来提交给分析引擎，从而分析该应用足否为恶意应用。

前面提到的两种检测都是在移动智能终端进行的，但是移动智能终端的资源是有限的，这就使得一些复杂的检测不能实施。因此Georgios Portokalidis等人提出了Paranoid Android平台，利用云端对手机进行检测。［7］它通过终端的tracer记录终端各种操作，然后将这些记录的信息、通过SSL等通道安全地传送到云平台，最后在云平台通过一些安全手段对于移动终端的应用进行安全检测。Amir Houmansadr的论文讨论了在Paranoid Android平台的基础上，增加对于检测结果的实时响应。［8］

二、基于云服务的安全体系服务提供模式分析

金融企业需要建立移动智能终端安全体系对移动智能终端进行安全保障的管理，如果每个金融企业都要自己设计这个移动终端安全体系的架构方案，则工作量太大。利用云服务通过设计单位针对金融企业的特点为其提供一套移动智能终端安全管理策略并利用云平台来进行管理方案的整合，该平台可以整合不同的服务资源和服务能力，这样便能提高金融企业对于移动智能终端管理的快速化、专业化和敏捷化。通过分析，基于云服务的金融企业移动智能终端安全体系服务模式如图1所示。

图1 基于云服务的金融企业移动智能终端安全体系服务模式图

通过图1可以看出，该云平台服务模式中的参与者有三类，分别是：云需求者、云提供者和云平台运营方。下面就对这三方的主要职责和作用进行分析。

（一）云需求方

实际上就是各种不同类型的需要利用云平台进行移动智能终端安全体系构建的金融企业，这些金融企业如果需要使用云平台的移动智能终端安全体系构建服务，就需要先在云平台进行注册，提供金融企业的相关信息，例如：企业类型、企业资源情况、企业业务所在区域、服务级别等。如果企业的移动智能终端安全体系构建需要利用云平台进行管理，该金融企业就变成云需求方，需求方往云平台发送需要进行移动智能终端安全体系构建的基本信息、图文资料等。云需求方可以和云平台进行协商，采用不同的方式购买或者租用云平台的移动智能终端安全体系构建能力，这样就能利用云平台集合的资源和资料来进行移动智能终端安全体系构建。

（二）云提供方

实际上就是为金融企业提供移动智能终端安全体系构建方案的专家、研究机构或者高校。如果这些云提供方能够为金融企业提供合适的移动智能终端安全体系构建方案，就能吸引金融企业购买其提供的移动智能终端安全体系构建方案，这些专家、研究机构或高校想成为云提供方，也需要在云平台进行注册，注册时这些云提供方需要提供自己的相关信息，例如：企业名称、企业类型、企业所在区域等。如果是个人，需要提供个人的基本信息：姓名、身份证号码、学历、证书类型、作品等。如果有金融企业需要进行移动智能终端安全体系构建，云提供方可以通过云平台为金融企业提供一套移动智能终端安全体系构建的方案。不同的云提供方可以根据金融企业的具体情况来为高校提供一套有针对性的移动智能终端安全体系构建方案。云提供方需要在云平台给云需求方设计一套移动智能终端安全体系构建方案的初步模型。云提供方通过云平台为金融企业移动智能终端安全体系构建服务提供一定的资源。这些都是有偿服务，可以通过云平台获取一定的利润。

（三）云服务方

实际上就是云平台的管理者，运营方需要对云需求方和云提供方进行信息的管理和监控，还需要对双方的信息进行审核和评估。对云提供方发布的移动智能终端安全体系构建方案进行记录、筛选和整合。云平台运营方可以将一些可以公开的移动智能终端安全体系构建方案在云平台中进行发布，这样云需求方就可以通过发布的信息作为参考，选择适合金融企业自身特点的移动智能终端安全体系构建方案，或者选择合适的移动智能终端安全体系构建方案和特定的云提供方。平台运营方为云需求方和云提供方提供服务，是要收取服务费用的，这就是云平台主要的利润来源。

三、云服务金融企业移动智能终端安全管理体系构建

金融企业云服务移动终端安全管理体系构建包括对数据安全、应用安全和虚拟化安全的管理。构建云服务金融安全管理体系需要结合这几方面的共同点进行研究讨论。

（一）构建金融云服务移动终端安全管理框架

构建金融云服务的智能终端安全管理体系需要建立综合性的云计算安全框架，该框架应该包含前面所提到的数据安全、应用安全和虚拟安全方面。对于金融企业，移动智能终端首要安全目的是进行数据安全和隐私保护服务，并防止其它服务商恶意出卖或者泄露金融数据及出卖用户隐私数据。该安全管理体系实现中，主要强调的是金融企业云服务移动终端设备的技术方面的安全管理。在移动终端设备访问金融企业数据时，实现对云用户身份、访问权限的管理，并做好云审计服务和对数据库加密等一系列管理技术。金融企业通过与安全系数高的云服务技术企业进行合作，在资源层、虚拟层、服务层、应用层考虑各种安全和隐私保护问题。保证数据从产生到消亡的全生命周期安全，应该包括安全递交、安全存储、安全共享与访问、安全更新和安全销毁等阶段这些技术。

（二）对金融企业云服务网络进行管理

目前，云组网方式可以分为：公有云，私有云、和混合云组网。对于公有云组网方式，其安全性和保密性存在漏洞，需要提高；而私有云组网方式可以实现随意扩充云端设备，包括移动智能终端设备，同时也能够确保金融数据在专网传输，保证了与外网的隔离性，实现了数据的共享和安全保密性。金融企业云服务在建立私有云网络中，应严格按照国际安全标准，主要包含ISO/IEC JTC1系列标准，并建立网络金融法体系，严格规范金融企业网络的组建；保证云服务网络各层次都能够做到安全保密，在每个环节上实现数据隔离并阻止内部网络中数据泄露。

（三）建立整体金融企业安全管理系统，完善安全预警系统

前面两条是采用最直接的技术方法实现云服务金融企业移动设备安全管理。而建立整体金融企业安全管理系统、完善安全预警系统建立在已发生的移动设备安全问题之上。一旦该管理系统遇到某个危险信号侵入金融企业网络，则该系统马上将该危险信号共享到私有云网络之中，对该危险信号进行查询、通知等处理，及时更新安全管理数据库，及时处理已发生的企业安全问题。

（四）加强企业内部安全管理制度建立

据调查，金融企业的安全事件中，有70%以上是来自企业内部，由于金融企业员工在使用云服务智能终端时对内部网络较为熟悉，致使部分内部员工利用金融网络的结构特点，实现内部攻击或者内外结合攻击的情况，破坏金融企业安全管理。因此，应加强私有云网络的金融企业安全制度建设，提高企业内部员工自身的安全意识，规范并合理使用金融企业移动智能终端，避免有意或者无意的安全威胁，并对造成金融企业安全事故的人员进行严厉惩罚，为金融企业私有云网络提供安全的环境。

四、金融企业移动智能终端安全管理系统估计

安全系统估计是在已经建立的金融企业移动智能终端管理系统基础上，对系统进行健壮性、可靠性等评估。该部分内容包括对金融云服务网络的健壮性进行评估，同时结合预测估计实现对金融云服务网络的衡量。该部分是安全管理系统构建的重要步骤，能够决定该移动终端安全管理系统最终的运行与否。

（一）加强金融企业移动智能终端安全管理系统的健壮性等评估

该部分的评估主要是包括对移动智能终端安全系统进行稳健指标分析、压力测试或者是国际标准评估，用来得出安全管理系统的实力和脆弱性能。常用的方法是对对应的安全管理网络利用已知的安全攻击方法进行攻击，并对数据进行统计分析，找出管理系统的缺陷，然后解决对应缺陷。

（二）对金融企业移动智能终端安全管理系统进行预测估计

预测估计与前面的系统健壮性估计不同，该类估计是建立在金融企业云服务正常运行的基础上，不进行已知的恶意攻击方法，而是通过终端设备的运行数据，分析移动智能终端硬件安全、操作系统安全、应用软件安全、外围接口安全和移动智能终端用户数据安全并进行预测估计。其中硬件安全估计主要包括移动终端芯片安全估计；操作系统安全估计包括估计系统行为是否在用户的知情条件下执行的；应用软件估计包括对软件木马、蠕虫、病毒等恶意代码进行估计；外围接口安全估计包括蓝牙、wifi、usb等安全威胁估计；移动智能终端用户数据安全估计包括对用户重要隐私数据是否泄露等安全方面进行估计。

这两方面的估计对于基于云服务的金融企业移动智能终端安全管理意义重大，也是完善金融企业自身安全管理建设的重要依据。

五、结论

金融企业在移动智能终端建立应用平台已经成为发展的必然趋势，这将为金融企业的发展和管理带来前所未有的机会。但是机会和风险是并存的，如何在移动智能终端建立其金融交易和服务的安全体系是金融企业在今后一段时间内需要解决的一个问题。本文提出的基于云服务的金融企业移动智能终端安全体系的构建为金融企业移动智能终端安全体系的建设提供了一个发展的方向和启示。

：

［1］王阳.个人云存储：精彩在存储之外［J］.新财富，2012，（9）：20－22.

［2］钱杨，代君，廖小艳.面向信息资源管理的云计算性能分析［J］.图书与情报 ，2012，（4）：53－56.

［3］赵华茗，李春旺，李宇，周强.云计算及其应用的开源实现研究［J］.现代图书情报技术，2009，（9）：1－3.

［4］王婧.基于云计算的教育资源共享管理研究［J］.计算机教育，2012，（13）：58－60.

［5］W.Enck,M.Ongtang,and P.McDaniel.Mitigating Android Software Misuse Before ItHappens.Technical ReportNAS-TR-0094-2008,NetworkandSecurityResearchCenter,Department of Computer Science and Engineering,PennsylvaniaStateUniversity,UniversityPark,PA,USA,November 2008.ppl-16．

［6］ThomasBiasing,Aubrey-DerrickSchmidt,Leonid Batyuk,Seyit A.Camtepe,and SahinAlbayrak.An android application sandbox system for suspicious software detection.In 5thInternational Conference on Malicious and Unwanted Software（Malware 2010）,Nancy,France,2010.pp 55－62．

［7］Georgios Portokalidis,Philip Homburg,Kostas Anagnostakis,Herbert Bos,ParanoidAndroid：versatile protection for smart phones,Proceedings of the 26th Annual ComputerSecurity Applications Conference,December 06-10,2010,Austin,Texas pp347-356．

［8］Amir Houmansadr,Saman A.Zonouz,and Robin Berthier.A Cloud-based IntrusionDetection and Response System for Mobile Phones.IEEE/IF1P 41st International-Conference,2011.pp31－32．