企业级移动应用信息安全研究和构建.docVIP

企业级移动应用信息安全研究和构建 　　【摘要】 本文系统分析了企业级移动应用的信息安全风险，结合信息安全管控要求，提出一种企业级移动应用安全架构，从物理安全、网络安全、系统安全、应用安全、安全监管等5个领域阐述了移动信息安全技术方案和保障策略，有效地解决了企业级移动应用安全管理的普适性、可扩展性和安全性等问题。 　　【关键词】 企业级 移动应用 信息安全 　　一、引言 　　随着移动应用外部环境逐步成熟，结合移动终端应用具备移动便携性和强大野外作业特性，企业级移动应用需求也在迅猛增长，大量的企业核心应用逐步开始移动化，如电力行业中的线路巡检、移动抄表、设备巡视、物资盘点等等，为企业业务运行和经营管理提供了方便、快捷、高效的服务[1]。 　　然而由于移动应用涉及到种类繁多的终端系统、复杂的移动业务应用模式和管理要求，因而带来了大量信息安全管理等问题，尽管在移动终端安全接入方面管理方面开展一些尝试，如在各级网络边界设置防火墙等、对外界接入进行识别和认证，以防止非法数据入侵等[2-4]，但是这些技术措施只是规定了移动终端接入方面的安全，而对终端设备本身、数据传输交换、系统保护、行为监控、病毒防卫等方面却没有明确的统一规范及保护手段。信息安全是企业级移动应用的发展的重要前提，因此构建企业级移动信息安全体系并付诸于实践应用已是迫在眉睫。 　　二、企业级移动应用信息安全体系 　　2.1研究思路 　　为了克服企业级移动应用面临的各类安全问题，降低安全威胁，本文认为移动应用安全体系应从硬件、软件结构入手，结合移动互联网特征，设计企业级移动应用安全技术架构及安全规范、制定一系列安全防护策略来保证移动应用的安全可靠。 　　2.2企业级移动应用安全体系 　　在充分分析企业级移动应用信息化的建设现状和安全需求基础上，根据国家等级保护要求，从物理安全，网络安全，系统安全，应用安全以及安全监管五个方面构建企业级移动应用安全防护体系。 　　1、物理安全：涉及设备和环境安全，主要通过移动终端本身硬件标识信息、接口监测、外接插件设备来保障移动终端设备安全。2、网络安全：涉及到网络接入安全、数据传输安全等，主要从硬件、软件两方面保证，如防火墙保护策略、认证策略、数据加密等。3、系统安全：主要包括系统、数据存储、操作等，通过建立安全加固，对业务数据分级存储、重要数据安全隔离、数据传输加密、完整性和一致性校验，保障系统安全。4、应用安全：通过多种手段保障移动应用安全，可从应用准入、应用授权、应用监控审核、应用数据管控、操作行为安全审计等方面全面保障应用安全。 5、安全监管：从制度管理、软件辅助管理对移动终端进行安全管理。制定相应的移动终端、移动应用管理规范。 　　三、企业级移动应用信息安全实现 　　3.1 物理安全 　　按照安全体系要求，可从终端管理、一致性校验、接口监测、存储卡加密等领域实现物理安全。 　　1、设备启动。通过设置启动密码、动态口令等控制设备启动验证。2、校验一致性。终端启动后，后台根据设备回传的参数进行一致性校验，对操作系统内核、硬件配置、关键应用和配置策略信息等进行验证，确保启动过程中各应用的完备性和一致性。3、设备硬件监测。对移动设备硬件接口管理，包括网络（含WIFI/蓝牙等）启停，USB启停、以及摄像头屏幕输出等启停等，从而有效防止移动终端数据泄漏。4、存储卡加密。根据存储卡与移动设备的关联关系，存储卡上的数据就不能被其它移动设备读取，从而有效地保护移动终端上的数据。 　　3.2 网络安全 　　在网络安全方面，可从硬件、软件两方面保障网络接入安全、数据传输安全。 　　1、接入安全。建立专用的VPN接入通道连接到特定服务端。建立DMZ反向代理保护，通过反向代理防止移动设备直接和web服务器直接连接带来的安全隐患。2、设置防火墙及路由器防护策略，通过制定路由器、防火墙防护策略，实现内外网络安全。安全策略确保网络访问、服务访问、用户认证、输入输出、磁盘和数据加密、病毒防护措施等。3、移动设备安全认证和接入。建立终端准入机制，通过后台移动设备管理功能，记录所有设备详细信息，如唯一编码，类型及使用者等信息，在登录时实现按特定信息核对验证设备合法性。4、数据传输安全。企业级移动应用一般需要和后台业务传输数据，为了避免恶意攻击、窃取、篡改，需要在数据传输中引入数据安全管理，如数字证书加密等。 　　3.3 系统安全 　　为保障移动应用正常运行，主要通过建立安全加固、业务数据分类存储管理、数据安全隔离、数据传输加密解密、完整性检查以及一致性检查，保障系统安全。 　　1、安全加固。按等级保护要求，制定严格的安全加固措施，保障系统安全； 2、建立移动数据库安全管控，支持离在线数据库访问、支持数据的备份和恢复，保证用户数据的