中國電信股份有限公司江蘇分公司 企業(yè)信息化部 劉 東

企業(yè)移動應用安全管理分析

中國電信股份有限公司江蘇分公司 企業(yè)信息化部 劉 東

從移動設備的安全性、設備上企業(yè)數(shù)據(jù)安全性、設備數(shù)據(jù)傳輸?shù)陌踩?、企業(yè)移動App（應用）的分發(fā)與更新等幾個方面對企業(yè)移動應用安全所面臨的幾個突出問題進行分析，為企業(yè)移動應用安全管理提供一些解決思路。

移動應用； 自帶移動設備辦公； 安全

0 引言

隨著3G、4G、Wi-Fi（無線保真）等無線網(wǎng)絡接入的快速普及，移動辦公、移動運維、移動營銷成爆發(fā)性增長趨勢。IDC（因特網(wǎng)數(shù)據(jù)中心）數(shù)據(jù)顯示，2014年全球智能手機出貨量達到12.5億臺，預計到2018年將達到18億臺。移動應用辦公的興起給企業(yè)帶來了全新的業(yè)務支撐和安全挑戰(zhàn)，開始動搖IT（信息技術）主管部門傳統(tǒng)的開發(fā)運維與安全管理模式。越來越多的企業(yè)相信移動辦公將成為生產(chǎn)運營的“新常態(tài)”。事實上，移動終端代表了企業(yè)移動模式的起始階段，而企業(yè)移動應用終將改變員工和企業(yè)未來的工作方式。

移動化接入使得企業(yè)網(wǎng)絡邊界重新發(fā)得模糊。企業(yè)員工既可以通過基站無線通信網(wǎng)絡在公共場所接入到公司網(wǎng)絡，也可以通過Wi-Fi接入公司網(wǎng)絡。隨之而來的安全隱患也越來越明顯，目前大部分企業(yè)分發(fā)移動應用軟件通過第三方應用商店進行發(fā)布，繁瑣的流程不僅費時而且不利于管控和數(shù)據(jù)統(tǒng)計，也無法對移動客戶端App（應用）操作行為進行有效地監(jiān)督和審計。

基于此，企業(yè)急需制定整體的移動辦公戰(zhàn)略，尋求移動終端安全防護方案，以此來大幅改善企業(yè)內(nèi)部的業(yè)務及運營狀況，從而為企業(yè)創(chuàng)造可持續(xù)的競爭優(yōu)勢。

1 移動應用安全管理的概念與目的

“無安全，不移動”，對于移動辦公來說，數(shù)據(jù)的安全是首要考慮的問題。移動辦公是以移動終端為基礎，通過終端上的應用訪問企業(yè)內(nèi)部的應用系統(tǒng)和數(shù)據(jù)，其安全性不僅僅是終端與網(wǎng)絡的安全，還包含整個移動辦公應用系統(tǒng)的安全管控和運維管理。

企業(yè)移動應用安全管理是針對BYOD（自帶移動設備辦公）設備進行移動設備安全管理（MDM）、移動應用安全管理（MAM）、移動數(shù)據(jù)安全管理（MCM）、App分發(fā)管理、App更新管理、關鍵事件記錄和追蹤等一系列的移動應用全生命周期的管理。實現(xiàn)移動設備從注冊、部署、運行和回收的全生命周期的管理，以及終端上的移動應用和文檔數(shù)據(jù)管理。除此以外，移動終端安全管理還提供了移動安全接入管理以及后臺運維、報表統(tǒng)計等服務等功能，實現(xiàn)企業(yè)移動數(shù)據(jù)的全方位立體化防護，確保數(shù)據(jù)零泄露。除了移動終端的安全管理，還需要確保移動辦公數(shù)據(jù)的通道安全和接入安全，包括移動安全接入網(wǎng)關、網(wǎng)絡準入控制及移動終端安全管理系統(tǒng)和設備。

2 移動應用安全管理的解決方案

下面將從移動應用安全管理三大要素（MDM、MAM、MCM）進行闡述解決方案和思路。

2.1 移動設備管理

移動設備管理主要包含： 設備注冊、設備信息收集、設備接入控制、設備監(jiān)控。如圖1所示，移動設備需要先在系統(tǒng)中進行預注冊，然后移動終端通過企業(yè)自建或第三方應用商店下載安裝企業(yè)發(fā)布的移動安全管理客戶端，用戶通過客戶端進行正式注冊，安全客戶端將手機設備信息上傳至設備管理系統(tǒng)完善設備注冊信息，設備管理系統(tǒng)相關安全控制策略下發(fā)，備份設備數(shù)據(jù)并對手機做實時監(jiān)控。當設備丟失，通過設備管理系統(tǒng)進行定位并鎖定，可以進行遠程數(shù)據(jù)擦除，在丟失設備被找回時，可通過設備管理系統(tǒng)進行數(shù)據(jù)恢復，恢復手機初始狀態(tài)。

2.2 移動應用管理

移動應用管理主要包含： 應用SDK Framework（安全沙箱技術）、企業(yè)應用商店。見圖2。

2.2.1 安全沙箱

安全沙箱技術是在用戶手機端開辟獨立的工作區(qū)域，在BYOD下終端具有雙重身份，企業(yè)數(shù)據(jù)和個人數(shù)據(jù)通過沙箱技術進行安全隔離，數(shù)據(jù)通過加密進行獨立存儲，確保終端中個人和企業(yè)信息的安全性和隱私性。沙箱可采用AES（高級加密標準）256高強度加密算法，確保企業(yè)應用以及企業(yè)數(shù)據(jù)的安全性。安全沙箱內(nèi)，企業(yè)相關文檔和內(nèi)容，可通過自定義策略進行終端共享，有限地被外部訪問和獲取。

安全沙箱技術的實現(xiàn)是通過自封裝SDK Framework應用集成框架，將安全沙箱涉及的操作封裝成API（應用程序接口），供自己或第三方App開發(fā)廠商調(diào)用，使其具備安全沙箱功能。

2.2.2 企業(yè)應用商店

為了能夠快速靈活進行企業(yè)定制App分發(fā)，完全擁有應用商店管理權限，企業(yè)必須自己搭建應用商店。對于大型企業(yè)應用商店要具備分發(fā)Native、Hybrid與HTML5（超文本標識語言）三大類型的移動App。管理員可以基于用戶權限分組對應用進行分發(fā)管理，可以自定義應用的類別，實現(xiàn)靈活、個性化的App分類。分發(fā)App的數(shù)據(jù)記錄在數(shù)據(jù)庫中，便于企業(yè)進行相關數(shù)據(jù)統(tǒng)計，對App的管理和使用進行調(diào)優(yōu)。

2.3 移動內(nèi)容管理

移動內(nèi)容管理主要包含： 文檔安全管理、文檔泄露防護、文檔在線閱讀、文檔安全分發(fā)。

2.3.1 文檔安全管理

分發(fā)到移動客戶端的數(shù)據(jù)和文檔（企業(yè)內(nèi)部文件、郵件、用戶信息等），加密存儲于Sandbox安全沙箱內(nèi)，加密文件無法被其他應用軟件打開查看。允許授權的移動終端設備進行訪問，非授權的移動終端設備無權訪問。允許授權的企業(yè)應用訪問，沙箱外及未授權的應用無法訪問。

2.3.2 文檔泄露防護