文｜李道航

隨著移動(dòng)互聯(lián)網(wǎng)發(fā)展以及3G技術(shù)應(yīng)用的推廣，手機(jī)以及IPAD等移動(dòng)終端的日益成熟,各種移動(dòng)應(yīng)用蓬勃興起,給廣播電視行業(yè)的業(yè)務(wù)開(kāi)展亦帶來(lái)了革命性的機(jī)遇: 通過(guò)移動(dòng)辦公應(yīng)用的逐步開(kāi)發(fā),給外出采訪主持人、記者帶來(lái)更加便捷的編輯發(fā)送手段，使新聞等時(shí)效性強(qiáng)的節(jié)目更加迅捷地播出，成為了提升工作效率的有效方式。

電臺(tái)移動(dòng)辦公應(yīng)用得成功與否,就要看電臺(tái)移動(dòng)辦公應(yīng)用于電臺(tái)IT架構(gòu)能否很好的融合，因此隨著移動(dòng)辦公應(yīng)用的深入,各種安全問(wèn)題也必定隨之而來(lái)，移動(dòng)辦公系統(tǒng)解決方案，主要通過(guò)瀏覽器或特定終端軟件，通過(guò)智能手機(jī)等移動(dòng)終端設(shè)備，與內(nèi)部辦公系統(tǒng)進(jìn)行實(shí)時(shí)應(yīng)用數(shù)據(jù)交互。然而，采用這種解決方案的移動(dòng)辦公系統(tǒng)，當(dāng)涉及文檔編輯等需要在終端安裝功能插件時(shí)，需要對(duì)各種不同類型終端及其操作系統(tǒng)開(kāi)發(fā)相應(yīng)終端插件，兼容性較差。當(dāng)系統(tǒng)為外網(wǎng)用戶提供服務(wù)時(shí)，由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性和手機(jī)等終端的限制，一般缺少較全面安全機(jī)制保護(hù)，一旦終端遭受攻擊、感染病毒等，容易造成數(shù)據(jù)丟失及泄密等問(wèn)題。隨著終端的開(kāi)放，服務(wù)端安全也必將受到牽連，而服務(wù)端又和電臺(tái)的傳統(tǒng)網(wǎng)絡(luò)架構(gòu)緊密地結(jié)合在一起。大家知道，電臺(tái)播出的安全關(guān)乎國(guó)家和人民的切身利益，一直是電臺(tái)的重中之重，因此，隨著移動(dòng)應(yīng)用與電臺(tái)業(yè)務(wù)的全面融合,移動(dòng)應(yīng)用所帶來(lái)的對(duì)整個(gè)電臺(tái)業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)是我們必須加以積極應(yīng)對(duì)的。

針對(duì)移動(dòng)電臺(tái)移動(dòng)應(yīng)用的安全問(wèn)題,我們認(rèn)為應(yīng)該從兩方面加以考慮，即服務(wù)端和客戶端，只有這兩個(gè)方面的安全都做好了，才能確保整體的安全。

首先我們看一下服務(wù)端，由于移動(dòng)應(yīng)用的服務(wù)端系統(tǒng)一般通過(guò)網(wǎng)站形式對(duì)外提供服務(wù),通過(guò)移動(dòng)互聯(lián)網(wǎng)進(jìn)行接入,因此和傳統(tǒng)的網(wǎng)站所面臨的威脅相類似，都應(yīng)該加以防護(hù)，這里主要通過(guò)邊界防護(hù)、Web應(yīng)用安全防護(hù)、安全隔離、流量實(shí)時(shí)監(jiān)控以及應(yīng)急響應(yīng)等加以應(yīng)對(duì)。

邊界防護(hù)

邊界防護(hù)主要考慮在互聯(lián)網(wǎng)接入邊界處部署普通防火墻、入侵檢測(cè)系統(tǒng)，并且通過(guò)設(shè)備聯(lián)動(dòng)準(zhǔn)確地發(fā)現(xiàn)并阻斷各種網(wǎng)絡(luò)惡意攻擊。通過(guò)防火墻所有的關(guān)鍵字過(guò)濾等功能，對(duì)于進(jìn)出邊界的內(nèi)容進(jìn)行過(guò)濾，確保內(nèi)容的安全。

Web應(yīng)用安全防護(hù)

在Web服務(wù)區(qū)邊界，利用Web應(yīng)用防火墻（WAF）的檢測(cè)引擎進(jìn)行協(xié)議分析、模式識(shí)別、URL過(guò)濾技術(shù)、統(tǒng)計(jì)閥值和流量異常監(jiān)視等綜合技術(shù)手段來(lái)判斷入侵行為，可以準(zhǔn)確地發(fā)現(xiàn)并阻斷各種網(wǎng)絡(luò)惡意攻擊，從而實(shí)現(xiàn)防SQL注入、防跨站攻擊的安全防護(hù)。另外在在Web服務(wù)器上安裝惡意代碼主動(dòng)防御系統(tǒng)，通過(guò)利用信任鏈機(jī)制，對(duì)系統(tǒng)中所有裝載的可執(zhí)行文件代碼（例如EXE、DLL、COM等）進(jìn)行控制，所有可執(zhí)行文件代碼在加載運(yùn)行之間都需要先經(jīng)過(guò)檢驗(yàn)，只有通過(guò)驗(yàn)證的代碼才可以加載，從而有效地阻止惡意代碼的運(yùn)行。在Web服務(wù)器上安裝網(wǎng)頁(yè)防篡改子系統(tǒng)，采用對(duì)象相關(guān)（Object—Specific）保護(hù)方式來(lái)保護(hù)網(wǎng)頁(yè)不被篡改。即網(wǎng)站管理員可以自行選擇需要保護(hù)的網(wǎng)頁(yè)文件設(shè)定為受控對(duì)象，對(duì)于每一個(gè)受保護(hù)的對(duì)象，管理員為其設(shè)定一個(gè)對(duì)象相關(guān)授權(quán)碼，進(jìn)行實(shí)時(shí)安全防護(hù)。并且通過(guò)網(wǎng)頁(yè)的備份可以實(shí)現(xiàn)移動(dòng)應(yīng)用服務(wù)端的迅速恢復(fù)。

安全隔離確保核心網(wǎng)絡(luò)數(shù)據(jù)安全

由于提供移動(dòng)應(yīng)用的服務(wù)器和電臺(tái)核心網(wǎng)絡(luò)之間存在數(shù)據(jù)交互,因此在提供移動(dòng)應(yīng)用服務(wù)的服務(wù)器群和電臺(tái)核心網(wǎng)絡(luò)之間部署安全隔離與信息交換系統(tǒng)（隔離網(wǎng)閘），負(fù)責(zé)辦公網(wǎng)、制作網(wǎng)等等核心網(wǎng)絡(luò)服務(wù)器和數(shù)據(jù)庫(kù)中的核心數(shù)據(jù)和web服務(wù)器及數(shù)據(jù)庫(kù)之間的數(shù)據(jù)交換和安全隔離，確保電臺(tái)核心網(wǎng)絡(luò)的數(shù)據(jù)安全。

流量實(shí)時(shí)監(jiān)控管理

隨著移動(dòng)應(yīng)用的發(fā)展,必將帶來(lái)越來(lái)越大訪問(wèn)流量,部署流量監(jiān)控設(shè)備可以及時(shí)檢測(cè)發(fā)現(xiàn)異常流量,從而合理分配帶寬,避免造成網(wǎng)絡(luò)堵塞,應(yīng)用癱瘓。

應(yīng)急響應(yīng)與恢復(fù)

信息安全具有動(dòng)態(tài)性，安全的風(fēng)險(xiǎn)不斷在變化，也就是說(shuō)沒(méi)有100%的安全，如何根據(jù)業(yè)務(wù)需求去保護(hù)我們的安全，在基礎(chǔ)安全建設(shè)的同時(shí)，我們更要重視對(duì)可能發(fā)生的事件要具有相應(yīng)的應(yīng)急響應(yīng)計(jì)劃。從另一個(gè)角度提高網(wǎng)站的安全性，并確保能夠及時(shí)發(fā)現(xiàn)并處理安全事件，及時(shí)恢復(fù)，不斷地降低網(wǎng)站安全風(fēng)險(xiǎn)。

圖1

下面，我們?cè)倏匆幌驴蛻舳税踩Ｒ苿?dòng)辦公之后，客戶端必將保留一定的用戶資料，文檔、以及登陸信息等等，一旦客戶端設(shè)備遺失或遭竊取，除了客戶端資料會(huì)遭竊取外，還有可能被利用登陸到電臺(tái)網(wǎng)絡(luò)進(jìn)行，使電臺(tái)網(wǎng)絡(luò)面臨破壞的風(fēng)險(xiǎn)，因此客戶端安全在移動(dòng)辦公應(yīng)用中也同樣至關(guān)重要。

在客戶端安全可以主要從加密和身份認(rèn)證兩方面進(jìn)行考慮：

1）客戶端文件和文件夾加解密

對(duì)文件和文件夾加密可以利用以SDKey為核心硬件安全模塊，與終端設(shè)備緊密集成，應(yīng)用程序初始化服務(wù)接口后，可以調(diào)用字節(jié)流加解密接口、文件加解密接口以及文件夾加解密接口（見(jiàn)圖1）。

2）郵件加解密

郵件加解密需定制開(kāi)發(fā)一款帶有加解密功能的郵件客戶端程序。郵件加解密功能，主要可以分為兩類，郵件本地加解密和郵件傳輸加解密。目前已有專門的廠商提供定制開(kāi)發(fā)服務(wù)。

3）客戶端強(qiáng)身份認(rèn)證

建立客戶端強(qiáng)身份認(rèn)證和管理系統(tǒng)，并和電臺(tái)的身份認(rèn)證系統(tǒng)相結(jié)合，建立每個(gè)用戶在所有系統(tǒng)中的用戶映射關(guān)系，并單點(diǎn)登錄到各系統(tǒng)。目前針對(duì)移動(dòng)設(shè)備輸入的身份認(rèn)證技術(shù)中，除了用戶名密碼等傳統(tǒng)的身份認(rèn)證技術(shù)外，出現(xiàn)了一個(gè)新的技術(shù)，即通過(guò)認(rèn)證每個(gè)人在輸入用戶名密碼時(shí)的擊鍵特征來(lái)大大增強(qiáng)認(rèn)證的可靠性。通過(guò)這個(gè)技術(shù)使傳統(tǒng)的用戶名密碼認(rèn)證變成了一個(gè)雙因子認(rèn)證技術(shù)，大大地提高了可靠性，另外這個(gè)技術(shù)可以支持虛擬鍵盤使得應(yīng)用范圍可以覆蓋全部手持終端設(shè)備，部署和維護(hù)成本也很低廉。

隨著科技發(fā)展和社會(huì)進(jìn)步，移動(dòng)辦公的廣泛應(yīng)用必將給電臺(tái)業(yè)務(wù)帶來(lái)效率的革命性的提升，但只有做好了終端和安全端的全面防護(hù)，我們才能安心地享受技術(shù)帶來(lái)的變革。