文｜李道航

随着移动互联网发展以及3G技术应用的推广，手机以及IPAD等移动终端的日益成熟,各种移动应用蓬勃兴起,给广播电视行业的业务开展亦带来了革命性的机遇: 通过移动办公应用的逐步开发,给外出采访主持人、记者带来更加便捷的编辑发送手段，使新闻等时效性强的节目更加迅捷地播出，成为了提升工作效率的有效方式。

电台移动办公应用得成功与否,就要看电台移动办公应用于电台IT架构能否很好的融合，因此随着移动办公应用的深入,各种安全问题也必定随之而来，移动办公系统解决方案，主要通过浏览器或特定终端软件，通过智能手机等移动终端设备，与内部办公系统进行实时应用数据交互。然而，采用这种解决方案的移动办公系统，当涉及文档编辑等需要在终端安装功能插件时，需要对各种不同类型终端及其操作系统开发相应终端插件，兼容性较差。当系统为外网用户提供服务时，由于网络环境的复杂性和手机等终端的限制，一般缺少较全面安全机制保护，一旦终端遭受攻击、感染病毒等，容易造成数据丢失及泄密等问题。随着终端的开放，服务端安全也必将受到牵连，而服务端又和电台的传统网络架构紧密地结合在一起。大家知道，电台播出的安全关乎国家和人民的切身利益，一直是电台的重中之重，因此，随着移动应用与电台业务的全面融合,移动应用所带来的对整个电台业务系统的风险是我们必须加以积极应对的。

针对移动电台移动应用的安全问题,我们认为应该从两方面加以考虑，即服务端和客户端，只有这两个方面的安全都做好了，才能确保整体的安全。

首先我们看一下服务端，由于移动应用的服务端系统一般通过网站形式对外提供服务,通过移动互联网进行接入,因此和传统的网站所面临的威胁相类似，都应该加以防护，这里主要通过边界防护、Web应用安全防护、安全隔离、流量实时监控以及应急响应等加以应对。

边界防护

边界防护主要考虑在互联网接入边界处部署普通防火墙、入侵检测系统，并且通过设备联动准确地发现并阻断各种网络恶意攻击。通过防火墙所有的关键字过滤等功能，对于进出边界的内容进行过滤，确保内容的安全。

Web应用安全防护

在Web服务区边界，利用Web应用防火墙（WAF）的检测引擎进行协议分析、模式识别、URL过滤技术、统计阀值和流量异常监视等综合技术手段来判断入侵行为，可以准确地发现并阻断各种网络恶意攻击，从而实现防SQL注入、防跨站攻击的安全防护。另外在在Web服务器上安装恶意代码主动防御系统，通过利用信任链机制，对系统中所有装载的可执行文件代码（例如EXE、DLL、COM等）进行控制，所有可执行文件代码在加载运行之间都需要先经过检验，只有通过验证的代码才可以加载，从而有效地阻止恶意代码的运行。在Web服务器上安装网页防篡改子系统，采用对象相关（Object—Specific）保护方式来保护网页不被篡改。即网站管理员可以自行选择需要保护的网页文件设定为受控对象，对于每一个受保护的对象，管理员为其设定一个对象相关授权码，进行实时安全防护。并且通过网页的备份可以实现移动应用服务端的迅速恢复。

安全隔离确保核心网络数据安全

由于提供移动应用的服务器和电台核心网络之间存在数据交互,因此在提供移动应用服务的服务器群和电台核心网络之间部署安全隔离与信息交换系统（隔离网闸），负责办公网、制作网等等核心网络服务器和数据库中的核心数据和web服务器及数据库之间的数据交换和安全隔离，确保电台核心网络的数据安全。

流量实时监控管理

随着移动应用的发展,必将带来越来越大访问流量,部署流量监控设备可以及时检测发现异常流量,从而合理分配带宽,避免造成网络堵塞,应用瘫痪。

应急响应与恢复

信息安全具有动态性，安全的风险不断在变化，也就是说没有100%的安全，如何根据业务需求去保护我们的安全，在基础安全建设的同时，我们更要重视对可能发生的事件要具有相应的应急响应计划。从另一个角度提高网站的安全性，并确保能够及时发现并处理安全事件，及时恢复，不断地降低网站安全风险。

图1

下面，我们再看一下客户端安全。移动办公之后，客户端必将保留一定的用户资料，文档、以及登陆信息等等，一旦客户端设备遗失或遭窃取，除了客户端资料会遭窃取外，还有可能被利用登陆到电台网络进行，使电台网络面临破坏的风险，因此客户端安全在移动办公应用中也同样至关重要。

在客户端安全可以主要从加密和身份认证两方面进行考虑：

1）客户端文件和文件夹加解密

对文件和文件夹加密可以利用以SDKey为核心硬件安全模块，与终端设备紧密集成，应用程序初始化服务接口后，可以调用字节流加解密接口、文件加解密接口以及文件夹加解密接口（见图1）。

2）邮件加解密

邮件加解密需定制开发一款带有加解密功能的邮件客户端程序。邮件加解密功能，主要可以分为两类，邮件本地加解密和邮件传输加解密。目前已有专门的厂商提供定制开发服务。

3）客户端强身份认证

建立客户端强身份认证和管理系统，并和电台的身份认证系统相结合，建立每个用户在所有系统中的用户映射关系，并单点登录到各系统。目前针对移动设备输入的身份认证技术中，除了用户名密码等传统的身份认证技术外，出现了一个新的技术，即通过认证每个人在输入用户名密码时的击键特征来大大增强认证的可靠性。通过这个技术使传统的用户名密码认证变成了一个双因子认证技术，大大地提高了可靠性，另外这个技术可以支持虚拟键盘使得应用范围可以覆盖全部手持终端设备，部署和维护成本也很低廉。

随着科技发展和社会进步，移动办公的广泛应用必将给电台业务带来效率的革命性的提升，但只有做好了终端和安全端的全面防护，我们才能安心地享受技术带来的变革。