移动业务安全架构浅析

一、 移动业务安全架构产生的背景

【业务移动化安全风险】

    移动应用的发展使业务移动化逐渐成为政府及大型企业信息化创新的重要方向，相应的移动业务安全风险也愈发凸显。移动业务正因为缺少必要的安全手段而受到严重制约。这些安全风险集中表现在支撑业务的移动应用、业务数据、网络通信和移动终端，具体体现在身份认证、访问控制、安全审计、传输加密、入侵防范、资源管控等诸多方面。

【过往技术的发展】

    云计算、移动化的出现，使得在新的网络和应用环境下，传统的基于网络边界防护的安全方案已经无法满足信息安全的需求，无边界情况下端到端的安全保护才是趋势。

    移动端由于Android的碎片化以及Google在中国市场的特殊情况，导致中国的移动化市场环境格外复杂。复杂的移动化市场环境也导致在移动端进行安全和管理的复杂度大大增加。相关技术和产品演进主要经历了以下几个阶段：

2008~2012年，起步期。在应用上表现为专用终端+专用安全管理系统的搭配。这是在金融、公安、能源、物流等一些行业，已经开始使用Windows CE/Windows Mobile/Linux/黑莓系统的专用终端进行移动业务处理。相应的移动安全管理技术，都是针对特定终端型号、特定操作系统、特定业务场景提供的封闭技术。

    2012年~2015年，发展期。表现为配发通用终端（COPE）为主+基于移动设备管理（MDM）的通用安全管理系统的搭配：以iOS和Android的成熟开始，通过使用标准化的操作系统级安全管理接口，MDM/EMM平台能够对各种终端进行基于设备级管理为基础的安全管理，从而使得企业可以采购消费类移动终端，结合软件平台实现定制化的管控能力。这一阶段传统面向消费类应用的代码级应用加固和检测以及杀毒技术在企业环境中也得到了一些应用，但技术应用面很窄，大多偏向于单点的、孤立的系统安全，不具备大规模复制的能力。

    2015年至今，优化期。这一阶段表现为以使用个人移动设备（BYOD）+基于移动应用管理（MAM）系统的搭配：与上一阶段的最大区别是，用户更加注重隐私和使用体验，大多数场景下以使用自有设备（BYOD）为主，辅以配发设备，出于用户体验和管理复杂度考虑，不能进行基于设备级的安全管理，对于潜在的应用级威胁缺少预防和处置手段，急需以应用为中心，整合各种安全能力构建完整的业务安全管理体系。

【技术方案趋势】

    基于以上情况，中国的移动安全将远超传统意义上的系统安全概念，需要基于移动安全和管理为客户提供整体移动化赋能解决方案和服务，本质上是对业务移动化赋能。相应的，移动安全方案更强调与业务整合的能力，而且不仅是某一个特定的安全能力，还需要一整套完整的安全框架，整合所有业务移动化需要的安全能力。

    出于业务快速迭代和保障用户体验的考虑，还需要将安全能力快速、无缝内嵌到业务中，而不能影响甚至阻碍业务的开展推广，这就需要具备先进的移动应用管理技术，根据业务上下文智能识别安全风险，并结合人工智能、大数据技术，以安全的智能化，支持业务的智能化。

因此，这种移动业务安全架构需要能够从单点扩展到全局，从整体、系统上来把握安全态势；同时打通并关联数据，发现异常行为并进行阻断与保护，紧密贴合新型IT环境下的移动业务系统，更好地满足各行业的移动安全需求。

二、移动业务安全架构的定义

    移动业务安全架构(移动业务安全架构)是指：基于虚拟化、移动操作系统、移动安全、数据分析等相关技术，通过多种安全机制和技术管理手段，在保障网络、系统、应用及数据安全性的同时，快速建立起一个处于可信环境下，协调互通、灵活易用并能够实现快速工作交付的移动信息系统，最大化移动信息系统的使用效率和效果的网络安全新架构。

     图1：移动业务安全架构架构概览

    一套完整的移动业务安全架构解决方案具备如下特征：

  √ 以业务安全为切入点，以移动终端上的操作系统为实施平台(但不限于特定的操作系统)，以应用和数据安全为中心，结合云计算、移动端容器化技术、物联网技术、数据分析技术复合而成的，为无边界的网络新环境，打造安全、高效的移动业务环境。

  √ 强调为业务移动化赋能，而不仅仅是保护IT安全，更是要通过安全手段与相关机制，帮助用户建立起移动业务的入口，并能够实现快速的工作交付，打通业务分发、保护、迭代、监管及优化的移动化全流程。

  √ 在移动端提供普适的虚拟安全域(VSA)，实现公私隔离、数据防泄露、运行环境和应用状态监测等；在后台，提供以BYOD为主体、全场景支持的统一移动安全赋能平台，实现远程的动态安全策略、合规性管理、异常行为远程处置以及安全态势感知分析，形成云、管、端一体化的新型移动安全业务体系架构。

三、移动业务安全架构的理念和目标

1. 移动业务安全架构的核心理念

1.1支撑弹性架构，交付敏捷业务 

云计算与移动互联网的发展，加强了用户对敏捷IT的需求，而传统的顶层设计机制在这种快速迭代技术环境下遇到了很大的问题。新的移动业务架构需要简化应用环境的准备、部署和运维，形成弹性的IT架构、支持敏捷的业务交付成为满足用户需求的主流选择，而移动业务安全架构可以有力的支撑弹性架构的建立。

1.2业务融合安全，实现安全闭环

传统的业务安全多采用补充和加固方法，这样不仅滞后而且被动，容易陷入“治标不治本”的局面。随着系统复杂性的增加，传统安全机制更加捉襟见肘。移动业务安全架构将安全整合在IT架构中，在移动端上围绕业务应用实现快速整合并融合在业务中，能够实现弹性架构的安全交付，并形成契合业务上下文的自适应安全服务能力。

1.3软件定义安全，优化业务体验

不同行业和场景的移动业务系统差异较大，而帮助用户建立移动IT架构的供应商各有特点，很难形成标准模式。移动业务安全架构从安全管理的角度切入，在一定程度上屏蔽业务系统的复杂性，简化业务逻辑，能够在保证用户隐私的前提下，持续改善安全服务的用户体验。

2. 移动业务安全架构的架构目标

业务安全赋能：在移动化业务和安全融合的大趋势下，通过移动业务安全架构架构对业务移动化实践进行安全赋能；

可靠安全服务：基于业务需求和安全技术，提供契合业务上下文的自适应安全服务能力；

敏捷安全交付：在移动化业务快速迭代的要求下，简化业务应用环境的准备、部署和运维，形成敏捷的安全业务交付能力；

保障安全体验：在保证用户隐私的前提下，持续改善安全服务的用户体验。

图2：移动业务安全架构架构目标

四、技术原理及实现

1. 移动业务安全架构总体架构

移动业务安全架构（移动业务安全架构）由通用技术栈、自适应安全体系、移动应用组件、移动化业务组件和工具集构成。

图3：移动业务安全架构总体架构

    移动业务安全架构架构满足《信息安全技术 网络安全等级保护评测要求》（等保2.0）的要求，可通过安全审计和移动终端的状态检测与资源优化等体系化技术手段实现移动应用和数据、移动终端、网络通信和服务端的安全。

通用技术栈是架构的基础，通过VSA、安全网关、移动平台技术提供移动端的沙箱能力、传输侧的安全能力、云端后台的基础能力。自适应安全体系是架构的关键支撑，提供支撑业务和应用安全的预测、保护、检测和响应机制及措施。面向不同行业和场景的办公协作、资产管理、客服服务等业务，对各类移动应用进行安全赋能。工具集提供产品、服务和实施指导，为移动业务安全保驾护航。

2. 移动业务安全架构功能组件

2.1 通用技术栈

负责移动业务的适配、业务流程编排和一些定制开发工作，可以快速实现现有业务带有安全属性的移动化，并与移动安全网关一起实现访问用户的统一身份认证。相关技术主要包括：VSA技术、安全网关技术、移动化平台技术。

VSA(Virtual Security Area) 是一个集合了沙箱（虚拟运行环境）和容器（精简系统功能）技术的，位于移动操作系统之上的安全域。移动APP在安全域中运行的时候，不会直接和系统通讯。当APP调用系统功能的时候，实际上调用的是VSA从系统中获取的相关能力。

这项技术是在不需要修改移动应用(APP)源代码的情况下，通过在APP的外部罩上一个“壳”，并限制APP在一个虚拟的运行空间运行，以监控和管理应用的各种操作，实现安全防护的目的。通过VSA技术，可将相同安全等级和相同安全需求的应用放在一个逻辑组内，方便对其使用同一个安全访问控制策略，如同形成了一个安全区域，“虚拟安全域”的名称就来自于此。

图4：VSA工作原理

    企业的移动办公应用经过移动应用安全平台(MOS)发布后，通过虚拟安全域(VSA)与移动安全网关之间建立的安全接入隧道，连接到内⽹业务后台。移动安全网关与MOS互相配合，综合身份准入、配置管理、访问审计和通讯加密等安全功能，是整个移动业务安全架构方案的安全通道和传输枢纽。

移动端基于VSA的双域隔离实现了数据防泄露，在确保移动安全的同时进行隐私保护。移动安全网关实现应用级身份认证、加密传输和安全审计。这些作为移动业务安全架构的核心技术能力，为移动应用构建、安全赋能、生命周期管理提供服务支撑。

图5：移动安全⽹关工作原理

    移动化平台提供基础技术支撑，提供面向终端、应用、门户的技术能力，主要包括远程控制、设备管理、应用建模、元数据管理、认证鉴权、单点登录等功能。

2.2 自适应安全体系

主要包括预测、保护、检测、响应四部分。

预测：威胁、行为趋势

保护：代码混淆、白名单、身份认证、安全加固、资源加密

检测：反破解、反模仿、特权控制、校验、设备指纹/绑定、上下文验证、反恶意软件

响应：弱点恢复、本质修复、动态准入修正

2.3 移动应用组件

 按用途、形态和来源划分，用途上包括移动办公应用和其他业务应用；形态上包括APP、H5和轻应用；来源上包括自研、第三方和公共应用。

2.4 移动化业务组件

主要包括办公协作、资产管理、现场服务、客户服务等内容。

2.5 工具集

工具集主要覆盖产品、服务和实施领域的相关内容。产品主要包括EMM、MOS、数据集成、态势感知等。服务主要包括移动安全规划和咨询、终端适配、安全集成、安全运维等。

3. 移动业务安全架构架构实现逻辑

图6：移动业务安全架构架构实现逻辑

    移动业务安全架构的整体实现过程是基于通用技术平台，以满足移动化业务需求为目标，构建服务移动应用的安全能力，提供工具集实现快速构建与交付，构建起完整的应用安全技术服务体系。满足《信息安全技术 网络安全等级保护评测要求》（等保2.0）的要求。

为确保最终用户的体验，同时保护用户个人隐私，安全能力需要与业务紧密融合，实现基于业务上下文的精准保护，并且随着业务的持续开展，在安全能力上也能够实现按需交付，不会阻碍用户的正常使用。

    从上层业务角度看，移动化业务的体现是各类移动应用，业务的迭代需要体现在移动应用的迭代中，这就需要相应的工具集来提供快速构建和交付的能力。

    在具体业务场景中，通用技术栈提供底层业务安全能力，实现对业务安全威胁和行为趋势的预测；通过加固加密手段预防业务安全隐患；通过漏洞扫描等检测手段对安全问题进行管控；通过脆弱性恢复、动态准入调整等手段实现及时响应。整个过程中，最终交付的安全能力要与业务融合，但对于业务载体的移动应用而言，附加安全能力的过程需要实现代码解耦，即不能要求每一个移动应用都在开发过程中进行代码级更改以支持安全能力，由此才能支撑整体业务的快速迭代和快速交付。

五、应用场景

    业务移动化的市场遍布各主要行业，包括军队、公安、制造、能源、金融、政府、交通运输、TMT、快消、地产、医疗、教育、服务业等，不同行业移动化成熟度差异较大，但核心由两个场景构成：业务线（LOB）移动化与移动办公协同。

    过去这两个场景的系统搭建是独立的，但现在越来越多的企业倾向于采用统一的平台提供全面的服务保障。由此对安全管理的需求就不再只局限于设备管理，而是扩展到了更多的场景：

A类-安全合规类需求：如等保合规需求；

B类-资产保护类需求：如知识产权、商业机密防泄露需求；

C类-运维管理类需求：如远程配置、资产管理需求，还包括大量无人值守的智能终端业务运维场景；

D类-业务服务类需求：如移动门户、统一应用商店、无纸化会议等需求，此类需求主要是由业务转型创新驱动。

    在传统的安全语境中，A类需求是主导，但现在B类、C类、D类正逐渐发展成为移动安全管理的重要驱动力。

1. 安全合规类——等保2.0规范贯标

【背景】

    随着《网络安全法》的颁布实施，原有的信息安全等级保护标准也相应调整升级。新的《信息安全技术 网络安全等级保护基本要求》和《信息安全技术 网络安全等级保护测评要求》明确了“移动互联安全扩展要求”部分。新增要求从物理和环境安全、网络和通信安全、设备和计算安全、安全建设管理、安全运维管理等方面对移动安全防护提出了要求。

【问题需求】

    传统的针对网络、终端、服务器和业务应用系统的信息安全措施已相对完善。随着移动互联网的迅猛发展，传统业务应用开始向移动端迁移，但与业务和应用移动化趋势相适应的的移动安全却成为一块短板，对企业移动应用的发展形成威胁。这些威胁主要来自移动应用软件、移动终端、网络通信和服务端。移动安全防护需求与日俱增。

【功能组件】

    从物理和环境安全、网络和通信安全、设备和计算安全、安全建设管理、安全运维管理等方面对照等保2.0要求贯标，主要功能包括：

• 移动安全网络设备贯标

• 移动应用软件防护贯标

• 移动终端防护贯标

• 移动应用服务端防护贯标

• 移动安全运维贯标

• 数据防泄露（DLP）保护

• 数据加密与密码保护

• 身份鉴别及应用数据管理

• 安全事件审计与分析

2. 资产保护类——制造业手机防泄密

【背景】

    高科技制造企业在设计、生产、制造、工艺流程等方面通常具备独特的技术方法。在移动智能设备普及、提倡个性的90后员工大量上岗的背景下，不论在厂区还是办公室，都会存在不同程度的信息泄露问题，泄露的主要方式包括通过手机进行拍照、截图、敏感文件和数据外泄等。

【问题需求】

    为避免信息泄露，禁用手机、采购功能机以及破坏摄像头等措施无法充分利用移动设备的能力，阻碍企业的数字化转型。在推进业务移动化的进程中，厂区关键区域、移动办公的敏感信息极易泄露，导致无法估计的损失。为此大型制造企业经常需要批量采购定制移动终端，并且从制度上严令禁止在厂区内使用手机。

【功能组件】

    为大型制造企业提供移动终端的安全防护和应用管控，改善厂区员工的移动化体验，主要功能包括：

•设置安全区域匹配安全策略

•设置地理围栏和时间围栏

•设置与门禁集成的电子围栏

•安全区域内摄像头禁用

•数据防泄露（DLP）保护措施

•移动终端应用白名单

•移动应用敏感数据加密

•保证加密传输和安全认证的移动安全网关

3. 业务服务类——移动办公（BYOD）

【背景】

随着企业信息化建设的快速发展，业务系统所提供的服务内容和形式迅速延伸，传统封闭的内网办公模式已无法满足移动业务发展的需求。移动互联网应用接入、智能终端远程办公、员工使用自带移动智能设备办公等多样化的办公需求逐渐增加。

【问题需求】

当前使用自带设备进行移动办公（BYOD）的理念正逐渐深入人心，但实践中未能广泛落地，其核心问题在于传统的以设备管理为中心的安全方案难以兼顾企业信息管理和用户体验。因此急需以业务服务为中心，充分适应BYOD的发展趋势，轻量可扩展、开箱即用的移动办公安全解决方案。

【功能组件】

    面向BYOD的移动安全办公空间能够兼顾用户体验和移动办公安全防护，主要功能包括：

•用于推送和安装应用的移动应用商店

•实现办公与个人数据隔离的安全工作空间

•数据防泄露（DLP）保护措施

•企业应用准入控制

•工作区品牌化界面

•安全的移动办公组件，包括安全邮件、安全浏览器、安全云盘

•保证加密传输和安全认证的移动安全网关