移动安全

移动安全（共12篇）

移动安全 篇1

摘要：随着智能移动终端以及移动互联网的飞速发展, 电网企业营销、办公、生产等传统业务范围也在不断向移动终端进行扩展, 如何保证电力企业移动终端远程接入电力信息内网时的信息安全成为电力企业移动信息化过程中亟待解决的问题。本文首先分析企业移动应用的现状, 针对电力企业移动安全接入的业务需求, 以及电力信息安全的特殊要求, 讨论并分析了南方电网移动安全接入平台的安全实现机制。系统从网络传输安全、终端安全、应用安全三个方面入手, 研究并解决移动终端接入过程的信息安全问题;对各种移动终端采取了有针对性的安全策略以提升移动终端安全性, 采用网络隔离和高强度的数据加密/解密接口保证内网的应用的安全。

关键词：移动终端,安全接入,APN,SSL,VPN

引言

目前, 随着移动互联网的发展, 在南方电网公司已经存在一批移动应用, 如移动办公、ITSM、基建作业、营销作业和电力抢修等。但由于各项业务终端和通信网络的不安全性, 为企业内网安全带来了巨大的风险, 主要体现在以下三个方面:

(1) 移动终端自身的安全性问题。由于移动终端接入电力信息内网后可能处于“一机两网”的状态, 即同时连接Internet和电力信息内网, 同时由于移动终端缺乏保护终端数据文件的有效手段, 因此存在电力信息内网敏感信息泄露等安全隐患。

(2) 通信过程中的安全性问题。在移动终端接入电力信息内网的过程中, 以及在接入后数据的传输过程中, 数据传输链路都面临着被攻击干扰、破坏、截获数据、篡改数据等威胁。

(3) 营销终端的访问控制问题。移动终端一经成功接入电力信息内网后就被看作是电力信息内部可信的用户来使用电力信息内网的资源, 一旦终端被挟持, 将会给整个电力信息内网带来不可控制的风险威胁。

因此必须加强企业移动应用的安全保证措施, 才能使个人和企业的数据安全得到保证。

概述

从实践的角度来看, 终端接入企业内网的问题通常涉及三个部分:传输通道的安全、内网应用的安全和终端设备的安全。这三个方面任何一方面出现问题, 都将导致远程接入过程的不安全。而传统的基于APN专网的接入方案都只关注于传输通道的安全, 虽然在某个方面上保证了远程接入的数据传输安全, 但缺乏对整个接入过程的完整保护, 无法保证移动终端在接入内网应用时的安全。

移动安全接入平台从技术的角度出发, 通过对企业应用环境的资产、威胁和脆弱性进行分析, 将整个安全架构在网络传输安全、终端安全、应用安全之上, 以多种技术手段和多重保障机制, 有效地保障企业的网络安全和数据安全。

一、企业移动应用发展现状

4G加速进入生活, 智能手机和平板已经成为我们生活中不可或缺的产品。甚至在工作中, 移动设备也是我们重要的工具和伙伴, 越来越多的人们在工作中使用移动设备。

针对企业员工进行的一项调查数据显示, 62%的员工日常工作中使用智能手机, 56%的员工使用平板电脑。

使用移动设备进行办公已经成为一种全新的工作方式。这种工作方式形式灵活, 不受时间地点限制, 办公效率得到提升, 同时节省了企业的办公成本。

与此同时, 移动设备易携带、易丢失、个人消费应用和企业应用混用等特点, 导致IT支持部门非常担心由此带来的安全风险。这些风险包括:

(1) 数据安全。智能终端易于携带、容易丢失, 会导致敏感商业信息的泄漏, 对数据安全构成极大威胁, 给企业带来法规遵从的风险。此外, 移动终端易被他人非授权使用, 产生拷贝、下载或打印企业内部敏感资料的风险。

(2) 网络安全。由于自携带设备的特殊性, 智能终端经常在不安全网络和企业网络之间来回切换, 因此更容易遭受木马或病毒的侵害, 从而将病毒或木马自动传播至企业网络, 对内部网络安全构成极大威胁。

(3) 应用安全。相当一部分移动设备来自于员工, 而非企业。员工可以任意下载和安装消费类应用, 这极大地降低系统的可靠性, 引入了安全风险, 造成企业数据丢失或设备功能失效。

南方电网为解决移动设备在企业办公中存在的安全问题, 早在2010年就实施了自己的移动安全接入平台, 并建立了《南方电网远程移动安全接入平台技术规范》, 对企业如何进行移动信息化以及移动安全方面做出了积极探索。

二、移动安全接入平台中的安全机制

本文将从网络传输安全、终端安全、应用安全三个方面介绍移动安全接入平台的安全机制。

2.1网络传输安全

网络传输安全通过以下技术手段来保证。

2.1.1 APN技术

APN (Anywhere Private Network) 是解决以动态IP接入Internet的局域网之间的互联, 并以较低成本接入, 以较低通信成本提供较高性能以及可靠的网络专网的计算机网络技术。

在移动安全接入平台中, 移动终端被强制要求通过企业APN来访问系统。终端用户需要经过准入申请和准入审核才可接入网络, 移动终端对企业内网的访问是完全可控的。

2.1.2设备绑定

UDID, 是用于区分设备的GUID唯一编码。由于操作系统厂商的限制, 获取设备物理编码 (IMEI) 变得不可能。因此移动安全接入平台根据一定的编码规则及设备的物理特性为每一台设备生成一个唯一的UDID码, 用于识别移动终端。同时将该编码和特定用户进行绑定。

移动安全平台支持对入网设备的MDN (手机号) 和UDID进行绑定。针对首次入网的设备, 系统将要求用户对该设备进行绑定。绑定是基于向该用户发送认证码短信来进行的, 而用户接收短信的手机号信息来自于平台登录数据库, 而短信的发送完全是由企业管理人员手动操作的。只有经过设备绑定的用户, 才会被系统准入。

一旦设备绑定完成, 该用户的注册账户和该设备的UUID将绑定到一起, 任一信息不符用户都将无法登入平台。从而最大限度地保证设备不被挟持和滥用, 降低资产脆弱性。

此外, 平台可对终端设备进行管理, 如用户的移动终端不慎遗失, 管理人员可通过管理后台的禁止该设备的登录。

2.1.3身份认证

此外, 用户在登录内网应用之前, 需要进行身份认证。平台认证的措施包括用户密码和动态口令。动态口令每次都会随机生成, 客户端不会进行缓存, 并以短信的方式发送到设备所绑定的手机上。

动态口令只在指定时间内有效, 一旦失效只能再次请求新的动态口令。平台管理人员可以指定动态口令的有效时间, 并随时查询动态口令的生成情况及有效状态。

2.1.4信息传输加密

对于在网络中传输的数据, 移动安全接入平台也提供了相应的安全加密措施, 包括客户端与平台之间的各种消息报文、交易信息和表单数据。对于这些高敏感数据, 移动接入平台提供了一种“非对称加密+对称加密”的复合网络传输加密机制。

顾名思义, 对称加密算法, 即加密与解密用的是同一把秘钥;而非对称加密算法, 加密与解密用的是不同的秘钥。

显然, 非对称加密比对称加密有着更高的安全性。因为对于对称加密, 由于加密与解密的秘钥是同一把, 通信的一方必须将秘钥和密文都传递过去, 对方才能解密。而非对称加密则不然, 只需传递密文与用于解密的公钥, 对方即可解密, 用于加密的私钥由己方保留不必传递给对方。目前公认的观点认为:只要钥匙的长度足够长, 使用非对称加密的信息永远不可能被解破。

当然, 由于非对称加密对CPU计算性能的依赖很大, 在使用相同秘钥的情况下, 非对称加密的运算速度比对称密码也要慢许多。此外, 非对称加密长度能够加密的信息的长度往往受限于密钥长度。

因此, 鉴于二者各自的特点, 移动安全接入平台将二者取长补短, 结合起来使用, 极大地保障了移动安全接入平台在网络中的传输的数据安全性和完整性。

2.2终端安全

终端安全技术包括:终端安全检查、代码签名技术、MDM (移动设备管理) 。

2.2.1终端安全检查

终端安全检查是检查终端状态是否合乎安全要求、用户的行为是否合法。移动终端在访问内网资源前, 需要进行安全性检查, 不符合安全检查策略的终端将被禁止访问内网资源。安全检查模块对终端的操作系统版本、系统是否越狱、锁屏密码是否合规、特殊位置的磁盘文件等进行严格检查。

根据检查策略, 系统在处理移动终端接入时会先检查终端是否具备上述一项或者几项特征参数, 依据检查结果判断是否允许该终端与安全接入网关建立连接, 彻底杜绝不健康的移动终端接入内网, 确保移动终端的安全, 从源头杜绝威胁的发生。

2.2.2代码签名技术

代码签名证书为软件开发商提供了一个理想的解决方案, 使得软件开发商能对其软件代码进行数字签名。通过对代码的数字签名来标识软件来源以及软件开发者的真实身份, 保证代码在签名之后不被恶意篡改。使用户在下载已经签名的代码时, 能够有效的验证该代码的可信度。

移动安全接入平台根据不同移动终端所用的平台 (i OS、Android、Windows) 及平台所对应的app商店, 采用不同的技术对app进行代码签名, 从而可让用户确信它来自已知来源, 且自最后一次签名之后未被修改。

2.2.3 MDM移动设备管理

移动安全平台通过MDM进行移动终端的管理。包括:

1) 移动设备访问控制

移动设备本身的访问控制不高, 通常没有安全保护 (如使用简单的滑动锁) 或仅有弱保护 (如使用9点屏幕锁) 。同时, 移动设备很容遗失或被盗。MDM通过锁屏、清除密码、下发策略强制加强密码强度等远程指令来操作设备的访问控制。

2) 数据自毁

通过MDM的“远程擦除”操作, 可以强制销毁移动设备上的所有用户数据。防止用户隐私或企业数据泄露。

3) 应用程序管理

对于“托管”设备, MDM可以检查设备上的应用安装情况, 存储空间大小, 操作系统版本以及是否越狱等状态, 一旦发现设备上安装可疑程序, 即可通过安装在设备上的MDM代理服务终止企业应用程序运行。

2.3应用安全

应用安全包括:应用数据加密、权限控制、企业应用商店。

2.3.1应用数据加密

数据的保密性要求我们对于企业中敏感数据进行必要的加密和访问控制。

移动安全接入对用户敏感数据, 例如用户密码、证书及密钥进行加密处理。此外, 对于缓存在客户端的企业机密数据, 包括移动办公系统中的各种内部文档、组织结构和企业通讯录, 也进行了加密处理。

2.3.2权限控制

对于移动安全接入平台系统来讲, 访问控制主要是基于角色进行访问的控制。基于角色访问控制也是在信息系统中使用比较广泛的访问控制机制。用户在通过了平台的身份认证后, 只能看到相应权限下才能查看数据, 以及使用相应权限才可操作的功能。

2.3.3企业应用商店

南方电网移动安全平台内置企业应用商店, 所有移动应用终端app均在企业应用商店内进行发布, 由企业代替操作系统厂商对应用进行管理。

同时, 对于企业应用商店中的应用, 可通过MDM进行企业应用的无线部署 (OTA) 或直接推送至终端桌面。通过企业应用商店这一有力工具, 无疑将极大地简化应用的安装和升级步骤, 改善用户体验, 并保证了移动应用来源的可靠性和安全性。

三、结论

企业办公移动化必将成为下一轮企业发展的新趋势。于此同时, 企业必将在IT安全和管理方面遭遇新的挑战。南方电网移动安全接入系统是南网信息化建设中的重要组成部分。

南网移动安全平台在分析总结企业移动应用接入现状的基础上, 以保证移动终端接入的安全性为目标, 深入研究了安全接入的关键技术, 从网络传输安全、终端安全、应用安全三个方面入手, 研究并解决移动终端接入过程的信息安全问题, 有效地保障了企业的网络安全和数据安全, 极大地推动南网移动信息化和“六加一”工程的建设, 符合南网“十二五”信息化规划的远景目标, 加快南方电网网内信息资源的整合及信息的规范化、一体化建设。

参考文献

[1钱煜明.BYOD企业移动设备管理技术[J].中兴通讯技术, 2013, 9 (6) .

[2]许丽萍.BYO来袭把握移动安全四大趋势[J].上海信息化, 2013, (6) .

[3]孙强强.BYOD在电力企业中的研究与应用[J].现代计算机, 2013, (4) .

[4]杨宏焱.企业级i OS应用开发实战[M].北京:机械工业出版社, 2013.

[5]杨宏焱.i Phone/i Pad企业移动应用开发秘籍[M].北京:海洋版社, 2013.

移动安全 篇2

“对于消费者而言，网络犯罪似乎还是一种仅仅威胁大型企业、无暇侵犯个人权益的隐患。然而在线交易频率的持续走高已经让普通用户成为 的目标。移动设备如今已经开始保存大量个人重要信息，包括信用卡号码，因此高枕无忧的时代已经一去不返了，”Stonesoft公司CISO Joona Airamo表示。

恶意软件严重威胁移动设备安全，保存在手机或平板设备中的数据一旦泄露，后果也同样不堪设想。有鉴于此，Stonesoft公司为我们总结了保障移动安全的十大诀窍：

1.定期更新移动设备操作系统。虽然大多数系统更新都会自动完成，但大家在选购新产品时，请务必确认该设备能够正确安装全部系统更新补丁。

2.只从iTunes、Google Play或者Nokia Store等可靠来源下载并安装程序。也许某些平台上的软件更便宜，但其中更可能包含恶意软件。

3.当心应用内部的购买项目，它们很可能价格不菲，

例如，孩子们可能急于让自己的游戏角色强力起来，却并不理解自己购买的游戏项目要花多少现金。在大多数设备中都可以通过选项关闭内部购买功能。

4.当心我们为应用授予的操作权限。请定期检查使用中已经接受过的权限与隐私政策。应用程序可能根据位置信息、网络连接之类项目跟踪用户的当前所在地，这可不是什么好事。

5.记得更改SIM卡的默认访问码与PIN码。别用生日或者其它一些容易被猜到的数字组合。另外务必将系统设定为每次操作都需要输入这些安全码。

6.如果设备支持数据加密功能，请一定记得开启。

7.将设备与能够远程定位失窃设备的在线服务进行绑定，并在必要时进行远程数据清除。

8.如果设备被盗，请立刻与运营商联系将手机卡锁定，并将业务转移到新卡上。

9.不打算用的旧设备必须恢复到出厂设置，并删除所有SIM卡及存储卡中保存的信息。

10.定期对设备中的数据进行备份，这方面云服务能帮上大忙。但不要未经允许就把雇主信息发送到云端。

聚焦移动安全 篇3

应用沙龙

主持人：

金 琦 浙江师范大学附属中学

嘉 宾：

邱元阳 河南省安阳县职业中专

刘宗凡 广东省四会中学

伴随着移动通信和互联网融合的扩大和深入，移动互联网开始为用户提供更具有移动特性、更丰富多彩的应用服务。一方面，各式移动终端极大地改变了我们的生活方式，它让我们的生活、工作变得更加方便；另一方面，正是由于它与我们的生活、工作的联系如此紧密，与之相应的移动终端安全问题也日益突出，引起了社会的广泛关注。本期将根据不同情况，探讨移动终端的一些常见的安全问题以及相应的防护措施。

金琦：乔布斯创造的苹果帝国

自2007年乔布斯发布第一款iPhone开始，因为卓越的设计和总是提前采用更先进的技术，使得苹果产品成为当今许多人忙碌生活中的必需品，iPhone以及相关设备的用户近年来不断增长，到2016年初，其用户数量已经超过了10亿。

从安全的角度看，iPhone也成为硬件工程师和黑客们的兴趣点。很多人花费大量的时间尝试了解iPhone的内部机制，包括它所用的硬件、操作系统如何运作、安全机制的设立等。众所周知，iOS已经从最初的一个相当不安全的平台变成了现在市场上最安全的手机系统之一（如下页图1）。

iOS的封闭性是毋庸置疑的，默认情况下，iOS设备是禁止第三方更改其操作系统的。这就意味着，用户不能像使用Windows那样访问他们的设备，而且iOS也没有文件管理器这个概念。因此，很多人希望能够在iOS上面做更多的事情。一些有热情的开发者，对iOS平台内部工作机制进行大量研究，其目的是获取iOS系统的最高权限，也就是为人熟知的“越狱”了。

从正式命名到现在，iOS陪伴消费者已有8年之久。在iPhone发布之初，苹果公司限制了第三方应用的运行，用户如果想浏览网站，只能通过内置的Safari浏览器。很显然，缺乏第三方应用的支持使消费者们无法充分地发挥他们设备的性能。当时的黑客便开始致力于破解iPhone，惯用的手法是通过刷机或者“越狱”来安装第三方软件。

让时间回到九年前的那个夏天，世界上的第一台iPhone闪亮登场。但它问世没多久，就被乔治·霍兹（George Hotz）破解了，他认为，破解的核心在于让硬件能够接收到自己的指令，并按接收到的指令去做，类似于催眠。几周后，他找到了基本的思路。凭借着一把螺丝刀和一个吉他拨片，霍兹撬开了iPhone，找到了自己要找的东西——基带处理器。正是这小小的黑色塑料片，决定了iPhone只能在AT&T的网络下工作。霍兹在基带处理器上焊进一条线，附上电压，扰乱了它的编码，实现了操控iPhone的目的。之后他为这台iPhone写了一个程序，使其能够在任何运营商的网络下使用。随后霍兹就迫不及待地用摄像机记录下这一过程，并把视频发送到Youtube上。这段展示全球首台破解版iPhone的视频很快就吸引了200万的访问量，霍兹也因此一举成名。马上，他通过网络将自制的破解iPhone进行拍卖，换得了一辆尼桑跑车和3台新iPhone。

可能是受到这一举动的影响，2008年，苹果公司发布了新版本的iOS，这个版本内置了一项全新的服务，那就是众所皆知的AppStore。AppStore提供了用户购买与安装应用的机会。自AppStore发布至今，已有超过100万App发布并可购买，累计下载量超过500亿。

早期的iOS版本在安全防护方面做得很少，所有的进程都拥有超级用户的权限。进程在系统资源的使用方面也没有限制。随着时间的推移，苹果公司开始引入更为安全的系统功能。从AppStore下载的App是以Mobile权限运行，最引人注目的应该是沙箱（Sandbox）功能了。

所有这些改变和优化处理成就了今天的iOS，iOS也因为它的安全模式获得了巨大的成功。事实上，AppStore中应用的总体分配过程以及当前iOS系统所实现的安全措施集合，使得iOS已成为最安全的消费级操作系统之一。

虽然iOS在安全方面获得了巨大的成就，但就此认为iOS无法被入侵是非常幼稚的，上期就提到了几种方式，成功入侵了iOS平台。就目前而言，相对于其他系统，想对iOS设备发起一次成功的攻击，可采用的方法是有限的，苹果公司也能迅速发布解决方案，因此用户使用不“越狱”的iPhone手机，安全系数较高。

刘宗凡：漫谈恶意软件

随着移动设备的发展和流行，移动设备上的恶意软件问题渐渐地凸显出来。与桌面平台的发展类似，在移动设备发展的初期，它们并不是以恶意传播为目的，而通常是出于好奇心或者作者的恶作剧。随着时间的推移，恶意软件的目的有了根本性的转变，从刚开始为了博人眼球，到后来以收费诈骗甚至信息窃取为主。目前已知最早的移动恶意软件是RedBrowser，它于2006年出道，与其前辈有许多重要的不同之处。首先，它专门感染采用J2ME（Java 2 Micro Edition）平台的手机。该木马会将自己伪装为一款能够更容易浏览WAP（Wireless Application Protocol）网站的应用程序。由于攻击目标是应用广泛的Java，而非移动设备的操作系统，因此攻击的范围变得更广了。其次，这款木马利用了高级SMS订购服务，导致手机用户要为每条SMS支付5美金的费用。看到如此高的回报，恶意软件开始变得一发不可收拾。

三年前，安卓平台在全球智能手机市场上占据的份额已经超过八成。此外，它还有一个更大的数字——97%，这是安卓平台在全球手机恶意软件中占据的份额。

1.安装方式

安卓平台上的恶意软件经常伪装成热门软件来吸引用户下载，从而达到快速传播的目的，常见的安装方式如下：

（1）应用重打包

恶意软件制作者会选择一款热门应用，对它进行反编译，去除第三方库等外部通用代码之后的部分，然后植入恶意代码，提交给应用商店。由于重打包应用需要保持原应用的功能，因此对核心代码不会做很大的改动。

（2）钓鱼式引导

很好理解，恶意软件制作者会放出一个钓鱼链接供用户访问，在未经用户允许的情况下安装恶意软件。

（3）升级包

在更新时动态获取或下载恶意软件，这种方式最近越来越流行，一般的静态代码分析无法检测。

恶意软件安装到用户手机后，一般会监听系统日志。因为安卓系统的广播系统会自动进行事件通知与函数调用，因此无需用户启动即可触发。例如，Boot_Completed常被恶意软件用于开机自启动，SMS_Received被吸费扣费类恶意软件用于监听拦截来自网络运营商的服务。

2.恶意行为模式

安卓平台恶意软件的恶意行为模式主要有以下几种：

（1）恶意消费

恶意消费软件的显著特征是感染后会在系统后台执行扣费操作，具体地说就是通过定制SP业务从而自动发送短信和拨打电话。比较典型的就是MDF.A.keji.a，该类程序一旦被诱骗安装到手机上，就会在后台发送付费短信，达到恶意扣费的目的。

（2）隐私窃取

隐私窃取是近年来常见的一种手机安全威胁，在用户不知情或未授权的情况下，获取用户隐私信息。用户一旦感染了具有隐私窃取行为的恶意软件，本机已安装应用列表、本机所有联系人姓名和电话、当前位置信息、手机短信、彩信、手机邮件内容都存在被泄露的风险，更为严重的是使用手机登录的各类账号都存在被盗用的风险。比较典型的就是基于木马FCS.A.Bg.a开发的各类恶意软件。

（3）远程控制

多数恶意软件远程控制模块使用HTTPS协议连接，手机感染该类恶意代码后，会在后台自动连上对应的服务器，等待攻击者发送指令实施攻击，常见的该类病毒有金山率先发现的MDF.A.Pico.a，当然读者也可以尝试安装Webkey这种远程登录控制软件，体验在计算机浏览器中打开手机屏幕，并执行手机程序。

（4）权限提升

现在大多数安卓系统在安装新应用时会告知用户需要请求的权限，用户只能选择完全接受或者取消安装，这已经让很多用户诟病了，但权限的提升更危险，能够突破安卓权限机制和沙箱机制，甚至允许恶意软件执行Root权限。

当安卓在Google Play和各种第三方应用商店备受应用软件困扰时，苹果却几乎没有受到影响，并且大多数恶意软件还是运行在“越狱”了的苹果设备上。

2009年，人们发现了第一款iOS设备上的恶意软件，它伪装成iOS的固件。安装后，软件会显示一条消息，称“你的手机因为不安全，已被入侵，请访问www.doiop.com/iHacked解锁”。当受害人访问后，便会被要求支付5美元以获取如何修改他们的密码和删除该恶意软件的信息。

iOS几乎没有恶意软件，而安卓平台充斥着恶意软件，这令很多人称赞苹果，但事情没有这么简单。首先我们从市场占有率来分析，安卓平台的占有率已经超过八成，为了利益，大多数恶意软件的开发者会把安卓平台作为主要攻击目标。其次从评估过程来分析，安卓平台的开发者只要一次性支付完25美元后，就可以上传应用到Google Play中，过了大约30～60分钟，就会出现在Google Play。Google的办法是使用一个叫做Bouncer的“云终端”扫毒软件，然而像前面提到的更新包就无法被检测。与此对应，AppStore采用静态分析以自动检测API是否合理，并对提交的应用进行人工检查，所以审批过程通常会花费一星期左右的时间。另外，AppStore要求开发者每年支付99美元的开发费用，因此会提高进入的门槛。我们可以认为苹果的严格注册和检查过程减少了其App商店中的恶意软件数。最后我们看一下第三方支持性，安卓平台是一个开源平台，支持未知来源的App，这意味着用户可以安装来自任何地方的App，当然也容易从有恶意的网站安装到恶意软件。默认情况下，手机安装未知来源软件是不允许的，但是许多用户会同意安装，同时用户也会被欺骗修改了安全设置。虽然安卓不会安装未签名的APK，但是安卓也不关心是谁签名了该应用。所以谷歌或其他受信任的应用商店没有必要对应用进行签名。另外，苹果只允许用户从它自己的App商店或企业应用商店（假定适当的企业配置文件已经安装在设备中）中下载安装应用。iOS内核通过只执行经审核过可信签名的代码来强化这种限制。用户必须“越狱”后才能在他们的手机中安装第三方市场的应用。

恶意软件的制作者也没有停下升级的脚步。恶意软件的数量在不断增大，质量在不断提升，移动系统的安全性也随之不断提高，如之前提到安卓6.0系统的安全性有了很大提高，但是安卓系统是开放式系统，品牌的全面更新换代较缓慢。谷歌2015年10月就已经推出了安卓6.0系统，直至今年2月，其市场占有率仅仅达到1.2%，市场上占有率最高的仍是安卓5.0和安卓4.4等早先发布的版本。与此相反，苹果iOS系统于2015年9月发布了iOS9.0版本，至今年初已经占据苹果手机75%的份额。这主要是因为苹果系统的更新是通过苹果公司直接向用户推送来实现的，而安卓系统除了Google开发的nexus系列设备，其他各个手机品牌基本上是使用经过自己改装的系统（基于安卓平台），用户只能收到基于手机品牌安卓系统的推送。由于很多厂商采用了机海战术，种类繁多的机型使得厂商无法及时推出升级包，导致很多设备一直停留在刚发布时使用的系统，造成Google发布的最新安卓系统难以在第一时间推送到用户手中。尽管安卓系统在与苹果等其他系统的竞争中将继续保持优势地位，但谷歌必须加强与各个手机品牌的合作才能加速安卓系统的更新换代。

邱元阳：移动网站暗藏玄机

很多时候，漏洞的来源并不是移动设备，而是用户所访问的网站。

手机中的各种不同版本的主流浏览器已经和桌面版本非常相似，所有HTML5的效果通常也可以在这些移动端APP上实现。所以很不幸，这些平台存在的XSS攻击、SQL注入攻击等对于移动设备也同样有效。

XSS是Web应用程序没有充分过滤用户输入内容，或者浏览器没有充分过滤页面输出内容，导致的应用层安全漏洞。攻击者利用XSS漏洞能访问受害者的敏感信息。XSS攻击有三个步骤：①用户访问的网站是一个存在XSS漏洞的网站。②攻击者发现该网站的XSS漏洞，向其中注入恶意代码，并诱导用户点击访问。③用户访问了注入恶意代码的Web页面，恶意脚本在用户的浏览环境中执行，攻击者的攻击目的达到。

与PC浏览器相比，大多数移动设备的存储容量是比较小的，这就限制了移动浏览器存储的信息量。主要的差异就是为Cookies分配的存储空间，在PC中，网站会给不同功能应用以不同的Cookies，包括维持会话的Cookies，而在移动设备中由于存储空间有限，一般只会存储会话Cookies。

最近新浪微博爆出一个XSS漏洞，攻击者只要精心构筑一个页面，受害者一旦进入该用户构建的首页，就会把自己的Cookies传输到攻击者的服务器中。攻击者获取了受害者的Cookies后，就可以登录他的微博账号（如图2）。

SQL注入是一种非常古老但实用的攻击方式。这种攻击方式主要是攻击者通过Web向后台数据库发送SQL语句，这些Web程序未审查输入或未采用参数化查询请求。SQL注入的原理很简单，攻击者向Web程序中的Form、Cookies字段插入SQL语句，而不是合法的值。这些Web程序收到用户的输入信息后将其传输到数据库，数据库接收到信息后执行语句，如删除用户。已经有黑客实现了用一条含有SQL语句的短信控制手机。

为了避免SQL注入漏洞，就需要Web程序能够清晰地区分SQL语句与其包含的参数数据。如果参数数据被构建成SQL语句的一部分，就将导致SQL注入能产生严重的后果——从干扰用户的错误提示到能够使整个Web平台崩溃。在现今的安卓平台上，可以从查询语句中区分参数数据来进行参数格式查询，安卓中ContentProvider的方法query（ ）、update（ ）、delete（ ），Activity的方法managedQuery（ ）都支持参数化查询。使用“String [] selectionArgs”参数，该参数是一个值的集合，插入到查询语句中的“？”，并以问号出现的顺序依次插入，这样可以防止用户输入导致的SQL注入。

二维码扫描也存在问题。2014年，安卓平台上的Webview UXSS漏洞掀起了一场腥风血雨。由于安卓系统自带的WebView组件使用Webkit作为浏览器内核，导致Webkit的历史漏洞就存在于Webview中，其中包括危害比较大的UXSS漏洞。WebView组件用来渲染网页，几乎存在于所有的Android App中。如果扫描二维码得到的结果是个网址，大部分App会直接用Webview来打开，由于Webview存在UXSS漏洞，所以很容易导致资金被窃、账号被盗或者隐私泄露。识别出来的二维码默认以HTML形式展示，可以执行HTML和JS，因此也可以执行XSS代码。如图3所示，用户扫描了恶意二维码后，攻击者便有权限读取本地文件。

金琦：未雨绸缪，提前防护

简单概括一下，移动安全有着很长的一条信任链，关系到了移动设备、App、移动网络。移动设备上容易出现预装App产生安全威胁。移动应用方面，从第三方应用商店下载下来的App，很容易产生恶意收费、窃取隐私的情况。移动网络也不容乐观，伪基站、中间人攻击等环节出现问题，都会构成移动安全问题。正是因为移动安全的信任链如此之长，所以下手的途径和方式非常之多，使得移动安全的应对很复杂。

某些时候，手机如果遗失或者被窃，损失最大的可能还在于手机中的关键个人信息落入了他人手中，进而造成严重后果。比如对于无锁屏密码或者无指纹密码的手机来说，不怀好意者可借此登录网上营业厅，输入随机密码就可以获得手机主人的所有实名信息。之后便可以用此号码进行支付宝、银行卡等财产操作。

为了防范丢失手机造成严重后果，手机的锁屏和SIM卡的PIN码必须同时启用，缺一不可。只要手机的SIM卡设置了PIN码，那么此SIM卡插入另一台手机就需要PIN码进行解锁，不解锁就无法接收短信和拨通电话。

iPhone用户可打开指纹验证和“查找我的iPhone”功能，iCloud设置强力密码，并开通二次验证功能。

支付宝等常用App建议开启指纹密码和付款密码。

发现手机丢失后，应立即拨打电话给通信运营商，挂失SIM卡。iPhone用户立即登录iCloud网站，启用“查找我的iPhone”并开启丢失模式。

安卓用户可以下载Lookout应用，在错误地输入手机密码、取出SIM卡、开启飞行模式、关机和移除Lookout应用这五种行为后，Lookout会自动利用手机前置摄像头拍摄照片（因为它假设可疑人员在使用手机），同时记录拍摄时间和地点，之后将这些信息以电子邮件的形式发送给机主，方便他们采取下一步行动，如抹去手机记录或者直接报警。

为了保证App能安全使用，iPhone用户尽量不要“越狱”，也不要下载未经AppStore审核的应用。建议安卓用户最好给手机安装一个安全软件，如360手机卫士、腾讯手机管家、金山毒霸、百度手机卫士、Avast！等，这些安全软件基本能在下载和安装阶段拦截掉病毒。更需格外引起注意的是：不要随便扫描二维码，下载APK安装包，更不要安装不了解的App。如果安装了一个App后发现没有图标，有大概率是病毒应用，此时应该立刻打开飞行模式，断开网络，把支付宝等余额转入关联的银行卡并解除银行卡绑定。备份手机里的重要资料，如通讯录、短信、通话记录，之后恢复手机出厂记录并格式化存储卡。

VPN（Virtual Private Network/虚拟专用网络）被定义为通过一个公用网络建立一个安全的连接，VPN主要采用隧道技术、加解密技术、密钥管理技术以及使用者与设备身份认证技术。安全的VPN使用加密穿隧协议，通过阻止截听与嗅探来提供机密性，还允许发送者身份验证，以阻止身份伪造，同时通过防止信息被修改提供消息完整性。对于公共Wi-Fi，有条件的用户可以申请一个VPN账号，之后关闭所有应用，开始连接VPN。使用了VPN后可以防止中间人攻击和恶意引导，不过对伪基站攻击无法防御。

浅析移动支付安全 篇4

一、移动支付概述

移动支付, 也称为手机支付, 就是允许用户使用其移动终端对所消费的商品或服务进行账务支付的一种服务方式。移动支付业务是由移动运营商、移动应用服务提供商 (MASP) 和金融机构共同推出的、构建在移动运营支撑系统上的一个移动数据增值业务应用。

移动支付与一般的网上支付相比具有其明显的一些特点, 主要包括:

移动支付不受时间、地点等因素的约束, 随时随地都可以进行交易。

由于移动支付主要通过手机进行交易和支付, 而手机一个最大的特点就是私密性, 所以容易实现对于交易信息的私密性的保护。

与PC机相比, 手机的硬件资源明显不足, 这也为通过手机进行交易处理以及存储信息带来了缺陷。

由于通过移动终端进行交易, 电池是其惟一的能量来源, 而目前的手机电池一般仅能满足几小时的移动商务交易执行, 所以, 为连续的移动交易支付带来了不便。

二、移动支付方式

移动支付的分类方式有很多, 但总体上可以归结为两类支付模式:近程支付和远程支付, 所谓近程支付, 就是基于交易现场的手机支付方式, 账户信息存于手机之中, 通过近距离无线通讯技术在特定刷卡终端, 现场校验账户信息并进行扣款支付。如通过手机刷卡的方式可以乘坐公交车、在超市商场买东西等。远程支付, 类似于互联网的在线支付, 指用户通过手机, 基于移动通信网络, 通过WWW、GPRS、WAP、STK等方式远距离完成的支付行为。如通过手机、PDA等移动终端购买彩票、买卖股票等。

三移动支付安全技术

1.WPKI

无线公开密钥体系即WPKI, 是将电子商务中的PKI引入到无线网络环境中的一套遵循已有标准的密钥及证书管理平台体系, 通过无线公开密钥基础设施管理在移动网络环境中的端到端的安全交付, 从而能够建立有效的、安全的无线网络环境。

WPKI是在PKI标准的基础上改进发展而来的, 从而能够适应移动网络的安全性需求。它采用了优化的椭圆曲线加密算法以及精简的X.509数字证书, 通过第三方可信机构即认证中心验证用户的身份, 从而保证了移动网络环境中的可信传输。

2.安全认证协议

目前在移动电子商务中常用的安全认证协议主要有SSL安全套接层协议和SET安全电子交易协议。

SSL协议保障在因特网上的数据传输安全, 利用数据加密技术可确保在网络上传输的数据不被窃听、截取以及篡改。SSL协议可分为两层:SSL记录协议, 它建立在可靠的传输协议之上, 为高层协议提供数据封装、压缩、加密等基本功能的支持;SSL握手协议, 它建立在SSL记录协议之上, 用于在进行数据传输之前, 对通讯双方进行身份认证、协商加密算法以及交换加密密钥等操作。

SET协议是在B2C模式的基础上, 基于信用卡支付设计的, 采用了公钥密码体制和X.509数字证书标准, 保证了在开放的网络上使用信用卡进行在线商务交易的安全, 具有保证交易的机密性、不可抵赖性、交易数据的完整性及真实性等优点。

四、总结

随着无线网络及移动通迅技术的不断发展, 中国的移动支付作为移动增值业务, 获得了一个良好的发展机遇, 有着广阔的发展前景。而在移动支付的各个环节中, 如何能够保证支付的安全性是应该着重考虑关心的问题, 这也是移动电子商务未来发展所不可回避的重要研究课题。

参考文献

[1]关振胜.公钥基础设施PKI与认证机构CA.北京.电子工业出版社.2002, 01, 121-154[1]关振胜.公钥基础设施PKI与认证机构CA.北京.电子工业出版社.2002, 01, 121-154

移动智能终端安全问题 篇5

移动智能终端需要加强自身安全防护，使用安全机制和绿色软件，加强终端的安全能力，消除操作系统、外围接口以及应用软件等安全隐患。

首先可以控制终端访问，将用户的安全数据隔离开来，放置在私密数据存储区域内，没有授权的程序均不可访问这个区域的内容;细化每个功能模块的权限，每个用户根据各自的身份各司其职，有条件的可对移动智能终端提供密码或指纹识别保护，一旦终端处于待机状态，使用相应的密码或指纹对终端锁定;严格管理应用程序的开发接口，确保这类接口不被第三方利用，一旦发现开发接口出现在第三方开发的程序中，便终止该应用程序，提高智能终端的安全防护系数。

任何终端都没有绝对安全的可能性，特别是智能终端，用户可以随意安装应用软件，其感染病毒的可能性远远超过普通终端，所以用户需要安装杀毒软件，定期检测和更新病毒库。

3.2 加强互联网安全保护措施

若用户要防止数据损坏或者丢失，最便捷的方式便是联网进行数据备份。

目前大多数运营商都为智能终端提供数据备份业务，用户可以随时随地的将短信息、通讯录、备忘录上传到备份服务器，若数据丢失便可以通过网络恢复数据。

移动终端应配备远程保护程序，若手机被盗或遗失，能够远程锁定移动智能终端，远程销毁用户数据或者取回相关数据;此外还应配备安全联动系统，从源头杜绝网络安全威胁。

安全联动系统可以提供由网络接入控制到应用服务控制的多级控制手段，充分弥补单向控制的局限性，从源头上阻止针对特定服务而带来的网络流量冲击，预防网络病毒[3]。

互联网和移动智能终端开发技术的发展，必将使得终端生产成本不断下降，终端的应用也必将越来越丰富，移动智能终端的安全防护也成为一个日益重视的话题。

移动智能终端的安全防护是一个多领域交叉的产业链，包括设计公司、生产厂商、芯片公司、软件公司等，为确保移动智能终端的安全性，不但要用户自身注意防护，还要以上研发机构的共同努力。

做到技术上规范，工程上合理，同时不断制定、健全和完善相关的法律法规和监督机制。

在有效的技术手段支撑下，加强行业自律，实现产业联盟，为移动智能终端用户创建一个安全的操作环境。

参考文献：

[1]工业和信息化部电信研究院.移动终端白皮书[R].中华人民共和国工业和信息化部，.

[2]徐千，李钢.移动智能终端的使用对移动网络影响分析[J].信息通信技术，2012，4：006.

拉响移动安全预警 篇6

“3G手机的病毒可能突破上千种”，“手机病毒的年度增长数量将有可能超过过去10年的总和”、“移动安全问题将成为3G时代的梦魇”……悲观的预言总是不绝于耳，引发人们对于移动互联网安全性的担忧。

试想一下，未来的智能终端，甚至可以取代现在的Pc，而与它做同样多的事情，那么，目前PC所面临的安全威胁是不是也可能蔓延至手机，引发新一轮的安全危机?

移动中的危机

事实上，手机病毒的威胁一直存在。早在2005年芬兰赫尔辛基举行的田径世锦赛上，一款名叫Cabir的手机病毒通过使用近距离蓝牙无线信号在手机间传播，短短几天内其变种上升到55种。

同一年，手机病毒首次在企业大爆发。这款名叫Commwarrior．B的病毒将攻击对象锁定在运行Symbian Series60操作系统的手机，利用蓝牙技术和彩信传播。北欧地区某公司的一名员工收到了Commwarrlor．B并激活了它，很快该病毒将自己发送给了地址簿中的所有地址，导致更多的员工打开了该病毒，造成病毒传播的大规模爆发。该公司的运营商不得不临时关闭彩信服务，员工关闭手机蓝牙，病毒传播的势头才被遏止。

伴随着智能手机和移动互联网的流行，用户使用手机访问网络资源的习惯正在逐渐形成。中国互联网信息中心报告显示：中国的移动互联网用户数量在2008年的增幅高113％，并预计在未来数年会进一步大幅度增长。越来越多的手机用户利用手机进行办公、理财等活动，如用手机收发邮件、存储重要数据、手机钱包、移动商务等等。

对企业而言，移动办公对员工工作效率、盈利能力和竞争力都有着深远影响。企业员工、合作伙伴、供应商以及客户都希望能随时随地的，通过各种方式访问其所需的数据及应用程序。一项由赛门铁克公司发起的调查显示，受调查的600名智能手机用户中有60％的人将自己的商业机密数据储存在他们的智能手机中。

各种移动应用的实现，让手机病毒具备了合适的传染源、传染途径以及传播目标，为黑客对于手机安全的进攻提供了机会。手机病毒发展到今天，主要通过蓝牙、多媒体服务、手机bug等方式传播，攻击手机提供的互联网内容、工具、服务项目和WAP服务器、网关等，导致用户的话费损失、移动办公信息和私人信息被窃、远程盗号、局部网络通信瘫痪，甚至损坏SIM卡、芯片等硬件设备。

红与黑的较量

一面是移动办公优越的便利性，另一面则是潜藏的移动安全“炸弹”，这两者之间是否真的是鱼与熊掌，不可得兼?

为了解决数据丢失和未经授权访问所带来的业务风险，确保远程访问的安全性是IT部门的重要工作。对于大多数应用程序，基于安全套接层协议(SSL)的虚拟专用网络(VPN)是解决方案之一，它采用加密隧道协议在内部网络和远程用户之间建立一个安全的连接，不需要使用第三方客户软件和低成本的优点，易于支持和维护。

“保护IT资源和用户身份是安全企业运营的基石。安全的远程访问网络、应用程序和数据对移动员工十分必要。”数字安全厂商金雅拓数字认证与安全业务亚洲区高级副总裁伍福成表示：“只部署VPN并不能一步到位解决问题。维护远程办公的安全还有许多工作要做，其中重要的一环是身份认证，只有授权人士才能进行访问，VPN方案及公司内部网络的安全才能得到保障。”他建议引入双因素认证系统，通过结合用户基本信息以及用户拥有的安全设备如安全令牌、一次性密码生成器或智能卡来鉴定身份。

目前国内市场上，卡巴斯基、赛门铁克、瑞星、McAfee等安全软件厂商都已经开始针对手机病毒推出杀毒解决方案。卡巴斯基产品部经理高炜玮告诉记者，与Pc反病毒类似，在个人手机的安全防护方面，手机反病毒软件可以做到实时拦截、提示不安全信息、来电防火墙、文件夹加密、杀除已确认的病毒、恢复感染文件等众多安全功能。

当然，这场“红”与“黑”的较量只是刚刚开始。高炜玮表示，在6年前，卡巴斯基就开始进入手机安全领域；但直到2年前，中国的手机安全市场才出现启动的迹象。而且，除了手机病毒、信息外泄等问题外，还有不少手机安全问题尚待解决，如信息在空中被拦截可能造成的数据泄密等。

呼之欲出的市场

移动安全的预警已经拉响，但是由于在起步阶段缺少成熟的模式，杀毒软件厂商却在手机安全软件市场遭遇尴尬。

首先，手机病毒危害性还未引起大多数人重视，不少手机用户并不清楚手机病毒的危害；其次，由于市场上手机型号和操作系统繁多，加上硬件条件如内存的限制，使得移动安全技术门槛升高，手机反病毒软件厂商的研发成本大大增加，从而制约了产业发展；第三，手机安全软件的盈利模式并不完善，软件提供商生存压力大。与安全厂商在电脑反病毒软件靠免费推广的方式一样，手机安全产品还处于免费试用期，市场远没有达到收费的成熟期。

尽管如此，这个市场还是令人期待。目前，网络安全专家已发现的手机病毒超过500种。未来手机病毒的发展，将会伴随移动互联网的发展呈现出爆炸式的增长，而手机安全市场蕴藏的巨大商机已经逐渐显现。市场研究公司JuniperResearch一份研究报告预测，2011年手机安全市场的收入将达50亿美元。

营造安全的移动市场，不仅要靠手机安全厂商提供的相关软件，同样需要电信运营商、手机制造商和手机安全软件厂商等整个产业链上下游的密切配合。例如，智能手机厂商推出Symbian、Windows Mobile以及Android、Linux等开源系统，令五花八门的手机应用轻松装入手机，而黑客同样可以采用下载、信息链接等无孔不入的方式，将黑客软件装载进手机，对企业及个人的信息安全造成不可估量的损害。

移动安全之辨其形 篇7

在中国第十一届互联网大会的互联网领袖对话环节，当主持提问“过去一年，行业最重要的趋势是什么”，奇虎360董事长周鸿祎、即刻搜索CEO邓亚萍、当当CEO李国庆的回答都非常相似——移动互联网。

移动互联网的繁荣，正是依赖于大量智能手机的使用，智能机使用最多的操作系统有：Android, iOS, Symbian, Windows Phone和BlackBerry OS，其中，Android系统是移动安全的重灾区。传统的移动终端，只是人们的通信工具，智能机因为其强大的功能和极大地开放性，使移动终端成为了个人的信息中心，隐私中心。

因此，移动的安全问题，也由原来简单的扣费和短信骚扰，升级到更严重的经济诈骗等复杂的问题上，移动互联网的安全呈现出脆弱性、开放性、广泛性、复杂性等特征。

一号病毒

2012年上半年，智能手机的病毒增长迅猛，Android平台病毒尤为严重，相比2011年同期有明显增长，尤其是6月份以来，Android平台手机病毒种类与数量的高速增长尤为明显。手机木马目标除了悄悄吞噬用户的手机话费，更有瞄准了手机通讯录、照片、短信、设备信息等用户隐私的病毒。

腾讯移动安全实验室首份移动安全报告——《揭开手机吸费病毒的神秘面纱》指出，扣费病毒主要是通过自行发短信、拔打语音扣费电话等方式，同时删除或屏蔽收费相关的运营商回执短信、拔打电话、WAP上网等记录，让用户完全在不知不觉中被扣费。

声讯/IVR业务则是在手机后台自动拨打IVR电话，并把拨打的相应记录删除，WAP业务会自动在后台点击扣费节点。无论是短信、声讯还是WAP业务，它们都是通过屏蔽或自动删除运营商的扣费信息，然后扣除手机用户的费用。

这些病毒是如何出现在自己的手机里呢?腾讯移动实验室报告称，目前手机病毒一般会嵌入正常功能软件、热门软件里，散播在众多论坛、电子市场、刷机ROM里，由于智能机极大的开放性，用户把这当作原版、加强版、破解版、美化版自行下载到自己手中，或通过彩信等链接方式，降低用户的防备心理，从而储存进手机中。

二号垃圾信息

由中国互联网协会组织，12321网络不良与垃圾信息举报受理中心举办的2012年上半年中国手机短信状况调查报告显示，2012年上半年，我国手机短信息用户平均每周收到垃圾短信息10.6条。在2012中国互联网大会上，12321网络不良与垃圾信息举报受理中心副主任曾明发就样本分析说，前10类占了全部举报件次的35.74%，前20类占38.56%。前三类是商业宣传、电信业务宣传及中奖类诈骗。垃圾信息虽然不致造成手机用户的金钱损失，但却极大地干扰了手机用户的生活，同时还有夹杂病毒危险。

三号移动支付诈骗

据中国互联网络信息中心发布的《第30次中国互联网络发展状况统计报告》显示，截至2012年上半年，手机支付用户规模为4 440万人，较2011年底增长约1 400万人。目前，在日常生活中围绕移动支付，涉及众多新型支付词语，包括移动支付、手机支付、移动钱包、手机钱包、移动银行、手机银行等，它们相互联系，却又各有不同。

移动支付也称为手机支付，它允许用户使用其移动终端对所消费的商品或服务进行账务支付的一种服务方式。单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付指令，产生货币支付与资金转移行为，从而实现移动支付功能。

移动钱包也称为手机钱包，是指中国移动开发的基于无线射频识别技术(RFID)的小额电子钱包业务，消费时使用的是存在手机账号内的金额。用户办理该业务后，即可利用手机在中国移动合作的商户进行POS机刷卡消费。

移动银行也称为手机银行，是利用移动通信网络及终端办理相关银行业务的简称，手机、GSM短信中心和银行系统构成。用户通过SIM卡上的菜单对银行发出指令后，SIM卡根据用户指令生成规定格式的短信并加密，然后指示手机向GSM网络发出短信;GSM短信系统收到短信后，按相应的应用或地址传给相应的银行系统;银行对短信进行预处理，再把指令转换成主机系统格式，银行主机处理用户的请求，并把结果返回给银行接口系统，接口系统将处理的结果转换成短信格式，短信中心将短信发给用户。

移动支付(手机支付)是一个整体概念，用户通过移动设备、互联网或近距离传感进行移动业务处理，移动钱包和移动银行是手机支付的具体两种方式。智能机的发展，创造了巨大的移动电子商务市场，也带来了支付隐患。用户的手机在丢失或被人盗窃之后，储存在手机内的钱包金额、银行卡、信用卡等信息则易被他人利用，造成个人经济损失。

移动安全之究其因 篇8

是非难辨的用户端

所谓智能手机，是指“像个人电脑一样，具有独立的操作系统，可以由用户自行安装软件、游戏等第三方服务商提供的程序，通过此类程序来不断对手机的功能进行扩充，并可以通过移动通信网络来实现无线网络接入的这样一类手机的总称”。

通俗而言，就是用户能够根据自己的喜好，自行安装和卸载应用软件的手机，存储丰富的各类信息。手机存储信息的丰富性，以及智能机的开放性，将用户推到暗藏凶险的移动互联网危机面前。另一方面，某些手机厂商为牟取私利，在生产手机的时候便与不法商家合作，内置一些病毒软件在手机中，使得用户根本无法发现。

在移动互联网用户寻求网络安全的时候，安全厂商如雨后春笋般快速崛起。除网秦这类一直致力于手机安全的厂商外，像金山、瑞星等老资历的PC安全厂商也紧跟时机，在手机安全市场大规模布局，360, QQ等新生的安全企业也不甘示弱，奋起直追。

然而，易观国际分析显示，2012年第二季度，中国手机安全市场渗透率为56.1%，手机安全用户规模为2.6亿。这意味着，仍然存在大量用户选择放弃安装手机安全软件。

2012年6月，在网秦发起的移动安全调查中，有网友微博就表示：“现在杀毒软件这么多，每个都说自己拥有最精准的杀毒技术，但不是被爆出有漏洞，就是互相掐架，都不知道哪个品牌值得信赖了。”更有5%的消费者在调查中表示不相信安全软件，与其安装杀毒软件，不如让手机“裸奔”来的痛快。

细数中国安全软件厂商在硝烟弥漫的战争后，此类用户的选择并不难理解：2008年瑞星首曝360“后门”至今双方口水战不断;360隐私保护频繁曝出QQ偷窥用户隐私，双方的3Q大战更使用户到了“在360和QQ间做一个艰难地选择”的地步。

除了用户端智能机自身的设备缺陷和安全厂商的恶性竞争外，用户端用户的侥幸和大意同样是导致手机安全问题频发的直接原因。许多用户在面对移动安全问题时，往往抱着侥幸的心理，想着那么多人用，发生安全问题只是极个别的，哪里就那么巧偏偏落在自己头上呢?

有些用户虽然不是存有侥幸心理，却总是粗心大意。进入一个商店或者公共场所后，马上便开始搜寻免费WiFi，一旦搜寻到，就登入链接;又或者在手机上浏览到心仪的物品，便匆匆下单，殊不知，各类钓鱼网站就是利用用户这样的心理，设好一个陷阱等着用户入网。

近日，有黑客在天涯网上发帖称，在星巴克、麦当劳等通常有无线热点的公共场所，只要一台Win7系统电脑、一套无线网络及一个网络包分析软件，设置一个无线热点AP，就能轻松搭建出一个WiFi平台，不设密码。粗心的用户未辨别清黑客搭建WiFi的真假，一旦连入，黑客15分钟就可以窃取手机上网用户的个人信息和密码，包括网银密码、炒股账号密码等。

可以做到更好的运营商

目前，中国移动、中国联通和中国电信三大运营商，是连接用户和服务提供商的中间环节，也是用户的把关人。

国内的SP业务经常通过层层转包的收费链来获取经济利益，服务提供商在与电信运营商签订网络服务代收费合同后，一层层地往下转包，形成一条环节复杂的产业链，每一层都有可能被不法分子利用。运营商作为内容服务商与用户的纽带，除了可以清理下层收费链外，更重要的是要对第一层严格管理，这个“第一层防线”就是运营商的WAP类业务合作伙伴。通过管理和监督，可以降低用户的移动危机。曾在2009年中移动为肃清误会黄色产业链条，停止对WAP服务计费，查封的500多个涉黄网站，这便是说运商们对手机色情网的传播行为也还可以通过技术手段进行干涉。

手机丢失和盗窃是造成用户隐私信息泄露的另一安全问题。智能机有自带的防盗系统，若没有自带的防盗系统，也可以自行安装防盗软件。这些手机防盗软件能在手机丢失之后快速找到使用手机的电话号码和位置，但是意义不大。因为手机被盗后，可通过格盘和破解程序刷机等方法能够清除自带和安装的手机防盗软件，然后再进二手市场交易或者泄露个人隐私。也许真正能够推动手机终端安全的就是电信运营商，因为电信运营商掌握手机终端的入网和使用，它们可在技术上利用IMEI完善手机的保护机制。由手机运营商的全球性行业组织GSM协会牵头发起，英国移动运营商开展了手机锁定IMEI从而进行手机防盗的计划，并取得了良好的效果。

另外，电信运营商移动网络由无线网、核心网、承载网、业务网、支撑网和传输网等网络系统构成。其中业务网负责业务逻辑和业务数据处理，在全国和省级两个层面进行建设，全国层面业务包括：彩铃平台、流媒体平台、邮箱平台、BREW下载平台等;省级层面业务包括：WAP网关、短信平台、彩信平台、IVR等。业务网的内容使它成为运营商面临移动安全问题最突出的模块。首先，黑客可能通过业务系统的互联网出入口入侵攻击、大规模拒绝服务攻击(DDoS)等，最终影响整个业务平台的正常访问。其次是业务非法订阅问题，主要方式包括：不遵循业务流程的非法订购行为，无法进行监控的非法订购，比如不经过WAP网关的订阅、不经过计费网关的订阅、SP模拟用户进行订购等。

走上歪路的服务提供商

服务提供商在移动互联网中是内容丰富的最重要角色，然而，目前却是一片混乱。服务提供商生存环境的改变，以及不正当的竞争观念，导致各类吸金病毒和窃听软件的产生。

世界上第一个手机病毒“VBS.Timofonica”于2000年6月在西班牙出现。这些病毒的最初制造者大多是精通编程的黑客，目的多为炫耀技术。随着手机增值服务产业链的成型，手机病毒的“意识形态”发生了变化，赚钱成为了不法分子的最大动力。

“其实在功能手机时代，手机病毒就有泛滥的苗头，尤其是2007年前后通信运营商严管SP定制服务，推出二次确认、末位淘汰等SP管理制度之后，SP服务商再没有那么容易从图片、铃声定制服务上赚大钱，就开始有人动歪心思了。”据曾经在一家中小型SP服务商工作过的伍小姐介绍，为了绕过运营商对SP服务定制审核，他们公司就曾经和黑客合作，通过发送优惠促销短信的方式进行“病毒式”营销。方法倒也简单，就是短信里面含有优惠促销的链接，用户一旦点击链接登录网站，就会在后台默认定制我们的SP服务，一切都在不知不觉中进行，而定制服务每个月也不过几元的话费，一般用户很难察觉。

据广东移动一位不愿透露姓名的安全专家透露，近几年来，随着运营商对于SP服务监管的日趋严格化，不法厂商欺骗用户的手段也越来越高明。手机病毒更是成为了主要武器。该专家称：“和原来不法分子直接发送短信导致用户不知情定制数据业务的做法不同，通过手机病毒，中招的用户手机里面的通讯录也能被黑客后台远程控制，从而成为僵尸手机，继续向用户手机通讯录里面的亲朋好友发送钓鱼短信，这样不仅不法分子欺骗用户的成本大为降低，造成的影响面也更为巨大，用户手机中毒的数量会呈现几何式扩散的形态。”

08年,移动办公更安全 篇9

更周全的功能保障

目前, 国内的信息安全厂商都针对移动办公推出了自己的解决方案, 而这也是绝大多数企业能够平稳度过07年的重要原因。但是, 仍有少数企业难于抵挡“移动黑客”的恶意侵扰, 在这里除了用户自身的问题外, 其移动办公解决方案的不完整性也是一个非常重要的影响因素。某案例显示, 通常, 信息安全厂商的方案关注点都仅仅落在了远程用户的接入安全性上, 但是对于远程用户文件的安全却少有行之有效的保护措施, 这无疑让所有文件的安全性都大大折扣。

所幸的是, 为了解决文件安全的问题, 国内安全厂商已经有了解决的办法, 比如卫士通公司旗下一KEY通产品线, 最新推出的“移动办公及个人文件安全存储解决方案”中, 就将网络认证与远程访问控制系统和安全文件共享系统有机的整合在一起, 以此加强外网接入与远程用户文件处理方面的安全性, 同时让移动安全的综合化优势更加明显。在这里, 特别需要提出的是, 远程文件操作涵盖了访问、存取、传输和交换的各种应用类型, 而面对这样的安全防护, 想必再高明的黑客也会无计可施的。

兼顾方便与安全性

在人们的印象中, 严格的安全防范似乎永远都会与操控的便利性互为相反。那么, 如何保证两者兼顾, 就必须仰仗一些技术的合理运用来实现了。在以前的远程访问案例中, 客户端需要一系列繁琐、复杂的设置才能与服务器进行对话, 这无疑增加了操作难度和工作的实效性。而即便客户随身携带了公司的笔记本电脑, 也要忍受负重的劳累, 这些都让移动办公没有丝毫舒适可言。

卫士通公司的“移动办公及个人文件安全存储解决方案”充分考虑移动办公的方便性, 只需要远程客户端携带固化了安全程序的存储KEY, 插入任何电脑即可自动运行安全管理程序或相关的功能模块。也就是说, 远程连接的用户可以不必携带任何电脑设备, 只要随身一支KEY, 就可以在身边现有的电脑上安全、方便地进行移动办公了。

文件托管保证全程

移动办公的核心应用在于文件的操作, 而我们前面也提到过, 远程的文件操作将是全过程、多方面的。在07年的移动办公方案里, 个别安全厂商已经开始对这类应用有所侧重, 而伴随着其在厂商关注度上的不断提升, 也预示了08年的移动安全话题将围绕着文件托管的操作细分进一步展开。

在卫士通公司的“移动办公及个人文件安全存储解决方案”中, 我们首先看到的是对托管文件在传输和存储上采用的全程加密方式, 而这种以密文形式存在的文件就连安全文件共享服务器的管理员也不能查看。这无疑可以保证公司机密文件的绝对安全性, 比如一级商业信函、公司人员调动、薪酬报表等, 绝对不会因为被不相干人等看到而外泄。

此外, 加强对文件的实时操作安全性, 不仅有助于提高资源信息的机密度, 更让移动办公的工作效率大为增加。像在线编辑、分类检索、文件交换等, 在过去的无线网络环境中都是无法完成的, 但是随着一些移动办公安全个案的发布, 这些线上操作内容将有望在08年被大力推广。届时, 移动用户可以在任何时间、任何地点, 享受到与使用公司内网相一致的办公乐趣。

无线网络的出现已经让我们感受到“海内存知己”的惊现之喜, 而安全的移动办公也一定能带给我们“天涯若比邻”的欢畅之情。08年, 是移动办公的发展之年, 而我们有理由相信, 它更是安全移动的振兴之年。

矿用移动安全管理系统 篇10

矿用移动安全管理系统由天地 (常州) 自动化股份有限公司研制推出。该系统定位于将传统的矿山生产管理系统与工业移动网络、智能移动终端相结合, 从网络、数据到业务应用进行融合性拓展, 并创造出多种创新性应用, 实现了随时随地的移动办公。

通过该系统业务平台, 可将移动互联网、物联网的应用模型拓展到数字矿山领域, 极大地丰富了矿山用户的移动化应用体验。通过一系列设计独特的功能模块, 实现了企业通信录、E拍、EMASS信息发布和人员定位手机版等功能, 充分提高了企业生产管理和安全管理的实效性、便利性。

移动支付安全无现金社会 篇11

易观国际分析师李智在2013 GMIC上分享移动商务营收数据时表示，移动商务的业务范围还比较窄，手机购物占其中很大的一部分。

不过可以预见，随着技术的发展，未来生活的方方面面支付行为可能都会被移动支付所代替。购物必然会用到支付，但支付不一定是为了购物。

支付创新的节点

全球最大的发卡组织VISA认为，支付行业现在到了一个创新的节点。目前已有的新技术，如二维码、云端认证、声波传送，都是非常好的支付创新。VISA中国区副总经理、创新产品总经理龚亮介绍，VISA近两年推广的非接触NSK支付技术，是对现有终端机和芯片技术的一种自然延伸，容易实施，并且非常安全。但无论采用何种技术，简单是最重要的原则，如果支付过程过于复杂一定会失败。另外，安全和隐私保护也是支付创新的要素。

仅仅使用移动设备实现支付，也许还不是支付创新的最终目的。在未来可能的无现金支付社会里，消费变得更加简单，因为走到哪里都不需要携带现金。此外，消费者们可以轻松查询消费记录，也不用担心取款的问题。便捷是无现金支付社会的最主要优势。

从技术的角度来看，我们已经有能力实现彻底的无现金化。事实也是如此，许多人已经在用信用卡和借记卡进行无现金交易，而且目前的技术已经允许我们将这些卡与NFS平台的支付系统对接。

改变不会在一夜之间完成，无现金交易和传统的现金交易共存的混合模式将会存在一段时间。网上银行成为主流可能还需要一个过程，但网上银行和网上交易正在向客户和服务机构提供越来越多的便利和价值。

安全是一个永恒的话题

在享用便利的同时，很多人也在担心移动支付的安全性。

全球最大的发卡组织VISA早就意识到了这个问题，VISA中国区副总经理、创新产品总经理龚亮说：“早在五六十年前，电子系统就已经开始处理大量的数据。由于移动互联网技术的蓬勃发展，如今业务数据量更是天文数字。而云端和大数据的应用，又进一步扩大了支付行业的信息量。在海量数据面前，支付行业如何能保证交易的安全性、信息的安全性，是整个支付行业面临的巨大挑战。”

除了对数据安全的担心，病毒和恶意软件的威胁也不容小觑。IT业界有条灰色的产业链，通过制造病毒不断获取利益。以前的移动设备上没有病毒，是因为移动互联网规模不够，当移动互联网市场够大的时候，病毒就开始在移动互联网市场发作。金山安全CEO付盛认为，移动互联网所面临的安全问题未必只是病毒，危险会以不同的形式存在。比如假冒App，网上可以搜到《神庙狂奔》游戏的很多版本，但其中只有一个是真的，下载假的游戏后，手机会被植入广告，通信录会被上传，而且手机还可能出现发热、死机的状况；另外还有做盗版和隐私上传的地下利益集团，其中很多月收入都达几百万元；针对手机的钓鱼网站也已经开始出现。手机劫持、骗子网站都可能是手机面临的安全问题，而且问题会越来越严重。

企业移动办公安全规范推介 篇12

随着移动4G和移动互联网的发展,越来越多的企业办公已经开始或正在考虑将自己的业务系统、办公系统拓展到移动手机、平板电脑,使随时随地办公成为可能。

但随之而来的数据安全也不容小觑,笔者近年来一直从事国内大中企业的移动信息化工作,在移动平台上对接实施了数家大中企业的业务系统、办公系统、对在企业移动化安全领域有一定认识,并总结了一些通用的规范,值得推介。

二术语和定义

下列术语和定义适用于本文件。

1移动终端Mobile Terminal

便携式、可移动的计算设备。

注:移动终端包括智能手机、平板、笔记本电脑,具备无线上网功能。

2大中企业移动办公系统Mobile e-Government System

利用移动终端,随时随地通过无线网络访问大中企业办公系统进行网上办公的应用系统。

3移动设备管理Mobile Device Management

针对移动终端设备,提供从设备注册、激活、使用到废弃等全生命周期的管理,如设备配置管理、安全管理、资产管理等,简称MDM。

4移动应用管理Mobile Application Management

针对安装在移动终端上的应用软件的分发、安装、使用、 监控、升级和卸载等过程和行为进行全面管理,简称MAM。

5移动内容管理Mobile Content Management

针对利用移动终端访问、存储、传输或处理的数据文件进行管理,如文件类型管理、文件访问操作权限控制等,简称MCM。

三缩略语

3G:第三代移动通信技术(3rd Generation Mobile Commu- nication Technology)

4G:第四代移动通信技术(4th Generation mobile commu- nication technology)

API:应用程序编程接口(Application Programming Inter- face)

APP:应用(Application)

BMP:图像文件格式(Bitmap)

CA:认证中心(Certificate Authority)

CSV:逗号分隔值/字符分隔值(Comma-Separated Values)

GIF:图像互换格式(Graphics Interchange Format)

GPRS:通用分组无线电业务(General Packet Radio Service)

HTML:超文本标记语言(Hyper Text Mark-up Language)

IPSec:IP安全协议(Internet Protocol Security protocol)

PNG:图像文件存储格式(Portable Network Graphic format)

PDF:可携式文件格式(Portable Document Format)

SD:安全数码卡(Secure Digital card)

SDHC:高容量安全数码卡(Secure Digital High Capacity card)

SM1:SM1分组密码算法

SM2:SM2椭圆曲线公钥密码算法

SM3:SM3密码杂凑算法

SM4:SM4分组密码算法

SSL:安全套接层(Secure Sockets Layer)

TF/Micro SD:微型SD卡(Trans-Flash/Micro SD)

TLS:传输层安全(Transport Layer Security)

UKey:USB钥匙(USB Key)

URL:统一资源定位符(Uniform Resource Locator)

USB:通用串行总线(Universal Serial Bus)

VDI:虚拟桌面基础架构(Virtual Desktop Infrastructure)

VPN:虚拟专用网(Virtual Private Network)

WAP:无线应用协议(Wireless Application Protocol)

WAPI:无线局域网鉴别和保密基础架构(Wireless LAN Authentication and Privacy Infrastructure)

Wi-Fi:无线保真(Wireless-Fidelity)

WLAN:无线局域网(Wireless Local Area Network)

XSL:可扩展样式表语言(e Xtensible Stylesheet Language)

四安全保障移动办公系统基本结构

为使一个移动办公移动具备基本的信息安全保障系统主要应由移动终端、通信网络、移动接入区和服务端四部分构成,其基本结构如图1所示。

1移动终端

处于大中企业移动办公系统的用户侧,多在组织办公场所外部使用,也支持组织办公场所内部使用。

2通信网络

位于移动终端与企业网络之间, 以移动蜂窝网络、 Wi-Fi或WAPI等公共无线网络连接移动终端,以互联网/ 专网或局域网等方式接入企业网络。

3移动接入区

处于企业网络边界侧,一般包括网络边界防护设备,如防火墙、网关设备,以及用于接入区与服务区进行企业应用控制或数据交换的应用前置系统等。

4尧服务端

指企业网络的核心服务区域,包括与移动接入区安全隔离设备(如防火墙、网闸等)、组织原有的企业办公系统, 以及为适用移动设备访问而建立的移动应用支撑系统。

五大中企业移动办公系统安全框架

1系统主要安全风险

大中企业移动办公系统的安全风险存在于移动终端、 通信网络、移动接入和服务端四个方面。系统面临的主要安全风险见表1。

2系统安全技术框架

基于对大中企业移动办公系统的安全风险分析,大中企业移动办公系统的安全技术框架应包括移动终端安全、信道安全、接入安全和服务端安全四部分,涵盖了对移动终端、信道、 接入和服务端的具体安全技术要求,如图2所示。图1中的基础设施如边界防护或安全隔离设备不包含在图2范围。

(1)移动终端安全:移动终端在基本配置上应根据企业系统的安全级别支持如下安全客户端的安装和运行,包括VPN客户端、MDM客户端、MAM客户端和MCM客户端等,支持软硬件形式的数字证书的安装与使用,具备身份认证、数据加密存储、安全防护、运行环境隔离等安全功能。

(2)信道安全:应通过构建VPN隧道满足移动终端从公共无线网接入企业网络的传输安全技术要求。

(3)接入安全:应在企业网络边界侧构建接入区,以满足移动终端安全接入要求,以及与企业网络核心服务区的安全隔离,包括接入认证网关、MDM平台和应用前置,以支持移动设备的接入认证、安全管理、以及后台企业系统的安全隔离和前置功能,如虚拟化前置、页面适配、接入区与核心区的数据交换等。

(4)服务端安全:在企业网络的核心服务区加强对移动应用和移动数据的安全控制管理,包括对移动应用进行控制管理的MAM平台、对移动内容进行控制管理的MCM平台。

六移动终端安全要求

1基本配置

移动终端的基本配置要求包括:

(1)应支持数字证书的安装和运行;

(2)应支持VPN客户端的安装和运行,以及在线升级;

(3)应支持MDM客户端的安装和运行,以及在线升级;

(4)应支持MAM客户端的安装和运行,以及在线升级。增强要求包括:

(5)应至少具备一个SD插槽或USB接口,支持硬件密码卡(如TF/Micro SD卡)或UKey形式的数字证书;

(6)应支持MCM客户端的安装和运行,以及在线升级;

(7)应支持虚拟化客户端的安装和运行,以及在线升级。

2数字证书

移动终端应支持使用软件形式的数字证书。

增强要求包括:

(1)应使用硬件密码卡或UKey等安全介质存储数字证书;

(2)硬件密码卡或UKey应支持国密算法。

3VPN客户端

VPN客户端与VPN服务端通讯,在公共无线网络上构建企业数据传输的安全信道,具体要求包括:

(1)VPN客户端启动时,应作为网络通信的唯一通道;

(2)支持软件形式的数字证书。

增强要求包括:

应支持硬件密码卡或UKey。

4MDM客户端

MDM客户端与MDM平台通讯,实现对移动终端设备的安全管理,具体要求包括:

(1)应开机自动运行,保持对移动设备的实时监测;

(2)应支持移动终端设备的注册和登录管理;

(3)应支持设备运行状态收集上报,如设备标识、位置信息、固件版本、系统版本、网络类型、用户信息等;

(4)应支持MDM服务端管理策略执行,包括终端设备锁定、整机远程擦除、出厂设置恢复、数据擦除、ROOT检测、策略更新、SD卡检测等;

(5)应支持将企业办公数据远程备份至服务端;

(6)应具备防卸载机制,当MDM客户端被卸载时, 企业应用客户端及本地办公数据将被自动擦除。

5MAM客户端

MAM客户端与MAM平台通讯,实现对移动应用的安全管理,具体要求包括:

(1)应开机自动运行,保持对移动应用的实时监测;

(2) 应支持移动办公应用及第三方应用信息收集上报,如程序标识、名称、版本、平台、开发商等;

(3)应支持MAM服务端管理策略执行,包括应用分发、安装、卸载、应用黑白名单设置等;

(4)具备防卸载机制,可与MDM客户端联动,当MAM客户端被卸载时, 执行终端设备锁定或信息擦除策略。

6MCM客户端

MCM客户端与MCM平台通讯,实现对移动办公数据文件的安全管理,具体要求包括:

(1)应开机自动运行,支持自动更新升级;

(2)应支持移动办公数据文件信息收集上报,如文件名称、格式、大小、版本、更新时间、所有者、分发条目、分发状况等;

(3) 应支持MCM服务端管理策略执行,对PNG、JPG、GIF、BMP、PDF、DOC、DOCX、XSL、CSV、TXT、HTML等格式数据文件进行分级标记管理,仅符合标记等级的数据文件可由移动终端访问、处理和传输;

(4) 具备防卸载机制,可与MDM客户端联动,当MAM客户端被卸载时,执行终端设备锁定或信息擦除策略。

7身份认证

移动终端在身份认证方面的要求包括:

(1)应支持设置开机口令,开启移动终端时进行口令认证;

(2)应支持屏幕锁定口令,移动终端空闲时间达到设定阈值时锁定屏幕;解锁时应进行锁定口令认证;

(3)访问企业应用和本地企业数据之前应采用数字证书进行身份验证;

(4) 在限定时间段内多次连续尝试身份验证失败,应锁定系统;

(5)认证信息应加密存储。

增强要求包括:

认证信息应采用硬件密码卡或UKey加密存储。

8数据存储

移动终端数据存储方面的要求包括:

(1)企业数据应与个人数据隔离存储;

(2)企业数据应加密存储,采用的加密算法应符合国家密码管理局的相关规定。

增强要求包括:

企业数据不应存储在手持式移动智能终端上,如手机和PAD。

9安全防护

移动终端的安全防护要求包括:

(1)应支持对病毒、木马的查杀,拦截恶意软件的攻击;

(2)应支持对系统漏洞的修复;

(3)应支持移动办公应用关闭时及时清理缓存页面等临时文件。

此外, 笔记本电脑在安全防护方面应符合GB/T 30278—2013第7章规定的核心配置基本要求。

10运行环境隔离

移动终端的运行环境隔离要求包括:

(1)应采用沙箱等隔离技术保证企业办公应用与个人应用运行环境的有效隔离;

(2)应在运行结束之后及时清除临时文件等剩余信息。 增强要求包括:

应采用虚拟化技术实现用户界面和运行环境的隔离, 保证企业应用和企业数据仅在服务端运行和存储,移动终端仅作为显示和输入输出设备。

七信道安全

信道安全的具体要求包括:

1、移动终端通过移动蜂窝网络GPRS/3G/4G或Wi-Fi、 WAPI等公共无线网络接入企业网络时,应采用VPN方式接入;

2、应支持SSL/TLS、IPSec等网络安全协议;

3、应支持应用级VPN,在应用启动时自动启动VPN。通过应用专属的安全隧道,实现多企业应用之间的安全隔离。

八接入安全

1接入认证网关

接入认证网关的要求包括:

(1)应支持国密局规定的密码算法;

(2)密钥协商数据的加密保护应采用非对称密码算法(如SM2),报文数据的加密保护应采用对称密码算法(如SM1或SM4);

(3)应支持SSL/TLS或IPSec等网络安全协议;

(4)应支持基于用户账户和权限分配的细粒度访问控制,支持仅授权用户才能访问特定资源;

(5)应支持网关运行情况的集中监控。

2MDM平台

(1)设备管理

MDM平台的设备管理要求包括:

1应支持移动终端首次使用前注册到MDM平台,支持建立设备序列号、证书序列号、人员和手机号码等绑定关系;

2应支持移动终端设备信息统计,包括硬件、网络、系统、应用、位置及用户信息等;

3应支持远程对移动终端设备进行注销、禁用和锁定管理;

4应支持基于用户进行管理,支持一个用户绑定多个移动终端设备,支持通过用户分组和关联角色进行管理控制;

5应支持限制或者禁用移动终端硬件模块功能,如摄像头、录音、蓝牙、麦克风等。

(2)安全管控

MDM平台的安全管控要求包括:

1应支持对移动终端的安全准入检查,不合规设备不应注册;

2应支持与接入认证网关联动,不合规的移动终端不应接入;

3应支持对移动终端的软硬件环境、运行状态及安全事件的持续监控、安全审计及预警;

4应支持针对终端违规行为采取有效控制措施,包括限制访问、警告、锁定、禁用、系统还原、数据擦除等;

5若检测到移动终端有ROOT行为,应立即锁定终端;

6应支持对移动终端允许使用的地理区域进行限制;

7支持远程禁用或重新启用移动终端。

(3)安全审计

MDM平台的安全审计要求包括:

1应支持对移动终端的企业应用访问操作进行审计;

2应支持对移动终端的设备状态变化及用户违规行为等安全事件进行审计;

3审计日志应记录事件发生时间、对象、描述和结果等。

3应用前置

为适配移动终端显示方式,应支持企业办公系统WEB应用到WAP应用的转换,或采用其他页面适配方法。

增强要求:

(1)应采用虚拟化技术如虚拟桌面、虚拟应用等,实现企业办公应用及数据的安全隔离。

(2)可采用数据摆渡等安全隔离技术,进行企业办公网络接入区与核心区的安全数据交换,如网闸等网络隔离设备。

九服务端安全

1MAM平台

(1)资源分类管理

MAM平台的资源分类管理要求包括:

1应支持远程推送安装移动企业应用到指定的移动终端;

2应支持对移动企业应用的安装、使用情况进行统计;

3应支持对移动企业应用的版本管理,并可回退至指定历史版本;

4可通过建立企业移动应用商店实现对移动企业应用的统一发布、更新和管理。

(2)应用访问控制

MAM平台的应用访问控制要求包括:

1应支持移动应用黑白名单策略,并设置移动企业应用的用户访问权限;

2应支持远程监控和管理移动终端上安装的企业应用,包括应用安装、更新和删除等;

3删除移动企业应用时应同时擦除应用数据;

4移动企业应用不应在未认证的移动终端中安装和运行;

5应支持违规自动处理,自动向使用者和管理者发出警告;

6应支持将沙箱等安全容器推送至移动终端默认安装,增加应用访问的安全性。

(3)企业应用客户端(APP)安全管理

对企业应用的安全管理要求包括:

1可设置专门应用商店提供企业应用发布、下载及更新服务;

2支持对移动企业应用进行安全扫描,阻止含恶意代码和严重漏洞的应用发布至应用商店;

3支持对移动企业应用进行安全防护和加固,防止受到恶意程序的破坏、破解和篡改。

2MCM平台

MCM平台的要求包括:

(1)应支持JPG、GIF、BMP、PDF、DOC、DOCX、XSL、CSV、 TXT、HTML等多种格式文件的导入、上传、发布和下载;

(2)应支持企业办公文档的分类管理,并设置用户访问权限,如读写、拷贝,下载等;

(3)应支持向移动终端自动分发或推送企业办公文档;