移动安全接入平台的安全机制研究

2014-10-21 11:09谭驰
电子世界 2014年12期
关键词:移动平台企业应用信息安全

【摘要】贵州电网移动安全接入平台旨在整合并监控企业移动应用接入通道,解决本地接入安全和移动终端安全,强化对移动终端和接入方式的全面监控,确保远程/移动访问不会损害企业内部应用系统的安全性,实现移动终端接入的信息安全全程管控,为实现应用系统的移动信息化奠定基础。

【关键词】移动平台;企业应用;信息安全

1.引言

同传统互联网一样,移动互联网也面临着新形式所带来的种种安全问题。移动互联网及其联网设备时刻受到来自于内部和外部的各种攻击,移动网络的安全问题已经不容忽视,通过移动终端泄露各种个人隐私及商业机密的问题也随之而来。因此必须加强企业移动应用的安全保证措施,才能使个人和企业的数据安全得到保证。

2.概述

从实践的角度来看,完整的安全措施应包括管理制度和技术实施两大方面,技术上的安全措施又可分为:网络安全性、主机安全性、操作安全性和报文安全性。

移动安全接入平台从技术的角度出发,通过对企业应用环境的资产、威胁和脆弱性进行分析,将整个安全架构通过以下具体的安全保障措施来构建:入网审核、身份认证、安全加密和权限管理。

实践证明,这种思路为企业移动应用提供了形式多样的技术手段和多重保障机制,有效地保障了企业的网络安全和数据安全,值得借鉴。

3.企业移动应用发展现状

3.1 企业应用向移动领域发展的新趋势

目前,企业应用向移动领域的扩展呈现了一片兴旺的势头,这完全得益于最新数字通信与网络技术的突破性发展,并呈现如下新趋势:

(1)移动终端智能化趋势凸现

以手机、平板电脑为代表的移动互联网设备,随着硬件和软件性能不断提升,其操作系统越来越体现出“智能化”的趋势。

(2)传统2G网络向3G跨越

与传统的2G和2.5G网络相比,3G 网络带宽与传统的宽带相比已相差无几,因此诸多应用不再受到带宽限制。

(3)技术创新催生出全新的使用体验

新的硬件技术和新特性的使用,导致用户从使用体验到使用习惯上发生了巨大改变。例如:电容屏的大规模普及应用。与PC相比,移动终端的这种全新的用户体验是不可替代的。

这些变化和趋势,及大地引发了企业对移动应用的需求。

3.2 企业移动应用面临的新挑战

随着云计算的兴起,企业移动应用逐步向“云”进行发展,比如:HTML 5和虚拟桌面。

HTML 5是W3C组织推荐的下一代HTML标准,目标是取代1999年所制定的HTML 4.01和XHTML 1.0标准。通过HTML 5网页,企业用户可以充分利用移动终端的浏览器(如Safari或IE)和网络连接能力,来访问企业服务,并实现“一次开发,跨平台共享”的目的。

虚拟桌面或桌面虚拟化(即VDI)是由VMWare、Citrix、Microsoft和Oracle等几家厂商提出的云计算解决方案。在桌面虚拟化中,桌面实体脱离用户,向后台集中,终端泛I/O化,终端设备完全只是负责传输键盘和鼠标操作信息,相应的处理与响应都在后台的服务器上进行。

桌面虚拟化可以扩展为“移动云计算”解决方案。即通过桌面虚拟化,平板电脑和手机等类型的廋客户端也能够以一种简单的安全机制远程连接至虚拟桌面。“移动云计算”突破了虚拟桌面硬件终端上的限制,从而将云计算扩展到了移动互联网。

虚拟桌面等技术的出现,试图从一定程度上解决当前本地代码开发(iOS开发、Android开发)的弊端,然而它的提出并非为企业移动应用而生,而是作为企业的“云计算”解决方案的一個组成部分,效果还难以让人满意,主要表现在以下两个方面:

(1)用户体验方面

这主要表现在两个方面:第一,由于移动终端设备屏幕尺寸的限制,需要对移动客户端界面进行必要的定制,而这两种解决方案都不在客户端部署代码,定制化界面也就无从谈起;第二,移动终端触摸屏的标准输入方案采用了虚拟键盘输入,因此所带来的一系列问题也没有在这两种方案中得到很好的解决。

(2)安全方面

一般情况下,虚拟桌面是以SSL VPN方式接入企业内网。由于VDI只是将桌面图片推送到用户的终端上,数据的处理和保存都是在后台进行,所以虚拟桌面可在一定程度上保证企业数据的安全。但不要忘记,移动终端是通过互联网访问虚拟桌面的,只要黑客通过种种手段攻破VPN防火墙的保护,企业内网就会暴露在没有任何安全保障的互联网中,从而导致巨大的安全隐患。例如,黑客可以通过互联网轻易嗅探、窃取到企业内部的核心机密,甚至篡改企业数据。

(3)性能方面

在传统的桌面中,用户很少遇到性能问题。但在虚拟桌面中,由于桌面图像位于数据中心,争夺网络资源及基础资源的冲突始终存,导致性能低下,响应缓慢。以Citrix Xendesktop为例,在终端扫描一张高清图片,在不使用压缩和不调整带宽限制的情况下,物理机仅需要5秒左右,而虚拟机需要20分钟左右。

4.移动安全接入平台中的安全机制

移动应用在使用多种终端带来便利的同时,也增加了远程移动办公的不可控性,为企业网络带来了安全隐患,例如极易导致信息的泄露。

移动安全接入平台通过对企业移动应用环境进行分析,针对不同威胁采用了以下的防御方式。

4.1 企业APN

在移动安全接入平台中,移动终端被强制要求通过企业APN来访问系统。终端用户需要经过准入申请和准入审核才可接入网络,移动终端对企业内网的访问是完全可控的。

4.2 身份认证

移动安全接入平台对客户端的身份进行认证,使用了多重技术手段最大限度地保证系统不会被恶意人员进入或权限不被滥用,降低资产脆弱性。具体包括设备SIM卡串号和IMEI绑定、密码验证、动态口令验证几项。一旦设备绑定完成,该用户的注册账户、设备IMEI和SIM卡串号将绑定到一起,任一信息不符用户都将无法登入平台。此外,用户在登录平台时需要输入动态口令。动态口令每次都会随机生成,客户端不会进行缓存,并以短信的方式发送到用户的手机。动态口令只在指定时间内有效,一旦失效只能再次请求新的动态口令。平台管理人员可以指定动态口令的有效时间,并随时查询动态口令的生成情况及有效状态。

4.3 数据加密

数据的保密性要求我们对于企业中敏感数据进行必要的加密和访问控制。

移动安全接入对用户敏感数据,例如用户密码、证书及密钥进行加密处理。此外,对于缓存在客户端的企业机密数据,包括移动办公系统中的各种内部文档、组织结构和企业通讯录,也进行了加密处理。

4.4 传输加密

对于在网络中传输的数据,移动安全接入平台也提供了相应的安全加密措施,包括客户端与平台之间的各种消息报文、交易信息和表单数据。对于这些高敏感数据,移动接入平台提供了一种“非对称加密+对称加密”的复合网络传输加密机制。

顾名思义,对称加密算法,即加密与解密用的是同一把秘钥;而非对称加密算法,加密与解密用的是不同的秘钥。

显然,非对称加密比对称加密有着更高的安全性。因为对于对称加密,由于加密与解密的秘钥是同一把,通信的一方必须将秘钥和密文都传递过去,对方才能解密。而非对称加密则不然,只需传递密文与用于解密的公钥,对方即可解密,用于加密的私钥由己方保留不必传递给对方。目前公认的观点认为:只要钥匙的长度足够长,使用非对称加密的信息永远不可能被解破。

当然,由于非对称加密对CPU计算性能的依赖很大,在使用相同秘钥的情况下,非对称加密的运算速度比对称密码也要慢许多。此外,非对称加密长度能够加密的信息的长度往往受限于密钥长度。

因此,鉴于二者各自的特点,移动安全接入平台将二者取长补短,结合起来使用,极大地保障了移动安全接入平台在网络中的传输的数据安全性和完整性。

4.5 访问控制

对于移动安全接入平台系统来讲,访问控制主要是基于角色进行访问的控制。基于角色访问控制也是在信息系统中使用比较广泛的访问控制机制。用户在通过了平台的身份认证后,只能看到相应权限下才能查看數据,以及使用相应权限才可操作的功能。

5.结论

信息安全对企业移动信息化而言,至关重要。贵州电网移动安全接入平台的整体安全架构,为企业移动应用提供形式多样的技术手段和多重保障机制。其“入网审核、身份认证、安全加密、权限控制”四重安全保障的思路,值得借鉴。

参考文献

[1]GB/T20984-2007,信息技术信息安全风险评估规范[S].

[2]GB/T 18336-2001信息技术安全技术信息技术安全性评估准则(idt ISO/IEC 15408:1999)[S].

[3]GB/T 19716-2005信息技术信息安全管理实用规则(ISO/IEC 17799:2000,MOD)[S].

[4]杨宏焱.企业级iOS应用开发实战[M].北京:机械工业出版社,2013.

[5]杨宏焱.iPhone/iPad企业移动应用开发秘籍[M].北京:海洋版社,2013.

[6]佚名.虚拟桌面介绍[EB/OL].http://www.virtualclient.cn/DesktopIndex.aspx?id=85.

作者简介:谭驰(1982—),男,中级工程师,主要从事贵州电网公司信息化项目建设工作。

猜你喜欢
移动平台企业应用信息安全
信息安全专业人才培养探索与实践
保护信息安全要滴水不漏
高校信息安全防护
基于移动式培训评估系统的培训闭环管理研究与探索
基于移动平台的电力营销系统应用探析
论财务软件在企业中存在的问题及对策
数字化校园中统一移动平台的实践与探索
浅析管理会计在企业应用中的问题及对策
管理会计助推企业发展的思考与应用
保护个人信息安全刻不容缓