摘 要:在企业数字化转型的大时代背景下,企业移动应用推动了传统行业的重构与融合。由于移动应用已成为企业经营活动密不可分的一部分,其安全性和可靠性对企业影响重大。然而,企业移动应用的平台化、服务化演进趋势,使得传统独立、分散的安全机制和手段很难灵活、高效地满足企业移动应用快速变化的安全防护要求。为解决这一问题,借鉴安全功能虚拟化、服务化思想,提出支持灵活集成、编排、扩展安全服务的企业级安全服务框架,整合移动领域各类安全设备、技术、工具,构建具备应用安全、终端安全、数据安全和安全运维管理能力的企业移动应用安全防护体系。
内容目录:
1 企业移动互联网应用的安全需求以
及面临的安全威胁
1.1 安全需求
1.2 安全威胁
2 企业移动互联网应用安全能力要求
3 企业移动互联网应用安全防护体系
3.1 总体设计思路
3.2 总体架构
3.3 技术架构
3.4 产品组成及功能
4 企业移动互联网应用安全关键技术
4.1 安全服务智能编排与协同技术
4.2 移动终端轻量化虚拟工作空间技术
4.3 移动安全态势感知技术
5 结 语
移动互联网为人们的生产生活和企业经营活动带来便利的同时,也面临由于网络开放性、终端易失性、应用多样性等带来的安全风险和诸多不可控因素。近年来,随着 4G/5G 移动通信技术的广泛应用,移动互联网应用数量呈现爆发式增长,而现有移动互联网的安全防护主要针对移动网络和移动终端,移动应用的安全防护手段相对缺失,这就导致很多恶意应用的滋生和泛滥,不法分子利用恶意应用进行用户敏感数据窃取、恶意扣费、系统破坏等,使得安全事件层出不穷,安全形势异常严峻 。企业移动互联网应用虽然采用了移动专网作为业务承载平台,使网络层面的安全风险大为降低,但应用开发、测试仍然很难脱离开放网络环境,原有的安全问题很可能引入到相对封闭的企业移动专网,因此迫切需要针对企业移动互联网应用面临的安全威胁和需求构建全方位立体化的移动应用安全防护体系。
随着业务架构技术的不断演进,企业移动互联网应用已经发生巨大变化,移动应用的后端系统通过共性业务的抽取和重组,形成了各种业务中台,应用创新和交付能力大大提升,而传统的移动应用安全手段异构分散、集成扩展能力弱,很难适应服务化、平台化的移动应用快速交付模式。同时,企业移动互联网应用的快速增长使得移动用户激增,而现有的系统缺少针对移动应用安全态势监测的手段,系统安全运维和威胁响应处置的能力较弱。另外,企业移动互联网应用种类多样,安全防护需求各不相同,需要针对不同应用采取差异化的安全防护机制。移动终端是企业移动互联网应用的承载平台,终端的安全关乎移动应用能否得到可靠保障,而现有的移动终端防护手段参差不齐,未能形成云端协同的移动终端安全防护能力。本文围绕企业移动互联网应用的安全需求,重点针对以上问题开展移动应用安全防护技术研究。
企业移动互联网应用的安全需求
以及面临的安全威胁
1.1 安全需求
为建立企业移动应用健康生态,保障企业移动应用效能发挥,企业移动应用服务系统的建设应充分考虑企业移动应用安全能力的建设。具体需求如下文所述。
(1)企业移动业务的敏感性要求系统必须采取覆盖移动应用全生命周期的高安全防护机制。
与个人消费者移动应用相比,企业移动应用的显著特点是业务本身的敏感性,特别是企业敏感程度较高的办公类、生产类、销售类应用,其业务更需要严格保护。因此,应针对企业移动应用全生命周期(包括应用设计开发、测试验证、上架发布、运行维护、终止运营等 )制定企业移动应用安全防护技术要求和管理规范,综合采取多种安全防护措施。例如,移动应用的业务逻辑、数据以及运行环境必须采取严格的隔离防护机制,关键数据、信息应进行安全存储和传输,重要内容的访问应严格采取身份认证、访问控制、关键数据保护、追踪溯源等措施,防止核心数据泄露,为企业移动应用提供高安全防护能力。
(2)企业移动业务的多样性及其面临的安全威胁要求系统必须具备按需安全防护和快速威胁响应能力。
企业移动业务的种类和场景多样,不同种类的业务安全防护要求不同,相同业务在不同应用场景下的安全防护要求也不尽相同,这就需要系统具备按需的移动应用安全防护能力,能根据不同应用场景动态调整业务安全策略,同时针对不同移动业务提供差异化的安全机制。由于企业移动业务的重要性和特殊性,其面临的安全风险将比公众移动网络更加突出和严峻,一旦遭受攻击其影响和后果将非常严重。为此,企业移动应用服务系统建设应加强威胁感知、预警、防护、检测、响应和恢复的能力,能够及时发现系统中的攻击事件,对移动应用核心资产进行全方位保护,分析和预测企业移动应用安全态势,当发生攻击行为时能够快速做出处置和恢复系统正常运行,从而形成一个动态防御的闭环体系 。
(3)企业移动业务和数据能力的平台化要求系统必须具备服务化、平台化和可扩展的安全防护能力。
为了建立企业移动应用生态,支撑企业移动应用的快速开发和交付,企业移动应用服务系统必须实现业务能力和数据能力的高效整合与复用。为此,企业移动应用服务系统建设采取了软件中台的技术路线,构建业务中台、数据中台、开发平台等,这就要求企业移动业务的安全能力必须实现与业务和数据平台的无缝整合。然而当前企业移动应用的安全手段异构分散,未实现安全功能的服务化,集成与交付能力弱,功能扩展难,无法支持各类平台的统一调用。因此急需利用软件定义安全、安全功能服务化思想,集成改造企业已有基础安全能力,有效整合移动领域各类安全设备、技术、工具,构建服务化、平台化、可扩展的企业移动应用安全服务系统,提供统一的安全服务接口,实现与业务中台、数据中台的无缝整合,按需为企业移动业务提供各类应用安全服务功能。
(4)企业移动业务的统一高效运维要求系统具备智能化的移动应用安全态势监测与安全管理能力。
企业移动应用系统效能的发挥需要统一、高效的运维保障,而移动应用的安全运维是其中的关键环节之一。为支撑企业移动应用动态防御体系的运行,系统必须具备移动应用安全态势智能化感知、分析、呈现和策略优化手段,实现安全事件、安全威胁的及时发现和监测预警。同时,为实现日常运维保障,系统还应提供自动化的安全管理工具,支撑运维人员、安全专家通过统一的管理入口,监控各类安全服务运行状态,配置调整安全策略,分析和处理安全事件,升级维护安全软件和各类安全载荷等。
1.2 安全威胁
YD/T 2694—2014《移动互联网联网应用安全防护要求》 对移动互联网联网应用的重要资产进行了定义。
(1)移动互联网联网应用客户端软件;
(2)移动互联网联网后台系统和操作维护终端硬件及相关软件;
(3)移动互联网应用关键数据。
也就是说,在讨论移动互联网安全的时候,需要重点考虑移动应用、移动应用运行环境、移动数据所面临的安全威胁,具体如下文所述。
1.2.1 移动应用
在 App 设 计 开 发 阶 段 使 用 开 放 网 络 环境 中 未 经 安 全 检 测 的 软 件 开 发 包(Software Development Kit,SDK),或在 App 上架发布阶段发布未经安全检测的 App,可能引入代码漏洞、预置后门、恶意代码植入等安全问题,导致敏感信息泄露,或造成系统破坏导致功能异常等。
在 App 运行阶段,用户未经身份认证,可能导致非授权用户窃取、篡改企业敏感业务数据,破坏系统正常运行;攻击者利用应用存在的漏洞,越权访问文件、数据和其他软硬件资源,泄露企业或个人隐私数据;移动 App 利用热更新技术进行升级维护,极易造成未经过安全检测的更新包绕过系统安全机制,安装到移动终端的现象,存在极大的安全风险。
1.2.2 移动应用运行环境
移动应用运行环境包括移动终端和后台移动应用服务器。在移动终端方面,攻击者利用漏洞或预先植入的后门等,获取系统权限,非法访问终端外设和应用数据,导致企业敏感数据泄露和应用资源被破坏;终端系统可能面临预置后门、木马、病毒、蠕虫、僵尸等恶意代码攻击,导致数据泄露、篡改、损坏,业务中断、系统瘫痪等一系列问题。由于大多数后台系统采用云平台构建技术,因此,存在多租户的应用业务和数据隔离的安全风险;另外,攻击者利用被攻破的移动设备对后台移动应用发起分布式拒绝服务攻击(Distributed Denial of Service,DDoS),可能造成系统服务瘫痪。
1.2.3 移动数据
攻击者或非授权用户能够很容易地获取到未经访问控制和存储保护的移动端数据;采用拍摄、录制等方式窃取移动端数据,一旦数据泄露,造成后果,将很难进行责任认定;移动用户在系统中发布敏感信息和不当言论,缺少检测手段,极易对企业经营造成严重影响。
企业移动互联网应用安全能力要求
针对企业移动互联网应用安全需求及面 临 的 安 全 威 胁, 系 统 必 须 具 备 以 下 安 全能力 :
(1)应用安全防护能力。针对移动应用设计开发、测试验证、上架发布环节面临的安全威胁,需要重点关注移动应用的安全设计、安全检测和安全集成,系统应提供移动应用安全开发指南,支撑移动应用安全设计;提供安全开发组件,供移动应用集成;提供应用 App 与SDK 安全检测、安全加固、交付验证能力;针对应用运行维护环节面临的安全威胁,系统应具备统一身份认证、访问控制、会话安全管控、恶意代码检测、行为分析检测、应用更新管控等能力。
(2)终端安全防护能力。针对企业移动互联网应用在终端侧运行可能面临的安全威胁,系统应具备终端资源访问控制、终端外设权限管控、应用运行环境隔离、终端可信运行控制、终端可信度量与状态鉴别、终端恶意代码检测等安全防护能力。
(3)数据安全防护能力。针对企业移动互联网应用业务数据可能面临的安全威胁,系统应具备业务数据访问控制、数据安全存储与擦除、数据追踪溯源与责任认定、业务敏感信息检测等安全防护能力。
(4)通信网络安全能力。针对企业移动互联网应用在网络传输过程面临的安全威胁,系统应具备数据传输过程中的机密性、完整性保护能力。同时,针对移动网络自身面临的安全威胁,系统应具备终端接入控制、虚拟专用网(Virtual Private Network,VPN)、网络边界防护、网络攻击检测等安全防护能力。
(5)移动应用安全运维能力。针对企业移动互联网应用高效安全运维的需求,系统应提供统一的安全管理门户,具备应用安全策略、安全服务、移动应用的自动化、智能化管理能力;同时,为支持动态防御体系的构建,系统应具备移动应用监测预警能力,提供移动应用安全数据采集与分析、安全态势呈现、系统安全策略优化等功能。
(6)安全功能服务化与动态调整能力。为支持企业移动互联网应用的快速开发和能力交付,应构建统一的应用安全服务平台,支持安全功能的服务化和安全能力的高效整合,与移动业务无缝融合,敏捷构建满足企业要求的安全移动业务;为应对高速变化的移动应用安全威胁,以及高强度持续性攻击风险,应用安全服务平台应能够根据差异化安全需求和应急响应处置的需要,快速编排安全服务和动态调整安全策略。
企业移动互联网应用安全防护体系
3.1 总体设计思路
为满足企业移动互联网应用安全防护需求,应充分利用移动通信网络安全能力,整合移动互联网应用安全服务资源、先进技术和成熟工具,构建具备“3+1”移动应用安全能力体系(包括应用安全、终端安全、数据安全和应用安全运维管理)的企业移动应用安全中台,支撑企业移动互联网应用动态防御能力的形成,为企业移动互联网应用提供智能化、协同化、可持续的全生命周期安全保障。系统总体设计思路如图 1 所示。
图 1 企业移动互联网应用安全中台设计思路
安全中台采用服务化设计思想,制定统一的安全服务标准规范,对引入的第三方安全厂商的安全产品进行服务化改造,以服务的方式部署在云端和移动终端,与移动应用服务集成,支持安全服务的统一调用和安全能力的动态调整,为企业用户提供差异化的应用安全服务,为运维人员提供安全运维管理手段,为移动应用开发提供组件化的安全支撑。同时,安全中台还提供应急响应和处置手段,方便安全专家通过人工或自动化工具完成应急响应和事件的处置。
3.2 总体架构
企业移动应用通常采用“云、网、端”的系统架构,遵循“轻终端、强后台”的设计原则,参考行业内企业移动应用安全平台架构 ,中台采用“云端 + 终端”的应用安全防护体系结构,通过云端协同满足企业移动互联网应用安全防护需求。“云端”部分集成部署到云端业务系统,通过统一调用接口,提供应用安全、终端安全、数据安全和安全运维管理能力。“终端”部分嵌入到企业用户手机,通过移动终端安全容器和各类安全组件构成移动终端安全防护客户端,将安全能力延伸到移动终端,实现终端安全数据采集、终端安全检测、终端安全控制等功能。安全中台的总体架构如图 2 所示。
图 2 企业移动互联网应用安全中台总体架构
安全中台的“云端”部分通过企业移动通信网络构建的安全传输通道,与“终端”部分进行信息交互,实现终端数据采集、策略分发、远程控制等功能。安全中台的“云端”部分将安全服务能力接口注册发布到业务能力集成框架,其他中台、移动应用通过业务能力集成框架实现对安全服务的集中调用。安全中台的“终端”部分通过移动终端安全防护客户端对外提供安全组件调用接口,移动 App 通过系列组件接口调用终端安全功能。
3.2.1 安全中台“云端”部分
安全中台“云端”部分主要包括应用安全、终端安全、数据安全 3 类安全服务,以及安全运维管理系统。其中,应用安全服务包含移动身份认证服务、移动应用安全检测服务、移动应用可信签名服务;终端安全服务包含移动终端可信配置管理服务、移动终端安全防护服务、移动病毒防护服务;数据安全服务包含移动数据安全治理服务、移动数据溯源服务;安全运维管理系统包含移动安全态势感知系统、移动应用安全综合管理系统。
3.2.2 安全中台“终端”部分
安 全 中 台“ 终 端” 部 分, 即 移 动 终 端 安全防护客户端,包含移动终端安全容器和终端安全组件,其中容器提供组件管理、安全策略分发、组件访问控制、终端安全状态呈现、终端安全评估等功能,是终端安全核心功能实体。终端安全组件实现安全中台各类“云端”安全服务的终端侧安全功能,包含安全工作空间、行为采集、终端安全检测、终端安全控制和第三方安全组件。其中,终端安全工作空间在企业用户手机上构建了一个虚拟安全桌面,为敏感企业移动应用提供了安全隔离运行环境。各类 App 均通过移动终端安全防护客户端提供标准接口,实现对各类安全组件的功能调用。
3.3 技术架构
安全中台采用服务化设计思想,将各类安全功能以服务化、可插拔的软件技术架构,构建松耦合安全服务体系。安全中台的“云端”和“终端”部分的技术架构均可以划分为系统层、支撑层和服务层 3 个层次,如图 3 所示。
图 3 企业移动互联网应用安全中台技术架构
3.3.1 系统层
安全中台的“云端”部分部署在云计算环境,其系统层主要包含虚拟机、操作系统和数据库,操作系统可以是 Windows 或 Linux 操作系统。“终端”部分部署在企业用户手机,其系统层主要包含手机的操作系统。
3.3.2 支撑层
安全中台的服务接口调用、云端协同交互均基于支撑层提供的数据交互能力。支撑层主要 包 括 底 层 的 TCP/IP 协 议、 应 用 层 HTTP 或HTTPs 协议,以及基于 HTTP 的 RESTful 接口协议。此外,云端还包含安全服务访问网关,支持安全服务管理、服务统一访问控制;终端包含移动终端安全容器,提供终端软件的安全运行环境。
3.3.3 服务层
安全中台的服务层实现移动应用的核心安全能力,“云端”和“终端”分别采用不同的技术架构。“云端”部分采用分布式集群技术架构,应用安全、终端安全、数据安全 3 类安全服务和安全运维管理系统的服务器端软件均以节点集群的方式部署,其他中台通过统一服务访问网关,实现安全功能调用。“终端”部分采用软件组件技术架构,安全服务的客户端软件均以组件方式部署到移动终端安全容器,移动 App通过容器接口访问各类组件提供的安全功能。
3.4 产品组成及功能
根据安全中台的总体架构设计,参考行业内移动应用安全保障功能体系 ,企业移动互联网应用安全中台系统包括应用安全、终端安全、数据安全 3 类服务,以及安全运维管理系统,如图 4 所示。
图 4 企业移动互联网应用安全产品组成
(1)应用安全类。移动统一身份认证系统提供用户身份管理、用户授权管理、统一身份认证等功能。移动应用安全检测系统针对应用可能存在的安全漏洞、潜在威胁行为、引用第三方SDK风险以及代码问题等进行检测与评估。移动应用可信签名系统提供移动应用软件可信签名服务。
(2)终端安全类。终端配置与可信状态检测系统提供终端系统权限配置以及移动应用的可信状态检测和管理功能。移动终端安全防护系统提供移动终端安全数据采集、终端安全检测、控制、安全评估等功能;集成终端安全组件并支持组件扩展;提供应用隔离运行防护、数据安全存储等功能。移动病毒防护系统提供移动终端的病毒查杀功能。
(3)数据安全类。移动数据溯源系统为敏感信息泄露的责任认定提供支持。移动数据安全治理系统提供数据标记、分类、安全存储、访问控制等功能。
(4)安全运维管理类。移动应用安全态势系统提供安全态势数据采集引接、综合分析、告警呈现等功能。移动应用安全综合管理系统是移动应用安全管理入口,支持安全策略、安全服务、移动终端、移动应用、安全载荷、安全事件的统一管理。
企业移动互联网应用安全关键技术
4.1 安全服务智能编排与协同技术
网络空间安全风险以及移动应用场景的变化与发展,让安全服务越来越呈现出按需组织、灵活适配的特点。与以往分散、独立的安全防御模式相比,安全服务需要采用更为灵活的体系结构解决深层次集成、编排问题,基于微服务架构,构建具有柔性重构能力的安全服务集成框架 。这种安全服务集成框架,需要完成从移动应用安全需求到安全能力的映射,再到安全服务功能的分解和有序组合,并解决高可用安全服务协同一致性等一系列问题。为解决这一问题,可以通过可视化的建模工具来简化服务编排过程,提高组合服务模型的可读性和易维性。为此,我们参考 BPMN 和 TOSCA 标准,开发了可视化的安全服务编排界面,通过简单的图符和线条展示元服务之间的业务逻辑关系,并在图符上提供安全服务配置能力。
4.2 移动终端轻量化虚拟工作空间技术
对于高安全等级的企业移动应用,用户需要一个可信任的安全工作区,该工作区可将移动设备中的企业高安全应用和个人应用全面分离,再结合 VPN 技术,构建面向企业高安全应用的可信环境,有效阻断来自非安全工作区的各种攻击。为了不影响移动应用的运行效率,提升用户体验,安全工作区应尽可能轻量化,在移动应用的封装方面能够高效且完全透传,而不是采用非常耗时的 wrapper 等方式(需要反编译,重新签名)。为此,利用虚拟化容器技术构建独立的移动应用运行环境是一种非常有效的方法。虚拟化容器技术在运行环境隔离性方面可以做到与移动终端上其他应用彻底隔离,高安全等级移动应用在虚拟工作空间内独立运行,而不仅仅是视觉隔离。同时,虚拟化容器技术能够确保安全区内的每一个应用按照防护策略采取严格的数据加密、数据防泄漏等安全机制,无须依赖系统提权,区内所有应用能够静默安装、卸载、更新,可以对区内每个应用单独实施网络访问控制能力。
4.3 移动安全态势感知技术
针对日益严峻的移动互联网安全态势,企业移动应用需要加强安全态势感知、监测预警和应急处理能力,移动安全态势感知是前提和基础。利用移动安全态势感知技术可以建立对企业移动应用开发、上线、升级、维护全生命周期不间断、主动监测能力,对企业移动应用可能存在的恶意代码、漏洞,以及遭受的外部攻击、用户恶意行为等进行感知监测。移动安全态势感知技术首先需要建立移动安全态势的指标体系 ,其次是采集或引接与监测指标相关的各类安全数据,包括 App 检测数据、App运行状态数据、终端检测数据、终端运行状态数据、应用系统日志数据等,再通过聚类分析、关联分析和序列模式分析等数据分析工具 [12] 对异常行为、已知攻击手段、组合攻击手段、未知漏洞攻击、未知代码攻击等进行分析,构建移动安全威胁、移动安全态势评估体系,实现对安全威胁、综合安全态势的判定和预测,借助可视化技术呈现移动安全态势图。
结 语
随着企业移动互联网应用的快速发展,恶意代码、漏洞、病毒等安全威胁越发复杂多变,企业移动应用面临的安全风险更加严峻和不确定。针对新的安全挑战,有必要对企业移动应用安全服务体系进行不断改进完善。一是补充完善应用安全、数据安全、终端安全服务体系,重点加强数据安全能力建设;二是进一步提升安全服务功能和性能,满足企业移动应用升级演进、能力提升带来的服务访问能力增强的需要;三是提升安全运维管理能力,不断优化安全策略配置,支持海量移动终端安全管理,引入大数据分析和人工智能等技术,进一步增强态势监测预警的智能化水平,实现威胁自动化感知、预警、分析,支撑动态防御能力体系的形成。
引用格式:杨震 , 陈志辉 , 范国林 . 企业移动互联网应用安全防护技术研究 [J]. 信息安全与通信保密 ,2022(12):19-29.
商务合作 | 开白转载 | 媒体交流 | 理事服务
请联系:15710013727(微信同号)
《信息安全与通信保密》杂志投稿
联系电话:13391516229(微信同号)
《通信技术》杂志投稿
联系电话:15198220331(微信同号)
原文始发于微信公众号(信息安全与通信保密杂志社):企业移动互联网应用安全防护技术研究
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论