樊志杰,鄭長松,曹志威
(1.上海辰銳信息科技公司 研發(fā)中心,上海 200031;2.公安部第三研究所 信息安全技術(shù)部,上海 200031;3.四川省公安廳 科技信息化總隊,成都 610041)
移動警務(wù)安全接入平臺主要基于社會移動公網(wǎng)接入公安網(wǎng),便于充分利用公安信息資源,提升案件偵破、逃犯抓捕、人口核查、車輛比對、犯罪打擊和預(yù)防等公安工作的效率。同時,移動警務(wù)應(yīng)用有效地提升了公安干警快速反應(yīng)、綜合作戰(zhàn)的能力,提高公安機關(guān)維護穩(wěn)定、打擊犯罪的水平,也進一步提升公安機關(guān)行政管理和服務(wù)群眾的質(zhì)量,提升公安的形象。
當前的移動警務(wù)平臺主要通過終端設(shè)備的接入認證和端到端的數(shù)據(jù)加密,實現(xiàn)用戶可信和鏈路安全傳輸。但隨著黑客技術(shù)的不斷變化和安全防護需求的逐步提升,終端自身的安全防護問題日益突出。同時,通過“一機兩用”、外設(shè)端口訪問、應(yīng)用軟件無管控和系統(tǒng)弱口令等帶來的安全隱患也成為了亟待解決的安全問題。鑒于此,基于移動警務(wù)安全標準的終端安全管控系統(tǒng)(TSMS,terminal security management system)將作為重要方式來保障移動警務(wù)平臺的安全。
《全國公安移動警務(wù)總體技術(shù)方案》中將移動終端依據(jù)安全受控程度,分為增強受控終端、一般受控終端和個人普通終端。其中增強受控終端與一般受控終端中需安裝終端安全軟件即移動設(shè)備安全管控系統(tǒng)。同時,終端安全管控系統(tǒng)應(yīng)事前對安全事件進行報警預(yù)測,對終端主機能夠做到預(yù)先規(guī)范使用行為,能夠準確有效地實現(xiàn)行為可控制、可統(tǒng)計,將管控制度轉(zhuǎn)化為有效的技術(shù)管控系統(tǒng)進行執(zhí)行,從而有效提升整個系統(tǒng)的可管理性和信息安全水平[1-5]。
現(xiàn)有TSMS系統(tǒng)在使用過程中主要存在以下問題:
1)開發(fā)TSMS客戶端需要與終端廠商進行大量的適配工作。TSMS客戶端用于接收TSMS后臺控制策略并與手機底層硬件接口耦合,實現(xiàn)控制手機硬件(如藍牙、WIFI等)的開啟或關(guān)閉、終端運行環(huán)境的檢查以及安全日志的上報等功能。
2)已開發(fā)的TSMS很難進行直接復(fù)用。由于不同終端廠商的系統(tǒng)代碼均基于原生安卓系統(tǒng)進行了個性化定制開發(fā),故不同品牌、型號的終端系統(tǒng)必然存在一定的差異。
3)TSMS客戶端在實際使用過程中耗電量偏高。由于TSMS客戶端一般是運行在系統(tǒng)應(yīng)用層的獨立程序(APP),必須常駐內(nèi)存,方可接收控制策略并提交系統(tǒng)日志。
針對上述問題,本文提出并研制一種基于模塊化與動態(tài)策略的移動警務(wù)終端安全管控系統(tǒng),主要優(yōu)勢包括:
1)降低系統(tǒng)耦合度。減少終端廠商與TSMS應(yīng)用開發(fā)廠商之間的終端適配工作。
2)提高系統(tǒng)安全性。終端廠商不必對外開放過多的硬件調(diào)用接口,進一步降低系統(tǒng)被非法入侵的可能性。
3)推進系統(tǒng)標準化。對終端廠商、安全通道廠商以及后臺策略控制系統(tǒng)開發(fā)商之間的數(shù)據(jù)接口進行標準化處理。
依據(jù)公安移動警務(wù)安全接入平臺的網(wǎng)絡(luò)特點,結(jié)合移動安全接入的需求,并按照公安主管部門的有關(guān)管理規(guī)范和建設(shè)要求,本文研制出一套終端安全管控系統(tǒng),簡稱TSMS。主要分為:客戶端、前置服務(wù)端和內(nèi)網(wǎng)服務(wù)端,其系統(tǒng)結(jié)構(gòu)如圖1所示[6-9]。
圖1 終端安全管控系統(tǒng)結(jié)構(gòu)
其中,前置服務(wù)端主要部署在前置服務(wù)區(qū)內(nèi),內(nèi)網(wǎng)服務(wù)端主要部署在內(nèi)網(wǎng)管理服務(wù)區(qū)內(nèi)。通過上述系統(tǒng)結(jié)構(gòu)的部署方式,可確保在移動接入?yún)^(qū)和公安內(nèi)網(wǎng)區(qū)有效進行物理隔離的前提下,實現(xiàn)前后置系統(tǒng)配置和安全策略同步,進而有效防止移動終端非法訪問移動接入?yún)^(qū)的應(yīng)用系統(tǒng),降低網(wǎng)絡(luò)風(fēng)險。
本文研究的終端安全管控系統(tǒng)的策略執(zhí)行原理如圖2所示,其主要通過中心服務(wù)器平臺制定終端Agent代理程序端的安全策略,并通過網(wǎng)絡(luò)下發(fā)到各個終端。Agent代理程序收到安全策略后,對移動終端本地狀態(tài)及用戶行為進行檢測,對不滿足安全策略的狀態(tài)或行為形成審計信息并上報到中心服務(wù)器平臺。最終,管理員通過中心服務(wù)器平臺完成對下屬所有移動終端的統(tǒng)一管理及審計。
圖2 策略執(zhí)行原理
根據(jù)建立移動警務(wù)安全管控生態(tài)圈的理念,以及開放、共生、通用的原則,本文將TSMS模塊按部署位置分為移動終端和控制后臺兩個部分,在通信層、數(shù)據(jù)層和應(yīng)用層3個層次劃分成不同的功能維度,最終形成整體解決框架。主要包括以下3個功能模塊[10-13]:
1)終端安全模塊。主要實現(xiàn)對設(shè)備硬件(如WIFI、移動網(wǎng)絡(luò)等)狀態(tài)監(jiān)控、硬件控制、日志收集等功能。
2)數(shù)據(jù)傳輸模塊。分為終端通信模塊(部署在終端上)與后臺通信模塊(部署于控制后臺)。終端通信模塊部署在移動終端上,以標準接口的方式與終端安全模塊對接,實現(xiàn)終端控制策略接收、數(shù)據(jù)加密傳輸和終端日志回傳等功能;后臺通信模塊部署于TSMS中,支持多級部署,提供標準通信框架接口,與TSMS后臺策略控制模塊對接,配合終端通信模塊實現(xiàn)高并發(fā)條件下的控制策略數(shù)據(jù)傳輸、日志數(shù)據(jù)接收等功能。
3)策略控制模塊。與數(shù)據(jù)傳輸模塊間通過標準接口進行對接,實現(xiàn)已制定策略的安全下發(fā)、終端日志獲取,同時實現(xiàn)對已接收的數(shù)據(jù)進行分析處理、深度挖掘、集中動態(tài)展示等功能。
圖3 TSMS軟件設(shè)計整體框架
本文提出的終端安全管控系統(tǒng)其內(nèi)部可抽象為上層應(yīng)用、接口層及功能層,通過各層之間的相互封裝調(diào)用,為用戶提供統(tǒng)一的用戶界面,并為系統(tǒng)的擴展進行保留。
圖4 實現(xiàn)表示圖
終端安全管控系統(tǒng)中心服務(wù)器平臺內(nèi)部結(jié)構(gòu)如圖5所示。
圖5 中心服務(wù)器平臺內(nèi)部結(jié)構(gòu)
移動筆記本Agent代理程序內(nèi)部結(jié)構(gòu)如圖6所示。
圖6 移動筆記本Agent代理程序內(nèi)部結(jié)構(gòu)
智能手機Agent代理程序內(nèi)部結(jié)構(gòu)如圖7所示。
圖7 智能手機Agent代理程序內(nèi)部結(jié)構(gòu)圖
所提移動警務(wù)終端安全管控系統(tǒng)的界面設(shè)計如圖8所示。
圖8 系統(tǒng)首頁原型圖
本文提出的移動警務(wù)終端安全管控系統(tǒng)主要在中心服務(wù)器平臺制定安全策略,并將安全策略下發(fā)到移動終端,相應(yīng)的規(guī)則包括[14]:
1)全局安全規(guī)則管理。用于對系統(tǒng)中應(yīng)用到移動終端主機或證書用戶的安全規(guī)則進行集中管理,包括添加、編輯、復(fù)制、刪除規(guī)則以及刷新規(guī)則等。
2)全部終端安全事件管理。用于對系統(tǒng)所有移動終端觸發(fā)并上報的安全事件進行集中管理,包括查看事件詳細、導(dǎo)出事件備份以及對事件進行搜索等。
3)網(wǎng)絡(luò)訪問規(guī)則控制。用于設(shè)置終端主機的網(wǎng)絡(luò)訪問規(guī)則,從而最大程度的保證系統(tǒng)網(wǎng)絡(luò)正常有序地運行。
4)違規(guī)外聯(lián)行為檢測。用于檢測當前用戶是否接入互聯(lián)網(wǎng),如果發(fā)現(xiàn)用戶移動終端接入互聯(lián)網(wǎng)則立即進行斷網(wǎng)處理,防止移動終端發(fā)生“一機兩用”行為。
5)外設(shè)端口訪問控制。用于設(shè)置終端主機指定外設(shè)端口的可用狀態(tài),從而保障網(wǎng)絡(luò)數(shù)據(jù)安全。本系統(tǒng)支持對移動硬盤(U盤)、軟盤、CD/DVD刻錄機、串行口(COM口)、并行口(LPT口)、打印機、USB控制器外設(shè)端口的管理,且不可更改。
6)違規(guī)軟件主動卸載。用于防止終端側(cè)違規(guī)使用的軟件,并對發(fā)現(xiàn)的違規(guī)軟件進行主動卸載。
7)應(yīng)用程序白名單。用于設(shè)置終端可以可用的軟件或指定供應(yīng)商提供的軟件,系統(tǒng)會對白名單中設(shè)定的內(nèi)容進行自動放行,對未在白名單中設(shè)定的內(nèi)容進行阻止。
8)強力終止進程功能。用于對終端主機運行的,且在規(guī)則配置中的進程進行強力終止,從而保證終端主機不能運行非法進程。
9)非法網(wǎng)站(頁)訪問控制功能。用于對終端主機訪問非法網(wǎng)站(頁)的情況進行管理,非法網(wǎng)站(頁)可以根據(jù)需要進行配置。
10) 防病毒軟件檢測功能。用于對終端主機常見防病毒軟件安裝情況進行檢測,并對未安裝任何常見防病毒軟件的客戶端進行安全預(yù)警。
11)網(wǎng)絡(luò)防火墻檢測功能。用于對終端主機網(wǎng)絡(luò)防火墻軟件安裝情況進行檢測,并根據(jù)配置對沒有安裝指定防火墻軟件之一的主機進行安全預(yù)警。
本文提出的TSMS系統(tǒng)的主要功能包括[15]:
1)統(tǒng)一管理:系統(tǒng)通過在移動終端(智能手機、移動筆記本)上部署專有的客戶端軟件,實現(xiàn)對各移動終端設(shè)備安全和行為的統(tǒng)一管理和規(guī)范。
2)資源訪問控制:對移動終端的各類資源訪問行為進行全面的控制和審計,包括網(wǎng)絡(luò)訪問行為、打印機訪問行為和外設(shè)端口使用行為等。
3)數(shù)據(jù)安全保護:系統(tǒng)針對移動終端的運行使用特點,提供移動終端本地數(shù)據(jù)保護功能,控制和審計終端本地文件和網(wǎng)絡(luò)數(shù)據(jù)的訪問行為。
4)終端安全狀態(tài)檢測:對移動終端自身的各種安全狀態(tài)進行檢查和加固,主動防止安全狀態(tài)不符合要求的移動終端接入網(wǎng)絡(luò)。
5)系統(tǒng)綜合審計:將各移動終端相關(guān)資產(chǎn)、違規(guī)行為等信息統(tǒng)一上報至管理平臺并進行分類,提供各項安全功能的檢查結(jié)果、終端用戶行為的匯總報表,實現(xiàn)對移動終端各種安全狀態(tài)及事件的全面審計。
6)客戶端安全:客戶端與操作系統(tǒng)進行緊密結(jié)合,使用者在軟件安裝后無法擅自卸載客戶端,保證了系統(tǒng)實施的效果。
7)客戶端安裝功能:系統(tǒng)部署簡單,提供獨立的客戶端安裝包,安裝便捷。
8)客戶端引擎功能:客戶端于后臺運行無需任何工作界面,并采用事件驅(qū)動機制和休眠機制,使任何具體事務(wù)的處理不影響移動終端使用者的工作,既不浪費移動終端本身的資源,同時基于事件觸發(fā)的高效工作模式最大可能地降低了對網(wǎng)絡(luò)資源的使用。
9)基于IE的管理功能:采用IE瀏覽器作為其管理界面,在具體工作中方便管理員在網(wǎng)絡(luò)可達的地點登陸系統(tǒng),進行管理。
1)硬件環(huán)境:本系統(tǒng)運行所需要的硬件環(huán)境如表1所示。
表1 設(shè)備硬件環(huán)境
2)軟件環(huán)境:本系統(tǒng)運行所需要的軟件環(huán)境如表2所示。
表2 設(shè)備軟件環(huán)境
TSMS系統(tǒng)采用旁路模式部署于網(wǎng)絡(luò)拓撲中,前置服務(wù)端部署于移動警務(wù)安全接入平臺的移動接入?yún)^(qū),內(nèi)網(wǎng)服務(wù)端部署于移動警務(wù)安全接入平臺的公安內(nèi)網(wǎng)區(qū),網(wǎng)絡(luò)中其它設(shè)備的配置信息不需要進行修改。終端安全客戶端軟件分別安裝于移動Windows終端和Android終端,在鏈路中VPN接入網(wǎng)關(guān)建立通道后,終端安全管理前置服務(wù)端自動檢測與終端安全管理系統(tǒng)內(nèi)網(wǎng)服務(wù)端的通信情況,自動獲取安全策略,接受統(tǒng)一管控[16-18]。具體部署如圖9所示。
圖9 網(wǎng)絡(luò)部署示意圖
本文提出的部署方案在保障移動警務(wù)安全接入方面具有以下特點[19-21]:
1)前后置服務(wù)端模式。在移動接入?yún)^(qū)和公安內(nèi)網(wǎng)區(qū)有效進行物理隔離的前提下,實現(xiàn)前后置系統(tǒng)配置和安全策略同步,有效防止移動終端非法訪問移動接入?yún)^(qū)的應(yīng)用系統(tǒng),降低網(wǎng)絡(luò)安全風(fēng)險。
2)安全策略“脫網(wǎng)”執(zhí)行。當移動終端首次通過VPN接入網(wǎng)關(guān)成功建立通道后,終端安全管理客戶端自動到前置服務(wù)端進行安全策略下載,并保存于移動終端本地自動執(zhí)行。實現(xiàn)移動用戶在未連接VPN接入網(wǎng)關(guān)的前提下也能安全訪問前置應(yīng)用。
3)同時支持Windows終端和Android終端。安全管理客戶端同時支持對移動筆記本和智能手機進行管理,適應(yīng)用戶需同時管控智能手機和移動筆記本的需求,降低了管理復(fù)雜度。
4)詳細的資源訪問控制。對移動終端的本地軟硬件資源以及網(wǎng)絡(luò)資源進行了嚴格限制,可以通過管理平臺對移動終端的資源使用進行控制。
5)全面監(jiān)測和預(yù)防控制。對各移動終端用戶的違規(guī)訪問、操作行為進行全面監(jiān)測和預(yù)防,準確及時地進行審計。
6)客戶端防卸載。當移動終端按照要求安裝完成終端安全管理客戶端后,用戶無法手動卸載,確保移動終端環(huán)境的安全環(huán)境不變,同時配合VPN客戶端做校驗檢測,若移動終端沒有安裝終端安全管理客戶端,則VPN客戶端無法啟用,禁止撥號連接。
移動警務(wù)安全接入平臺自2006年起即進行試點建設(shè)工作并逐步完善,平臺的建設(shè)有效提升了公安干警快速反應(yīng)和綜合作戰(zhàn)的能力,提升了公安機關(guān)行政管理和服務(wù)群眾的質(zhì)量,但是移動警務(wù)終端所處環(huán)境復(fù)雜、部分終端會與公安網(wǎng)進行數(shù)據(jù)交互,存在通過終端入侵公安網(wǎng)的安全風(fēng)險。本文提出的移動警務(wù)終端安全管控系統(tǒng)采用前后置服務(wù)端模式,通過在服務(wù)端平臺制定各種安全策略,實現(xiàn)安全策略下發(fā)到移動終端執(zhí)行,各移動終端將相關(guān)資產(chǎn)、違規(guī)行為等信息統(tǒng)一上報至管理平臺進行綜合審計,實現(xiàn)了詳細的資源訪問控制,對各移動終端用戶的違規(guī)訪問、操作行為進行全面監(jiān)測和預(yù)防。同時,本文提出的基于模塊化架構(gòu)的移動警務(wù)終端安全管控系統(tǒng),有效地解決了客戶端開發(fā)與終端廠商的適配對接工作,并且提高了客戶端軟件自身的安全性、軟件開發(fā)效率和可復(fù)用性等。