浅谈移动安全办公解决方案设计--中国期刊网

字体：大中小

首页> 原创作品> 正文

浅谈移动安全办公解决方案设计

发表时间：2021/6/8 来源：《基层建设》2021年第2期作者：张慧

[导读] 摘要：后疫情时代，随着互联网的快速发展和移动智能终端的不断普及，以及当前纸质办公的局限性，移动应用井喷式的发展，各行各业希望办公向移动化转移，种种迹象为各行各业进入移动化办公奠定了坚实的基础，同时，移动办公安全成为必不可少的保障，本文将介绍移动化办公面临的安全风险以及安全解决措施。

        湖北邮电规划设计有限公司湖北武汉 430023
        摘要：后疫情时代，随着互联网的快速发展和移动智能终端的不断普及，以及当前纸质办公的局限性，移动应用井喷式的发展，各行各业希望办公向移动化转移，种种迹象为各行各业进入移动化办公奠定了坚实的基础，同时，移动办公安全成为必不可少的保障，本文将介绍移动化办公面临的安全风险以及安全解决措施。
        关键字：移动办公、移动安全、SSL加密、身份认证
        引言：截至2019年9月底，三家基础电信企业手机上网用户规模达到13.04亿户，普及率超过90%，移动应用超越网站成为互联网服务主要载体。各个行业都在不断涌现移动应用，政府行业有移动执法、移动稽税、移动审批等；金融行业有移动理财、移动展业、移动行销等；医疗行业有移动查房、移动医疗等；公安行业有移动警务等；教育行业有移动课堂、电子书包等，由此可见移动化办公很容易被多数员工接受。移动化办公给我们带来的直接优势就是随时随地可以办公，大大的提高了工作的效率。但方便的同时也带来了一定的安全隐患，也是未来移动办公不可掉以轻心的重要事情。
        1 移动化办公面临的安全风险
        1.1 移动终端分散管理难度大
        移动办公终端不像传统PC办公，移动终端容易丢失，因此各行各业的办公终端中存储的单位内部数据极易造成数据泄露，给单位内部重要数据带来了极大的安全风险。
        移动终端比较分散，工作人员随身携带，关于终端集中管理问题，对于各行各业来说是完全不可能实现的，如果移动终端出现问题很难快速定位。
        1.2 终端数据无安全防护措施
        存储在移动终端的数据没有任何防护措施，单位内部数据全部以明文的形式存储，如果出现设备丢失，单位内部数据很容易被别人通过各种手段获得，且重要文件获得后即可打开，关于单位内部重要信息很容易造成泄密。
        办公应用也会产生大量的工作数据，这些数据对于应用开发商来说大多数没有任何加密措施，应用数据几乎全部以明文的形式存储在移动终端，因此内部应用产生的数据也是数据泄密的一个重灾区。
        1.3 个人数据与单位数据混合存储
        个人数据与单位内部数据混合存储在一起，在个人操作的过程中不经意间就可能把单位内部数据泄露出去，因此个人数据与单位数据混合存储绝对不是一种合理的解决方法，需要一种隔离机制，确保个人数据与单位隔离存储以保证单位内部数据安全可控。
        1.4 移动应用管理难度大
        移动业务应用种类和数量越来越多，大多数单位没有一个自己单位内部的应用分发渠道，基本上依赖于公共的应用市场，国内Android应用市场上架的应用安全性无法保证，而苹果的应用市场审核机制比较严格，新应用或者更新的应用上架审核周期长，单位开发应用无法得到实时的使用，效率非常低下。而且，个人手机下载的应用安全性很难保证，在用户知情的情况下会获取个人的一些隐私信息，很有可能会读取一些关于单位内部应用的办公数据，最终造成单位内部数据泄露。
        1.5 手机网络安全没有任何保障
        由于Root权限滥用和新的黑客攻击技术，移动设备成为滋生安全风险的新温床，容易成为黑客入侵渗透办公内网的跳板。而且移动办公突破了传统的网络边界，从互联网访问办公内网业务数据时，数据在互联网中传输很难保证数据不被恶意截获，导致办公数据的泄漏。移动终端当前工作的环境形态各异，地理位置随时发生着变化，周边的网络环境尤其是钓鱼网络居多，网络上下载的应用各式各样，应用风险不可控，是否存在木马和漏洞都无法可知。
        1.6 用户登录身份容易被仿冒
        移动办公设备中的用户名和密码很容易被恶意获取，一些不法分子会通过各种手机仿冒合法用户登录到内部办公系统中，从中获取单位内部的重要数据，导致内部办公重要数据的泄密。因此移动办公身份安全不容忽视。

        2 移动办公安全解决措施
        2.1 建设安全管理平台
        在安全管理平台中可以获取到有关单位内部的业务数据、设备信息等资料，以及各种操作日志的记录。
        管理员能通过管理中心看到每个移动终端的详细信息，包括每个设备的所有权和是否活跃、是否锁定工作区、是否锁定设备、是否注销、是否激活等状态。可以对指定的或者所有的终端进行清除工作数据、恢复出厂设置、下发锁屏密码、锁定设备、锁定工作区、启动关闭鸣响、推送消息链接等强制指令的下发。可以对设备进行相应的管控操作，确保移动办公设备的安全性。
        2.2 建设工作专属的安全区
        构造一个专属的安全办公区，设置办公区的统一入口，个人生活区域同办公区域可方便灵活切换。
        在安全办公区中安装完整的办公套件，满足员工基本的办公要求，且运行在安全工作区内的数据全部进行加密存储，保证办公区数据的安全性，在工作区内禁止复制、粘贴等功能，保证生活区有风险的数据无法进入到安全工作区，安全工作区的办公数据无法流出到生活区。
        2.3建立数据安全防护机制
        采用的公私隔离技术将企业数据和个人数据完全隔离，所有的内部应用和数据存储在受保护的安全工作区内，避免非法存取内部数据，使IT部门能更好地保护内部的应用和数据，也为员工提供了无差别的个人应用体验，达到“一机两用”的效果。
        加密技术采用AES256算法以及国密算法处理数据，对移动终端上的工作区内的内部数据进行高强度加密，同时提供安全可靠的密钥管理，确保单位内部数据在多终端复杂环境下的安全。
        单位内部应用或第三方应用产生的数据，都安全的加密存储在工作区，仅工作区内的应用程序可以访问查看，保证单位内部数据安全地存储在工作区。
        对于重要秘密文件，还提供阅后即焚功能，对于下发的消息或文件不会保存在本地，员工浏览完，消息和文件就会消失，让文件主人有效掌握文件控制权，从源头上保证文件资料不被泄露。
        同时还提供安全的水印技术，保证工作区内的数据全程水印覆盖，以防被拍照或者截屏的方式外泄，如发现数据外泄可通过安全水印进行溯源。
        2.4 建设应用管理平台

        根据各行各业的应用实际管理需求，建设一个专属的应用运营平台，提供内部专属办公应用的上架、分发、升级等。可使完全摆脱依赖公共应用市场上架、更新的局面，这样不仅大大提高了单位内部应用发布的效率，而且使得单位内部应用安全可靠，内部办公应用将不再暴露于公共的网络环境中。移动安全办公系统专属的应用商店不仅要支持原生的应用，同时也要兼容新型的H5应用。
        2.5 建设安全防病毒体系
        建设移动终端专属的安全杀毒系统，管理员可通过后台对员工设备进行系统的统一扫描以及病毒库的更新，确保移动办公终端不被非法入侵以及感染病毒和木马。员工也可以自定义对终端进行病毒扫描，通过服务端和客户端双层保障，确保了移动终端的安全性。
        2.6 建设安全传输通道

        移动安全办公系统内置安全的可信传输代理，实现移动终端从互联网环境直接访问内部业务服务。采用一键拨入全网漫游的模式，用户进入安全工作区，安全可信传输代理自动启动拨通。为内网安全问题考虑，同时要规定哪些应用可以通过安全通道，哪些应用不可通过安全通道，提高内部数据的安全性。
        2.7 建设安全身份认证系统

        为防止身份被仿冒的情况下，建设安全智能身份认证系统，用户登录认证时需要通过身份认证系统的二次认证确保用户身份的真实性，实现真正意义上的多因子认证的方式，充分保证了用户在使用内部业务系统时的安全性。
        2.8建设移动可信环境感知系统
        移动可信环境感知系统解决了移动终端环境可信的问题，持续进行风险检测，数据收集、行为分析、风险评估等。