基于智能終端APP沙盒的移動(dòng)終端安全管理方法的研究和實(shí)踐

摘 要：通過BYOD的方法論指導(dǎo)移動(dòng)終端設(shè)備管理的建設(shè)，可以為政府、企業(yè)打造更安全的移動(dòng)終端設(shè)備管理和信息安全的管理支撐體系，電信運(yùn)營商進(jìn)行積極嘗試的方向和選擇。文章對(duì)電信運(yùn)營商采用BYOD進(jìn)行移動(dòng)終端設(shè)備管理的的分析，并對(duì)統(tǒng)一移動(dòng)終端設(shè)備管理平臺(tái)的建設(shè)進(jìn)行概述，嘗試找出具有特色優(yōu)勢(shì)的突破點(diǎn)，為電信運(yùn)營商的IT建設(shè)提供思路。

關(guān)鍵詞：BYOD；智能終端APP沙盒；移動(dòng)終端設(shè)備管理

中圖分類號(hào)：TP393.08

如何打造移動(dòng)終端設(shè)備管理和信息安全的管理支撐體系，是電信運(yùn)營商需要考慮的一個(gè)重要問題。

1 汕頭電子政務(wù)移動(dòng)終端管理現(xiàn)狀概述

汕頭移動(dòng)為汕頭市政府提供一整套的電子政務(wù)解決方案——“汕頭政府在線”，為公務(wù)員提供信息化辦公環(huán)境，為市民、企業(yè)提供全流程電子化的辦公事務(wù)服務(wù)。然而“汕頭政府在線”的信息安全當(dāng)前面臨的嚴(yán)重威脅，特別是移動(dòng)辦公方面，將個(gè)人自由的移動(dòng)終端用于辦公，必然存在辦公應(yīng)用的安裝；辦公信息的保密；不同操作系統(tǒng)的兼容；針對(duì)設(shè)備的遠(yuǎn)程管理等問題。

2 APP沙盒安全架構(gòu)設(shè)計(jì)

（1）安全傳輸層：通過SSL證書為VPN通道進(jìn)行加密，確保辦公應(yīng)用數(shù)據(jù)在互聯(lián)網(wǎng)傳輸過程中防竊聽、防篡改。

（2）數(shù)據(jù)層：針對(duì)辦公應(yīng)用的存儲(chǔ)數(shù)據(jù)進(jìn)行數(shù)據(jù)區(qū)域隔離，并通過APP沙盒攜帶的SSL中的密鑰進(jìn)行3DES加密。確保辦公應(yīng)用生成的數(shù)據(jù)被竊取，如果直接導(dǎo)出辦公文件而，沒有經(jīng)過解密，則無法破譯出內(nèi)容。

（3）應(yīng)用層：通過應(yīng)用池對(duì)自有應(yīng)用和辦公應(yīng)用之間的互相調(diào)用進(jìn)行隔離。另外，針對(duì)辦公應(yīng)用進(jìn)行權(quán)限控制，包括各個(gè)應(yīng)用調(diào)用設(shè)備的攝影、撥號(hào)、復(fù)制功能等等權(quán)限。再次，通過APP沙盒中的應(yīng)用商店給客戶推送辦公應(yīng)用。

（4）操作系統(tǒng)層：APP沙盒必須通過IOS和Android認(rèn)證，才能取得操作系統(tǒng)的最高權(quán)限。另外，能夠通過APP沙盒注冊(cè)的時(shí)候，登記設(shè)備編號(hào)（IMEI）和sim卡編號(hào)（USIM），從而在后臺(tái)可以直接對(duì)設(shè)備進(jìn)行管理。

3 智能終端APP沙盒設(shè)計(jì)方案

3.1 功能應(yīng)用架構(gòu)

經(jīng)過對(duì)沙盒架構(gòu)的分析，明確其功能主要定位在針對(duì)辦公應(yīng)用提供統(tǒng)一信息安全管控，針對(duì)移動(dòng)終端提供統(tǒng)一設(shè)備安全管控。

3.2 智能終端APP沙盒設(shè)計(jì)

3.2.1 設(shè)備管理功能設(shè)計(jì)

（1）設(shè)備安全性評(píng)測(cè)準(zhǔn)入。對(duì)接入的設(shè)備可以監(jiān)控設(shè)備是否已ROOT，設(shè)備型號(hào)，及設(shè)備本身安全性評(píng)測(cè)；（2）設(shè)備功能控制。沙盒可以對(duì)智能終端設(shè)備的硬件進(jìn)行遠(yuǎn)程控制；（3）設(shè)備信息管理。設(shè)備信息控制包含USIM信息控制、設(shè)備型號(hào)控制、設(shè)備IMEI控制三個(gè)功能。確保APP沙盒的運(yùn)行環(huán)境一致性；（4）軟件功能控制。智能手機(jī)越來越智能與自動(dòng)化，現(xiàn)在很多手機(jī)可以有截屏，錄屏，錄音，攝像，復(fù)制粘貼等操作。而這些操作則是極大影響了敏感型的APP使用過程的威脅；（5）移動(dòng)設(shè)備的跟蹤。移動(dòng)設(shè)備一個(gè)最主要的特點(diǎn)是可移動(dòng)性，這樣后臺(tái)很難監(jiān)視設(shè)備所處的區(qū)域。

3.2.2 應(yīng)用管理功能設(shè)計(jì)

（1）應(yīng)用準(zhǔn)入。應(yīng)用接入前需進(jìn)過安全評(píng)估和審核；（2）應(yīng)用權(quán)限配置。應(yīng)用所能使用的和不能使用的功能，需要進(jìn)行控制；（3）應(yīng)用數(shù)據(jù)隔離。采用數(shù)據(jù)沙盒的功能，使辦公數(shù)據(jù)與私人數(shù)據(jù)隔離；（4）應(yīng)用數(shù)據(jù)擦除。當(dāng)數(shù)據(jù)遭遇到信息安全危機(jī)時(shí)，可以遠(yuǎn)程控制擦除系統(tǒng)數(shù)據(jù)

3.2.3 核心加密技術(shù)

（1）數(shù)據(jù)加密。一切數(shù)據(jù)不得存儲(chǔ)在SD卡上，所有與數(shù)據(jù)有關(guān)的操作都是通過安全信道來完成；一切數(shù)據(jù)存儲(chǔ)都必須加密，沙盒提供了多種加密算法；（2）應(yīng)用加固。對(duì)APP版本評(píng)估，在APP進(jìn)行接入時(shí)，進(jìn)行預(yù)檢查；（3）病毒查殺。對(duì)應(yīng)用進(jìn)行統(tǒng)一的后臺(tái)病毒查殺；（4）設(shè)備管理?？刂频挠布袅靠刂?、亮度控制、攝像頭控制、WIFI控制等。使設(shè)備管理與應(yīng)用管理結(jié)合起來，達(dá)到應(yīng)用級(jí)的設(shè)備管理。

4 智能終端APP沙盒的成功應(yīng)用

4.1 背景介紹

“汕頭政府在線”項(xiàng)目要求所有移動(dòng)終端都可信可控以及存放在終端上的臨時(shí)數(shù)據(jù)不能被其他應(yīng)用程序訪問，汕頭移動(dòng)在該項(xiàng)工程采用了智能終端APP沙盒進(jìn)行安全防控的解決方案，滿足辦公人員使用自有的手機(jī)、平板電腦等設(shè)備進(jìn)行移動(dòng)辦公的需要。

4.2 政府APP沙盒部署實(shí)施流程

（1）角色分類。1）辦公人員：指使用自有設(shè)備辦公的人群。2）監(jiān)督人員：指對(duì)辦公應(yīng)用、辦公工作進(jìn)行安全監(jiān)控的部門，一般指信息化辦公室的工作人員；（2）操作內(nèi)容：1）辦公人員。提交終端信息進(jìn)行后臺(tái)登記；安裝沙盒應(yīng)用；登錄并接受推送的辦公應(yīng)用；進(jìn)行移動(dòng)辦公。2）監(jiān)督人員：后臺(tái)注冊(cè)終端信息；審核并上架辦公應(yīng)用；配置辦公應(yīng)用權(quán)限；推送辦公應(yīng)用至對(duì)應(yīng)人群；設(shè)備管理及日常監(jiān)督。

4.3 應(yīng)用成效

通過政府移動(dòng)智能終端APP沙盒的建設(shè)，滿足政府的移動(dòng)設(shè)備安全需求，目前在汕頭市已有4個(gè)政府單位（發(fā)改局、財(cái)政局、公路局、國土局）使用自由設(shè)備進(jìn)行移動(dòng)辦公，并在市電子政務(wù)辦公室設(shè)立專門的移動(dòng)辦公安全防控小組進(jìn)行日常監(jiān)控，在APP沙盒有異常警報(bào)時(shí)進(jìn)行跟蹤并及時(shí)處理安全隱患。

通過智能終端APP沙盒的推廣，真正實(shí)現(xiàn)移動(dòng)終端安全統(tǒng)一管理，私有移動(dòng)終端逐步取代專用的移動(dòng)終端，減少了每年專用移動(dòng)終端購買預(yù)算，實(shí)現(xiàn)安全、高效率低成本運(yùn)營的戰(zhàn)略目標(biāo)。

5 結(jié)束語

通過BYOD理念的研究、設(shè)計(jì)和實(shí)踐，初步形成了汕頭移動(dòng)智能終端APP沙盒的安全產(chǎn)品。接下來，汕頭移動(dòng)將總結(jié)分析智能終端APP沙盒的實(shí)踐經(jīng)驗(yàn)，探討基于移動(dòng)終端的分層設(shè)計(jì)，探索基于更多政府、企事業(yè)單位或大眾群體的移動(dòng)辦公需求，逐步將BYOD的理念擴(kuò)大至其他業(yè)務(wù)領(lǐng)域，使APP沙盒產(chǎn)品能夠更加豐富和完善。

參考文獻(xiàn)：

[1]汕頭移動(dòng)基于智能移動(dòng)終端的APP沙盒需求規(guī)范書v1.0（2014）[R].

[2]楊柳.BYOD時(shí)代的移動(dòng)信息安全[J].能源期刊網(wǎng)，2013（10）.

[3]楊敬民，林偉俊.基于BYOD的移動(dòng)辦公及其解決方案[J].科技傳播期刊，2013.

作者單位：中國移動(dòng)通信集團(tuán)廣東有限公司汕頭分公司，廣東汕頭 515041