周鑫 张华 朱仲珂

摘要 烟草行业是我国税收来源的关键，其业务的稳定性对国家的发展有着重要意义。随着我国互联网科技的发展，随着移动信息化技术的加强，企业对信息安全有着更为严格的要求，本文以铜仁市烟草为例，对其在贵州省烟草系统内开展以移动安全为核心的网络安全建设进行论述，充分展示了铜仁移动办公安全新模式。

【关键词】EMM 铜仁烟草公司 移动安全

烟草行业作为国家纳税大户，其业务运营的稳定性对国家的发展具有十分重要的意义，因而对企业信息安全也有更为严格的要求。随着移动信息化技术的快速发展，烟草行业在提高生产和办公效率方面也得到了许多应用，现场人员可以通过移动终端随时查看企业数据、完成互动工作，企业员工可以通过移动设备实时了解企业最新资讯。但由于烟草行业本身具有生产、销售、管理较为分散的特性，这也成为该行业移动信息管理、移动信息安全建设中的特殊挑战。传统的安全管理措施很难实施在移动终端上，相比于PC端的安全防护，从移动端网关接入、移动杀毒、移动端APP管理、移动端数据加密及相关数据传输，几乎是零防护，一旦设备发生数据泄漏事故，后果将不堪设想。

2017年，贵州省烟草公司铜仁市公司（以下简称铜仁烟草公司）首次在贵州省烟草系统内开展以移动安全为核心的网络安全建设，相关建设方案及建设工作由北京天融信网络安全技术有限公司（以下简称天融信公司）提供，保障移动办公过程中的移动终端安全、企业移动办公APP安全、以及移动办公的数据网络传输安全。在提高数据安全性的同时，也降低了移动设备管理的难度。

移动安全的一个重要核心即企业移动数据安全，是移动安全产品的时代价值。因此，互联网时代的EMM （enterprise mobilemanagement）产品必须以企业移动信息数据安全管控为核心，针对移动互联业务的各个环节做出环环相扣的可组合安全技术功能及方案，为企业提供全程移动安全数据防护。

天融信公司凭借多年以来的安全产品研发经验，总结并实现了一套易用、强大的移动智能终端数据安全管理功能。在支持传统的移动设备管理、移动APP管理、移动内容管理的基础上考虑到从平台到终端的基本移动安全框架安全体系，从终端到内网的APP业务交互的客户常规操作行为，开发出：企业APP安全门户、移动终端杀毒、企业APP安全商店、企业APP漏洞扫描、加固、企业移动数据沙箱、时间/地理围栏等一系列高级安全功能。这些高级安全功能不断升级、补全各种企业客户功能要求，从安全为出发点，将移动数据安全防护功能立体交错地梳理、整合、展现给铜仁烟草公司，帮助铜仁烟草公司建立最符合自身特性、需求的移动信息安全防护体系。

1 设备丢失数据保护

移动设备便捷性的同时也带来了设备丢失的后的数据风险隐患，移动设备保存大量企业核心及机密数据以及个人隐私数据，所以针对设备丢失后的判断来自于移动安全防护平台对设备的监控状态判断设备是否处于脱管状态，以及用户自身确定设备丢失后向运维人员请求相应的数据保护机制。

1.1 移动设备丢失定位

当移动设备涉嫌丢失时，EMM可以对移动设备进行远程定位，定位技术不仅局限于GPS定位，还可通过GPRS、3G、4G、Wi-Fi等网络设施进行精准定位，支持对移动设备的行动轨迹进行智能绘制，完整的掌握移动设备及移动设备使用人员的行动轨迹。

1.2 设备丢失数据保护

当设备丢失后不确定是否能找回时，可以先通过管理后台对移动设备进行远程GPS定位、记录行动轨迹尝试找回设备，当确认无法找回后，终端安全管理平台可根据设定设备脱管的时长，终端客户端可以对数据安全进行如表l所示规则的保护。

2 移动端本地数据安全

在终端数据安全方面，EMM系统提供了终端防病毒以及终端数据防泄漏技术。

2.1 在终端防护查杀层面

EMM系统针对己知的恶意代码及越狱、Root设备进行查杀隔离，这些恶意代码是针对已知的系统漏洞。虽然漏洞的软件厂商已经提供了相应的软件漏洞补丁，但是企业由于管理或者人力的问题，大多数的企业都很难随时更新到最新的修补程序。而铜仁烟草公司搭建的一套企业级移动防病毒系统，通过部署全球技术领先的移动防毒引擎和专业病毒库，能够有效查杀各种病毒、木马和恶意代码。同时可对移动操作系统进行漏洞扫描和补丁修复，从系统底层保证企业应用环境的安全。EMM系统采用智能病毒双引擎查杀技术保障移动设备的安全，对移动设备上的应用进行全面的安全检查和控制，防止因用户安装安全性差的应用程序，从而影响企业信息系统的安全性。智能应用危险感知技术及时上报客户端可疑程序，專业的分析团队及时分析并上报病毒样本对病毒库进行更新。

自主病毒查杀引擎综合了传统的特征码技术和主动的启发式分析技术以及基于行为的分析技术，保护企业移动设备远离病毒、间谍软件、木马、蠕虫、bots等威胁的侵害。2.2针对越狱、Root、有病毒设备

EMM的企业杀毒终端与管理平台做准入联动，限制有安全隐患的移动设备连入铜仁烟草公司内网，为铜仁烟草公司内网安全把好第一道大门。

2.3 引用数据防泄漏DLP理念

EMM系统秉承PC端数据防泄漏DLP理念，将数据存储安全移植到移动智能终端上，采用沙箱技术为客户移动APP、文档提供隔离存储空间，安全的将个人数据与企业数据隔离开来，并对安全终端存储的APP进行数据加密，针对安全内数据提供防分享、防传输等移动数据防泄漏功能。EMM系统考虑移动终端，尤其是安卓系统产品的系统自身安全漏洞问题，特备研发了安全门户功能，将APP进行特殊处理，通过APP安全超市推送到移动端的安全门户应用内，与系统其他APP及运行环境隔离并做数据加密。

2.4 沙箱理念使数据不落地

APP安全门户采用沙箱理念，将办公APP在门户内独立运行，不会与移动终端系统内其他数据做交互，防止恶意APP或后台程序盗取烟草公司重要数据信息。烟草公司更可以根据APP使用场景，对用户在门户内的操作做策略级限制，例如：禁止对门户内APP页面进行“复制黏贴”、“截屏”、“即时通讯工具分享”、“蓝牙传输”、“USB另存为”等一系列操作。

2.5 安全合规的APP管理平台

EMM系统提供了企业自有应用市场，有效避免了铜仁烟草公司移动办公应用在混乱的安卓市场上发布后被反编译、被植入恶意代码病毒等安全风险，通过企业自有应用市场进行移动办公应用管理，包括APP發布、APP上线前检测、APP更新及提醒、APP远程管理等。

3 数据传输全程加密

在数据传输方面，EMM系统与铜仁烟草公司当前在用VPN SDK深度集成，配合EMM安全门户套件（己集成VPN客户端），在使用APP时自动创建安全通道，保护用户数据链路，并将本地数据进行加密保存（国际标准算法或者国密标准算法加密），创建安全通道、保存安全数据的过程对用户完全透明，减少用户在智能终端上的操作，简化用户认证流程，规避了在数据传输过程中信息泄露的风险。VPN通过外部认证机制实现EMM与VPN账号整合，两套系统采用同一套账号体系认证，且登录EMM时会自动将EMM账户信息填写到EMM客户端VPN配置里，简化了管理员对于用户管理流程及用户对于客户端配置过程。同时，将EMM作为移动智能终端接入铜仁烟草公司内网的唯一入口，在此要求上，对VPN进行版本定制升级，禁止使用除EMM之外其他方式（如SSL VPN客户端及Web网页）建立VPN隧道接入企业内网，保证终端用户接入铜仁烟草公司内网入口的唯一性。防止用户账号泄露，不法分子绕过EMM通过其他方式接入铜仁烟草公司内网，大大提高了移动办公终端接入安全性。

至此EMM系统己开始正式为铜仁烟草公司移动安全保驾护航，从移动终端防泄漏、移动应用防篡改、移动数据传输防窃取及移动终端安全接入等多方面保护铜仁烟草公司移动办公安全。这是铜仁烟草公司首次将移动安全纳入网络安全信息化安全建设，也是贵州烟草行业首创，将移动安全概念突破传统网络边界外延，PC和移动终端进行统一远程管控、病毒扫描查杀、网络合规准入、上网行为审计等防护一体化管理，让铜仁烟草公司的网络安全体系更加完善。

展望未来，基于EMM系统的移动安全，可以针对烟草行业在全省的APP做移动APP漏扫加固平台;可以针对烟草行业移动办公终端以及其他移动设备做移动终端管理和监测平台;未来也可以为烟草行业提供基于移动终端、APP、网络通讯等客户关注内容的大数据风险探知平台。

参考文献

[1]宋岐国，张诗珊，尚文利.基于移动办公的烟草企业协同办公系统[J].制造业自动化，2011（33）.