张天维，南 静，张大松，陈雪飞

(中国电子信息产业集团有限公司第六研究所，北京100083)

0 引言

现如今，网络安全等级保护已进入2.0 时代，等级保护制度已被打造成新时期国家网络安全的基本国策和基本制度。应急处置、灾难恢复、通报预警、安全监测、综合考核等重点措施全部纳入等保制度并实施，对重要基础设施重要系统以及“ 云、物、移、大、工控” 纳入等保监管。其中等级保护2.0着重提出了对移动互联、云计算等通信方式的保护规定及措施。由此可见，随着移动设备和无线通信在重要企业的工作与生产中逐渐普及，国家对移动数据安全的保护力度正在逐步加大[1]。

本文所做工作旨在分析在重要企业的环境下，如何通过对终端设备的边界划分、访问控制、数据交换及应用安全等方面的安全增强、网络架构优化，实现移动办公的安全保障。

1 背景与现状

1.1 移动安全防护的背景

2020年12月，中国网络安全等级保护和关键信息基础设施保护大会在南宁召开，在会议新技术新应用安全分论坛上，公安部从等级保护2.0 标准的角度对落实等级保护制度提出了重要意见，参会各企业对工控安全、工业互联网安全、智能安全等技术方向进行了分享与探讨。《 信息安全技术 网络安全等级保护大数据基本要求》(T/ISEAA 002 -2021) 的标准发布，进一步说明了我国对全国网络安全国家战略的重要部署[2]。

1.2 重要企业移动安全现状

我国各重要行业正处于高速发展期，根据国家安全部披露，多达数百个境外APT 组织加大了对我国党政机关、国防军工、科研院所等核心要害单位的攻击活动，重要企业早已成为网络安全的重灾区。2019年，某境外组织仿冒我国某重点领域重点单位邮件登录界面，专门搭建钓鱼攻击平台阵地，冒用“ 系统管理员” 身份发送钓鱼邮件，控制了工作计算机，造成了较为严重的损失。

而随着重要企业在信息化领域的发展，移动办公或移动工业控制系统显露出了普遍网络模式无法比拟的便利性。例如，一些重要企业，为保护内部信息安全，仅使用物理隔离的内部局域网或广域网，而审批人不在内部网络环境下时，工作流便处于停滞状态，大大降低了工作效率。通过对重要企业从业人员的调研，如图1 所示，57.2% 的从业人员对移动办公持支持态度，同时86.5% 最关注移动办公使用过程中的数据安全问题。

图1 重要企业员工对移动办公态度比例图

而重要行业在各企业工作生产环境下的移动安全防护仍存在以下诸多安全风险及威胁[3]：

(1) 敏感信息多： 重要企业由于行业性质，科研生产及管理中项目文档以及国家机关发文多为敏感信息，信息泄露会给国家带来严重的损害或影响。

(2) 环境复杂： 重要企业的生产环境较为复杂，不同企业的生产环境存在巨大差异。复杂的拓扑结构将带来更多风险点，生产环境数据存在传输过程或工控终端上被窃取的风险。

(3) 通信实时性： 由于在敏感信息问题上需要大量防护措施，移动网络与内部网之间交互的实时性成为了一个很关键的问题。终端与终端、终端与内网之间的通信是否能够实现实时交互，关系到办公流程与工业生产中的流畅性与准确性。

2 安全防护重点

采用移动互联技术等级保护对象与传统等级保护对象的区别在于移动性和便捷性，移动终端可以通过无线方式接入网络；可以远程通过运营商基站或公共Wi-Fi 接入等级保护对象，也可以通过本地无线接入设备接入等级保护对象。与传统信息系统相比，采用移动互联技术的系统所面对的攻击面更大。

根据上述重点问题，本文将以下三大类问题作为移动互联网络的防护重点[4]： 边界防护、数据安全交换、应用与数据安全。

2.1 边界防护

随着移动终端功能的强大以及移动互联网的发展，红外线、蓝牙、Wi -Fi 等无线技术为病毒、恶意代码的传播提供了快捷方式，而短信(SMS)、WAP应用、E-mail 等各类应用都可能成为病毒的载体。因此，本文将对如何划分移动网络的物理、逻辑边界，实现访问控制进行探讨。

2.2 数据安全交换

对重要企业来说，日常工作流程中的数据被人截获，可通过窃取或篡改的方式对原有信息的原义进行破坏，从而达到破坏或获取敏感信息的目的[5]。因此如何通过数据加密或其他方式做好互联网与敏感信息系统之间的数据安全交换，同时保障数据交换的实时性，确保办公流程的顺畅，也是需要重点解决的问题。

2.3 应用与数据防护

传统计算终端如PC 、服务器相较于移动化终端领域，由于技术和商业因素，硬件设备和系统、应用软件APP 和数据文件都形成了形式上的紧耦合，如要对数据进行管理、实现可控，实际上是对数据保存和运行的载体，即设备和应用进行统一的安全管理和防护[6]。

3 解决方案

针对上述问题，本文提出应在设备层面上加强网络边界的管理；保障数据交换的安全性与实时性；以及应用层面上使终端运行完整安全可信，以确保敏感数据不泄露。

3.1 边界划分与访问控制

一般来讲，内部网络划分网络边界的主要方式依靠防火墙，而移动网也不例外，其原理相同[7]。把所有移动终端看作一整个域，在这个移动终端域接入内网时部署一台防火墙以划分边界，防火墙后方串联部署防毒墙，防护来自外部的威胁。

访问控制是除边界划分外最重要的防护部分，访问控制的作用是确保可靠的设备进行入网，无证书移动终端无法连入内网。根据移动联网扩展要求，应在有线网络与无线网络边界根据访问控制策略设置访问控制规则，默认情况下，除允许通信外，受控接口拒绝所有通信[8]。因此需要在移动互联网域的核心交换机或安全域中旁路部署无线安全接入网关，配合防火墙策略进行访问控制，确保外来的不明设备无法接入移动网。

如图2 所示，在边界划分的基础上，本文通过在网络出口处部署移动办公接入VPN，移动终端接入VPN 采用IPSec 模式进行数据加密，IPSecVPN 技术在IP 传输上通过加密隧道，在用公网传送内部专网内容的同时，保证内部数据的安全性，从而满足远程办公的接入需求[9]。

同样，在图2 的核心交换设备部署一台入侵防御系统(IPS)，使系统能检测、记录、定位非授权移动终端设备。等保三级要求中新加入的内容主要以“ 定位” 二字为主，移动终端的实时定位是整个系统对敏感信息控制最基本的手段[10]。目前虽尚未有专门针对移动设备的IPS 设备，但IPS 可配合移动终端管控服务器的定位功能，并根据实际情况开放端口进行联调。

图2 网络设备部署示意图

3.2 构建数据交换通道

重要企业的敏感数据均储存于内网服务器中。从防止移动互联网对内网的侵害的角度来讲，应该杜绝移动网络用户直接访问内网数据的行为。

众所周知，采用物理隔离的网络架构是相对安全的。若能在内外网之间实现物理隔离，同时又能确保内外网之间的数据交互，便能极大程度上确保数据交换的安全[11]。

首先，可以将内网中常用且不敏感的数据迁移至移动互联网中，实现内网和移动网的数据隔离。为确保数据传输的实时性，如图3 所示，可以在两网之间建立一个专门用作数据交换的数据交换域，并通过技术手段实现隔离交换，只允许审核过的数据通过，防止外部侵害，杜绝敏感数据外流。而数据的审核，由数据交换区的上下行通道来实现。

图3 数据交换区结构图

其中，上行通道主要负责互联网向内网的数据传输，传输的是非敏感数据，因此上行通道采用光单向传输为主的“ 单向光闸” 技术(如图4 所示)，既能保证安全隔离要求，同时在业务上可以保证数据传输性能达到最优(实时性)[12]。外端机和内端机负责完成对数据的获取、封装以及传输。根据光的单向传输特性，数据在传输过程中数据流从外端机到内端机，从原理上禁止了反向传输。由此可见，该单向系统的优势主要在于： 确保数据传输的单向性，专有协议封装和实现数据容错处理。

图4 光单向技术原理图

而下行通道包含数据单向摆渡系统和前、后置安全代理系统，应用于内网向互联网单向数据传输[13]。在企业用户的实际应用中，内网与互联网物理隔离，内网与互联网进行数据交换时，传统采用光盘或者专用USB 介质集中导出的方式。由于下行通道属于数据从高密级网络导入到低密级网络，根据严防数据“ 高密低流” 的设计思路，因此将下行通道设计成“ 数据单向摆渡系统”(模拟刻录光盘方式)，此种方式不仅继承了“ 刻录光盘” 方式的优点，同时在传输效率、管理机制以及降低风险等方面更具优势[12]。其技术原理如图5 所示。

图5 单向摆渡系统硬件结构示意图

数据单向摆渡系统硬件结构如图5 所示，其中圆形框中的电子盘(RAM)、仲裁机和单向光闸共同组成了系统核心的“ 仲裁控制传输区”。整个系统工作流程如下： 经内端机审核的数据，由“ 仲裁控制传输区” 中的电子盘(RAM) 单向摆渡至仲裁机，随后电子盘(RAM) 断电进行数据清空处理，仲裁机对摆渡来的数据进行检查，合规的数据通过单向光闸传输至外端机。

目前通信穿越不可控区域时多用密码设备与交换机的架构进行通信两端的加密解密处理。数据交换区作为安全增强方案，实现了内部网- 互联网信息系统的数据实时交互，使通信两端不再拘泥于同一密级的信息系统。

3.3 应用和数据安全

针对移动终端的APP 应用，为防止外来人员通过非正当手段攻击设备，可以通过建立一个与系统隔离的应用沙箱，将企业应用隔离在独立的、安全可靠的区域中，实现公私分离，以及统一、安全、受控的移动应用推送的渠道和手段[14]。这样一方面保证了企业内部应用在数据分发过程中的完整性和安全性，另一方面也提高了企业内部应用交付的有效性。通过企业合格供方与验收检验等手段，在企业应用商店上传安全可信的移动应用APP，并对下载和使用情况进行后台管理。其中应用内部的数据通信加密可直接通过沙箱化实现，避免了使用应用时需要登入专线VPN 的步骤。

通过对应用软件加密、加壳保护，可以使应用远离恶意破解、反编译、二次打包、内存抓取等常见的威胁手段[15]。同时也可以给应用提供额外的安全保护，如数据加密、签名校验、防内存修改、完整性校验、应用安全检测等。通过对应用程序深度加密处理，能有效防止应用被反编译和恶意篡改，保护应用不被二次打包，以及保护数据信息不会被黑客窃取。

目前根据IEEE 802.11x 标准，一般Wi -Fi 网络支持的TCP/IP 协议、加密算法均采用国外加密算法，不符合国家对基础设施自主安全的有关要求，为科研生产埋下隐患。因此应在协议开放性上使用国产自主安全协议。自主安全协议可实现Wi-Fi 等通用设备无法检测到信号，不采用TCP/IP 协议可令无线报文中无IP 地址、MAC 地址等信息，提升了安全性。相较目前的通信协议，面对基于IP 的网络攻击时，因移动网络内无以太网标准协议，所以网络结构难以猜测，大大增加了攻击的成本。

4 结论

本文从移动网络的边界防护、访问控制入手，通过构建数据交换域及应用沙箱保障内外网数据交换与实际应用的实时性和安全性，最后利用基于国产自主安全的通信协议实现安全增强。

随着我国重点行业的不断发展，重要科研生产环境及基础设施需要更强有力的迭代，其中提高科研生产效率是我国企业与国外竞争的重要手段。因此，利用移动网络赋能科研生产实乃大势所趋。而我国企业需要努力的方向，是在以网络安全法及等级保护标准为指导的前提下，进一步探索如何实现移动网络的可信计算，及无线网络在主客体、使用范围等要素的精细化管控，共同筑建重要企业科研生产的安全之墙。