電力公司移動作業(yè)終端安全防護(hù)研究

引言

隨著移動互聯(lián)技術(shù)快速發(fā)展,各種Android和ios智能終端設(shè)備己經(jīng)普遍進(jìn)入了人們的工作與生活中。移動客戶端豐富多樣的應(yīng)用程序給人們的工作與生活帶來了前所未有的便利,同時也帶來了很大的安全隱患。一方面,由于移動智能終端有一定私密性,大多由用戶自行購買,使用監(jiān)控難度大,成為軍工政企行業(yè)大量涉密單位互聯(lián)網(wǎng)移動智能終端信息安全管理的新難點(diǎn)。另一方面,我國面對國內(nèi)外復(fù)雜的政治經(jīng)濟(jì)環(huán)境,保密行業(yè)的互聯(lián)網(wǎng)移動智能終端信息安全受到各方面越來越大的挑戰(zhàn),傳統(tǒng)的惡意代碼查殺機(jī)制,已經(jīng)難以維護(hù)保密行業(yè)移動智能終端的信息安全。

國網(wǎng)公司要求對移動作業(yè)應(yīng)用的各環(huán)節(jié)進(jìn)行安全保障,防止惡意滲透攻擊,防止數(shù)據(jù)丟失,防止惡意篡改,防止應(yīng)用系統(tǒng)被破壞,以確保移動終端可信,傳輸通道可靠,業(yè)務(wù)應(yīng)用可控,保障公司移動作業(yè)應(yīng)用安全穩(wěn)定運(yùn)行,提升公司移動作業(yè)應(yīng)用終端的防護(hù)能力和防護(hù)水平。

1傳統(tǒng)移動安全防護(hù)存在的缺陷與不足

目前移動作業(yè)安全防護(hù)主要表現(xiàn)在以下方面:(1）無法知道手機(jī)信息被竊取:(2）無法告知手機(jī)是否被遠(yuǎn)程監(jiān)控:(3）無法掌握手機(jī)上惡意代碼行為事件是什么:(4）無法提供手機(jī)上惡意代碼行為分析報告:(5）無法告知所謂"安全"應(yīng)用,具備潛在威脅行為是什么:(6）無法對"中毒"手機(jī)進(jìn)行現(xiàn)場取證。

傳統(tǒng)移動安全軟件檢測結(jié)果只是告知用戶某個應(yīng)用是否有"木馬、病毒",并不提供更多的信息證據(jù)或分析報告,更不會對"中毒"終端設(shè)備進(jìn)行現(xiàn)場取證。

2電力公司移動作業(yè)終端安全防護(hù)工作內(nèi)容

2.1確認(rèn)防護(hù)范圍

通過對公司統(tǒng)推和自建內(nèi)網(wǎng)移動應(yīng)用、外網(wǎng)移動應(yīng)用進(jìn)行統(tǒng)計(jì)分析,確定防護(hù)范圍。調(diào)研發(fā)現(xiàn),目前安徽公司內(nèi)網(wǎng)移動應(yīng)用主要包括13項(xiàng),其中統(tǒng)推應(yīng)用6項(xiàng),自建應(yīng)用7項(xiàng),涵蓋營銷、設(shè)備(運(yùn)檢）和安監(jiān)等專業(yè)。外網(wǎng)移動應(yīng)用34個,涵蓋生產(chǎn)、營銷、調(diào)度、通信、信息等專業(yè),使用終端數(shù)有8000余臺。

2.2統(tǒng)計(jì)防護(hù)對象

通過對公司使用終端統(tǒng)計(jì),內(nèi)網(wǎng)移動應(yīng)用使用了工業(yè)PDA、筆記本、定制設(shè)備等10余種類型終端,使用包括安卓、winMobi1e、winCE等移動操作系統(tǒng):外網(wǎng)移動終端主要為通用的智能手機(jī)和平板設(shè)備,操作系統(tǒng)包括各類版本的Android系統(tǒng)、ios和wP等通用系統(tǒng)。通過建設(shè)移動安全防護(hù)工具,對終端各種惡意代碼(病毒、后門木馬、蠕蟲）進(jìn)行全面檢測,提供移動智能終端惡意代碼檢測和分析、查殺和歸整的移動安全解決方案。

2.3移動終端安全管理

提供策略統(tǒng)一配置、設(shè)備控制和狀態(tài)實(shí)時監(jiān)測能力,實(shí)現(xiàn)終端集中安全管理,強(qiáng)化移動終端自身安全防護(hù)能力,配合采購、準(zhǔn)入等規(guī)范,實(shí)現(xiàn)移動終端全周期統(tǒng)一管理,協(xié)同安全接入/交互平臺、移動互聯(lián)支撐平臺實(shí)現(xiàn)移動業(yè)務(wù)綜合管控,為公司移動信息化業(yè)務(wù)安全綜合保障體系的建設(shè)提供基礎(chǔ)支撐。

2.4移動終端安全監(jiān)控

實(shí)現(xiàn)對移動設(shè)備進(jìn)行全方位安全監(jiān)控,包括設(shè)備是否被RooT、檢測設(shè)備是否安裝不必要的進(jìn)程、檢測設(shè)備是否開啟不必要的端口、終端是否存在風(fēng)險、終端攻擊情況、是否違規(guī)連接外網(wǎng)等。

2.5移動終端惡意代碼檢測

建設(shè)移動終端應(yīng)用惡意代碼檢測工具,實(shí)現(xiàn)對移動終端應(yīng)用未知惡意代碼運(yùn)行生命周期內(nèi)產(chǎn)生的行為進(jìn)行仿真分析和評估判定,并提供詳細(xì)的惡意行為分析報告:同時對信息刺探、數(shù)據(jù)竊取、隱秘監(jiān)聽、遠(yuǎn)程控制等類型的特殊惡意代碼,具備全面的檢測和分析能力。

3研究成果

3.1移動終端安全管理

移動終端安全管理系統(tǒng)如圖1所示。

圖1移動終端安全管理系統(tǒng)

3.1.1移動終端安全策略統(tǒng)一配置

依據(jù)公司移動安全管理要求,形成終端安全策略的統(tǒng)一配置和管理中心,簡化移動終端安全配置管理過程,提升移動終端安全管理水平。

3.1.2移動終端設(shè)備應(yīng)用集中管理

實(shí)現(xiàn)對內(nèi)外網(wǎng)業(yè)務(wù)系統(tǒng)移動應(yīng)用設(shè)備集中統(tǒng)一全周期安全管理,同時通過在移動終端上部署公司安全管家應(yīng)用,為安全管理員提供移動終端安全控制措施,實(shí)現(xiàn)用戶終端可控,終端行為可監(jiān)督,通信鏈路可信,離線數(shù)據(jù)可管理。

3.1.3移動終端安全狀態(tài)實(shí)時監(jiān)測

收集終端狀態(tài)日志和告警信息,實(shí)現(xiàn)應(yīng)用監(jiān)控、流量監(jiān)控、合規(guī)檢查,一方面進(jìn)行告警實(shí)時響應(yīng)和處置,另一方面為分析系統(tǒng)提供元數(shù)據(jù),為公司安全運(yùn)營提供輔助決策。

3.2移動終端安全監(jiān)控

移動安全監(jiān)測系統(tǒng)如圖2所示。對移動設(shè)備進(jìn)行全方位安全監(jiān)控,查看終端是否存在違規(guī)行為,具體包括設(shè)備是否被RooT、檢測設(shè)備是否安裝不必要的進(jìn)程、檢測設(shè)備是否開啟不必要的端口、終端是否存在風(fēng)險、終端攻擊情況、是否違規(guī)連接外網(wǎng)等。

圖2移動安全監(jiān)測系統(tǒng)

3.3終端惡意代碼檢測

終端惡意代碼檢測如圖3所示。首先,工具以Android應(yīng)用程序APK文件作為輸入,通過代碼反編譯模塊進(jìn)行反編譯,獲得Android源代碼。其次,源代碼分析模塊對源代碼進(jìn)行分析,得到敏感數(shù)據(jù)以及API調(diào)用。接下來,安全判定模塊根據(jù)制定的安全規(guī)則,對敏感數(shù)據(jù)以及API調(diào)用進(jìn)行分析,確定是否為惡意行為。最后,系統(tǒng)根據(jù)判定結(jié)果更新惡意代碼庫。

4結(jié)語

本文通過對現(xiàn)有移動終端進(jìn)行調(diào)研,對公司內(nèi)外網(wǎng)業(yè)務(wù)系統(tǒng)移動應(yīng)用設(shè)備終端進(jìn)行統(tǒng)一安全管理,保障各類移動終端安全認(rèn)證和數(shù)據(jù)安全;保障終端數(shù)據(jù)在移動網(wǎng)絡(luò)傳輸過程中不會發(fā)生信息泄漏、被篡改等事件:保障公司信息系統(tǒng)主站、網(wǎng)絡(luò)邊界安全和可信接入:實(shí)現(xiàn)用戶終端可控,終端行為可監(jiān)督,通信鏈路可信,離線數(shù)據(jù)可管理。