楊春燕 賓冬梅 凌穎 余通 黎新
(廣西電網(wǎng)有限責(zé)任公司電力科學(xué)研究院 廣西壯族自治區(qū)南寧市 530023)
隨著4G、5G 移動(dòng)通信網(wǎng)絡(luò)以及移動(dòng)智能終端的迅猛發(fā)展,特別是移動(dòng)上網(wǎng)、移動(dòng)應(yīng)用等功能的普及,電網(wǎng)開始逐步利用移動(dòng)智能移動(dòng)終端(包括PDA、智能手機(jī)、平板電腦等)、移動(dòng)通信技術(shù)(4G網(wǎng)絡(luò)及GPS 定位技術(shù))和虛擬網(wǎng)絡(luò)技術(shù)(VPN 等)作為企業(yè)信息化的擴(kuò)展,實(shí)現(xiàn)電力移動(dòng)營(yíng)銷、移動(dòng)作業(yè)、移動(dòng)辦公等業(yè)務(wù)[1]。
電網(wǎng)通信網(wǎng)絡(luò)采取內(nèi)外網(wǎng)絡(luò)隔離,所有應(yīng)用服務(wù)器在公司內(nèi)網(wǎng)只能通過有線局域網(wǎng)接入方式進(jìn)行訪問,無(wú)線網(wǎng)絡(luò)無(wú)法接入公司內(nèi)網(wǎng)。移動(dòng)智能終端在接入應(yīng)用系統(tǒng)時(shí),內(nèi)網(wǎng)和外網(wǎng)需要經(jīng)常進(jìn)行場(chǎng)景切換,且接入的業(yè)務(wù)應(yīng)用可能存在大量的內(nèi)外網(wǎng)數(shù)據(jù)交互,如何有效的在不同的工作場(chǎng)景保證移動(dòng)智能終端以及終端上的應(yīng)用數(shù)據(jù)安全[2],是亟需解決的網(wǎng)絡(luò)安全問題。
移動(dòng)智能終端的使用,極大提升了應(yīng)用的便利性,但同時(shí)也帶來(lái)諸多安全隱患。
本文旨在從終端、應(yīng)用、網(wǎng)絡(luò)等層面全面分析,梳理移動(dòng)智能終端面臨的安全風(fēng)險(xiǎn),研究基于可信計(jì)算技術(shù)的智能終端雙系統(tǒng)隔離技術(shù)、可信保障技術(shù)、工作區(qū)安全防護(hù)技術(shù)、一體化可信管控技術(shù)等終端安全防護(hù)關(guān)鍵技術(shù),構(gòu)建智能終端可信安全防護(hù)體系,形成公司智能終端安全防護(hù)技術(shù)規(guī)范,以保障公司移動(dòng)端安全營(yíng)銷、安全作業(yè)、安全辦公。對(duì)接入電網(wǎng)業(yè)務(wù)應(yīng)用的移動(dòng)智能終端進(jìn)行全生命周期的管理,提高移動(dòng)智能終端系統(tǒng)安全性。同時(shí)為公司業(yè)務(wù)相關(guān)的移動(dòng)應(yīng)用構(gòu)建安全的執(zhí)行環(huán)境,從而提升移動(dòng)終端上業(yè)務(wù)應(yīng)用及數(shù)據(jù)的安全防護(hù)能力,降低敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)。
通過研究輕量級(jí)虛擬化安全隔離技術(shù),實(shí)現(xiàn)移動(dòng)智能終端雙系統(tǒng)隔離,雙系統(tǒng)隔離應(yīng)用架構(gòu)如圖1所示。輕量級(jí)虛擬化安全隔離突出體現(xiàn)了應(yīng)用隔離模型、信息交互模型和語(yǔ)義傳遞模型的作用,并將模型中的元素與平臺(tái)實(shí)體對(duì)應(yīng)起來(lái)。在應(yīng)用隔離模型中,根據(jù)不同應(yīng)用程序的實(shí)際功能,為應(yīng)用進(jìn)程和資源定義相應(yīng)的應(yīng)用域標(biāo)簽,限制應(yīng)用進(jìn)程所能觀察到的資源對(duì)象范圍,從而建立應(yīng)用進(jìn)程的隔離空間。在定義應(yīng)用域標(biāo)簽時(shí),以最小權(quán)限為原則,僅賦予應(yīng)用進(jìn)程完成任務(wù)所必需的最小權(quán)限。在信息交互模型中,應(yīng)用域間的信息交互表現(xiàn)為進(jìn)程間的干擾關(guān)系,根據(jù)應(yīng)用進(jìn)程的安全級(jí)和系統(tǒng)安全策略,能夠?qū)崿F(xiàn)對(duì)進(jìn)程間干擾關(guān)系的控制,排除惡意干擾,確保應(yīng)用進(jìn)程運(yùn)行的安全性。在語(yǔ)義傳遞模型中,通過捕獲應(yīng)用層主體、客體和訪問方式等信息,將其傳遞到操作系統(tǒng)內(nèi)核層,在操作系統(tǒng)內(nèi)核層實(shí)現(xiàn)對(duì)上層應(yīng)用的訪問控制。
圖1:雙系統(tǒng)隔離架構(gòu)
圖2:執(zhí)行程序知識(shí)庫(kù)
雙系統(tǒng)隔離主要應(yīng)用安全沙箱技術(shù),在移動(dòng)智能終端建立虛擬安全工作區(qū),實(shí)現(xiàn)數(shù)據(jù)的隔離、數(shù)據(jù)加密、應(yīng)用控制等安全功能。安全工作區(qū)作為一個(gè)獨(dú)立的邏輯存儲(chǔ)空間,將設(shè)備上的企業(yè)應(yīng)用、存儲(chǔ)區(qū)域和個(gè)人的應(yīng)用隔離開,并限制兩方數(shù)據(jù)通信,實(shí)現(xiàn)移動(dòng)智能終端的雙系統(tǒng)隔離。雙系統(tǒng)隔離將每個(gè)目標(biāo)應(yīng)用實(shí)例運(yùn)行在不同的沙箱內(nèi),并使用用戶自定義規(guī)則對(duì)每個(gè)沙箱的權(quán)限進(jìn)行管控,實(shí)現(xiàn)沙箱間存儲(chǔ)和權(quán)限的隔離,從而進(jìn)一步提升了企業(yè)應(yīng)用及應(yīng)用數(shù)據(jù)的安全性。
另外,制定了移動(dòng)智能終端安全隔離機(jī)制:一方面移動(dòng)智能終端通過安全認(rèn)證,實(shí)現(xiàn)接入可信,最大程度地確保平臺(tái)的安全機(jī)制不被旁路或篡改;另一方面,在不改變平臺(tái)上運(yùn)行的應(yīng)用程序代碼的前提下,通過對(duì)操作系統(tǒng)的安全增強(qiáng),由位于系統(tǒng)內(nèi)核的安全模塊去執(zhí)行安全策略,從而為上層應(yīng)用提供系統(tǒng)級(jí)的安全支撐,確保上層應(yīng)用的安全可靠運(yùn)行。
針對(duì)電網(wǎng)移動(dòng)智能終端業(yè)務(wù)場(chǎng)景的特點(diǎn),提出基于可信計(jì)算的信任傳遞方案。即在移動(dòng)智能終端工作區(qū)操作系統(tǒng)中安裝可信基礎(chǔ)軟件,以實(shí)現(xiàn)系統(tǒng)運(yùn)行過程中度量、存儲(chǔ)、報(bào)告等功能??尚呕A(chǔ)軟件為應(yīng)用和系統(tǒng)的運(yùn)行建立可信的計(jì)算環(huán)境,通過可信連接形成可信網(wǎng)絡(luò),將可信計(jì)算功能的接口提供給應(yīng)用和操作系統(tǒng)使用??尚跑浖ㄟ^和操作系統(tǒng)融合,能夠完成對(duì)操作系統(tǒng)核心態(tài)行為的度量,進(jìn)一步掌握操作系統(tǒng)內(nèi)核自身運(yùn)行狀態(tài)的可信性。同時(shí),操作系統(tǒng)通過調(diào)用可信軟件基提供的可信支撐接口,實(shí)現(xiàn)對(duì)自身功能(如身份認(rèn)證、數(shù)據(jù)加解密等)的可信增強(qiáng)??尚跑浖攒浖男问桨惭b在承載業(yè)務(wù)系統(tǒng)的操作系統(tǒng)之中,實(shí)現(xiàn)可信認(rèn)證、可信度量、可信存儲(chǔ)、可信連接和可信監(jiān)控等功能,保證了用戶數(shù)據(jù)安全,為用戶提供可信任的計(jì)算環(huán)境。。
可信基礎(chǔ)軟件實(shí)現(xiàn)了從移動(dòng)終端開機(jī)到操作系統(tǒng)、再到工作區(qū)操作系統(tǒng)以及工作區(qū)移動(dòng)應(yīng)用的層次化度量,確保了移動(dòng)應(yīng)用自身及運(yùn)行環(huán)境可信,從而為其構(gòu)建了主動(dòng)防御體系,實(shí)現(xiàn)對(duì)已知、未知攻擊的防御能力。
移動(dòng)智能終端工作區(qū)直接承載移動(dòng)辦公、移動(dòng)營(yíng)銷、移動(dòng)作業(yè)等業(yè)務(wù),安全性極為重要。以訪問控制技術(shù)為核心,截獲應(yīng)用的資源訪問請(qǐng)求,包括程序啟動(dòng)、文件訪問、網(wǎng)絡(luò)連接,對(duì)相應(yīng)主、客體進(jìn)行度量,限制辦公環(huán)境移動(dòng)應(yīng)用的權(quán)限,使其擁有完成任務(wù)的最小權(quán)限,使得即使移動(dòng)應(yīng)用漏洞被利用,攻擊者也難以形成實(shí)質(zhì)性攻擊,從而確保工作區(qū)的安全,確保只有工作區(qū)的移動(dòng)應(yīng)用能夠接入公司服務(wù)。
在工作區(qū)根據(jù)用戶需求,定制僅包含工作應(yīng)用的安全桌面,實(shí)現(xiàn)應(yīng)用鎖定、桌面鎖定等安全機(jī)制,工作區(qū)與非工作區(qū)可一鍵切換。對(duì)工作區(qū)移動(dòng)應(yīng)用進(jìn)行統(tǒng)一管控,包括應(yīng)用的統(tǒng)一分發(fā)與管理、應(yīng)用安全策略的統(tǒng)一管理、應(yīng)用數(shù)據(jù)安全管理等。企業(yè)應(yīng)用的統(tǒng)一管理可實(shí)現(xiàn)涉及企業(yè)業(yè)務(wù)的移動(dòng)應(yīng)用從部署到退運(yùn)全生命周期的統(tǒng)一管控,包括應(yīng)用上架、應(yīng)用維護(hù)、應(yīng)用分發(fā)等。應(yīng)用策略管理支持統(tǒng)一配置應(yīng)用軟件黑白名單功能,通過應(yīng)用黑白名單策略監(jiān)控和限制用戶使用不合規(guī)的應(yīng)用。在用戶安裝、運(yùn)行不合規(guī)的應(yīng)用時(shí),將違規(guī)信息上報(bào)至管理平臺(tái),并對(duì)用戶發(fā)出告警信息。實(shí)現(xiàn)企業(yè)移動(dòng)應(yīng)用的統(tǒng)一管理。企業(yè)應(yīng)用包含很多敏感和企業(yè)機(jī)密信息,為使敏感信息得到有效的安全防護(hù),提供了移動(dòng)智能終端的數(shù)據(jù)防泄漏功能,可對(duì)應(yīng)用提供數(shù)據(jù)加密、防復(fù)制粘貼、防截屏、防分享、應(yīng)用水印等應(yīng)用安全策略功能,有效的保護(hù)應(yīng)用數(shù)據(jù)。
深入分析電網(wǎng)智能終端的應(yīng)用特點(diǎn),將可信的移動(dòng)應(yīng)用及應(yīng)用的權(quán)限形成安全知識(shí)庫(kù),結(jié)構(gòu)如圖2所示,基于知識(shí)庫(kù)構(gòu)建執(zhí)行程序一體化管控平臺(tái),對(duì)移動(dòng)智能終端上的執(zhí)行程序(包括可信性、配置、權(quán)限)、安全策略等進(jìn)行管理,實(shí)現(xiàn)對(duì)移動(dòng)終端的“可信、可控、可管”的全生命周期、一體化安全管控。
執(zhí)行程序可信知識(shí)庫(kù)作為終端執(zhí)行程序可信認(rèn)證的基礎(chǔ)平臺(tái),其主要目的是為終端執(zhí)行程序可信認(rèn)證提供基礎(chǔ)支撐。知識(shí)庫(kù)由安全技術(shù)團(tuán)隊(duì)通過可信分析過程,將程序的可信性變成知識(shí),存放在基礎(chǔ)庫(kù)中。針對(duì)嵌入式終端執(zhí)行程序的特點(diǎn),需要建立可信性指標(biāo)體系。利用可信性指標(biāo)體系,通過對(duì)源代碼分析,實(shí)現(xiàn)對(duì)程序文件可信計(jì)算,確定程序的可信摘要值;通過對(duì)程序所需配置文件的檢測(cè),實(shí)現(xiàn)可信程序安全配置文件;通過對(duì)程序行為及攻擊行為的分析,實(shí)現(xiàn)安全行為配置文件;通過分析檢測(cè)源代碼,查找漏洞,實(shí)現(xiàn)漏洞信息統(tǒng)計(jì)。
基于可信基礎(chǔ)軟件提供的度量、判定、支撐等可信功能,結(jié)合適配多類移動(dòng)智能終端的訪問控制技術(shù),在移動(dòng)智能終端上實(shí)現(xiàn)程序執(zhí)行控制,負(fù)責(zé)度量和驗(yàn)證執(zhí)行程序的完整性,確??蓤?zhí)行程序符合預(yù)期。通過在系統(tǒng)執(zhí)行流程中加入驗(yàn)證步驟實(shí)現(xiàn),限制僅有通過驗(yàn)證、符合預(yù)期的可執(zhí)行程序才能夠運(yùn)行,從而保證移動(dòng)終端系統(tǒng)中不會(huì)引入惡意代碼。
實(shí)現(xiàn)程序基線配置控制:負(fù)責(zé)驗(yàn)證和確保程序配置符合預(yù)期。通過在移動(dòng)終端系統(tǒng)的文件訪問流程中加入驗(yàn)證步驟實(shí)現(xiàn),限制僅有通過驗(yàn)證、符合預(yù)期的配置文件才能夠讀入系統(tǒng),從而保證終端系統(tǒng)在配置加載流程中不會(huì)引入惡意代碼。
實(shí)現(xiàn)程序行為控制:通過訪問控制技術(shù),對(duì)執(zhí)行程序的應(yīng)用訪問行為、連接進(jìn)行分析,以最小權(quán)限的原則,根據(jù)執(zhí)行程序的類型,電力系統(tǒng)業(yè)務(wù)邏輯下不同業(yè)務(wù)數(shù)據(jù)的調(diào)用關(guān)系、訪問連接方式進(jìn)行控制,確保嵌入式終端執(zhí)行程序即使存在漏洞前,應(yīng)用在移動(dòng)智能終端上仍能安全運(yùn)行。
實(shí)現(xiàn)程序漏洞修復(fù):以執(zhí)行程序可信知識(shí)庫(kù)中的漏洞信息庫(kù)為核心,通過對(duì)移動(dòng)終端執(zhí)行程序進(jìn)行分析,查看可信知識(shí)庫(kù)中是否存在的漏洞更新,如有漏洞,及時(shí)進(jìn)行更新,保證終端執(zhí)行程序無(wú)漏洞。
通過研究基于可信計(jì)算的智能終端雙系統(tǒng)隔離技術(shù)、可信保障技術(shù)、工作區(qū)安全防護(hù)技術(shù)、一體化可信管控技術(shù)等終端安全防護(hù)關(guān)鍵技術(shù),構(gòu)建電網(wǎng)移動(dòng)智能終端安全防護(hù)體系,形成電網(wǎng)移動(dòng)智能終端的安全防護(hù)技術(shù)規(guī)范,以保障電網(wǎng)移動(dòng)端營(yíng)銷、作業(yè)、辦公等業(yè)務(wù)的安全穩(wěn)定運(yùn)行,及數(shù)據(jù)的安全防泄露。
對(duì)接入電網(wǎng)業(yè)務(wù)應(yīng)用的移動(dòng)智能終端進(jìn)行全生命周期的管理,提高移動(dòng)智能終端系統(tǒng)安全性。同時(shí)為公司業(yè)務(wù)相關(guān)的移動(dòng)應(yīng)用構(gòu)建安全的執(zhí)行環(huán)境,從而提升移動(dòng)終端上業(yè)務(wù)應(yīng)用及數(shù)據(jù)的安全防護(hù)能力,降低敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)。實(shí)現(xiàn)了移動(dòng)智能終端自身的安全性、運(yùn)行環(huán)境的標(biāo)準(zhǔn)化、移動(dòng)業(yè)務(wù)數(shù)據(jù)的全面防護(hù)。對(duì)所有接入電網(wǎng)業(yè)務(wù)的移動(dòng)智能終端實(shí)現(xiàn)了統(tǒng)一、有效的管理,移動(dòng)終端的安全策略能夠?qū)崿F(xiàn)統(tǒng)一配置,業(yè)務(wù)應(yīng)用能夠得到高效分發(fā),有效提升了移動(dòng)智能終端的安全管控能力。在應(yīng)用層采用虛擬空間技術(shù),實(shí)現(xiàn)移動(dòng)智能終端私人區(qū)和工作區(qū)隔離,有效降低了移動(dòng)應(yīng)用業(yè)務(wù)數(shù)據(jù)外泄的風(fēng)險(xiǎn)。