EMM項(xiàng)目助力銅仁市煙草公司移動(dòng)辦公安全新模式

周鑫 張華 朱仲珂

摘要 煙草行業(yè)是我國(guó)稅收來(lái)源的關(guān)鍵，其業(yè)務(wù)的穩(wěn)定性對(duì)國(guó)家的發(fā)展有著重要意義。隨著我國(guó)互聯(lián)網(wǎng)科技的發(fā)展，隨著移動(dòng)信息化技術(shù)的加強(qiáng)，企業(yè)對(duì)信息安全有著更為嚴(yán)格的要求，本文以銅仁市煙草為例，對(duì)其在貴州省煙草系統(tǒng)內(nèi)開(kāi)展以移動(dòng)安全為核心的網(wǎng)絡(luò)安全建設(shè)進(jìn)行論述，充分展示了銅仁移動(dòng)辦公安全新模式。

【關(guān)鍵詞】EMM 銅仁煙草公司 移動(dòng)安全

煙草行業(yè)作為國(guó)家納稅大戶，其業(yè)務(wù)運(yùn)營(yíng)的穩(wěn)定性對(duì)國(guó)家的發(fā)展具有十分重要的意義，因而對(duì)企業(yè)信息安全也有更為嚴(yán)格的要求。隨著移動(dòng)信息化技術(shù)的快速發(fā)展，煙草行業(yè)在提高生產(chǎn)和辦公效率方面也得到了許多應(yīng)用，現(xiàn)場(chǎng)人員可以通過(guò)移動(dòng)終端隨時(shí)查看企業(yè)數(shù)據(jù)、完成互動(dòng)工作，企業(yè)員工可以通過(guò)移動(dòng)設(shè)備實(shí)時(shí)了解企業(yè)最新資訊。但由于煙草行業(yè)本身具有生產(chǎn)、銷(xiāo)售、管理較為分散的特性，這也成為該行業(yè)移動(dòng)信息管理、移動(dòng)信息安全建設(shè)中的特殊挑戰(zhàn)。傳統(tǒng)的安全管理措施很難實(shí)施在移動(dòng)終端上，相比于PC端的安全防護(hù)，從移動(dòng)端網(wǎng)關(guān)接入、移動(dòng)殺毒、移動(dòng)端APP管理、移動(dòng)端數(shù)據(jù)加密及相關(guān)數(shù)據(jù)傳輸，幾乎是零防護(hù)，一旦設(shè)備發(fā)生數(shù)據(jù)泄漏事故，后果將不堪設(shè)想。

2017年，貴州省煙草公司銅仁市公司（以下簡(jiǎn)稱(chēng)銅仁煙草公司）首次在貴州省煙草系統(tǒng)內(nèi)開(kāi)展以移動(dòng)安全為核心的網(wǎng)絡(luò)安全建設(shè)，相關(guān)建設(shè)方案及建設(shè)工作由北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司（以下簡(jiǎn)稱(chēng)天融信公司）提供，保障移動(dòng)辦公過(guò)程中的移動(dòng)終端安全、企業(yè)移動(dòng)辦公APP安全、以及移動(dòng)辦公的數(shù)據(jù)網(wǎng)絡(luò)傳輸安全。在提高數(shù)據(jù)安全性的同時(shí)，也降低了移動(dòng)設(shè)備管理的難度。

移動(dòng)安全的一個(gè)重要核心即企業(yè)移動(dòng)數(shù)據(jù)安全，是移動(dòng)安全產(chǎn)品的時(shí)代價(jià)值。因此，互聯(lián)網(wǎng)時(shí)代的EMM （enterprise mobilemanagement）產(chǎn)品必須以企業(yè)移動(dòng)信息數(shù)據(jù)安全管控為核心，針對(duì)移動(dòng)互聯(lián)業(yè)務(wù)的各個(gè)環(huán)節(jié)做出環(huán)環(huán)相扣的可組合安全技術(shù)功能及方案，為企業(yè)提供全程移動(dòng)安全數(shù)據(jù)防護(hù)。

天融信公司憑借多年以來(lái)的安全產(chǎn)品研發(fā)經(jīng)驗(yàn)，總結(jié)并實(shí)現(xiàn)了一套易用、強(qiáng)大的移動(dòng)智能終端數(shù)據(jù)安全管理功能。在支持傳統(tǒng)的移動(dòng)設(shè)備管理、移動(dòng)APP管理、移動(dòng)內(nèi)容管理的基礎(chǔ)上考慮到從平臺(tái)到終端的基本移動(dòng)安全框架安全體系，從終端到內(nèi)網(wǎng)的APP業(yè)務(wù)交互的客戶常規(guī)操作行為，開(kāi)發(fā)出：企業(yè)APP安全門(mén)戶、移動(dòng)終端殺毒、企業(yè)APP安全商店、企業(yè)APP漏洞掃描、加固、企業(yè)移動(dòng)數(shù)據(jù)沙箱、時(shí)間/地理圍欄等一系列高級(jí)安全功能。這些高級(jí)安全功能不斷升級(jí)、補(bǔ)全各種企業(yè)客戶功能要求，從安全為出發(fā)點(diǎn)，將移動(dòng)數(shù)據(jù)安全防護(hù)功能立體交錯(cuò)地梳理、整合、展現(xiàn)給銅仁煙草公司，幫助銅仁煙草公司建立最符合自身特性、需求的移動(dòng)信息安全防護(hù)體系。

1 設(shè)備丟失數(shù)據(jù)保護(hù)

移動(dòng)設(shè)備便捷性的同時(shí)也帶來(lái)了設(shè)備丟失的后的數(shù)據(jù)風(fēng)險(xiǎn)隱患，移動(dòng)設(shè)備保存大量企業(yè)核心及機(jī)密數(shù)據(jù)以及個(gè)人隱私數(shù)據(jù)，所以針對(duì)設(shè)備丟失后的判斷來(lái)自于移動(dòng)安全防護(hù)平臺(tái)對(duì)設(shè)備的監(jiān)控狀態(tài)判斷設(shè)備是否處于脫管狀態(tài)，以及用戶自身確定設(shè)備丟失后向運(yùn)維人員請(qǐng)求相應(yīng)的數(shù)據(jù)保護(hù)機(jī)制。

1.1 移動(dòng)設(shè)備丟失定位

當(dāng)移動(dòng)設(shè)備涉嫌丟失時(shí)，EMM可以對(duì)移動(dòng)設(shè)備進(jìn)行遠(yuǎn)程定位，定位技術(shù)不僅局限于GPS定位，還可通過(guò)GPRS、3G、4G、Wi-Fi等網(wǎng)絡(luò)設(shè)施進(jìn)行精準(zhǔn)定位，支持對(duì)移動(dòng)設(shè)備的行動(dòng)軌跡進(jìn)行智能繪制，完整的掌握移動(dòng)設(shè)備及移動(dòng)設(shè)備使用人員的行動(dòng)軌跡。

1.2 設(shè)備丟失數(shù)據(jù)保護(hù)

當(dāng)設(shè)備丟失后不確定是否能找回時(shí)，可以先通過(guò)管理后臺(tái)對(duì)移動(dòng)設(shè)備進(jìn)行遠(yuǎn)程GPS定位、記錄行動(dòng)軌跡嘗試找回設(shè)備，當(dāng)確認(rèn)無(wú)法找回后，終端安全管理平臺(tái)可根據(jù)設(shè)定設(shè)備脫管的時(shí)長(zhǎng)，終端客戶端可以對(duì)數(shù)據(jù)安全進(jìn)行如表l所示規(guī)則的保護(hù)。

2 移動(dòng)端本地?cái)?shù)據(jù)安全

在終端數(shù)據(jù)安全方面，EMM系統(tǒng)提供了終端防病毒以及終端數(shù)據(jù)防泄漏技術(shù)。

2.1 在終端防護(hù)查殺層面

EMM系統(tǒng)針對(duì)己知的惡意代碼及越獄、Root設(shè)備進(jìn)行查殺隔離，這些惡意代碼是針對(duì)已知的系統(tǒng)漏洞。雖然漏洞的軟件廠商已經(jīng)提供了相應(yīng)的軟件漏洞補(bǔ)丁，但是企業(yè)由于管理或者人力的問(wèn)題，大多數(shù)的企業(yè)都很難隨時(shí)更新到最新的修補(bǔ)程序。而銅仁煙草公司搭建的一套企業(yè)級(jí)移動(dòng)防病毒系統(tǒng)，通過(guò)部署全球技術(shù)領(lǐng)先的移動(dòng)防毒引擎和專(zhuān)業(yè)病毒庫(kù)，能夠有效查殺各種病毒、木馬和惡意代碼。同時(shí)可對(duì)移動(dòng)操作系統(tǒng)進(jìn)行漏洞掃描和補(bǔ)丁修復(fù)，從系統(tǒng)底層保證企業(yè)應(yīng)用環(huán)境的安全。EMM系統(tǒng)采用智能病毒雙引擎查殺技術(shù)保障移動(dòng)設(shè)備的安全，對(duì)移動(dòng)設(shè)備上的應(yīng)用進(jìn)行全面的安全檢查和控制，防止因用戶安裝安全性差的應(yīng)用程序，從而影響企業(yè)信息系統(tǒng)的安全性。智能應(yīng)用危險(xiǎn)感知技術(shù)及時(shí)上報(bào)客戶端可疑程序，專(zhuān)業(yè)的分析團(tuán)隊(duì)及時(shí)分析并上報(bào)病毒樣本對(duì)病毒庫(kù)進(jìn)行更新。

自主病毒查殺引擎綜合了傳統(tǒng)的特征碼技術(shù)和主動(dòng)的啟發(fā)式分析技術(shù)以及基于行為的分析技術(shù)，保護(hù)企業(yè)移動(dòng)設(shè)備遠(yuǎn)離病毒、間諜軟件、木馬、蠕蟲(chóng)、bots等威脅的侵害。2.2針對(duì)越獄、Root、有病毒設(shè)備

EMM的企業(yè)殺毒終端與管理平臺(tái)做準(zhǔn)入聯(lián)動(dòng)，限制有安全隱患的移動(dòng)設(shè)備連入銅仁煙草公司內(nèi)網(wǎng)，為銅仁煙草公司內(nèi)網(wǎng)安全把好第一道大門(mén)。

2.3 引用數(shù)據(jù)防泄漏DLP理念

EMM系統(tǒng)秉承PC端數(shù)據(jù)防泄漏DLP理念，將數(shù)據(jù)存儲(chǔ)安全移植到移動(dòng)智能終端上，采用沙箱技術(shù)為客戶移動(dòng)APP、文檔提供隔離存儲(chǔ)空間，安全的將個(gè)人數(shù)據(jù)與企業(yè)數(shù)據(jù)隔離開(kāi)來(lái)，并對(duì)安全終端存儲(chǔ)的APP進(jìn)行數(shù)據(jù)加密，針對(duì)安全內(nèi)數(shù)據(jù)提供防分享、防傳輸?shù)纫苿?dòng)數(shù)據(jù)防泄漏功能。EMM系統(tǒng)考慮移動(dòng)終端，尤其是安卓系統(tǒng)產(chǎn)品的系統(tǒng)自身安全漏洞問(wèn)題，特備研發(fā)了安全門(mén)戶功能，將APP進(jìn)行特殊處理，通過(guò)APP安全超市推送到移動(dòng)端的安全門(mén)戶應(yīng)用內(nèi)，與系統(tǒng)其他APP及運(yùn)行環(huán)境隔離并做數(shù)據(jù)加密。

2.4 沙箱理念使數(shù)據(jù)不落地

APP安全門(mén)戶采用沙箱理念，將辦公APP在門(mén)戶內(nèi)獨(dú)立運(yùn)行，不會(huì)與移動(dòng)終端系統(tǒng)內(nèi)其他數(shù)據(jù)做交互，防止惡意APP或后臺(tái)程序盜取煙草公司重要數(shù)據(jù)信息。煙草公司更可以根據(jù)APP使用場(chǎng)景，對(duì)用戶在門(mén)戶內(nèi)的操作做策略級(jí)限制，例如：禁止對(duì)門(mén)戶內(nèi)APP頁(yè)面進(jìn)行“復(fù)制黏貼”、“截屏”、“即時(shí)通訊工具分享”、“藍(lán)牙傳輸”、“USB另存為”等一系列操作。

2.5 安全合規(guī)的APP管理平臺(tái)

EMM系統(tǒng)提供了企業(yè)自有應(yīng)用市場(chǎng)，有效避免了銅仁煙草公司移動(dòng)辦公應(yīng)用在混亂的安卓市場(chǎng)上發(fā)布后被反編譯、被植入惡意代碼病毒等安全風(fēng)險(xiǎn)，通過(guò)企業(yè)自有應(yīng)用市場(chǎng)進(jìn)行移動(dòng)辦公應(yīng)用管理，包括APP發(fā)布、APP上線前檢測(cè)、APP更新及提醒、APP遠(yuǎn)程管理等。

3 數(shù)據(jù)傳輸全程加密

在數(shù)據(jù)傳輸方面，EMM系統(tǒng)與銅仁煙草公司當(dāng)前在用VPN SDK深度集成，配合EMM安全門(mén)戶套件（己集成VPN客戶端），在使用APP時(shí)自動(dòng)創(chuàng)建安全通道，保護(hù)用戶數(shù)據(jù)鏈路，并將本地?cái)?shù)據(jù)進(jìn)行加密保存（國(guó)際標(biāo)準(zhǔn)算法或者國(guó)密標(biāo)準(zhǔn)算法加密），創(chuàng)建安全通道、保存安全數(shù)據(jù)的過(guò)程對(duì)用戶完全透明，減少用戶在智能終端上的操作，簡(jiǎn)化用戶認(rèn)證流程，規(guī)避了在數(shù)據(jù)傳輸過(guò)程中信息泄露的風(fēng)險(xiǎn)。VPN通過(guò)外部認(rèn)證機(jī)制實(shí)現(xiàn)EMM與VPN賬號(hào)整合，兩套系統(tǒng)采用同一套賬號(hào)體系認(rèn)證，且登錄EMM時(shí)會(huì)自動(dòng)將EMM賬戶信息填寫(xiě)到EMM客戶端VPN配置里，簡(jiǎn)化了管理員對(duì)于用戶管理流程及用戶對(duì)于客戶端配置過(guò)程。同時(shí)，將EMM作為移動(dòng)智能終端接入銅仁煙草公司內(nèi)網(wǎng)的唯一入口，在此要求上，對(duì)VPN進(jìn)行版本定制升級(jí)，禁止使用除EMM之外其他方式（如SSL VPN客戶端及Web網(wǎng)頁(yè)）建立VPN隧道接入企業(yè)內(nèi)網(wǎng)，保證終端用戶接入銅仁煙草公司內(nèi)網(wǎng)入口的唯一性。防止用戶賬號(hào)泄露，不法分子繞過(guò)EMM通過(guò)其他方式接入銅仁煙草公司內(nèi)網(wǎng)，大大提高了移動(dòng)辦公終端接入安全性。

至此EMM系統(tǒng)己開(kāi)始正式為銅仁煙草公司移動(dòng)安全保駕護(hù)航，從移動(dòng)終端防泄漏、移動(dòng)應(yīng)用防篡改、移動(dòng)數(shù)據(jù)傳輸防竊取及移動(dòng)終端安全接入等多方面保護(hù)銅仁煙草公司移動(dòng)辦公安全。這是銅仁煙草公司首次將移動(dòng)安全納入網(wǎng)絡(luò)安全信息化安全建設(shè)，也是貴州煙草行業(yè)首創(chuàng)，將移動(dòng)安全概念突破傳統(tǒng)網(wǎng)絡(luò)邊界外延，PC和移動(dòng)終端進(jìn)行統(tǒng)一遠(yuǎn)程管控、病毒掃描查殺、網(wǎng)絡(luò)合規(guī)準(zhǔn)入、上網(wǎng)行為審計(jì)等防護(hù)一體化管理，讓銅仁煙草公司的網(wǎng)絡(luò)安全體系更加完善。

展望未來(lái)，基于EMM系統(tǒng)的移動(dòng)安全，可以針對(duì)煙草行業(yè)在全省的APP做移動(dòng)APP漏掃加固平臺(tái);可以針對(duì)煙草行業(yè)移動(dòng)辦公終端以及其他移動(dòng)設(shè)備做移動(dòng)終端管理和監(jiān)測(cè)平臺(tái);未來(lái)也可以為煙草行業(yè)提供基于移動(dòng)終端、APP、網(wǎng)絡(luò)通訊等客戶關(guān)注內(nèi)容的大數(shù)據(jù)風(fēng)險(xiǎn)探知平臺(tái)。

參考文獻(xiàn)

[1]宋岐國(guó)，張?jiān)娚?，尚文?基于移動(dòng)辦公的煙草企業(yè)協(xié)同辦公系統(tǒng)[J].制造業(yè)自動(dòng)化，2011（33）.