楊春燕 賓冬梅 凌穎 余通 黎新

（廣西電網(wǎng)有限責任公司電力科學研究院 廣西壯族自治區(qū)南寧市 530023）

1 研究背景及意義

1.1 研究背景

隨著4G、5G 移動通信網(wǎng)絡(luò)以及移動智能終端的迅猛發(fā)展，特別是移動上網(wǎng)、移動應(yīng)用等功能的普及，電網(wǎng)開始逐步利用移動智能移動終端（包括PDA、智能手機、平板電腦等）、移動通信技術(shù)（4G網(wǎng)絡(luò)及GPS 定位技術(shù)）和虛擬網(wǎng)絡(luò)技術(shù)（VPN 等）作為企業(yè)信息化的擴展，實現(xiàn)電力移動營銷、移動作業(yè)、移動辦公等業(yè)務(wù)[1]。

電網(wǎng)通信網(wǎng)絡(luò)采取內(nèi)外網(wǎng)絡(luò)隔離，所有應(yīng)用服務(wù)器在公司內(nèi)網(wǎng)只能通過有線局域網(wǎng)接入方式進行訪問，無線網(wǎng)絡(luò)無法接入公司內(nèi)網(wǎng)。移動智能終端在接入應(yīng)用系統(tǒng)時，內(nèi)網(wǎng)和外網(wǎng)需要經(jīng)常進行場景切換，且接入的業(yè)務(wù)應(yīng)用可能存在大量的內(nèi)外網(wǎng)數(shù)據(jù)交互，如何有效的在不同的工作場景保證移動智能終端以及終端上的應(yīng)用數(shù)據(jù)安全[2]，是亟需解決的網(wǎng)絡(luò)安全問題。

1.2 研究意義

移動智能終端的使用，極大提升了應(yīng)用的便利性，但同時也帶來諸多安全隱患。

本文旨在從終端、應(yīng)用、網(wǎng)絡(luò)等層面全面分析，梳理移動智能終端面臨的安全風險，研究基于可信計算技術(shù)的智能終端雙系統(tǒng)隔離技術(shù)、可信保障技術(shù)、工作區(qū)安全防護技術(shù)、一體化可信管控技術(shù)等終端安全防護關(guān)鍵技術(shù)，構(gòu)建智能終端可信安全防護體系，形成公司智能終端安全防護技術(shù)規(guī)范，以保障公司移動端安全營銷、安全作業(yè)、安全辦公。對接入電網(wǎng)業(yè)務(wù)應(yīng)用的移動智能終端進行全生命周期的管理，提高移動智能終端系統(tǒng)安全性。同時為公司業(yè)務(wù)相關(guān)的移動應(yīng)用構(gòu)建安全的執(zhí)行環(huán)境，從而提升移動終端上業(yè)務(wù)應(yīng)用及數(shù)據(jù)的安全防護能力，降低敏感數(shù)據(jù)泄露的風險。

2 關(guān)鍵技術(shù)研究

2.1 輕量級虛擬化安全隔離技術(shù)研究

通過研究輕量級虛擬化安全隔離技術(shù)，實現(xiàn)移動智能終端雙系統(tǒng)隔離，雙系統(tǒng)隔離應(yīng)用架構(gòu)如圖1所示。輕量級虛擬化安全隔離突出體現(xiàn)了應(yīng)用隔離模型、信息交互模型和語義傳遞模型的作用，并將模型中的元素與平臺實體對應(yīng)起來。在應(yīng)用隔離模型中，根據(jù)不同應(yīng)用程序的實際功能，為應(yīng)用進程和資源定義相應(yīng)的應(yīng)用域標簽，限制應(yīng)用進程所能觀察到的資源對象范圍，從而建立應(yīng)用進程的隔離空間。在定義應(yīng)用域標簽時，以最小權(quán)限為原則，僅賦予應(yīng)用進程完成任務(wù)所必需的最小權(quán)限。在信息交互模型中，應(yīng)用域間的信息交互表現(xiàn)為進程間的干擾關(guān)系，根據(jù)應(yīng)用進程的安全級和系統(tǒng)安全策略，能夠?qū)崿F(xiàn)對進程間干擾關(guān)系的控制，排除惡意干擾，確保應(yīng)用進程運行的安全性。在語義傳遞模型中，通過捕獲應(yīng)用層主體、客體和訪問方式等信息，將其傳遞到操作系統(tǒng)內(nèi)核層，在操作系統(tǒng)內(nèi)核層實現(xiàn)對上層應(yīng)用的訪問控制。

圖1：雙系統(tǒng)隔離架構(gòu)

圖2：執(zhí)行程序知識庫

雙系統(tǒng)隔離主要應(yīng)用安全沙箱技術(shù)，在移動智能終端建立虛擬安全工作區(qū)，實現(xiàn)數(shù)據(jù)的隔離、數(shù)據(jù)加密、應(yīng)用控制等安全功能。安全工作區(qū)作為一個獨立的邏輯存儲空間，將設(shè)備上的企業(yè)應(yīng)用、存儲區(qū)域和個人的應(yīng)用隔離開，并限制兩方數(shù)據(jù)通信，實現(xiàn)移動智能終端的雙系統(tǒng)隔離。雙系統(tǒng)隔離將每個目標應(yīng)用實例運行在不同的沙箱內(nèi)，并使用用戶自定義規(guī)則對每個沙箱的權(quán)限進行管控，實現(xiàn)沙箱間存儲和權(quán)限的隔離，從而進一步提升了企業(yè)應(yīng)用及應(yīng)用數(shù)據(jù)的安全性。

另外，制定了移動智能終端安全隔離機制：一方面移動智能終端通過安全認證，實現(xiàn)接入可信，最大程度地確保平臺的安全機制不被旁路或篡改；另一方面，在不改變平臺上運行的應(yīng)用程序代碼的前提下，通過對操作系統(tǒng)的安全增強，由位于系統(tǒng)內(nèi)核的安全模塊去執(zhí)行安全策略，從而為上層應(yīng)用提供系統(tǒng)級的安全支撐，確保上層應(yīng)用的安全可靠運行。

2.2 智能終端可信保障技術(shù)研究

針對電網(wǎng)移動智能終端業(yè)務(wù)場景的特點，提出基于可信計算的信任傳遞方案。即在移動智能終端工作區(qū)操作系統(tǒng)中安裝可信基礎(chǔ)軟件，以實現(xiàn)系統(tǒng)運行過程中度量、存儲、報告等功能?？尚呕A(chǔ)軟件為應(yīng)用和系統(tǒng)的運行建立可信的計算環(huán)境，通過可信連接形成可信網(wǎng)絡(luò)，將可信計算功能的接口提供給應(yīng)用和操作系統(tǒng)使用。可信軟件基通過和操作系統(tǒng)融合，能夠完成對操作系統(tǒng)核心態(tài)行為的度量，進一步掌握操作系統(tǒng)內(nèi)核自身運行狀態(tài)的可信性。同時，操作系統(tǒng)通過調(diào)用可信軟件基提供的可信支撐接口，實現(xiàn)對自身功能（如身份認證、數(shù)據(jù)加解密等）的可信增強。可信軟件基以軟件的形式安裝在承載業(yè)務(wù)系統(tǒng)的操作系統(tǒng)之中，實現(xiàn)可信認證、可信度量、可信存儲、可信連接和可信監(jiān)控等功能，保證了用戶數(shù)據(jù)安全，為用戶提供可信任的計算環(huán)境。。

可信基礎(chǔ)軟件實現(xiàn)了從移動終端開機到操作系統(tǒng)、再到工作區(qū)操作系統(tǒng)以及工作區(qū)移動應(yīng)用的層次化度量，確保了移動應(yīng)用自身及運行環(huán)境可信，從而為其構(gòu)建了主動防御體系，實現(xiàn)對已知、未知攻擊的防御能力。

2.3 工作區(qū)安全防護技術(shù)研究

移動智能終端工作區(qū)直接承載移動辦公、移動營銷、移動作業(yè)等業(yè)務(wù)，安全性極為重要。以訪問控制技術(shù)為核心，截獲應(yīng)用的資源訪問請求，包括程序啟動、文件訪問、網(wǎng)絡(luò)連接，對相應(yīng)主、客體進行度量，限制辦公環(huán)境移動應(yīng)用的權(quán)限，使其擁有完成任務(wù)的最小權(quán)限，使得即使移動應(yīng)用漏洞被利用，攻擊者也難以形成實質(zhì)性攻擊，從而確保工作區(qū)的安全，確保只有工作區(qū)的移動應(yīng)用能夠接入公司服務(wù)。

在工作區(qū)根據(jù)用戶需求，定制僅包含工作應(yīng)用的安全桌面，實現(xiàn)應(yīng)用鎖定、桌面鎖定等安全機制，工作區(qū)與非工作區(qū)可一鍵切換。對工作區(qū)移動應(yīng)用進行統(tǒng)一管控，包括應(yīng)用的統(tǒng)一分發(fā)與管理、應(yīng)用安全策略的統(tǒng)一管理、應(yīng)用數(shù)據(jù)安全管理等。企業(yè)應(yīng)用的統(tǒng)一管理可實現(xiàn)涉及企業(yè)業(yè)務(wù)的移動應(yīng)用從部署到退運全生命周期的統(tǒng)一管控，包括應(yīng)用上架、應(yīng)用維護、應(yīng)用分發(fā)等。應(yīng)用策略管理支持統(tǒng)一配置應(yīng)用軟件黑白名單功能，通過應(yīng)用黑白名單策略監(jiān)控和限制用戶使用不合規(guī)的應(yīng)用。在用戶安裝、運行不合規(guī)的應(yīng)用時，將違規(guī)信息上報至管理平臺，并對用戶發(fā)出告警信息。實現(xiàn)企業(yè)移動應(yīng)用的統(tǒng)一管理。企業(yè)應(yīng)用包含很多敏感和企業(yè)機密信息，為使敏感信息得到有效的安全防護，提供了移動智能終端的數(shù)據(jù)防泄漏功能，可對應(yīng)用提供數(shù)據(jù)加密、防復(fù)制粘貼、防截屏、防分享、應(yīng)用水印等應(yīng)用安全策略功能，有效的保護應(yīng)用數(shù)據(jù)。

2.4 智能終端一體化可信管控技術(shù)研究

深入分析電網(wǎng)智能終端的應(yīng)用特點，將可信的移動應(yīng)用及應(yīng)用的權(quán)限形成安全知識庫，結(jié)構(gòu)如圖2所示，基于知識庫構(gòu)建執(zhí)行程序一體化管控平臺，對移動智能終端上的執(zhí)行程序（包括可信性、配置、權(quán)限）、安全策略等進行管理，實現(xiàn)對移動終端的“可信、可控、可管”的全生命周期、一體化安全管控。

執(zhí)行程序可信知識庫作為終端執(zhí)行程序可信認證的基礎(chǔ)平臺，其主要目的是為終端執(zhí)行程序可信認證提供基礎(chǔ)支撐。知識庫由安全技術(shù)團隊通過可信分析過程，將程序的可信性變成知識，存放在基礎(chǔ)庫中。針對嵌入式終端執(zhí)行程序的特點，需要建立可信性指標體系。利用可信性指標體系，通過對源代碼分析，實現(xiàn)對程序文件可信計算，確定程序的可信摘要值；通過對程序所需配置文件的檢測，實現(xiàn)可信程序安全配置文件；通過對程序行為及攻擊行為的分析，實現(xiàn)安全行為配置文件；通過分析檢測源代碼，查找漏洞，實現(xiàn)漏洞信息統(tǒng)計。

基于可信基礎(chǔ)軟件提供的度量、判定、支撐等可信功能，結(jié)合適配多類移動智能終端的訪問控制技術(shù)，在移動智能終端上實現(xiàn)程序執(zhí)行控制，負責度量和驗證執(zhí)行程序的完整性，確?？蓤?zhí)行程序符合預(yù)期。通過在系統(tǒng)執(zhí)行流程中加入驗證步驟實現(xiàn)，限制僅有通過驗證、符合預(yù)期的可執(zhí)行程序才能夠運行，從而保證移動終端系統(tǒng)中不會引入惡意代碼。

實現(xiàn)程序基線配置控制：負責驗證和確保程序配置符合預(yù)期。通過在移動終端系統(tǒng)的文件訪問流程中加入驗證步驟實現(xiàn)，限制僅有通過驗證、符合預(yù)期的配置文件才能夠讀入系統(tǒng)，從而保證終端系統(tǒng)在配置加載流程中不會引入惡意代碼。

實現(xiàn)程序行為控制：通過訪問控制技術(shù)，對執(zhí)行程序的應(yīng)用訪問行為、連接進行分析，以最小權(quán)限的原則，根據(jù)執(zhí)行程序的類型，電力系統(tǒng)業(yè)務(wù)邏輯下不同業(yè)務(wù)數(shù)據(jù)的調(diào)用關(guān)系、訪問連接方式進行控制，確保嵌入式終端執(zhí)行程序即使存在漏洞前，應(yīng)用在移動智能終端上仍能安全運行。

實現(xiàn)程序漏洞修復(fù)：以執(zhí)行程序可信知識庫中的漏洞信息庫為核心，通過對移動終端執(zhí)行程序進行分析，查看可信知識庫中是否存在的漏洞更新，如有漏洞，及時進行更新，保證終端執(zhí)行程序無漏洞。

3 總結(jié)

通過研究基于可信計算的智能終端雙系統(tǒng)隔離技術(shù)、可信保障技術(shù)、工作區(qū)安全防護技術(shù)、一體化可信管控技術(shù)等終端安全防護關(guān)鍵技術(shù)，構(gòu)建電網(wǎng)移動智能終端安全防護體系，形成電網(wǎng)移動智能終端的安全防護技術(shù)規(guī)范，以保障電網(wǎng)移動端營銷、作業(yè)、辦公等業(yè)務(wù)的安全穩(wěn)定運行，及數(shù)據(jù)的安全防泄露。

對接入電網(wǎng)業(yè)務(wù)應(yīng)用的移動智能終端進行全生命周期的管理，提高移動智能終端系統(tǒng)安全性。同時為公司業(yè)務(wù)相關(guān)的移動應(yīng)用構(gòu)建安全的執(zhí)行環(huán)境，從而提升移動終端上業(yè)務(wù)應(yīng)用及數(shù)據(jù)的安全防護能力，降低敏感數(shù)據(jù)泄露的風險。實現(xiàn)了移動智能終端自身的安全性、運行環(huán)境的標準化、移動業(yè)務(wù)數(shù)據(jù)的全面防護。對所有接入電網(wǎng)業(yè)務(wù)的移動智能終端實現(xiàn)了統(tǒng)一、有效的管理，移動終端的安全策略能夠?qū)崿F(xiàn)統(tǒng)一配置，業(yè)務(wù)應(yīng)用能夠得到高效分發(fā)，有效提升了移動智能終端的安全管控能力。在應(yīng)用層采用虛擬空間技術(shù)，實現(xiàn)移動智能終端私人區(qū)和工作區(qū)隔離，有效降低了移動應(yīng)用業(yè)務(wù)數(shù)據(jù)外泄的風險。