淺析電臺移動辦公安全風險及應對

文｜李道航

隨著移動互聯網發展以及3G技術應用的推廣，手機以及IPAD等移動終端的日益成熟,各種移動應用蓬勃興起,給廣播電視行業的業務開展亦帶來了革命性的機遇: 通過移動辦公應用的逐步開發,給外出采訪主持人、記者帶來更加便捷的編輯發送手段，使新聞等時效性強的節目更加迅捷地播出，成為了提升工作效率的有效方式。

電臺移動辦公應用得成功與否,就要看電臺移動辦公應用于電臺IT架構能否很好的融合，因此隨著移動辦公應用的深入,各種安全問題也必定隨之而來，移動辦公系統解決方案，主要通過瀏覽器或特定終端軟件，通過智能手機等移動終端設備，與內部辦公系統進行實時應用數據交互。然而，采用這種解決方案的移動辦公系統，當涉及文檔編輯等需要在終端安裝功能插件時，需要對各種不同類型終端及其操作系統開發相應終端插件，兼容性較差。當系統為外網用戶提供服務時，由于網絡環境的復雜性和手機等終端的限制，一般缺少較全面安全機制保護，一旦終端遭受攻擊、感染病毒等，容易造成數據丟失及泄密等問題。隨著終端的開放，服務端安全也必將受到牽連，而服務端又和電臺的傳統網絡架構緊密地結合在一起。大家知道，電臺播出的安全關乎國家和人民的切身利益，一直是電臺的重中之重，因此，隨著移動應用與電臺業務的全面融合,移動應用所帶來的對整個電臺業務系統的風險是我們必須加以積極應對的。

針對移動電臺移動應用的安全問題,我們認為應該從兩方面加以考慮，即服務端和客戶端，只有這兩個方面的安全都做好了，才能確保整體的安全。

首先我們看一下服務端，由于移動應用的服務端系統一般通過網站形式對外提供服務,通過移動互聯網進行接入,因此和傳統的網站所面臨的威脅相類似，都應該加以防護，這里主要通過邊界防護、Web應用安全防護、安全隔離、流量實時監控以及應急響應等加以應對。

邊界防護

邊界防護主要考慮在互聯網接入邊界處部署普通防火墻、入侵檢測系統，并且通過設備聯動準確地發現并阻斷各種網絡惡意攻擊。通過防火墻所有的關鍵字過濾等功能，對于進出邊界的內容進行過濾，確保內容的安全。

Web應用安全防護

在Web服務區邊界，利用Web應用防火墻（WAF）的檢測引擎進行協議分析、模式識別、URL過濾技術、統計閥值和流量異常監視等綜合技術手段來判斷入侵行為，可以準確地發現并阻斷各種網絡惡意攻擊，從而實現防SQL注入、防跨站攻擊的安全防護。另外在在Web服務器上安裝惡意代碼主動防御系統，通過利用信任鏈機制，對系統中所有裝載的可執行文件代碼（例如EXE、DLL、COM等）進行控制，所有可執行文件代碼在加載運行之間都需要先經過檢驗，只有通過驗證的代碼才可以加載，從而有效地阻止惡意代碼的運行。在Web服務器上安裝網頁防篡改子系統，采用對象相關（Object—Specific）保護方式來保護網頁不被篡改。即網站管理員可以自行選擇需要保護的網頁文件設定為受控對象，對于每一個受保護的對象，管理員為其設定一個對象相關授權碼，進行實時安全防護。并且通過網頁的備份可以實現移動應用服務端的迅速恢復。

安全隔離確保核心網絡數據安全

由于提供移動應用的服務器和電臺核心網絡之間存在數據交互,因此在提供移動應用服務的服務器群和電臺核心網絡之間部署安全隔離與信息交換系統（隔離網閘），負責辦公網、制作網等等核心網絡服務器和數據庫中的核心數據和web服務器及數據庫之間的數據交換和安全隔離，確保電臺核心網絡的數據安全。

流量實時監控管理

隨著移動應用的發展,必將帶來越來越大訪問流量,部署流量監控設備可以及時檢測發現異常流量,從而合理分配帶寬,避免造成網絡堵塞,應用癱瘓。

應急響應與恢復

信息安全具有動態性，安全的風險不斷在變化，也就是說沒有100%的安全，如何根據業務需求去保護我們的安全，在基礎安全建設的同時，我們更要重視對可能發生的事件要具有相應的應急響應計劃。從另一個角度提高網站的安全性，并確保能夠及時發現并處理安全事件，及時恢復，不斷地降低網站安全風險。

圖1

下面，我們再看一下客戶端安全。移動辦公之后，客戶端必將保留一定的用戶資料，文檔、以及登陸信息等等，一旦客戶端設備遺失或遭竊取，除了客戶端資料會遭竊取外，還有可能被利用登陸到電臺網絡進行，使電臺網絡面臨破壞的風險，因此客戶端安全在移動辦公應用中也同樣至關重要。

在客戶端安全可以主要從加密和身份認證兩方面進行考慮：

1）客戶端文件和文件夾加解密

對文件和文件夾加密可以利用以SDKey為核心硬件安全模塊，與終端設備緊密集成，應用程序初始化服務接口后，可以調用字節流加解密接口、文件加解密接口以及文件夾加解密接口（見圖1）。

2）郵件加解密

郵件加解密需定制開發一款帶有加解密功能的郵件客戶端程序。郵件加解密功能，主要可以分為兩類，郵件本地加解密和郵件傳輸加解密。目前已有專門的廠商提供定制開發服務。

3）客戶端強身份認證

建立客戶端強身份認證和管理系統，并和電臺的身份認證系統相結合，建立每個用戶在所有系統中的用戶映射關系，并單點登錄到各系統。目前針對移動設備輸入的身份認證技術中，除了用戶名密碼等傳統的身份認證技術外，出現了一個新的技術，即通過認證每個人在輸入用戶名密碼時的擊鍵特征來大大增強認證的可靠性。通過這個技術使傳統的用戶名密碼認證變成了一個雙因子認證技術，大大地提高了可靠性，另外這個技術可以支持虛擬鍵盤使得應用范圍可以覆蓋全部手持終端設備，部署和維護成本也很低廉。

隨著科技發展和社會進步，移動辦公的廣泛應用必將給電臺業務帶來效率的革命性的提升，但只有做好了終端和安全端的全面防護，我們才能安心地享受技術帶來的變革。