◆朱凯华 王和平

（内蒙古自治区人民检察院 内蒙古 010000）

移动政务办公模式下等级保护基本要求探讨

◆朱凯华 王和平

（内蒙古自治区人民检察院 内蒙古 010000）

移动政务办公是政府职能转变的一种方式，显著提高了工作效率、服务质量。安全技术为其更好的发展提供了保障基础，但传统等级保护对移动政务办公在移动终端、通信网络、服务器（虚拟化）及数据等方面缺失或缺少安全技术方面的防护措施，本论文在等级保护基础上，对上述四方面在新的工作模式下所受威胁，进行分析并提出了应对技术措施，以达到等级保护的适用性。

移动政务办公；等级保护；虚拟化

0 引言

移动互联技术及BYOD的出现发展，使生活、娱乐移动化变为常态，政府部门在业务模式、公众需求驱动下正由固定式政务办公向移动式政务办公转变。

移动政务办公在带来业务高效、服务便捷及资源利用同时，在安全技术、管理方面面临着严峻挑战。等级保护系列标准是针对边界明晰、物理实体及有线通信的传统政务系统，从计算环境安全、网络通信安全、区域边界安全三部分提供安全防护的，而对于移动政务的移动性、虚拟性及多终端性没有实质性的安全定义，所以完全套用等级保护不能保障移动政务的安全，对等级保护也是一种挑战。

1 移动政务办公概述

1.1 移动政务办公与传统政务办公比对

移动政务办公与传统政务办公从业务模式、安全威胁、安全防护及安全参考标准等四个方面进行对比。

（1）业务模式

移动化政务可实现高效、多业务应用的实时办公。传统化政务办公在多业务应用的情况下时效性较低。

（2）安全威胁

移动化政务的安全威胁可从三方面概述：

①虚拟化环境引入新的风险：虚拟化平台/VMM自身的安全漏洞、虚机隔离（由于共享硬件，可能以虚机为跳板进行攻击，造成虚机全部瘫痪）、资源分配问题等。

②传统信息安全威胁：非法接入/外联、恶意代码、木马、DDos攻击、钓鱼攻击、网络攻击、漏洞扫描、缓冲区溢出等。

③信息安全效应影响（间接威胁）：数据泄露或损失更严重、恶意传播更迅速、社会影响更大等。

传统化政务的安全威胁主要来自传统安全威胁：移动化政务中的②所有。

（3）安全防护

传统化政务的安全防护主要是传统安全手段：防火墙、IDS/IPS、安全网关、安全审计、PKI/CA、应用交付、防病毒等。

移动化政务的安全防护可从两方面入手：

①虚拟化安全技术：虚拟防火墙、虚拟安全审计、虚拟IPS/IDS及虚拟防病毒等。

②新兴安全技术：威胁情报感知、大数据安全平台、安全可视化等。

（4）安全参考标准

①传统化政务安全参考标准主要是等级保护系列标准和国家地方相关政务安全标准规范，如《电子政务标准化指南及六项电子政务相关标准》、《电子政务信息安全国家标准宣》、《北京市移动电子政务平台总体技术要求》等。

②移动化政务安全参考标准主要是基于等级保护系列标准和相关传统电子政务标准，现阶段没有针对移动政务安全的专用标准。

1.2 移动政务办公架构模型

移动政务办公按照业务数据流的流转，可以划分为三个域：移动终端域、通信网络域、业务应用域，如图1所示。

（1）移动终端域：由各种操作系统（Android、IOS、Symbian、Windows phone等）的移动终端设备（智能手机、BYOD、平板、定制设备等）组成，其是整个移动平台的基础支撑，提供政务业务的源数据，通过C/S、B/S模式与业务应用域进行通信。

（2）通信网络域：用于传输端到端数据的移动网络域，主要包括运营商网络（GSM、CDMA及LTE）、互联网及公共信息网络等。该区域介于终端域与业务应用域之间，并与业务应用域逻辑隔离。

（3）业务应用域：用于完成移动政务办公业务，是移动平台的核心，主要包括服务前置、数据交换平台及应用处理环境。

通过对移动政务办公架构模型分析，基于对《基本要求》的理解，应更关注移动终端所受的安全威胁及采取应对措施，对网络安全、主机安全等进行威胁分析及措施防范。

图1 移动政务办公架构模型

2 移动政务办公模式下等级保护基本要求安全需求

国务院147号令明确指出“对信息系统实行等级保护是国家法定制度和基本国策；是信息安全保护工作的发展方向”。移动政务办公属于信息系统，但基于移动政务办公的特性及其用到的新技术，等级保护安全措施并不完全适用于移动政务办公，需在现有安全基础上结合移动办公受到威胁对等保进行相应的完善改进。

基于等级保护中的技术安全，增加了技术类“终端安全”，并对“网络安全、主机安全及数据安全”中的控制点/要求项依据所受威胁进行了安全防护措施的部署，对物理安全、应用安全暂不考虑。

2.1 终端安全

终端是移动政务信息来源，其安全性直接关系到政务的成败，移动终端受到的威胁主要表现在以下几个方面：

（1）终端准入机制不健全：由于移动终端设备的多样性，有些终端在未经过合法身份认证随意接入网络，访问计算和网络资源，对整个移动政务平台造成安全威胁。

（2）终端系统漏洞：移动终端系统不同于PC系统，其呈现多样性、碎片化，如现行Android系统，其发行与更新各厂商相互独立，系统本身存在漏洞。另一方面，办公软件、娱乐软件、媒体播放器及浏览器等常用应用软件存在漏洞。这些漏洞如不及时修复，将感染病毒、木马等恶意代码。

（3）恶意代码攻击方式种类繁多：现行的恶意代码（木马、病毒、蠕虫）、垃圾邮件、流氓软件、网页挂马及U盘病毒等通过线上线下方式对终端系统产生安全威胁。

（4）系统补丁及软件升级包未经第三方安全测试：基于网络在线升级，加快了软件更新速度和频率，但多数补丁、软件包没有经过第三方安全测试，其可用性、完整性及适用性，特别是安全性难以得到保障。

（5）用户安全意识浅薄：由于终端用户对移动安全认识的粗浅、保护移动设备观念不足及不良行为习惯，造成移动终端潜在的威胁，如移动设备系统补丁陈旧、安全配置不正确，常用软件未及时更新等。有些用户出于个人利益将政务信息泄露给间谍，造成国家安全损害。

面对移动终端威胁，为做好防护措施，并与等级保护相对应，在等保基础上增加以下技术要求项：

（1）移动终端硬件安全：终端唯一身份标识（终端集成数字证书、安全介质（TF卡、USB KEY）存储数字证书、TF卡+SIM卡+终端设备号等三种方式）、终端安全访问及终端授权。

（2）操作系统安全：系统安全加固、一致性校验（装载器、内核及配置信息校验并对输入/输出接口进行安全控制）和完整性保护、API调用权限分级控制保护及及时更新操作系统（从官网实施该操作）。

（3）终端网络准入控制：通过配置准入安全策略控制移动终端的验证接入。对于终端认证成功但其安全性检测没有通过的，需将放入安全隔离区域进行完整性修复；对于认证、安全性检测都通过的，才允许准入接入；对于认证失败的，直接阻断网络连接。

（4）确保系统及应用软件安全防护：通过安装经过第三方安全测评中心测评通过的插件、更新程序和其他安全工具，确保其系统安全性，并且定期对其进行防病毒检测、漏洞扫描及安全审计等。

（5）统一部署终端安全策略

通过终端安全防护系统进行安全策略的统一下发，包括密码设置（密码长度、数字+字母结合等）、漏洞更新策略、恶意代码扫描策略及系统配置等，并搜集安全日志进行统计分析。

（6）规范日常使用行为：从官网下载安装经过认证的应用软件并提防要求获取高危敏感权限的软件、不随意点击链接（钓鱼攻击）、不随意扫码、设置复杂度较高的密码及增强安全意识等。

2.2 通信网络安全

移动通信是移动政务办公中传输信息的通道，其主要的安全威胁为：

（1）链路设计威胁：由于多类型网络（包括运营商网络、互联网及各种公共网络），使得网络上存在众多不可控和不可知的监听、攻击手段（篡改、中间人攻击、重放攻击等）。

（2）内网安全威胁：传统的网络安全防护设备只针对物理实体间防护，而对虚机与虚机/虚机与物理机间网络通信没有防护作用，使得其间出现恶意代码、病毒、DDos、漏洞扫描等传统安全威胁。

面对通信网络安全威胁，基于等保网络安全控制点，采取如下技术措施：

（1）通信认证：通过采用虚拟网卡+代理方式对数据进行封装；采用基于双向的协商协议进行密钥交换和身份验证，并采用RSA签名技术，确保移动端不可否认性。

（2）虚机通信安全：通过在Hypervisor层部署软件/虚拟防火墙、软件/虚拟防病毒引擎等来对虚机与物理机之间、虚机与虚机之间通信进行安全防护。

（3）访问控制：通过在Hypervisor层部署软件/虚拟防火墙并配置策略对虚机进行访问控制，并可实现对通过物理机流入虚拟网络的数据流量进行L2-L7的过滤。

（4）审计操作安全：通过在Hypervisor层部署VMM管理审计引擎，可实现对VMM管理员的身份鉴别、访问控制及操作行为审计；部署用户操作审计引擎，可实现对用户的操作行为进行监控；部署网络审计引擎，对虚机网络流量进行监控审计；部署堡垒机对运维人员的行为操作进行审计。

（5）入侵检测/恶意代码防范：在Hypervisor层部署防病毒引擎，通过安全虚机对病毒、恶意代码进行检测清除。

2.3 主机安全

移动政务办公采用了虚拟化技术，对业务应用相关服务器进行虚拟化，保证了资源高效利用，同时引入了虚拟化安全威胁，主机安全威胁主要包括：

（1）虚拟化平台自身威胁：现有的虚拟化平台大都是国外产品（Vmware、KVM、Hyper-V等）或开源产品，平台自身存在安全漏洞。

（2）虚拟资源分配不合理：服务器虚拟化后，其上的虚机运行不同的应用，应用对共享硬件资源进行竞争，导致服务器负载过重。

（3）虚机用户身份威胁：虚机用户可能通过社会工程学、暴力攻击及遍历等方式对虚机进行非法接入。

（4）访问授权威胁：在没有授权情况下，对虚机进行访问，并盗取数据。

（5）恶意代码威胁：虚机可能受到来自内部、外部恶意代码的威胁，造成虚拟池资源的感染。

（6）入侵攻击：虚机可能受到来自黑客、个人的攻击，可能攻击自己，也可能以为跳板，攻击其他的虚机，造成物理机的瘫痪。

面对虚拟化主机威胁，在等保基础上，增加或改进如下措施加以防护：

（1）虚拟化平台更新及补丁：对平台及时进行更新修复、禁止或关闭不用的端口和服务、关闭不用的虚机、仅安装所需的程序。

（2）服务器负载安全：通过对物理主机进行不断的监控来分析其容量的使用，并依据服务高峰期的时间及资源需求来确定工作负荷。

（3）身份鉴别：可采取双因子鉴别、强口令、动态口令及生物识别等方式。

（4）访问授权：在Hypervisor层部署虚拟防火墙或软件防火墙实现基于虚拟防火墙的访问控制。

（5）虚机通信方式：虚机与主机间通信，通过使用强化加密或VPN方式确保其间通信安全；虚机与虚机间通信，通过不同网段的独立接口确保其间通信安全。

（6）安全审计：在核心网络层部署堡垒主机，实现对运维人员的全程行为操作的审计，并将审计内容进行分析整理。

（7）恶意代码防范：在Hypervisor层部署防病毒、防木马检查监测引擎，并通过安全虚拟机实现对虚机的的恶意代码、病毒的检查和清除。

（8）资源控制安全：通过统一监管平台对所有的虚拟服务器进行监视，包括虚机的CPU、内存、网络及硬盘等相关资源。

2.4 数据安全

移动政务办公中依据数据流的流转方式，数据存在的安全隐患集中在移动终端侧、通信网络侧及业务存储侧。

移动终端侧主要是受各异终端平台、非官方应用软件及用户不良习惯等对数据的存储和访问威胁；通信网络侧主要是受多类型网络传输威胁；业务存储侧主要受到异构存储介质（SATA、SAS、SSD等）、网络文件系统及存储备份策略等威胁。

为保障各环节数据的安全，采取以下技术措施：

（1）移动端数据存储：将敏感数据存储到加密卡（如TF卡、内置加密模块等）中，确保统一存储。

（2）数据完整性与保密性：通过采用专网方式（物理专网、虚拟专网）进行端到端的加密通信。

（3）业务应用端数据存储：通过分布式存储技术，将数据存储到不同的物理位置上，并定期/不定期的备份恢复，对于重要数据可异地备份，应定期执行应急演练。

3 总结

移动政务办公已逐渐成为政府办公发展的新模式，安全保障是其稳定、健康发展的基础。本论文基于等级保护基本要求，在此基础上对各控制点加以思考并增加了相应的防护措施。其中移动终端安全作为新增加控制点，对其受到的威胁进行分析并提出了相应的防护手段；通信网络安全、主机安全及数据安全在等保基础上并结合移动政务办公特点提出了改进措施。

等级保护基本要求在移动政务办公模式下需反复论证、修改，才可适应其安全要求。

[1]马帅.等级保护设计要求下的移动业务系统安全防御体系[J].保密科学技术，2012.

[2]苏阳浪.基于等级保护的电子政务安全保障体系设计与实现[J].全国信息安全等级保护技术大会会议，2013.

[3]蔡鹏程，冯方回.等级保护与政务终端安全[J].等级保护，2010.

[4]刘洋.移动电子政务平台问题研究[D].吉林大学，2010.

[5]王炳辉，黄春.移动办公的安全解决方案[J].移动通信，2010.

[6]唐莉莉.移动办公系统解决方案及其安全体系[J].数字技术与应用，2010.

[7]李健.政府信息系统应对云安全问题的解决方案[J].数字化用户，2014.