企業移動應用安全管理分析

中國電信股份有限公司江蘇分公司 企業信息化部 劉 東

企業移動應用安全管理分析

中國電信股份有限公司江蘇分公司 企業信息化部 劉 東

從移動設備的安全性、設備上企業數據安全性、設備數據傳輸的安全性、企業移動App（應用）的分發與更新等幾個方面對企業移動應用安全所面臨的幾個突出問題進行分析，為企業移動應用安全管理提供一些解決思路。

移動應用； 自帶移動設備辦公； 安全

0 引言

隨著3G、4G、Wi-Fi（無線保真）等無線網絡接入的快速普及，移動辦公、移動運維、移動營銷成爆發性增長趨勢。IDC（因特網數據中心）數據顯示，2014年全球智能手機出貨量達到12.5億臺，預計到2018年將達到18億臺。移動應用辦公的興起給企業帶來了全新的業務支撐和安全挑戰，開始動搖IT（信息技術）主管部門傳統的開發運維與安全管理模式。越來越多的企業相信移動辦公將成為生產運營的“新常態”。事實上，移動終端代表了企業移動模式的起始階段，而企業移動應用終將改變員工和企業未來的工作方式。

移動化接入使得企業網絡邊界重新發得模糊。企業員工既可以通過基站無線通信網絡在公共場所接入到公司網絡，也可以通過Wi-Fi接入公司網絡。隨之而來的安全隱患也越來越明顯，目前大部分企業分發移動應用軟件通過第三方應用商店進行發布，繁瑣的流程不僅費時而且不利于管控和數據統計，也無法對移動客戶端App（應用）操作行為進行有效地監督和審計。

基于此，企業急需制定整體的移動辦公戰略，尋求移動終端安全防護方案，以此來大幅改善企業內部的業務及運營狀況，從而為企業創造可持續的競爭優勢。

1 移動應用安全管理的概念與目的

“無安全，不移動”，對于移動辦公來說，數據的安全是首要考慮的問題。移動辦公是以移動終端為基礎，通過終端上的應用訪問企業內部的應用系統和數據，其安全性不僅僅是終端與網絡的安全，還包含整個移動辦公應用系統的安全管控和運維管理。

企業移動應用安全管理是針對BYOD（自帶移動設備辦公）設備進行移動設備安全管理（MDM）、移動應用安全管理（MAM）、移動數據安全管理（MCM）、App分發管理、App更新管理、關鍵事件記錄和追蹤等一系列的移動應用全生命周期的管理。實現移動設備從注冊、部署、運行和回收的全生命周期的管理，以及終端上的移動應用和文檔數據管理。除此以外，移動終端安全管理還提供了移動安全接入管理以及后臺運維、報表統計等服務等功能，實現企業移動數據的全方位立體化防護，確保數據零泄露。除了移動終端的安全管理，還需要確保移動辦公數據的通道安全和接入安全，包括移動安全接入網關、網絡準入控制及移動終端安全管理系統和設備。

2 移動應用安全管理的解決方案

下面將從移動應用安全管理三大要素（MDM、MAM、MCM）進行闡述解決方案和思路。

2.1 移動設備管理

移動設備管理主要包含： 設備注冊、設備信息收集、設備接入控制、設備監控。如圖1所示，移動設備需要先在系統中進行預注冊，然后移動終端通過企業自建或第三方應用商店下載安裝企業發布的移動安全管理客戶端，用戶通過客戶端進行正式注冊，安全客戶端將手機設備信息上傳至設備管理系統完善設備注冊信息，設備管理系統相關安全控制策略下發，備份設備數據并對手機做實時監控。當設備丟失，通過設備管理系統進行定位并鎖定，可以進行遠程數據擦除，在丟失設備被找回時，可通過設備管理系統進行數據恢復，恢復手機初始狀態。

2.2 移動應用管理

移動應用管理主要包含： 應用SDK Framework（安全沙箱技術）、企業應用商店。見圖2。

2.2.1 安全沙箱

安全沙箱技術是在用戶手機端開辟獨立的工作區域，在BYOD下終端具有雙重身份，企業數據和個人數據通過沙箱技術進行安全隔離，數據通過加密進行獨立存儲，確保終端中個人和企業信息的安全性和隱私性。沙箱可采用AES（高級加密標準）256高強度加密算法，確保企業應用以及企業數據的安全性。安全沙箱內，企業相關文檔和內容，可通過自定義策略進行終端共享，有限地被外部訪問和獲取。

安全沙箱技術的實現是通過自封裝SDK Framework應用集成框架，將安全沙箱涉及的操作封裝成API（應用程序接口），供自己或第三方App開發廠商調用，使其具備安全沙箱功能。

2.2.2 企業應用商店

為了能夠快速靈活進行企業定制App分發，完全擁有應用商店管理權限，企業必須自己搭建應用商店。對于大型企業應用商店要具備分發Native、Hybrid與HTML5（超文本標識語言）三大類型的移動App。管理員可以基于用戶權限分組對應用進行分發管理，可以自定義應用的類別，實現靈活、個性化的App分類。分發App的數據記錄在數據庫中，便于企業進行相關數據統計，對App的管理和使用進行調優。

2.3 移動內容管理

移動內容管理主要包含： 文檔安全管理、文檔泄露防護、文檔在線閱讀、文檔安全分發。

2.3.1 文檔安全管理

分發到移動客戶端的數據和文檔（企業內部文件、郵件、用戶信息等），加密存儲于Sandbox安全沙箱內，加密文件無法被其他應用軟件打開查看。允許授權的移動終端設備進行訪問，非授權的移動終端設備無權訪問。允許授權的企業應用訪問，沙箱外及未授權的應用無法訪問。

2.3.2 文檔泄露防護