企业移动互联网应用安全防护技术研究

移动互联网为人们的生产生活和企业经营活动带来便利的同时，也面临由于网络开放性、终端易失性、应用多样性等带来的安全风险和诸多不可控因素。近年来，随着4G/5G移动通信技术的广泛应用，移动互联网应用数量呈现爆发式增长，而现有移动互联网的安全防护主要针对移动网络和移动终端，移动应用的安全防护手段相对缺失，这就导致很多恶意应用的滋生和泛滥，不法分子利用恶意应用进行用户敏感数据窃取、恶意扣费、系统破坏等，使得安全事件层出不穷，安全形势异常严峻。企业移动互联网应用虽然采用了移动专网作为业务承载平台，使网络层面的安全风险大为降低，但应用开发、测试仍然很难脱离开放网络环境，原有的安全问题很可能引入到相对封闭的企业移动专网，因此迫切需要针对企业移动互联网应用面临的安全威胁和需求构建全方位立体化的移动应用安全防护体系。随着业务架构技术的不断演进，企业移动互联网应用已经发生巨大变化，移动应用的后端系统通过共性业务的抽取和重组，形成了各种业务中台，应用创新和交付能力大大提升，而传统的移动应用安全手段异构分散、集成扩展能力弱，很难适应服务化、平台化的移动应用快速交付模式。同时，企业移动互联网应用的快速增长使得移动用户激增，而现有的系统缺少针对移动应用安全态势监测的手段，系统安全运维和威胁响应处置的能力较弱。另外，企业移动互联网应用种类多样，安全防护需求各不相同，需要针对不同应用采取差异化的安全防护机制。移动终端是企业移动互联网应用的承载平台，终端的安全关乎移动应用能否得到可靠保障，而现有的移动终端防护手段参差不齐，未能形成云端协同的移动终端安全防护能力。本文围绕企业移动互联网应用的安全需求，重点针对以上问题开展移动应用安全防护技术研究。1企业移动互联网应用的安全需求以及面临的安全威胁1.1安全需求为建立企业移动应用健康生态，保障企业移动应用效能发挥，企业移动应用服务系统的建设应充分考虑企业移动应用安全能力的建设。具体需求如下文所述。（1）企业移动业务的敏感性要求系统必须采取覆盖移动应用全生命周期的高安全防护机制。与个人消费者移动应用相比，企业移动应用的显著特点是业务本身的敏感性，特别是企业敏感程度较高的办公类、生产类、销售类应用，其业务更需要严格保护。因此，应针对企业移动应用全生命周期（包括应用设计开发、测试验证、上架发布、运行维护、终止运营等）制定企业移动应用安全防护技术要求和管理规范，综合采取多种安全防护措施。例如，移动应用的业务逻辑、数据以及运行环境必须采取严格的隔离防护机制，关键数据、信息应进行安全存储和传输，重要内容的访问应严格采取身份认证、访问控制、关键数据保护、追踪溯源等措施，防止核心数据泄露，为企业移动应用提供高安全防护能力。（2）企业移动业务的多样性及其面临的安全威胁要求系统必须具备按需安全防护和快速威胁响应能力。企业移动业务的种类和场景多样，不同种类的业务安全防护要求不同，相同业务在不同应用场景下的安全防护要求也不尽相同，这就需要系统具备按需的移动应用安全防护能力，能根据不同应用场景动态调整业务安全策略，同时针对不同移动业务提供差异化的安全机制。由于企业移动业务的重要性和特殊性，其面临的安全风险将比公众移动网络更加突出和严峻，一旦遭受攻击其影响和后果将非常严重。为此，企业移动应用服务系统建设应加强威胁感知、预警、防护、检测、响应和恢复的能力，能够及时发现系统中的攻击事件，对移动应用核心资产进行全方位保护，分析和预测企业移动应用安全态势，当发生攻击行为时能够快速做出处置和恢复系统正常运行，从而形成一个动态防御的闭环体系。（3）企业移动业务和数据能力的平台化要求系统必须具备服务化、平台化和可扩展的安全防护能力。为了建立企业移动应用生态，支撑企业移动应用的快速开发和交付，企业移动应用服务系统必须实现业务能力和数据能力的高效整合与复用。为此，企业移动应用服务系统建设采取了软件中台的技术路线，构建业务中台、数据中台、开发平台等，这就要求企业移动业务的安全能力必须实现与业务和数据平台的无缝整合。然而当前企业移动应用的安全手段异构分散，未实现安全功能的服务化，集成与交付能力弱，功能扩展难，无法支持各类平台的统一调用。因此急需利用软件定义安全、安全功能服务化思想，集成改造企业已有基础安全能力，有效整合移动领域各类安全设备、技术、工具，构建服务化、平台化、可扩展的企业移动应用安全服务系统，提供统一的安全服务接口，实现与业务中台、数据中台的无缝整合，按需为企业移动业务提供各类应用安全服务功能。（4）企业移动业务的统一高效运维要求系统具备智能化的移动应用安全态势监测与安全管理能力。企业移动应用系统效能的发挥需要统一、高效的运维保障，而移动应用的安全运维是其中的关键环节之一。为支撑企业移动应用动态防御体系的运行，系统必须具备移动应用安全态势智能化感知、分析、呈现和策略优化手段，实现安全事件、安全威胁的及时发现和监测预警。同时，为实现日常运维保障，系统还应提供自动化的安全管理工具，支撑运维人员、安全专家通过统一的管理入口，监控各类安全服务运行状态，配置调整安全策略，分析和处理安全事件，升级维护安全软件和各类安全载荷等。1.2安全威胁YD/T2694—2014《移动互联网联网应用安全防护要求》对移动互联网联网应用的重要资产进行了定义。（1）移动互联网联网应用客户端软件；（2）移动互联网联网后台系统和操作维护终端硬件及相关软件；（3）移动互联网应用关键数据。也就是说，在讨论移动互联网安全的时候，需要重点考虑移动应用、移动应用运行环境、移动数据所面临的安全威胁，具体如下文所述。1.2.1移动应用在App设计开发阶段使用开放网络环境中未经安全检测的软件开发包（Software

DevelopmentKit，SDK），或在App上架发布阶段发布未经安全检测的App，可能引入代码漏洞、预置后门、恶意代码植入等安全问题，导致敏感信息泄露，或造成系统破坏导致功能异常等。在App运行阶段，用户未经身份认证，可能导致非授权用户窃取、篡改企业敏感业务数据，破坏系统正常运行；攻击者利用应用存在的漏洞，越权访问文件、数据和其他软硬件资源，泄露企业或个人隐私数据；移动App利用热更新技术进行升级维护，极易造成未经过安全检测的更新包绕过系统安全机制，安装到移动终端的现象，存在极大的安全风险。1.2.2移动应用运行环境移动应用运行环境包括移动终端和后台移动应用服务器。在移动终端方面，攻击者利用漏洞或预先植入的后门等，获取系统权限，非法访问终端外设和应用数据，导致企业敏感数据泄露和应用资源被破坏；终端系统可能面临预置后门、木马、病毒、蠕虫、僵尸等恶意代码攻击，导致数据泄露、篡改、损坏，业务中断、系统瘫痪等一系列问题。由于大多数后台系统采用云平台构建技术，因此，存在多租户的应用业务和数据隔离的安全风险；另外，攻击者利用被攻破的移动设备对后台移动应用发起分布式拒绝服务攻击（DistributedDenialofService，DDoS），可能造成系统服务瘫痪。1.2.3移动数据攻击者或非授权用户能够很容易地获取到未经访问控制和存储保护的移动端数据；采用拍摄、录制等方式窃取移动端数据，一旦数据泄露，造成后果，将很难进行责任认定；移动用户在系统中发布敏感信息和不当言论，缺少检测手段，极易对企业经营造成严重影响。2企业移动互联网应用安全能力要求针对企业移动互联网应用安全需求及面临的安全威胁，系统必须具备以下安全能力：（1）应用安全防护能力。针对移动应用设计开发、测试验证、上架发布环节面临的安全威胁，需要重点关注移动应用的安全设计、安全检测和安全集成，系统应提供移动应用安全开发指南，支撑移动应用安全设计；提供安全开发组件，供移动应用集成；提供应用App与SDK安全检测、安全加固、交付验证能力；针对应用运行维护环节面临的安全威胁，系统应具备统一身份认证、访问控制、会话安全管控、恶意代码检测、行为分析检测、应用更新管控等能力。（2）终端安全防护能力。针对企业移动互联网应用在终端侧运行可能面临的安全威胁，系统应具备终端资源访问控制、终端外设权限管控、应用运行环境隔离、终端可信运行控制、终端可信度量与状态鉴别、终端恶意代码检测等安全防护能力。（3）数据安全防护能力。针对企业移动互联网应用业务数据可能面临的安全威胁，系统应具备业务数据访问控制、数据安全存储与擦除、数据追踪溯源与责任认定、业务敏感信息检测等安全防护能力。（4）通信网络安全能力。针对企业移动互联网应用在网络传输过程面临的安全威胁，系统应具备数据传输过程中的机密性、完整性保护能力。同时，针对移动网络自身面临的安全威胁，系统应具备终端接入控制、虚拟专用网（VirtualPrivateNetwork，VPN）、网络边界防护、网络攻击检测等安全防护能力。（5）移动应用安全运维能力。针对企业移动互联网应用高效安全运维的需求，系统应提供统一的安全管理门户，具备应用安全策略、安全服务、移动应用的自动化、智能化管理能力；同时，为支持动态防御体系的构建，系统应具备移动应用监测预警能力，提供移动应用安全数据采集与分析、安全态势呈现、系统安全策略优化等功能。（6）安全功能服务化与动态调整能力。为支持企业移动互联网应用的快速开发和能力交付，应构建统一的应用安全服务平台，支持安全功能的服务化和安全能力的高效整合，与移动业务无缝融合，敏捷构建满足企业要求的安全移动业务；为应对高速变化的移动应用安全威胁，以及高强度持续性攻击风险，应用安全服务平台应能够根据差异化安全需求和应急响应处置的需要，快速编排安全服务和动态调整安全策略。3企业移动互联网应用安全防护体系3.1总体设计思路为满足企业移动互联网应用安全防护需求，应充分利用移动通信网络安全能力，整合移动互联网应用安全服务资源、先进技术和成熟工具，构建具备“3+1”移动应用安全能力体系（包括应用安全、终端安全、数据安全和应用安全运维管理）的企业移动应用安全中台，支撑企业移动互联网应用动态防御能力的形成，为企业移动互联网应用提供智能化、协同化、可持续的全生命周期安全保障。系统总体设计思路如图1所示。图1企业移动互联网应用安全中台设计思路安全中台采用服务化设计思想，制定统一的安全服务标准规范，对引入的第三方安全厂商的安全产品进行服务化改造，以服务的方式部署在云端和移动终端，与移动应用服务集成，支持安全服务的统一调用和安全能力的动态调整，为企业用户提供差异化的应用安全服务，为运维人员提供安全运维管理手段，为移动应用开发提供组件化的安全支撑。同时，安全中台还提供应急响应和处置手段，方便安全专家通过人工或自动化工具完成应急响应和事件的处置。3.2总体架构企业移动应用通常采用“云、网、端”的系统架构，遵循“轻终端、强后台”的设计原则，参考行业内企业移动应用安全平台架构，中台采用“云端+终端”的应用安全防护体系结构，通过云端协同满足企业移动互联网应用安全防护需求。“云端”部分集成部署到云端业务系统，通过统一调用接口，提供应用安全、终端安全、数据安全和安全运维管理能力。“终端”部分嵌入到企业用户手机，通过移动终端安全容器和各类安全组件构成移动终端安全防护客户端，将安全能力延伸到移动终端，实现终端安全数据采集、终端安全检测、终端安全控制等功能。安全中台的总体架构如图2所示。图2企业移动互联网应用安全中台总体架构安全中台的“云端”部分通过企业移动通信网络构建的安全传输通道，与“终端”部分进行信息交互，实现终端数据采集、策略分发、远程控制等功能。安全中台的“云端”部分将安全服务能力接口注册发布到业务能力集成框架，其他中台、移动应用通过业务能力集成框架实现对安全服务的集中调用。安全中台的“终端”部分通过移动终端安全防护客户端对外提供安全组件调用接口，移动App通过系列组件接口调用终端安全功能。3.2.1安全中台“云端”部分安全中台“云端”部分主要包括应用安全、终端安全、数据安全3类安全服务，以及安全运维管理系统。其中，应用安全服务包含移动身份认证服务、移动应用安全检测服务、移动应用可信签名服务；终端安全服务包含移动终端可信配置管理服务、移动终端安全防护服务、移动病毒防护服务；数据安全服务包含移动数据安全治理服务、移动数据溯源服务；安全运维管理系统包含移动安全态势感知系统、移动应用安全综合管理系统。3.2.2安全中台“终端”部分安全中台“终端”部分，即移动终端安全防护客户端，包含移动终端安全容器和终端安全组件，其中容器提供组件管理、安全策略分发、组件访问控制、终端安全状态呈现、终端安全评估等功能，是终端安全核心功能实体。终端安全组件实现安全中台各类“云端”安全服务的终端侧安全功能，包含安全工作空间、行为采集、终端安全检测、终端安全控制和第三方安全组件。其中，终端安全工作空间在企业用户手机上构建了一个虚拟安全桌面，为敏感企业移动应用提供了安全隔离运行环境。各类App均通过移动终端安全防护客户端提供标准接口，实现对各类安全组件的功能调用。3.3技术架构安全中台采用服务化设计思想，将各类安全功能以服务化、可插拔的软件技术架构，构建松耦合安全服务体系。安全中台的“云端”和“终端”部分的技术架构均可以划分为系统层、支撑层和服务层3个层次，如图3所示。图3企业移动互联网应用安全中台技术架构3.3.1系统层安全中台的“云端”部分部署在云计算环境，其系统层主要包含虚拟机、操作系统和数据库，操作系统可以是Windows或Linux操作系统。“终端”部分部署在企业用户手机，其系统层主要包含手机的操作系统。3.3.2支撑层安全中台的服务接口调用、云端协同交互均基于支撑层提供的数据交互能力。支撑层主要包括底层的TCP/IP协议、应用层HTTP或HTTPs协议，以及基于HTTP的RESTful接口协议。此外，云端还包含安全服务访问网关，支持安全服务管理、服务统一访问控制；终端包含移动终端安全容器，提供终端软件的安全运行环境。3.3.3服务层安全中台的服务层实现移动应用的核心安全能力，“云端”和“终端”分别采用不同的技术架构。“云端”部分采用分布式集群技术架构，应用安全、终端安全、数据安全3类安全服务和安全运维管理系统的服务器端软件均以节点集群的方式部署，其他中台通过统一服务访问网关，实现安全功能调用。“终端”部分采用软件组件技术架构，安全服务的客户端软件均以组件方式部署到移动终端安全容器，移动App通过容器接口访问各类组件提供的安全功能。3.4产品组成及功能根据安全中台的总体架构设计，参考行业内移动应用安全保障功能体系，企业移动互联网应用安全中台系统包括应用安全、终端安全、数据安全3类服务，以及安全运维管理系统，如图4所示。图4企业移动互联网应用安全产品组成（1）应用安全类。移动统一身份认证系统提供用户身份管理、用户授权管理、统一身份认证等功能。移动应用安全检测系统针对应用可能存在的安全漏洞、潜在威胁行为、引用第三方SDK风险以及代码问题等进行检测与评估。移动应用可信签名系统提供移动应用软件可信签名服务。（2）终端安全类。终端配置与可信状态检测系统提供终端系统权限配置以及移动应用的可信状态检测和管理功能。移动终端安全防护系统提供移动终端安全数据采集、终端安全检测、控制、安全评估等功能；集成终端安全组件并支持组件扩展；提供应用隔离运行防护、数据安全存储等功能。移动病毒防护系统提供移动终端的病毒查杀功能。（3）数据安全类。移动数据溯源系统为敏感信息泄露的责任认定提供支持。移动数据安全治理系统提供数据标记、分类、安全存储、访问控制等功能。（4）安全运维管理类。移动应用安全态势系统提供安全态势数据采集引接、综合分析、告警呈现等功能。移动应用安全综合管理系统是移动应用安全管理入口，支持安全策略、安全服务、移动终端、移动应用、安全载荷、安全事件的统一管理。4企业移动互联网应用安全关键技术4.1安全服务智能编排与协同技术网络空间安全风险以及移动应用场景的变化与发展，让安全服务越来越呈现出按需组织、灵活适配的特点。与以往分散、独立的安全防御模式相比，安全服务需要采用更为灵活的体系结构解决深层次集成、编排问题，基于微服务架构，构建具有柔性重构能力的安全服务集成框架。这种安全服务集成框架，需要完成从移动应用安全需求到安全能力的映射，再到安全服务功能的分解和有序组合，并解决高可用安全服务协同一致性等一系列问题。为解决这一问题，可以通过可视化的建模工具来简化服务编排过程，提高组合服务模型的可读性和易维性。为此，我们参考BPMN和TOSCA标准，开发了可视化的安全服务编排界面，通过简单的图符和线条展示元服务之间的业务逻辑关系，并在图符上提供安全服务配置能力。4.2移动终端轻量化虚拟工作空间技术对于高安全等级的企业移动应用，用户需要一个可信任的安全工作区，该工作区可将移动设备中的企业高安全应用和个人应用全面分离，再结合VPN技术，构建面向企业高安全应用的可信环境，有效阻断来自非安全工作区的各种攻击。为了不影响移动应用的运行效率，提升用户体验，安全工作区应尽可能轻量化，在移动应用的封装方面能够高效且完全透传，而不是采用非常耗时的wrapper等方式（需要反编译，重新签名）。为此，利用虚拟化容器技术构建独立的移动应用运行环境是一种非常有效的方法。虚拟化容器技术在运行环境隔离性方面可以做到与移动终端上其他应用彻底隔离，高安全等级