APP下载

面向移动互联网的智能终端安全监管平台研究

2017-03-07王永建杨建华牛辉奇

移动通信 2016年21期
关键词:智能终端移动互联网

王永建 杨建华 牛辉奇

摘要:为了解决移动互联网中智能终端的安全问题,借鉴传统安全方案,设计了智能终端的安全监管平台,通过对其部署方式的研究以及主要功能模块的设计,为移动互联网安全问题的监管提供研究思路。

关键词:移动互联网 智能终端 保密通信 MTSP

1 引言

移动互联网由互联网、无线网络、智能终端构成[1]。随着云计算、RFID、生物识别、APP等技术的发展和智能终端的迅速普及,基于移动互联网的新的商业模式和应用服务不断涌现[2]。基于智能终端的应用越来越丰富,例如掌上购物、在线订票、网上约车、移动支付、手机一卡通、位置服务等[3]。因此,智能终端的安全性越来越来重要,国家相关部门高度重视,出台了一系列规定。

2015年1月,中共中央办公厅、国家保密局等下发了《普通手机使用保密守则》,对党政领导干部、涉密岗位手机使用作出具体要求[4]。目前,在中纪委等政府重要单位已完成保密手机应用推广。

2015年7月,四总部下发了《关于进一步规范基层工作指导和管理秩序若干规定》。明确在符合保密要求的前提下,军队人员在课外活动时间、休息日、节假日等个人支配的时间,可以使用手机(含智能手机),可以通过个人移动终端使用互联网[5]。

但是,基于智能终端发生的个人隐私泄露、移动支付诈骗等问题仍十分严重,智能終端的安全问题亟待解决,本文从安全监管的角度进行了探究。

2 研究现状

目前终端保密的方式主要分为三类:保密通信、双独立域、MTM(Mobile Terminal Management,移动终端管理),如表1所示:

表1中,三类方式侧重不同,适用于不同的对象,三类功能既可单独部署,也可组合构成安全方案。

3 方案研究

本文在保密通信与MTM相结合的基础上,探究一种MTSP(Mobile Terminal Supervision Platform,移动终端监管平台)。

3.1 部署方式

本文中的系统部署分为外网区域、安全防护区域、内网区域三部分,如图1所示。

(1)外网区域

实现智能终端通过有线网络或者无线网络访问接入。

(2)安全防护区域

1)网络隔离设备:用于隔离办公网内部区域和接入区域,控制从安全防护区域对内部网络的访问,并提供网络监控和审计功能[9]。

2)防火墙:用于实现对移动用户访问内部业务的细粒度控制,通过一体化集成的网络入侵防御功能,对移动终端可能引入的可疑代码和入侵行为进行过滤和阻断[10],并通过不同物理网络接口和隔离技术将系统划分为不同的安全区域。

3)移动安全管理中心:基本组件是身份认证模块,主要实现对安全终端接入的身份认证,同时实现对安全区域边界内的各功能日志上报及策略下发的工作[11]。

4)安全接入网关:部署在安全防护区域和互联网区域之间,实现两大区域的边界隔离,同时为移动用户提供加强身份鉴别(基于安全终端TF硬件加密证书认证)、访问控制和传输通道保护(基于SSL VPN)[12]。

(3)内部区域

为用户提供专门的服务应用。

3.2 功能设计

MTSP主要功能模块分为:移动设备管理、移动应用管理、移动内容管理、上网行为审计。

(1)移动设备管理

1)实时定位设备,了解设备历史位置信息。通过管理后台,管理员可随时了解设备的实时位置,同时可查看以前任何时间段的设备位置。

2)远程擦除设备,恢复出厂设置。当设备出现丢失或被盗情况时,管理员可备份设备数据,并擦除设备至出厂设置。

3)获取详细设备信息。通过管理后台,可了解设备的各类详细信息,包括安装的移动应用、短信、联系人、通话记录、流量记录、设备基本信息、设备位置等。

4)获取设备的移动应用信息。设备安装的所有移动应用,都可以通过管理后台得到全面的了解,包括应用调用的权限、应用的版本,所占空间等。

5)远程锁定设备。当设备丢失时,可通过管理后台远程锁定设备,即使知道密码也无法进入,保证了设备中信息的安全。

6)远程解锁设备。当用户忘记密码,管理员可在后台远程强制帮助解锁,并提醒用户重新设置达到系统要求的密码强度的新密码。

7)设备硬件控制。MTSP提供对移动终端设备摄像头、蓝牙、Wi-Fi、USB网络共享、GPS、VPN、蓝牙扫描、开起热点功能、USB存储模式、麦克风、云服务和备份服务、截屏的控制能力,管理员可根据实际情况下发策略,禁用这其中的部分或全部功能。

8)给设备发送消息。当需要给用户发送通知或消息时,管理员可在后台通过短信、推送、E-mail三种方式发送给指定用户。

(2)移动应用管理

1)应用分发。各级别管理员可通过后台分发通用应用或专属安全应用到用户设备,并可给不同的单位分发不同的指定的应用。

2)应用静默安装、卸载、升级。对于指定设备,在完成同平台的适配后,管理后台可做到静默安装、卸载、升级指定应用,设备无法卸载后台要求必须安装的应用。

3)应用黑白名单控制。管理员可设置应用的黑白名单,并可指定特定的设备按照此黑白名单进行应用的控制和管理。设置应用黑名单后,已安装该应用的用户会被强制卸载,未安装该应用的相关用户无法安装黑名单中的应用。设置应用白名单后,用户只能安装白名单中的应用以及管理员推送的安全应用,其余应用均无法安装到设备上。

4)应用统计。管理后台可对所有管控设备中的应用进行基本信息和数据的详细统计,供管理员决策黑白名单使用。

5)应用统一登入权限。管理后台提供唯一的应用登录入口,只有经过系统认证的用户才能下载安装应用。同时,所有的安全应用都拥有统一的登入系统,保证安全应用的安全。

6)应用数据保护。所有的安全应用数据应受到全面的保护,实现应用数据与外界的安全隔离,保证安全应用数据的绝对安全。同时,在设备违反了相关安全管理策略时,后台将自动移除设备中移动应用的所有数据,并卸载所有专用应用程序。

(3)移动内容管理

1)文档浏览限制。重要文档可以通过管理后台分发给用户设备,用户可通过“文档管理”办公应用浏览并下载到“文档管理”控制的本地存储空间,同时,此空间将存储下载的邮件附件。用户浏览后台分发的文档、存储空间的文档、邮件附件时,只能通过办公应用“文档浏览器”打开,而其他应用无法打开。

2)邮件内容拷贝和附件转发控制。通过后台可以设置邮件内容是否可以拷贝,所有包括含有附件的邮件只能转发给内部用户。

3)安全沙箱。用户设备具备安全工作区域,存储企业应用、文档、邮件、消息等企业数据,个人数据完全隔离在沙箱之外[13]。所有沙箱内安全应用中的内容可以互通,沙箱外的內容可拷贝进入沙箱内容,但沙箱内的数据无法拷贝出沙箱。

(4)上网行为管控与审计

1)上网网址黑名单。实现对管控用户移动终端访问网页的网址黑名单功能,即被列入黑名单中的网址控制用户无法访问。

2)上网网址白名单。实现对管控用户移动终端访问网页的网址白名单功能,即当开启白名单功能后,用户只能访问白名单中的网址,其他网址均无法访问。

3)上网行为审计。实现对管控用户移动终端上网行为的记录,并提供审计功能。

4 结束语

本文针对移动互联网中智能终端的安全问题,从构建安全监管平台的角度进行了探究。移动互联网安全是个比较大的概念,安全问题涉及到诸多方面,例如物理安全、网络安全、数据安全、系统安全、应用安全等,本文研究的仅仅是其中一个环节。另外,用户规范的操作方式和良好的使用习惯对安全也很重要,随着可信计算、量子计算等新技术的不断涌现,该领域下一步的研究将侧重新技术和新的解决方案。

参考文献:

[1] 王永建,赵志明,陈汝君,等. 面向移动互联网的电梯安全监管系统设计[J]. 电信快报, 2016(8): 9-12.

[2] 陈鹏. 物联网RFID技术与云计算数据传输的安全性分析[J]. 物联网技术, 2014(7): 91-92.

[3] 马虹. 城市一卡通与移动支付的整合与创新应用[J]. 金卡工程, 2016(1): 12-14.

[4] 中央保密委员会办公室、国家保密局. 普通手机使用保

密守则[EB/OL]. (2015-03-21)[2016-09-19]. http://www.

360doc.com/content/15/0321/17/9851038_456961287.shtml.

[5] 徐东磊,郭晨. 智能手机和互联网使用放开给部队思想政治教育带来的冲击与对策[J]. 政工学刊, 2015(12): 54-56.

[6] 张建珍. 通过通信信道加密提升云计算数据的安全性[J]. 智能计算机与应用, 2015(2): 38-39.

[7] 王群. 基于安全域的信息安全防护体系研究[J]. 信息网络安全, 2015(9): 206-210.

[8] 周广为. 基于Android平台的移动终端统一管理客户端的设计与实现[D]. 西安: 西安电子科技大学, 2013.

[9] 钟能,张志勇,闫连山,等. 面向工控网络的区域隔离系统设计与实现[J]. 微电子学与计算机, 2014(10): 90-93.

[10] 何霈. 嵌入式入侵防御系统的研究与实现[D]. 南京: 南京航空航天大学, 2009.

[11] 江永俊. 移动终端安全接入可信认证技术的研究及实现[D]. 北京: 华北电力大学, 2015.

[12] 刘会议. 移动互联网中身份认证技术的研究[D]. 济南: 山东大学, 2014.

[13] 王文韬,周志洪,李建华,等. 智能IC卡密码算法检测系统实现[J]. 信息安全与通信保密, 2015(5): 117-120. ★

猜你喜欢

智能终端移动互联网
微媒体研究现状综述
Wi—Fi环境下自助式点餐系统设计与实现
基于智能终端的移动电子商务商业模式探究
微美学
智能手机在大学生移动学习中的应用研究
基于Android的一键智能报警系统设计与实现 
O2O电子商务模式发展问题及对策研究
大数据环境下基于移动客户端的传统媒体转型思路
基于移动互联网的心理健康教育初探
智能变电站过程层二次设备调试技术研究进展