論基于移動平臺的企業信息安全管理

孫 偉 胥 斌

（1.上海張江集成電路產業區開發有限公司 上海 201203；2.太平共享金融服務（上海）有限公司 上海 201203）

0 引言

目前，移動終端產品得到了很快的發展，在人們的工作和生活中比較常見，而且，其性能也是比較完善的，可以提高工作的效率，信息化辦公已經成為一種趨勢，可以提高企業的工作效率，而且能夠提高工作的準確性。通過應用移動平臺，企業能夠運用網絡進行內部及與外界的聯系，在與內部聯系時，企業的安全風險比較低，但是，在對外界聯系時，企業的信息容易被泄露，所以，企業在使用移動平臺辦公時，應該強化安全防范意識。

1 移動平臺下企業信息安全相關的系統建設

1.1 系統總體設計

現在，在移動終端的辦公環境下，主要是運用網絡進行辦公，移動終端可以借助無線網絡，獲取服務證書，從而安全的訪問網頁。在移動平臺下，信息安全的建構主要是對服務器和客戶端的保護，在服務器與客戶端之間運用HTTPS協議進行約束，從而能夠獲取證書模塊，對控制模塊設定權限，提高企業信息的安全性。

1.2 CA證書模塊和證書申請模塊

CA證書的申請模塊功能還是比較強大的，其能夠自動化的生成CA證書，而且能夠對證書進行合法的保護，而且，在服務器的端口，能夠自動化生成一個公鑰的證書，這個證書能夠讓用戶進行免費的下載，而且，可以將私鑰保存下來，實現對數據的加密處理。CA證書能夠按照移動辦公平臺的合法性生成，在獲取CA證書后，就可以將信息保存在服務器中，用戶通過密碼，找到自己想要的資料。將CA證書發給所有合法的用戶，在移動平臺上，用戶就能夠憑借CA證書下載資料，將證書安裝在自己的移動終端上。當證書安裝完成后，對指定的證書進行分析，這時，通過獲取賬號和密碼的方式，將用戶的移動終端與公司的郵箱結合在一起，通過獲取驗證碼的方式，經過服務的驗證，用戶就能夠登錄到移動平臺辦公了。

1.3 權限控制模塊和系統登錄模塊

用戶在安裝了證書后，就能夠通過設置用戶名和密碼的方式登錄到平臺上，然后通過HTTPS協議，獲取驗證碼的形式，分析證書是否是有效的。按照CA證書，對用戶名進行減壓，分析證書的使用者是否是合法的。當證書能夠通過驗證時，服務器會按照用戶的資料，分析移動終端使用者的信息，通過對相關的信息進行對照，從而分析用戶登錄是否是合法的。如果用戶輸入用戶名和密碼的次數超過三次，系統就會自動上鎖，用戶就不能再登錄了，用戶在規定的時間內是不能訪問系統的，這樣可以提高系統的安全。如果移動終端發生了一定的問題，比如造成了數據的丟失，那么，系統在規定的時間內是不能訪問的，從而能夠防止系統內的信息進一步丟失，這時系統會自動凍結，任何人不能訪問系統。當移動平臺上發生信息丟失時，就應該及時通知公司的相關人員，采取有效地措施，提高企業信息的安全性。

2 基于移動平臺的企業信息安全的政策措施

2.1 基于移動平臺，企業要建立和完善網絡安全信息共享的分級管理制度

2.1.1 通過其敏感性對網絡安全信息共享進行等級劃分

信息安全的敏感性指的是信息是不公開的，具有一定的機密特性，所以，將信息安全的等級劃分成五個等級，一級指的是信息是安全的，可以被任何人共享；二級指的是信息受到一定的限制，只有企業或者部門指派的人員可以使用；三級指的是國家機密的信息；四級指的是專門的信息，主要也是由國家機密構成的；五級主要指的是國家的核心機密。

2.1.2 通過信息對系統的關鍵程度劃分

通過信息對系統的關鍵程度進行劃分可以將信息安全分成四個等級，一級指的是信息絕對安全，即使信息系統發生損壞也不會影響系統的正常運作；二級指的是關鍵信息的安全性，當信息系統遭到破壞的時候，會導致單位或者機構內部的信息不能正常的使用；三級指的是必要的信息安全等級，指的是當系統遭到破壞的時候，重要的信息將會受到影響，不能正常的使用；四級指的是國家核心的信息，當系統發生損壞后，會導致這些核心的信息不能正常使用。

2.2 基于移動平臺，企業要建立健全信息安全共享制度

網絡安全信息共享制度分為兩種，一種是本著自愿的目的，還有一種是在強制的手段下執行的。在強制手段下實現的共享，是在重要的基礎設施運行單位執行的，有的與相關的計劃相關的測試、風險管理等的審計綜合，包括關鍵基礎設施的安全維護和重建等，這類信息在共享之前必須要向相關的部門報告，得到允許后才能夠共享。

2.3 基于移動平臺，企業要設置專門的個人信息隱私保護制度

在我國的法律中，還存在一些漏洞，企業要制定專門針對個人隱私的保護法，對個人信息進行詳細的保護，其中有個人信息的保護權、支配權等，個人信息保護權是隱私權的重要組成部分，其中，這些權利也可以適用到政府和企業中，當出現企業信息安全受到干擾時，可以使用該項制度加以約束。

2.4 基于移動平臺，企業應該清除企業信息安全的技術問題

保障企業信息安全的過程中，最重要的是基礎設施的運行情況，在共享信息時，必須采取有效的措施，消除企業信息安全保護的技術性問題，然而，企業信息安全保護本身就存在著安全隱患，其可靠性并不強，信息庫中存有很多無價值的信息，這不僅僅對信息發布具有一定的影響，同時也會造成關鍵基礎設施運行問題。

信息的傳遞要承擔很大的風險，其風險不僅僅存在于信息庫中，同時也會存在于網絡中心的其他成員，一個信息在傳遞后，可能會有很多其他的業務，通過網絡連接后都實現了共享，公司的人員可以通過網絡連接進入系統中，作為信息共享具有選擇性特點，信息共享的業務能夠通過用戶之間的網絡進行互通，這樣就會遭到一些破壞，導致信息的泄露，病毒的攻擊會將關鍵基礎設施破壞，從而進行連續的攻擊，直到系統崩潰，所以，在進行企業信息安全保護的時候，要通過一定的法規，保障網絡安全。

2.5 基于移動平臺，企業要確定網絡安全信息管理者的責任

根據信息的隱私程度，對信息進行整合和加工，從而形成信息的整體性，有些信息會威脅到企業的安全，這些信息是不能泄露的，信息在傳遞的過程中一定要受到制度的規范和制約，提高信息傳遞的安全性。

3 結語

當前，我國的網絡技術高速發展，網絡在帶給人們方便的同時，也帶來了一些隱患，在網絡上，很多個人的信息會泄露，信息的安全性不能保障，而且，現在企業也都在使用移動終端辦公，在這種辦公方式下，提高了企業運行的效率，但是，也會造成一定的安全隱患，在運用移動平臺辦公的過程中，會導致信息傳遞的過程中的泄露問題。所以，企業在運用移動平臺辦公時，應該設計安全系統，并且運用政策提高移動平臺辦公的安全性。

[1]吳晨剛,董恒競,唐勇.基于移動終端的企業信息安全架構設計與實現[J].信息網絡安全.2013.

[2]崔兆強.檢察機關信息安全體系建設探討[J].信息技術與信息化.2014.

[3]羅革新,呂增江,崔廣印,鮑天祥,王振欣,于普漪.大型企業信息安全體系架構設計初探[J].勘探地球物理進展.2011.

[4]張羿,趙志勇,黃治,方俊霆.SOA 安全體系在南方電網信息集成平臺中的應用研究[J].云南大學學報(自然科學版).2013.

[5]吳海燕,于文軒.基于企業架構的大學信息安全架構初探[J].武漢大學學報(理學版).2012.