楊春燕 賓冬梅 凌穎 余通 黎新

（廣西電網(wǎng)有限責(zé)任公司電力科學(xué)研究院 廣西壯族自治區(qū)南寧市 530023）

1 研究背景及意義

1.1 研究背景

隨著4G、5G 移動(dòng)通信網(wǎng)絡(luò)以及移動(dòng)智能終端的迅猛發(fā)展，特別是移動(dòng)上網(wǎng)、移動(dòng)應(yīng)用等功能的普及，電網(wǎng)開始逐步利用移動(dòng)智能移動(dòng)終端（包括PDA、智能手機(jī)、平板電腦等）、移動(dòng)通信技術(shù)（4G網(wǎng)絡(luò)及GPS 定位技術(shù)）和虛擬網(wǎng)絡(luò)技術(shù)（VPN 等）作為企業(yè)信息化的擴(kuò)展，實(shí)現(xiàn)電力移動(dòng)營(yíng)銷、移動(dòng)作業(yè)、移動(dòng)辦公等業(yè)務(wù)[1]。

電網(wǎng)通信網(wǎng)絡(luò)采取內(nèi)外網(wǎng)絡(luò)隔離，所有應(yīng)用服務(wù)器在公司內(nèi)網(wǎng)只能通過有線局域網(wǎng)接入方式進(jìn)行訪問，無(wú)線網(wǎng)絡(luò)無(wú)法接入公司內(nèi)網(wǎng)。移動(dòng)智能終端在接入應(yīng)用系統(tǒng)時(shí)，內(nèi)網(wǎng)和外網(wǎng)需要經(jīng)常進(jìn)行場(chǎng)景切換，且接入的業(yè)務(wù)應(yīng)用可能存在大量的內(nèi)外網(wǎng)數(shù)據(jù)交互，如何有效的在不同的工作場(chǎng)景保證移動(dòng)智能終端以及終端上的應(yīng)用數(shù)據(jù)安全[2]，是亟需解決的網(wǎng)絡(luò)安全問題。

1.2 研究意義

移動(dòng)智能終端的使用，極大提升了應(yīng)用的便利性，但同時(shí)也帶來(lái)諸多安全隱患。

本文旨在從終端、應(yīng)用、網(wǎng)絡(luò)等層面全面分析，梳理移動(dòng)智能終端面臨的安全風(fēng)險(xiǎn)，研究基于可信計(jì)算技術(shù)的智能終端雙系統(tǒng)隔離技術(shù)、可信保障技術(shù)、工作區(qū)安全防護(hù)技術(shù)、一體化可信管控技術(shù)等終端安全防護(hù)關(guān)鍵技術(shù)，構(gòu)建智能終端可信安全防護(hù)體系，形成公司智能終端安全防護(hù)技術(shù)規(guī)范，以保障公司移動(dòng)端安全營(yíng)銷、安全作業(yè)、安全辦公。對(duì)接入電網(wǎng)業(yè)務(wù)應(yīng)用的移動(dòng)智能終端進(jìn)行全生命周期的管理，提高移動(dòng)智能終端系統(tǒng)安全性。同時(shí)為公司業(yè)務(wù)相關(guān)的移動(dòng)應(yīng)用構(gòu)建安全的執(zhí)行環(huán)境，從而提升移動(dòng)終端上業(yè)務(wù)應(yīng)用及數(shù)據(jù)的安全防護(hù)能力，降低敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

2 關(guān)鍵技術(shù)研究

2.1 輕量級(jí)虛擬化安全隔離技術(shù)研究

通過研究輕量級(jí)虛擬化安全隔離技術(shù)，實(shí)現(xiàn)移動(dòng)智能終端雙系統(tǒng)隔離，雙系統(tǒng)隔離應(yīng)用架構(gòu)如圖1所示。輕量級(jí)虛擬化安全隔離突出體現(xiàn)了應(yīng)用隔離模型、信息交互模型和語(yǔ)義傳遞模型的作用，并將模型中的元素與平臺(tái)實(shí)體對(duì)應(yīng)起來(lái)。在應(yīng)用隔離模型中，根據(jù)不同應(yīng)用程序的實(shí)際功能，為應(yīng)用進(jìn)程和資源定義相應(yīng)的應(yīng)用域標(biāo)簽，限制應(yīng)用進(jìn)程所能觀察到的資源對(duì)象范圍，從而建立應(yīng)用進(jìn)程的隔離空間。在定義應(yīng)用域標(biāo)簽時(shí)，以最小權(quán)限為原則，僅賦予應(yīng)用進(jìn)程完成任務(wù)所必需的最小權(quán)限。在信息交互模型中，應(yīng)用域間的信息交互表現(xiàn)為進(jìn)程間的干擾關(guān)系，根據(jù)應(yīng)用進(jìn)程的安全級(jí)和系統(tǒng)安全策略，能夠?qū)崿F(xiàn)對(duì)進(jìn)程間干擾關(guān)系的控制，排除惡意干擾，確保應(yīng)用進(jìn)程運(yùn)行的安全性。在語(yǔ)義傳遞模型中，通過捕獲應(yīng)用層主體、客體和訪問方式等信息，將其傳遞到操作系統(tǒng)內(nèi)核層，在操作系統(tǒng)內(nèi)核層實(shí)現(xiàn)對(duì)上層應(yīng)用的訪問控制。

圖1：雙系統(tǒng)隔離架構(gòu)

圖2：執(zhí)行程序知識(shí)庫(kù)

雙系統(tǒng)隔離主要應(yīng)用安全沙箱技術(shù)，在移動(dòng)智能終端建立虛擬安全工作區(qū)，實(shí)現(xiàn)數(shù)據(jù)的隔離、數(shù)據(jù)加密、應(yīng)用控制等安全功能。安全工作區(qū)作為一個(gè)獨(dú)立的邏輯存儲(chǔ)空間，將設(shè)備上的企業(yè)應(yīng)用、存儲(chǔ)區(qū)域和個(gè)人的應(yīng)用隔離開，并限制兩方數(shù)據(jù)通信，實(shí)現(xiàn)移動(dòng)智能終端的雙系統(tǒng)隔離。雙系統(tǒng)隔離將每個(gè)目標(biāo)應(yīng)用實(shí)例運(yùn)行在不同的沙箱內(nèi)，并使用用戶自定義規(guī)則對(duì)每個(gè)沙箱的權(quán)限進(jìn)行管控，實(shí)現(xiàn)沙箱間存儲(chǔ)和權(quán)限的隔離，從而進(jìn)一步提升了企業(yè)應(yīng)用及應(yīng)用數(shù)據(jù)的安全性。

另外，制定了移動(dòng)智能終端安全隔離機(jī)制：一方面移動(dòng)智能終端通過安全認(rèn)證，實(shí)現(xiàn)接入可信，最大程度地確保平臺(tái)的安全機(jī)制不被旁路或篡改；另一方面，在不改變平臺(tái)上運(yùn)行的應(yīng)用程序代碼的前提下，通過對(duì)操作系統(tǒng)的安全增強(qiáng)，由位于系統(tǒng)內(nèi)核的安全模塊去執(zhí)行安全策略，從而為上層應(yīng)用提供系統(tǒng)級(jí)的安全支撐，確保上層應(yīng)用的安全可靠運(yùn)行。

2.2 智能終端可信保障技術(shù)研究

針對(duì)電網(wǎng)移動(dòng)智能終端業(yè)務(wù)場(chǎng)景的特點(diǎn)，提出基于可信計(jì)算的信任傳遞方案。即在移動(dòng)智能終端工作區(qū)操作系統(tǒng)中安裝可信基礎(chǔ)軟件，以實(shí)現(xiàn)系統(tǒng)運(yùn)行過程中度量、存儲(chǔ)、報(bào)告等功能?？尚呕A(chǔ)軟件為應(yīng)用和系統(tǒng)的運(yùn)行建立可信的計(jì)算環(huán)境，通過可信連接形成可信網(wǎng)絡(luò)，將可信計(jì)算功能的接口提供給應(yīng)用和操作系統(tǒng)使用?？尚跑浖ㄟ^和操作系統(tǒng)融合，能夠完成對(duì)操作系統(tǒng)核心態(tài)行為的度量，進(jìn)一步掌握操作系統(tǒng)內(nèi)核自身運(yùn)行狀態(tài)的可信性。同時(shí)，操作系統(tǒng)通過調(diào)用可信軟件基提供的可信支撐接口，實(shí)現(xiàn)對(duì)自身功能（如身份認(rèn)證、數(shù)據(jù)加解密等）的可信增強(qiáng)?？尚跑浖攒浖男问桨惭b在承載業(yè)務(wù)系統(tǒng)的操作系統(tǒng)之中，實(shí)現(xiàn)可信認(rèn)證、可信度量、可信存儲(chǔ)、可信連接和可信監(jiān)控等功能，保證了用戶數(shù)據(jù)安全，為用戶提供可信任的計(jì)算環(huán)境。。

可信基礎(chǔ)軟件實(shí)現(xiàn)了從移動(dòng)終端開機(jī)到操作系統(tǒng)、再到工作區(qū)操作系統(tǒng)以及工作區(qū)移動(dòng)應(yīng)用的層次化度量，確保了移動(dòng)應(yīng)用自身及運(yùn)行環(huán)境可信，從而為其構(gòu)建了主動(dòng)防御體系，實(shí)現(xiàn)對(duì)已知、未知攻擊的防御能力。

2.3 工作區(qū)安全防護(hù)技術(shù)研究

移動(dòng)智能終端工作區(qū)直接承載移動(dòng)辦公、移動(dòng)營(yíng)銷、移動(dòng)作業(yè)等業(yè)務(wù)，安全性極為重要。以訪問控制技術(shù)為核心，截獲應(yīng)用的資源訪問請(qǐng)求，包括程序啟動(dòng)、文件訪問、網(wǎng)絡(luò)連接，對(duì)相應(yīng)主、客體進(jìn)行度量，限制辦公環(huán)境移動(dòng)應(yīng)用的權(quán)限，使其擁有完成任務(wù)的最小權(quán)限，使得即使移動(dòng)應(yīng)用漏洞被利用，攻擊者也難以形成實(shí)質(zhì)性攻擊，從而確保工作區(qū)的安全，確保只有工作區(qū)的移動(dòng)應(yīng)用能夠接入公司服務(wù)。

在工作區(qū)根據(jù)用戶需求，定制僅包含工作應(yīng)用的安全桌面，實(shí)現(xiàn)應(yīng)用鎖定、桌面鎖定等安全機(jī)制，工作區(qū)與非工作區(qū)可一鍵切換。對(duì)工作區(qū)移動(dòng)應(yīng)用進(jìn)行統(tǒng)一管控，包括應(yīng)用的統(tǒng)一分發(fā)與管理、應(yīng)用安全策略的統(tǒng)一管理、應(yīng)用數(shù)據(jù)安全管理等。企業(yè)應(yīng)用的統(tǒng)一管理可實(shí)現(xiàn)涉及企業(yè)業(yè)務(wù)的移動(dòng)應(yīng)用從部署到退運(yùn)全生命周期的統(tǒng)一管控，包括應(yīng)用上架、應(yīng)用維護(hù)、應(yīng)用分發(fā)等。應(yīng)用策略管理支持統(tǒng)一配置應(yīng)用軟件黑白名單功能，通過應(yīng)用黑白名單策略監(jiān)控和限制用戶使用不合規(guī)的應(yīng)用。在用戶安裝、運(yùn)行不合規(guī)的應(yīng)用時(shí)，將違規(guī)信息上報(bào)至管理平臺(tái)，并對(duì)用戶發(fā)出告警信息。實(shí)現(xiàn)企業(yè)移動(dòng)應(yīng)用的統(tǒng)一管理。企業(yè)應(yīng)用包含很多敏感和企業(yè)機(jī)密信息，為使敏感信息得到有效的安全防護(hù)，提供了移動(dòng)智能終端的數(shù)據(jù)防泄漏功能，可對(duì)應(yīng)用提供數(shù)據(jù)加密、防復(fù)制粘貼、防截屏、防分享、應(yīng)用水印等應(yīng)用安全策略功能，有效的保護(hù)應(yīng)用數(shù)據(jù)。

2.4 智能終端一體化可信管控技術(shù)研究

深入分析電網(wǎng)智能終端的應(yīng)用特點(diǎn)，將可信的移動(dòng)應(yīng)用及應(yīng)用的權(quán)限形成安全知識(shí)庫(kù)，結(jié)構(gòu)如圖2所示，基于知識(shí)庫(kù)構(gòu)建執(zhí)行程序一體化管控平臺(tái)，對(duì)移動(dòng)智能終端上的執(zhí)行程序（包括可信性、配置、權(quán)限）、安全策略等進(jìn)行管理，實(shí)現(xiàn)對(duì)移動(dòng)終端的“可信、可控、可管”的全生命周期、一體化安全管控。

執(zhí)行程序可信知識(shí)庫(kù)作為終端執(zhí)行程序可信認(rèn)證的基礎(chǔ)平臺(tái)，其主要目的是為終端執(zhí)行程序可信認(rèn)證提供基礎(chǔ)支撐。知識(shí)庫(kù)由安全技術(shù)團(tuán)隊(duì)通過可信分析過程，將程序的可信性變成知識(shí)，存放在基礎(chǔ)庫(kù)中。針對(duì)嵌入式終端執(zhí)行程序的特點(diǎn)，需要建立可信性指標(biāo)體系。利用可信性指標(biāo)體系，通過對(duì)源代碼分析，實(shí)現(xiàn)對(duì)程序文件可信計(jì)算，確定程序的可信摘要值；通過對(duì)程序所需配置文件的檢測(cè)，實(shí)現(xiàn)可信程序安全配置文件；通過對(duì)程序行為及攻擊行為的分析，實(shí)現(xiàn)安全行為配置文件；通過分析檢測(cè)源代碼，查找漏洞，實(shí)現(xiàn)漏洞信息統(tǒng)計(jì)。

基于可信基礎(chǔ)軟件提供的度量、判定、支撐等可信功能，結(jié)合適配多類移動(dòng)智能終端的訪問控制技術(shù)，在移動(dòng)智能終端上實(shí)現(xiàn)程序執(zhí)行控制，負(fù)責(zé)度量和驗(yàn)證執(zhí)行程序的完整性，確?？蓤?zhí)行程序符合預(yù)期。通過在系統(tǒng)執(zhí)行流程中加入驗(yàn)證步驟實(shí)現(xiàn)，限制僅有通過驗(yàn)證、符合預(yù)期的可執(zhí)行程序才能夠運(yùn)行，從而保證移動(dòng)終端系統(tǒng)中不會(huì)引入惡意代碼。

實(shí)現(xiàn)程序基線配置控制：負(fù)責(zé)驗(yàn)證和確保程序配置符合預(yù)期。通過在移動(dòng)終端系統(tǒng)的文件訪問流程中加入驗(yàn)證步驟實(shí)現(xiàn)，限制僅有通過驗(yàn)證、符合預(yù)期的配置文件才能夠讀入系統(tǒng)，從而保證終端系統(tǒng)在配置加載流程中不會(huì)引入惡意代碼。

實(shí)現(xiàn)程序行為控制：通過訪問控制技術(shù)，對(duì)執(zhí)行程序的應(yīng)用訪問行為、連接進(jìn)行分析，以最小權(quán)限的原則，根據(jù)執(zhí)行程序的類型，電力系統(tǒng)業(yè)務(wù)邏輯下不同業(yè)務(wù)數(shù)據(jù)的調(diào)用關(guān)系、訪問連接方式進(jìn)行控制，確保嵌入式終端執(zhí)行程序即使存在漏洞前，應(yīng)用在移動(dòng)智能終端上仍能安全運(yùn)行。

實(shí)現(xiàn)程序漏洞修復(fù)：以執(zhí)行程序可信知識(shí)庫(kù)中的漏洞信息庫(kù)為核心，通過對(duì)移動(dòng)終端執(zhí)行程序進(jìn)行分析，查看可信知識(shí)庫(kù)中是否存在的漏洞更新，如有漏洞，及時(shí)進(jìn)行更新，保證終端執(zhí)行程序無(wú)漏洞。

3 總結(jié)

通過研究基于可信計(jì)算的智能終端雙系統(tǒng)隔離技術(shù)、可信保障技術(shù)、工作區(qū)安全防護(hù)技術(shù)、一體化可信管控技術(shù)等終端安全防護(hù)關(guān)鍵技術(shù)，構(gòu)建電網(wǎng)移動(dòng)智能終端安全防護(hù)體系，形成電網(wǎng)移動(dòng)智能終端的安全防護(hù)技術(shù)規(guī)范，以保障電網(wǎng)移動(dòng)端營(yíng)銷、作業(yè)、辦公等業(yè)務(wù)的安全穩(wěn)定運(yùn)行，及數(shù)據(jù)的安全防泄露。

對(duì)接入電網(wǎng)業(yè)務(wù)應(yīng)用的移動(dòng)智能終端進(jìn)行全生命周期的管理，提高移動(dòng)智能終端系統(tǒng)安全性。同時(shí)為公司業(yè)務(wù)相關(guān)的移動(dòng)應(yīng)用構(gòu)建安全的執(zhí)行環(huán)境，從而提升移動(dòng)終端上業(yè)務(wù)應(yīng)用及數(shù)據(jù)的安全防護(hù)能力，降低敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)。實(shí)現(xiàn)了移動(dòng)智能終端自身的安全性、運(yùn)行環(huán)境的標(biāo)準(zhǔn)化、移動(dòng)業(yè)務(wù)數(shù)據(jù)的全面防護(hù)。對(duì)所有接入電網(wǎng)業(yè)務(wù)的移動(dòng)智能終端實(shí)現(xiàn)了統(tǒng)一、有效的管理，移動(dòng)終端的安全策略能夠?qū)崿F(xiàn)統(tǒng)一配置，業(yè)務(wù)應(yīng)用能夠得到高效分發(fā)，有效提升了移動(dòng)智能終端的安全管控能力。在應(yīng)用層采用虛擬空間技術(shù)，實(shí)現(xiàn)移動(dòng)智能終端私人區(qū)和工作區(qū)隔離，有效降低了移動(dòng)應(yīng)用業(yè)務(wù)數(shù)據(jù)外泄的風(fēng)險(xiǎn)。