張?zhí)炀S，南 靜，張大松，陳雪飛

(中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所，北京100083)

0 引言

現(xiàn)如今，網(wǎng)絡(luò)安全等級(jí)保護(hù)已進(jìn)入2.0 時(shí)代，等級(jí)保護(hù)制度已被打造成新時(shí)期國(guó)家網(wǎng)絡(luò)安全的基本國(guó)策和基本制度。應(yīng)急處置、災(zāi)難恢復(fù)、通報(bào)預(yù)警、安全監(jiān)測(cè)、綜合考核等重點(diǎn)措施全部納入等保制度并實(shí)施，對(duì)重要基礎(chǔ)設(shè)施重要系統(tǒng)以及“ 云、物、移、大、工控” 納入等保監(jiān)管。其中等級(jí)保護(hù)2.0著重提出了對(duì)移動(dòng)互聯(lián)、云計(jì)算等通信方式的保護(hù)規(guī)定及措施。由此可見(jiàn)，隨著移動(dòng)設(shè)備和無(wú)線通信在重要企業(yè)的工作與生產(chǎn)中逐漸普及，國(guó)家對(duì)移動(dòng)數(shù)據(jù)安全的保護(hù)力度正在逐步加大[1]。

本文所做工作旨在分析在重要企業(yè)的環(huán)境下，如何通過(guò)對(duì)終端設(shè)備的邊界劃分、訪問(wèn)控制、數(shù)據(jù)交換及應(yīng)用安全等方面的安全增強(qiáng)、網(wǎng)絡(luò)架構(gòu)優(yōu)化，實(shí)現(xiàn)移動(dòng)辦公的安全保障。

1 背景與現(xiàn)狀

1.1 移動(dòng)安全防護(hù)的背景

2020年12月，中國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)大會(huì)在南寧召開(kāi)，在會(huì)議新技術(shù)新應(yīng)用安全分論壇上，公安部從等級(jí)保護(hù)2.0 標(biāo)準(zhǔn)的角度對(duì)落實(shí)等級(jí)保護(hù)制度提出了重要意見(jiàn)，參會(huì)各企業(yè)對(duì)工控安全、工業(yè)互聯(lián)網(wǎng)安全、智能安全等技術(shù)方向進(jìn)行了分享與探討?！?信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)大數(shù)據(jù)基本要求》(T/ISEAA 002 -2021) 的標(biāo)準(zhǔn)發(fā)布，進(jìn)一步說(shuō)明了我國(guó)對(duì)全國(guó)網(wǎng)絡(luò)安全國(guó)家戰(zhàn)略的重要部署[2]。

1.2 重要企業(yè)移動(dòng)安全現(xiàn)狀

我國(guó)各重要行業(yè)正處于高速發(fā)展期，根據(jù)國(guó)家安全部披露，多達(dá)數(shù)百個(gè)境外APT 組織加大了對(duì)我國(guó)黨政機(jī)關(guān)、國(guó)防軍工、科研院所等核心要害單位的攻擊活動(dòng)，重要企業(yè)早已成為網(wǎng)絡(luò)安全的重災(zāi)區(qū)。2019年，某境外組織仿冒我國(guó)某重點(diǎn)領(lǐng)域重點(diǎn)單位郵件登錄界面，專(zhuān)門(mén)搭建釣魚(yú)攻擊平臺(tái)陣地，冒用“ 系統(tǒng)管理員” 身份發(fā)送釣魚(yú)郵件，控制了工作計(jì)算機(jī)，造成了較為嚴(yán)重的損失。

而隨著重要企業(yè)在信息化領(lǐng)域的發(fā)展，移動(dòng)辦公或移動(dòng)工業(yè)控制系統(tǒng)顯露出了普遍網(wǎng)絡(luò)模式無(wú)法比擬的便利性。例如，一些重要企業(yè)，為保護(hù)內(nèi)部信息安全，僅使用物理隔離的內(nèi)部局域網(wǎng)或廣域網(wǎng)，而審批人不在內(nèi)部網(wǎng)絡(luò)環(huán)境下時(shí)，工作流便處于停滯狀態(tài)，大大降低了工作效率。通過(guò)對(duì)重要企業(yè)從業(yè)人員的調(diào)研，如圖1 所示，57.2% 的從業(yè)人員對(duì)移動(dòng)辦公持支持態(tài)度，同時(shí)86.5% 最關(guān)注移動(dòng)辦公使用過(guò)程中的數(shù)據(jù)安全問(wèn)題。

圖1 重要企業(yè)員工對(duì)移動(dòng)辦公態(tài)度比例圖

而重要行業(yè)在各企業(yè)工作生產(chǎn)環(huán)境下的移動(dòng)安全防護(hù)仍存在以下諸多安全風(fēng)險(xiǎn)及威脅[3]：

(1) 敏感信息多： 重要企業(yè)由于行業(yè)性質(zhì)，科研生產(chǎn)及管理中項(xiàng)目文檔以及國(guó)家機(jī)關(guān)發(fā)文多為敏感信息，信息泄露會(huì)給國(guó)家?guī)?lái)嚴(yán)重的損害或影響。

(2) 環(huán)境復(fù)雜： 重要企業(yè)的生產(chǎn)環(huán)境較為復(fù)雜，不同企業(yè)的生產(chǎn)環(huán)境存在巨大差異。復(fù)雜的拓?fù)浣Y(jié)構(gòu)將帶來(lái)更多風(fēng)險(xiǎn)點(diǎn)，生產(chǎn)環(huán)境數(shù)據(jù)存在傳輸過(guò)程或工控終端上被竊取的風(fēng)險(xiǎn)。

(3) 通信實(shí)時(shí)性： 由于在敏感信息問(wèn)題上需要大量防護(hù)措施，移動(dòng)網(wǎng)絡(luò)與內(nèi)部網(wǎng)之間交互的實(shí)時(shí)性成為了一個(gè)很關(guān)鍵的問(wèn)題。終端與終端、終端與內(nèi)網(wǎng)之間的通信是否能夠?qū)崿F(xiàn)實(shí)時(shí)交互，關(guān)系到辦公流程與工業(yè)生產(chǎn)中的流暢性與準(zhǔn)確性。

2 安全防護(hù)重點(diǎn)

采用移動(dòng)互聯(lián)技術(shù)等級(jí)保護(hù)對(duì)象與傳統(tǒng)等級(jí)保護(hù)對(duì)象的區(qū)別在于移動(dòng)性和便捷性，移動(dòng)終端可以通過(guò)無(wú)線方式接入網(wǎng)絡(luò)；可以遠(yuǎn)程通過(guò)運(yùn)營(yíng)商基站或公共Wi-Fi 接入等級(jí)保護(hù)對(duì)象，也可以通過(guò)本地?zé)o線接入設(shè)備接入等級(jí)保護(hù)對(duì)象。與傳統(tǒng)信息系統(tǒng)相比，采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)所面對(duì)的攻擊面更大。

根據(jù)上述重點(diǎn)問(wèn)題，本文將以下三大類(lèi)問(wèn)題作為移動(dòng)互聯(lián)網(wǎng)絡(luò)的防護(hù)重點(diǎn)[4]： 邊界防護(hù)、數(shù)據(jù)安全交換、應(yīng)用與數(shù)據(jù)安全。

2.1 邊界防護(hù)

隨著移動(dòng)終端功能的強(qiáng)大以及移動(dòng)互聯(lián)網(wǎng)的發(fā)展，紅外線、藍(lán)牙、Wi -Fi 等無(wú)線技術(shù)為病毒、惡意代碼的傳播提供了快捷方式，而短信(SMS)、WAP應(yīng)用、E-mail 等各類(lèi)應(yīng)用都可能成為病毒的載體。因此，本文將對(duì)如何劃分移動(dòng)網(wǎng)絡(luò)的物理、邏輯邊界，實(shí)現(xiàn)訪問(wèn)控制進(jìn)行探討。

2.2 數(shù)據(jù)安全交換

對(duì)重要企業(yè)來(lái)說(shuō)，日常工作流程中的數(shù)據(jù)被人截獲，可通過(guò)竊取或篡改的方式對(duì)原有信息的原義進(jìn)行破壞，從而達(dá)到破壞或獲取敏感信息的目的[5]。因此如何通過(guò)數(shù)據(jù)加密或其他方式做好互聯(lián)網(wǎng)與敏感信息系統(tǒng)之間的數(shù)據(jù)安全交換，同時(shí)保障數(shù)據(jù)交換的實(shí)時(shí)性，確保辦公流程的順暢，也是需要重點(diǎn)解決的問(wèn)題。

2.3 應(yīng)用與數(shù)據(jù)防護(hù)

傳統(tǒng)計(jì)算終端如PC 、服務(wù)器相較于移動(dòng)化終端領(lǐng)域，由于技術(shù)和商業(yè)因素，硬件設(shè)備和系統(tǒng)、應(yīng)用軟件APP 和數(shù)據(jù)文件都形成了形式上的緊耦合，如要對(duì)數(shù)據(jù)進(jìn)行管理、實(shí)現(xiàn)可控，實(shí)際上是對(duì)數(shù)據(jù)保存和運(yùn)行的載體，即設(shè)備和應(yīng)用進(jìn)行統(tǒng)一的安全管理和防護(hù)[6]。

3 解決方案

針對(duì)上述問(wèn)題，本文提出應(yīng)在設(shè)備層面上加強(qiáng)網(wǎng)絡(luò)邊界的管理；保障數(shù)據(jù)交換的安全性與實(shí)時(shí)性；以及應(yīng)用層面上使終端運(yùn)行完整安全可信，以確保敏感數(shù)據(jù)不泄露。

3.1 邊界劃分與訪問(wèn)控制

一般來(lái)講，內(nèi)部網(wǎng)絡(luò)劃分網(wǎng)絡(luò)邊界的主要方式依靠防火墻，而移動(dòng)網(wǎng)也不例外，其原理相同[7]。把所有移動(dòng)終端看作一整個(gè)域，在這個(gè)移動(dòng)終端域接入內(nèi)網(wǎng)時(shí)部署一臺(tái)防火墻以劃分邊界，防火墻后方串聯(lián)部署防毒墻，防護(hù)來(lái)自外部的威脅。

訪問(wèn)控制是除邊界劃分外最重要的防護(hù)部分，訪問(wèn)控制的作用是確?？煽康脑O(shè)備進(jìn)行入網(wǎng)，無(wú)證書(shū)移動(dòng)終端無(wú)法連入內(nèi)網(wǎng)。根據(jù)移動(dòng)聯(lián)網(wǎng)擴(kuò)展要求，應(yīng)在有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)邊界根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則，默認(rèn)情況下，除允許通信外，受控接口拒絕所有通信[8]。因此需要在移動(dòng)互聯(lián)網(wǎng)域的核心交換機(jī)或安全域中旁路部署無(wú)線安全接入網(wǎng)關(guān)，配合防火墻策略進(jìn)行訪問(wèn)控制，確保外來(lái)的不明設(shè)備無(wú)法接入移動(dòng)網(wǎng)。

如圖2 所示，在邊界劃分的基礎(chǔ)上，本文通過(guò)在網(wǎng)絡(luò)出口處部署移動(dòng)辦公接入VPN，移動(dòng)終端接入VPN 采用IPSec 模式進(jìn)行數(shù)據(jù)加密，IPSecVPN 技術(shù)在IP 傳輸上通過(guò)加密隧道，在用公網(wǎng)傳送內(nèi)部專(zhuān)網(wǎng)內(nèi)容的同時(shí)，保證內(nèi)部數(shù)據(jù)的安全性，從而滿足遠(yuǎn)程辦公的接入需求[9]。

同樣，在圖2 的核心交換設(shè)備部署一臺(tái)入侵防御系統(tǒng)(IPS)，使系統(tǒng)能檢測(cè)、記錄、定位非授權(quán)移動(dòng)終端設(shè)備。等保三級(jí)要求中新加入的內(nèi)容主要以“ 定位” 二字為主，移動(dòng)終端的實(shí)時(shí)定位是整個(gè)系統(tǒng)對(duì)敏感信息控制最基本的手段[10]。目前雖尚未有專(zhuān)門(mén)針對(duì)移動(dòng)設(shè)備的IPS 設(shè)備，但I(xiàn)PS 可配合移動(dòng)終端管控服務(wù)器的定位功能，并根據(jù)實(shí)際情況開(kāi)放端口進(jìn)行聯(lián)調(diào)。

圖2 網(wǎng)絡(luò)設(shè)備部署示意圖

3.2 構(gòu)建數(shù)據(jù)交換通道

重要企業(yè)的敏感數(shù)據(jù)均儲(chǔ)存于內(nèi)網(wǎng)服務(wù)器中。從防止移動(dòng)互聯(lián)網(wǎng)對(duì)內(nèi)網(wǎng)的侵害的角度來(lái)講，應(yīng)該杜絕移動(dòng)網(wǎng)絡(luò)用戶直接訪問(wèn)內(nèi)網(wǎng)數(shù)據(jù)的行為。

眾所周知，采用物理隔離的網(wǎng)絡(luò)架構(gòu)是相對(duì)安全的。若能在內(nèi)外網(wǎng)之間實(shí)現(xiàn)物理隔離，同時(shí)又能確保內(nèi)外網(wǎng)之間的數(shù)據(jù)交互，便能極大程度上確保數(shù)據(jù)交換的安全[11]。

首先，可以將內(nèi)網(wǎng)中常用且不敏感的數(shù)據(jù)遷移至移動(dòng)互聯(lián)網(wǎng)中，實(shí)現(xiàn)內(nèi)網(wǎng)和移動(dòng)網(wǎng)的數(shù)據(jù)隔離。為確保數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性，如圖3 所示，可以在兩網(wǎng)之間建立一個(gè)專(zhuān)門(mén)用作數(shù)據(jù)交換的數(shù)據(jù)交換域，并通過(guò)技術(shù)手段實(shí)現(xiàn)隔離交換，只允許審核過(guò)的數(shù)據(jù)通過(guò)，防止外部侵害，杜絕敏感數(shù)據(jù)外流。而數(shù)據(jù)的審核，由數(shù)據(jù)交換區(qū)的上下行通道來(lái)實(shí)現(xiàn)。

圖3 數(shù)據(jù)交換區(qū)結(jié)構(gòu)圖

其中，上行通道主要負(fù)責(zé)互聯(lián)網(wǎng)向內(nèi)網(wǎng)的數(shù)據(jù)傳輸，傳輸?shù)氖欠敲舾袛?shù)據(jù)，因此上行通道采用光單向傳輸為主的“ 單向光閘” 技術(shù)(如圖4 所示)，既能保證安全隔離要求，同時(shí)在業(yè)務(wù)上可以保證數(shù)據(jù)傳輸性能達(dá)到最優(yōu)(實(shí)時(shí)性)[12]。外端機(jī)和內(nèi)端機(jī)負(fù)責(zé)完成對(duì)數(shù)據(jù)的獲取、封裝以及傳輸。根據(jù)光的單向傳輸特性，數(shù)據(jù)在傳輸過(guò)程中數(shù)據(jù)流從外端機(jī)到內(nèi)端機(jī)，從原理上禁止了反向傳輸。由此可見(jiàn)，該單向系統(tǒng)的優(yōu)勢(shì)主要在于： 確保數(shù)據(jù)傳輸?shù)膯蜗蛐裕瑢?zhuān)有協(xié)議封裝和實(shí)現(xiàn)數(shù)據(jù)容錯(cuò)處理。

圖4 光單向技術(shù)原理圖

而下行通道包含數(shù)據(jù)單向擺渡系統(tǒng)和前、后置安全代理系統(tǒng)，應(yīng)用于內(nèi)網(wǎng)向互聯(lián)網(wǎng)單向數(shù)據(jù)傳輸[13]。在企業(yè)用戶的實(shí)際應(yīng)用中，內(nèi)網(wǎng)與互聯(lián)網(wǎng)物理隔離，內(nèi)網(wǎng)與互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)交換時(shí)，傳統(tǒng)采用光盤(pán)或者專(zhuān)用USB 介質(zhì)集中導(dǎo)出的方式。由于下行通道屬于數(shù)據(jù)從高密級(jí)網(wǎng)絡(luò)導(dǎo)入到低密級(jí)網(wǎng)絡(luò)，根據(jù)嚴(yán)防數(shù)據(jù)“ 高密低流” 的設(shè)計(jì)思路，因此將下行通道設(shè)計(jì)成“ 數(shù)據(jù)單向擺渡系統(tǒng)”(模擬刻錄光盤(pán)方式)，此種方式不僅繼承了“ 刻錄光盤(pán)” 方式的優(yōu)點(diǎn)，同時(shí)在傳輸效率、管理機(jī)制以及降低風(fēng)險(xiǎn)等方面更具優(yōu)勢(shì)[12]。其技術(shù)原理如圖5 所示。

圖5 單向擺渡系統(tǒng)硬件結(jié)構(gòu)示意圖

數(shù)據(jù)單向擺渡系統(tǒng)硬件結(jié)構(gòu)如圖5 所示，其中圓形框中的電子盤(pán)(RAM)、仲裁機(jī)和單向光閘共同組成了系統(tǒng)核心的“ 仲裁控制傳輸區(qū)”。整個(gè)系統(tǒng)工作流程如下： 經(jīng)內(nèi)端機(jī)審核的數(shù)據(jù)，由“ 仲裁控制傳輸區(qū)” 中的電子盤(pán)(RAM) 單向擺渡至仲裁機(jī)，隨后電子盤(pán)(RAM) 斷電進(jìn)行數(shù)據(jù)清空處理，仲裁機(jī)對(duì)擺渡來(lái)的數(shù)據(jù)進(jìn)行檢查，合規(guī)的數(shù)據(jù)通過(guò)單向光閘傳輸至外端機(jī)。

目前通信穿越不可控區(qū)域時(shí)多用密碼設(shè)備與交換機(jī)的架構(gòu)進(jìn)行通信兩端的加密解密處理。數(shù)據(jù)交換區(qū)作為安全增強(qiáng)方案，實(shí)現(xiàn)了內(nèi)部網(wǎng)- 互聯(lián)網(wǎng)信息系統(tǒng)的數(shù)據(jù)實(shí)時(shí)交互，使通信兩端不再拘泥于同一密級(jí)的信息系統(tǒng)。

3.3 應(yīng)用和數(shù)據(jù)安全

針對(duì)移動(dòng)終端的APP 應(yīng)用，為防止外來(lái)人員通過(guò)非正當(dāng)手段攻擊設(shè)備，可以通過(guò)建立一個(gè)與系統(tǒng)隔離的應(yīng)用沙箱，將企業(yè)應(yīng)用隔離在獨(dú)立的、安全可靠的區(qū)域中，實(shí)現(xiàn)公私分離，以及統(tǒng)一、安全、受控的移動(dòng)應(yīng)用推送的渠道和手段[14]。這樣一方面保證了企業(yè)內(nèi)部應(yīng)用在數(shù)據(jù)分發(fā)過(guò)程中的完整性和安全性，另一方面也提高了企業(yè)內(nèi)部應(yīng)用交付的有效性。通過(guò)企業(yè)合格供方與驗(yàn)收檢驗(yàn)等手段，在企業(yè)應(yīng)用商店上傳安全可信的移動(dòng)應(yīng)用APP，并對(duì)下載和使用情況進(jìn)行后臺(tái)管理。其中應(yīng)用內(nèi)部的數(shù)據(jù)通信加密可直接通過(guò)沙箱化實(shí)現(xiàn)，避免了使用應(yīng)用時(shí)需要登入專(zhuān)線VPN 的步驟。

通過(guò)對(duì)應(yīng)用軟件加密、加殼保護(hù)，可以使應(yīng)用遠(yuǎn)離惡意破解、反編譯、二次打包、內(nèi)存抓取等常見(jiàn)的威脅手段[15]。同時(shí)也可以給應(yīng)用提供額外的安全保護(hù)，如數(shù)據(jù)加密、簽名校驗(yàn)、防內(nèi)存修改、完整性校驗(yàn)、應(yīng)用安全檢測(cè)等。通過(guò)對(duì)應(yīng)用程序深度加密處理，能有效防止應(yīng)用被反編譯和惡意篡改，保護(hù)應(yīng)用不被二次打包，以及保護(hù)數(shù)據(jù)信息不會(huì)被黑客竊取。

目前根據(jù)IEEE 802.11x 標(biāo)準(zhǔn)，一般Wi -Fi 網(wǎng)絡(luò)支持的TCP/IP 協(xié)議、加密算法均采用國(guó)外加密算法，不符合國(guó)家對(duì)基礎(chǔ)設(shè)施自主安全的有關(guān)要求，為科研生產(chǎn)埋下隱患。因此應(yīng)在協(xié)議開(kāi)放性上使用國(guó)產(chǎn)自主安全協(xié)議。自主安全協(xié)議可實(shí)現(xiàn)Wi-Fi 等通用設(shè)備無(wú)法檢測(cè)到信號(hào)，不采用TCP/IP 協(xié)議可令無(wú)線報(bào)文中無(wú)IP 地址、MAC 地址等信息，提升了安全性。相較目前的通信協(xié)議，面對(duì)基于IP 的網(wǎng)絡(luò)攻擊時(shí)，因移動(dòng)網(wǎng)絡(luò)內(nèi)無(wú)以太網(wǎng)標(biāo)準(zhǔn)協(xié)議，所以網(wǎng)絡(luò)結(jié)構(gòu)難以猜測(cè)，大大增加了攻擊的成本。

4 結(jié)論

本文從移動(dòng)網(wǎng)絡(luò)的邊界防護(hù)、訪問(wèn)控制入手，通過(guò)構(gòu)建數(shù)據(jù)交換域及應(yīng)用沙箱保障內(nèi)外網(wǎng)數(shù)據(jù)交換與實(shí)際應(yīng)用的實(shí)時(shí)性和安全性，最后利用基于國(guó)產(chǎn)自主安全的通信協(xié)議實(shí)現(xiàn)安全增強(qiáng)。

隨著我國(guó)重點(diǎn)行業(yè)的不斷發(fā)展，重要科研生產(chǎn)環(huán)境及基礎(chǔ)設(shè)施需要更強(qiáng)有力的迭代，其中提高科研生產(chǎn)效率是我國(guó)企業(yè)與國(guó)外競(jìng)爭(zhēng)的重要手段。因此，利用移動(dòng)網(wǎng)絡(luò)賦能科研生產(chǎn)實(shí)乃大勢(shì)所趨。而我國(guó)企業(yè)需要努力的方向，是在以網(wǎng)絡(luò)安全法及等級(jí)保護(hù)標(biāo)準(zhǔn)為指導(dǎo)的前提下，進(jìn)一步探索如何實(shí)現(xiàn)移動(dòng)網(wǎng)絡(luò)的可信計(jì)算，及無(wú)線網(wǎng)絡(luò)在主客體、使用范圍等要素的精細(xì)化管控，共同筑建重要企業(yè)科研生產(chǎn)的安全之墻。