论基于移动平台的企业信息安全管理

孙 伟 胥 斌

（1.上海张江集成电路产业区开发有限公司 上海 201203；2.太平共享金融服务（上海）有限公司 上海 201203）

0 引言

目前，移动终端产品得到了很快的发展，在人们的工作和生活中比较常见，而且，其性能也是比较完善的，可以提高工作的效率，信息化办公已经成为一种趋势，可以提高企业的工作效率，而且能够提高工作的准确性。通过应用移动平台，企业能够运用网络进行内部及与外界的联系，在与内部联系时，企业的安全风险比较低，但是，在对外界联系时，企业的信息容易被泄露，所以，企业在使用移动平台办公时，应该强化安全防范意识。

1 移动平台下企业信息安全相关的系统建设

1.1 系统总体设计

现在，在移动终端的办公环境下，主要是运用网络进行办公，移动终端可以借助无线网络，获取服务证书，从而安全的访问网页。在移动平台下，信息安全的建构主要是对服务器和客户端的保护，在服务器与客户端之间运用HTTPS协议进行约束，从而能够获取证书模块，对控制模块设定权限，提高企业信息的安全性。

1.2 CA证书模块和证书申请模块

CA证书的申请模块功能还是比较强大的，其能够自动化的生成CA证书，而且能够对证书进行合法的保护，而且，在服务器的端口，能够自动化生成一个公钥的证书，这个证书能够让用户进行免费的下载，而且，可以将私钥保存下来，实现对数据的加密处理。CA证书能够按照移动办公平台的合法性生成，在获取CA证书后，就可以将信息保存在服务器中，用户通过密码，找到自己想要的资料。将CA证书发给所有合法的用户，在移动平台上，用户就能够凭借CA证书下载资料，将证书安装在自己的移动终端上。当证书安装完成后，对指定的证书进行分析，这时，通过获取账号和密码的方式，将用户的移动终端与公司的邮箱结合在一起，通过获取验证码的方式，经过服务的验证，用户就能够登录到移动平台办公了。

1.3 权限控制模块和系统登录模块

用户在安装了证书后，就能够通过设置用户名和密码的方式登录到平台上，然后通过HTTPS协议，获取验证码的形式，分析证书是否是有效的。按照CA证书，对用户名进行减压，分析证书的使用者是否是合法的。当证书能够通过验证时，服务器会按照用户的资料，分析移动终端使用者的信息，通过对相关的信息进行对照，从而分析用户登录是否是合法的。如果用户输入用户名和密码的次数超过三次，系统就会自动上锁，用户就不能再登录了，用户在规定的时间内是不能访问系统的，这样可以提高系统的安全。如果移动终端发生了一定的问题，比如造成了数据的丢失，那么，系统在规定的时间内是不能访问的，从而能够防止系统内的信息进一步丢失，这时系统会自动冻结，任何人不能访问系统。当移动平台上发生信息丢失时，就应该及时通知公司的相关人员，采取有效地措施，提高企业信息的安全性。

2 基于移动平台的企业信息安全的政策措施

2.1 基于移动平台，企业要建立和完善网络安全信息共享的分级管理制度

2.1.1 通过其敏感性对网络安全信息共享进行等级划分

信息安全的敏感性指的是信息是不公开的，具有一定的机密特性，所以，将信息安全的等级划分成五个等级，一级指的是信息是安全的，可以被任何人共享；二级指的是信息受到一定的限制，只有企业或者部门指派的人员可以使用；三级指的是国家机密的信息；四级指的是专门的信息，主要也是由国家机密构成的；五级主要指的是国家的核心机密。

2.1.2 通过信息对系统的关键程度划分

通过信息对系统的关键程度进行划分可以将信息安全分成四个等级，一级指的是信息绝对安全，即使信息系统发生损坏也不会影响系统的正常运作；二级指的是关键信息的安全性，当信息系统遭到破坏的时候，会导致单位或者机构内部的信息不能正常的使用；三级指的是必要的信息安全等级，指的是当系统遭到破坏的时候，重要的信息将会受到影响，不能正常的使用；四级指的是国家核心的信息，当系统发生损坏后，会导致这些核心的信息不能正常使用。

2.2 基于移动平台，企业要建立健全信息安全共享制度

网络安全信息共享制度分为两种，一种是本着自愿的目的，还有一种是在强制的手段下执行的。在强制手段下实现的共享，是在重要的基础设施运行单位执行的，有的与相关的计划相关的测试、风险管理等的审计综合，包括关键基础设施的安全维护和重建等，这类信息在共享之前必须要向相关的部门报告，得到允许后才能够共享。

2.3 基于移动平台，企业要设置专门的个人信息隐私保护制度

在我国的法律中，还存在一些漏洞，企业要制定专门针对个人隐私的保护法，对个人信息进行详细的保护，其中有个人信息的保护权、支配权等，个人信息保护权是隐私权的重要组成部分，其中，这些权利也可以适用到政府和企业中，当出现企业信息安全受到干扰时，可以使用该项制度加以约束。

2.4 基于移动平台，企业应该清除企业信息安全的技术问题

保障企业信息安全的过程中，最重要的是基础设施的运行情况，在共享信息时，必须采取有效的措施，消除企业信息安全保护的技术性问题，然而，企业信息安全保护本身就存在着安全隐患，其可靠性并不强，信息库中存有很多无价值的信息，这不仅仅对信息发布具有一定的影响，同时也会造成关键基础设施运行问题。

信息的传递要承担很大的风险，其风险不仅仅存在于信息库中，同时也会存在于网络中心的其他成员，一个信息在传递后，可能会有很多其他的业务，通过网络连接后都实现了共享，公司的人员可以通过网络连接进入系统中，作为信息共享具有选择性特点，信息共享的业务能够通过用户之间的网络进行互通，这样就会遭到一些破坏，导致信息的泄露，病毒的攻击会将关键基础设施破坏，从而进行连续的攻击，直到系统崩溃，所以，在进行企业信息安全保护的时候，要通过一定的法规，保障网络安全。

2.5 基于移动平台，企业要确定网络安全信息管理者的责任

根据信息的隐私程度，对信息进行整合和加工，从而形成信息的整体性，有些信息会威胁到企业的安全，这些信息是不能泄露的，信息在传递的过程中一定要受到制度的规范和制约，提高信息传递的安全性。

3 结语

当前，我国的网络技术高速发展，网络在带给人们方便的同时，也带来了一些隐患，在网络上，很多个人的信息会泄露，信息的安全性不能保障，而且，现在企业也都在使用移动终端办公，在这种办公方式下，提高了企业运行的效率，但是，也会造成一定的安全隐患，在运用移动平台办公的过程中，会导致信息传递的过程中的泄露问题。所以，企业在运用移动平台办公时，应该设计安全系统，并且运用政策提高移动平台办公的安全性。

[1]吴晨刚,董恒竞,唐勇.基于移动终端的企业信息安全架构设计与实现[J].信息网络安全.2013.

[2]崔兆强.检察机关信息安全体系建设探讨[J].信息技术与信息化.2014.

[3]罗革新,吕增江,崔广印,鲍天祥,王振欣,于普漪.大型企业信息安全体系架构设计初探[J].勘探地球物理进展.2011.

[4]张羿,赵志勇,黄治,方俊霆.SOA 安全体系在南方电网信息集成平台中的应用研究[J].云南大学学报(自然科学版).2013.

[5]吴海燕,于文轩.基于企业架构的大学信息安全架构初探[J].武汉大学学报(理学版).2012.