BYOD安全及边界防护技术在五凌电力的应用与分析田苗苗

BYOD安全及边界防护技术在五凌电力的应用与分析田苗苗

田苗苗1邹志2

（五凌电力有限公司湖南长沙410004）

摘要：随着移动互联网技术的不断发展，企业越来越多的业务已大量使用移动互联网技术，并将其应用到日常办公中，对提高企业工作效率和管理水平起到了积极的促进作用，然而，由此也带来了移动安全问题。构建移动安全管控服务系统可以有效解决BYOD移动应用中的移动应用及数据安全问题，提升企业敏感信息保护能力。

关键词：移动互联网技术；移动安全管控；BYOD（BringYourOwnDevice，自带设备办公）；移动应用；

Keywords：MobileInternetTechnology；MobileSecurityManagementandControl；Mobileapplication；

1概述

五凌电力有限公司（简称“五凌电力”）成立于1995年，为国家电力投资集团公司在湘二级单位，是一家按照现代企业制度组建的中外合资企业，现股东为中国电力国际发展有限公司和湖南湘投国际投资有限公司，公司在运总装机容量669.69万千瓦，是湖南省最大的清洁能源开发经营企业。

五凌电力通过建设移动应用平台，实现了生产指标移动展示，ERP系统、协同办公等应用移动化，并将其应用到日常移动办公中，随着移动应用越来越多，利用自带设备办公的情况也越来越多，同时也带来了移动应用的安全风险，如不提前预防并采取有效的预防措施，可能会对企业的业务运营安全带来不可估量的影响和损失。

风险主要体现为四个方面：移动终端设备安全问题、移动应用安全问题、移动应用数据防泄漏问题、移动应用数据传输安全问题。

1）移动终端设备安全问题：员工在自己的移动设备（手机\Ipad）上处理业务，相当于让企业的内部数据暴露在互联网。如何只考虑办公应用，不需考虑个人终端设备的差异，减少推广时的投资成本，提高用户体验度，成为BYOD业务应用安全防护的焦点。

2）移动应用业务安全问题：当大量移动应用业务上线后，有些业务是面向大众对外发布的。对外应用业务，既要保证企业信息不被窃取，也要保护大众隐私信息不被截取。对内应用业务，要保证统一分发应用业务、保障应用业务认证安全，这些都会直接影响到企业最初上移动应用系统的效果。

3）移动应用数据防泄露问题：移动应用中涉及大量用户信息、商户数据，客户数据、物流信息、员工通讯录等，一旦泄露将会造成不可估量的损失。如何保障企业移动数据不被泄露，是目前移动化过程中急需解决的问题。

4）移动应用传输安全问题：移动应用数据在互联网环境下传输，接入办公网络，常常在不同的WIFI和公共网络中切换，增加了数据被非法窃听、截获或者修改的风险，从而造成企业内部数据泄露。为了保障业务在公共网络的传输安全，需要通过加密传输隧道实现业务数据传输加密。

2系统架构及设计

2.1系统概述

五凌移动安全管控服务系统由服务端控制平台（服务端软件）组成，移动安全管控服务系统提供SDK与现有移动应用平台APP融合为一体，在不改变现有移动应用平台APP体验的情况下，依托于应用VSA技术对移动应用平台APP进行快速封装，实现从数据到网络的全面保护。

2.2系统架构

移动安全管控服务系统在应用中采用控制平面和数据平面分离的方式工作，其业务逻辑如图1所示，管理流量在移动终端上的移动应用平台APP与业务后台间传输，业务流量由手机业务APP经过封装后由移动内容接入网关进行解密并做一定的安全过滤后转发到内网的业务系统之中。

图1移动安全管控服务逻辑图示

2.3功能设计

2.3.1主体功能综述

移动安全管控系统是基于虚拟安全域技术构建的轻量化的企业移动应用安全平台、管理平台和服务平台，其主体功能如下：

用户管理

对人的管理、控制和保护是企业安全的核心要素，用户管理是企业借助设备服务落实安全政策的桥梁。通过用户管理模块，可以将企业现有的组织架构在系统中导入/建立和维护，是其他管理和保护的基础工作之一。

设备管理

在移动办公环境中，计算设备与人之间的对应关系更为复杂，提供了对移动终端的维护与管理能力，形成人、手机、业务之间完整的映射关系和管理体系。

DLP保护

VSA技术可以直接为办公业务赋能DLP保护，在应用上传至应用商店的过程中，可对应用进行保护配置，如：禁止截屏（andriod），截屏报警（iOS），禁止向未受保护应用复制粘贴内容、启用应用水印等。并可根据需要随时调整策略。

通信过程保护

通过VSA技术为应用传输信道提供加密能力，支持通过多种算法为网络通讯传输进行加密。

2.3.2核心技术路线

虚拟安全域技术（VirtualSecurityArea，以下简称VSA）：是一种在通过在系统底层实现提供移动应用安全保护能力的技术，在无需获取应用源代码，也不需要Root权限、在代码零改造的基础上对应用形成一个虚拟安全域，在该安全域中即可实现各种移动业务安全运行的通用性需求：数据防泄露、应用功能安全调用、运行安全保护和隐私类保护等，也可以快速的适配实现企业其他个性化的网络安全保护和内容审计及其他需求。用户将机密数据控制在一个安全的区域，并能够了解用户的上网行为模式和进行行为监控，在企业开展移动业务的同时能够保证业务的安全运行。

2.3.3技术原理简述

默认情况下，应用可以访问和请求任意的系统资源，比如读取，删除一些文件或者网络操作等。通过VSA技术，为业务应用建立了一个单独的、安全的虚拟系统，构建了应用和系统之间的桥梁，从系统底层对应用权限和用户使用行为等进行全方位的管理和保护。应用发起的请求先经过该安全虚拟系统中进行安全判断和审计，阻断不安全请求，防止将应用中的机密信息外泄等情况。使企业应用运行在一个安全可靠的环境中，能够真正安心的实现企业的移动化。

图2VSA技术原理

2.3.4实现方式

将APP上传至后台，通过Wrapping服务器将VSA引擎SDK打包至APP中，得到封装之后的APP。

图3实现方式

2.3.5技术特点

全面、稳定的安全保护能力

全面性：VSA技术已实现了数据防泄露、上网内容审计、功能安全调用、网络安全等多达近百项能力，更为全面而细致的满足企业不同场景中的安全需求；

高扩展性：VSA是基于系统底层实现，且在应用和系统之间运行一个虚拟域的方式，能够快速的扩展能力，及时满足企业场景不断迭代所需的能力或某些特殊个性化能力。

稳定性高：代码零改造，不需要调整应用源代码，影响应用的稳定性，不会让客户使用中出现异常情况。

兼容性高：适配市场主流的机型、系统及99%的设备，并通过了ToC市场百万级用户的应用和机型的检验。

高效与性能兼顾

简单易操作：顶尖的Wrapping技术：秒级完成封装；不需要技术人员介入

SDK集成：集成简单易操作，开发人员仅需几分钟就可以完成。

超轻量、高性能：VSA实现了超轻量的技术方案，不管是通过何种方式实现对应用的安全保护，应用添加的大小仅400KB，在能保证企业的安全所需情况下，保证应用的性能，减少损耗，提供用户无差别的体验。

安全性高：从底层实现，避免了在Java层进行处理时，出现SDK集成时候出现遗漏，导致无法形成完善保护。

灵活、多样的实现方式

两种技术实现方式：提供Wrapping和SDK集成两种方式，供企业根据不同的环境需求进行选择实现

策略的灵活配置：对每个应用实现细致的策略配置，满足针对性的安全等级需求，在已提供的繁多的能力中，且可以根据场景的需求配置关注的安全能力，及针对不同的用户提供不同的配置实现不同级别的保护，并根据需要灵活调整配置实现移动化中的安全保护的优化方案；

2.3.6轻量化安全框架

通过上传企业应用商店过程中进行应用VSA，可以实现对各种移动应用类型在各种os及定制rom上的的安全保护，无论是（Android/iOS）Native应用、H5应用还是混合应用，移动应用VSA后安全控制能力多达80项，方案都能快速提供通用的安全防护能力：

1）隔离能力：在普遍的BYOD场景中，实现用户个人数据与企业业务数据的安全隔离，保障了数据安全性的同时，实现了一个设备兼备“个人”和“工作”两套“区域”，兼顾工作数据安全以及个人生活隐私。

2）本地数据加密能力：对业务数据、文档的本地存储进行加密处理，防止业务数据被未授权人或应用打开。

3）数据防泄漏能力：支持对业务进行复制粘贴控制、截屏、录屏等功能进行

4）网络通信加密能力：对业务通信过程进行加密保护，防止通过网络信道传输过程中的窃听、重放与篡改。

5）远程运维管理能力：在轻量化的基础框架下，集成了必要的设备资产管理能力，业务生命周期管理能力，业务数据的远程处理能力。

安全能力开箱即用，配置简洁，无需繁琐的设备注册，增强移动办公效率。打消BYOD场景中个人用户对安装使用企业安全保护应用，可能造成个人隐私信息泄露等众多疑虑，降低企业移动办公安全的推进难度。

2.3.7数据加密

2.3.7.1技术原理

通过VSA的实现机制，拦截系统文件的读写等相关操作，利用管理端生成并保存的密钥和相关算法针对VSA应用生成的文件进行写入加密的控制，实现落地数据的加密存储，保障应用数据的安全性；

同时针对应用生成的加密文件进行读取解密，实现应用读取数据透明化的控制，用户体验无感知；相同设备上VSA应用使用相同密钥。

图4数据加密技术原理

2.3.7.2功能实现

客户端根据自身设备信息（IMEI等）生成密钥并保存在设备中。加密策略中包括加密配置信息和加密算法，应用根据配置信息中允许加解密的数据进行加解密控制，其他数据保持明文。

2.3.7.3加密配置

加密配置中包含加密目录名单和加密文件类型列表；执行时首先根据“加密目录名单”判断是否需要加密，若不在名单中，则再根据“加密文件类型”判断，目录名单优先级高于文件类型；

默认加密配置中只含有默认加密文件类型列表。

加密目录名单（可同时设置不同名单）

强制不加密目录名单：不需要加密的目录，目录下所有文件都不加密。

强制加密目录名单：指定要加密的目录，目录下所有文件都加密。

加密文件类型名单（目录名单之外文件按此处理）

默认加密下表所列类型（可添加指定类型到加密文件类型中）：

2.3.7.4加密算法

标准支持AES256和SM4，亦可以集成其他需要的算法。

2.3.7.5加密流程

创建文件

1）新创建文件，根据加密配置文件确定是否对文件进行加密，

2）如不需加密，则创建文件不加密

3）如需加密，则创建文件加密

写文件

1）写入时根据加密配置先判断是否需要加密，

2）如需要则对应进行相关的加密写入行为，不需要则明文写入；

3）当无法判断是否需要加密时，明文写入，写入过程中能够判断类型时，按1）执行，如无继续明文写入

读文件

1）读取时识别文件加密状态

2）如未加密则明文读取；加密则解密读取

打开旧文件

1）打开文件，首先判定打开文件方式和文件的加密状态

2）读取方式：直接读取

3）写入方式：根据当前的加密配置确认是否对文件进行加解密

文件重命名

文件重命名（更改类型或者保存路径时），确认更改是否需要对文件当前的状态进行改变，如果需要则进行数据的加密或者解密过程。

获取文件信息

1）识别文件加密状态

2）加密状态处理后返回原文件信息给应用；未加密状态直接返回文件信息

2.3.8应用水印

2.3.8.1技术原理

基于VSA的实现机制，通过在应用界面上显示添加的定制水印内容，一方面告诫使用者，另一方面在信息被截取或被拍摄之后，管理员能够从水印信息中追溯源头，进而能够更完善的防止信息外泄。

图5应用水印技术原理

2.3.8.2实现效果

水印内容文字可随意定制，展示企业和用户信息，信息内容可实时同步修改。文字大小、颜色、透明度、边框大小、边框颜色、旋转角度，可以根据需求设置相关的显示属性，使得更符合企业风格，到达良好的用户体验。

2.3.9复制粘贴保护

2.3.9.1技术原理

基于VSA的实现机制，对禁止了复制粘贴的应用进行控制，用户可以粘贴非VSA应用中的数据到VSA应用，但禁止复制粘贴的VSA应用中的数据不能够粘贴出去，限制机密数据仅能够在安全区域内流转，防止粘贴到非安全应用进行泄露。

且安全区域的范围既可以是均禁止复制粘贴的所有VSA应用间；也可以是该应用自身，其他所有应用均不允许粘贴该应用内容，形成更高级别的安全控制。

图6复制粘贴技术原理

2.3.9.2实现流程

复制、剪切处理流程

1）监控应用运行时的复制、剪切行为

2）发生复制剪切时，将内容存储在VSA中

粘贴处理流程

仅禁止VSA与非防护应用（未禁止复制粘贴的VSA应用和其他应用）复制粘贴

1）监控应用运行中的粘贴行为

2）如果被粘贴应用禁止该行为，则对比VSA中复制的内容和系统剪切板中内容的时间状态

3）如果VSA中内容最新，则粘贴VSA中内容

4）如果系统剪贴板中内容最新，则粘贴系统中内容

禁止VSA应用和其他所有应用的复制粘贴：

2.3.10分享控制

2.3.10.1禁止调用其他应用策略

监测应用调用其他应用的行为，其他应用分类为：其他系统应用（camera、录音、短系统设置等例外）、第三方应用、VSA应用；

禁止某类应用，在应用调用该类应用时，则调用失效，防止通过禁止的应用将应用数据泄露出去；调用可允许的应用时，可以正常使用。

1）VSA应用运行时调用其他应用（例如：企业邮箱调用wps打开附件），判断是否允许其他应用被调用；

2）如果不允许，则调用失败；

3）如果允许，则正常调用。

2.3.10.2禁止应用自身被其他应用调用策略

当应用被调用时，判断应用是否允许被其他应用调用，如果不允许，则停止调用，或调用无效。

1）其他应用调用某VSA应用（例如：其他应用生成文档调用VSA的安全邮件发送），判断VSA应用是否允许其他应用调用；

2）如果不允许，则调用失败或传递数据文件失败；

3）如果允许，则正常调用。

3服务运行结果及产生效益

3.1系统运行结果

移动安全管控服务建设，实现对BYOD设备环境、业务应用、数据安全及网络安全的全方位的安全管控；完成1个移动应用平台应用和数据的安全管控，完成8个业务系统应用和数据的安全管控，包括集中审批、共享审批、移动报销、经营指标、物资指标、水调系统、售电系统、通讯录；完成1200台左右BYOD设备的安全管控；完成对700多个经营和生产数据的安全管控。

图7移动安全管控客户端展示

3.2产生的经济效益

3.2.1节省人员费用

通过移动应用平台客户端能够及时安全的访问公司生产和经营数据，访问移动办公业务系统，减少了员工手工查询的工作，提高了工作效率，节省了人员费用。

3.2.2节省设备费用

如果公司派发移动安全终端，移动安全终端生命周期按照3年来计算，采购价格按照2000元，目前本系统已经支持1200左右员工使用自带设备进行移动办公。而本系统的生命周期按照5年来计算，5年期间可以节省设备费用：1200*2000*5/3=7200000元（720万元）。

3.2.3办公效率

本系统通过统一身份认证、应用统一商店和门户、自动按需建立加密隧道等技术，简化了员工使用过程中的配置管理，从而大大提升了员工的办公效率。

4结论

移动互联网技术的使用给企业带来了新的挑战，企业在移动终端管理、移动应用管理、移动应用数据防泄露等方面面临多种开发和管理难题，这些都将成为五凌电力必须面对的问题。

本文针对五凌电力移动应用发展存在的风险分析，结合对五凌电力移动信息化过程中的业务安全需求，在满足国家法律法规和行业监管要求的前提下，充分利用互联网、云计算、移动化等信息技术，以五凌电力现有的综合平台和各类移动业务系统和数据为基础，以BYOD员工自带终端为载体，通过移动安全管控服务的建设，有效解决了五凌电力移动化过程中的安全问题，必将更好的为五凌电力各部门开展移动应用提供整体的移动安全服务，更好的实现信息安全保障与业务应用创新协调发展。

参考文献：

[1]GB/T22239.1信息安全技术网络安全等级保护基本要求第1部分：通用安全要求

[2]GB/T22239.3信息安全技术网络安全等级保护基本要求第3部分：移动互联安全扩展要求

[3]（发改委14号令）电力监控系统安全防护规定