Perface

移動互聯(lián)網(wǎng)智能終端信息安全是一個整體的系統(tǒng)性課題，從技術(shù)角度來看，涉及到終端硬件架構(gòu)、內(nèi)核和終端操作系統(tǒng)、應(yīng)用等各個層面。

同時，信息安全又是和用戶自身需求緊密相關(guān)的需求驅(qū)動型課題，從用戶角度來看，公眾用戶可能更關(guān)心通信安全和費用、反病毒和防個人信息遺失等，政企用戶可能更關(guān)心通話安全、商業(yè)機密保護、終端安全管理等，事關(guān)國家安全的還有更進一步的要求。

總的來說，不同群體、不同場景對終端信息安全需求是不一致的，滿足不同用戶分層次安全需求的有針對性的解決方案，才能獲得市場認可，其差異體現(xiàn)在終端策略、終端產(chǎn)品、云端支撐平臺等各個方面，同時還離不開行業(yè)標(biāo)準化研究工作的支持。

終端安全解決方案

1 軟件廠商的終端安全解決方案

隨著智能機的大規(guī)模普及和用戶通過手機上網(wǎng)的行為大幅增多，普通用戶面臨的安全威脅來自使用過程的多個方面，關(guān)于公眾用戶遭受的安全威脅的調(diào)查結(jié)果如圖所示。

針對大眾用戶面臨的威脅類型分析，諸多軟件應(yīng)用廠家均推出了各自面向大眾的信息安全解決方案。

個人用戶在使用過程中大多更關(guān)注于使用體驗，個人信息安全一般不應(yīng)過于影響使用體驗，而對個人使用體驗的理解向來是互聯(lián)網(wǎng)廠商的強項。

互聯(lián)網(wǎng)廠商推出的手機管家類應(yīng)用，以互聯(lián)網(wǎng)模式推廣的手機應(yīng)用，主打免費牌，標(biāo)榜為“免費的手機安全與管理軟件”。代表產(chǎn)品有騰訊手機管家、百度手機管家，以殺毒軟件廠家的360手機、金山手機助手。

市場上常見的手機安全防護應(yīng)用產(chǎn)品LOGO如圖所示。

此類型的手機安全防護應(yīng)用產(chǎn)品，延續(xù)了個人電腦管理軟件的設(shè)計思路，集成了系統(tǒng)加速、病毒查殺等個人喜好功能，并結(jié)合移動互聯(lián)網(wǎng)環(huán)境特征融合了用戶感受更為直接的流量監(jiān)控管理、應(yīng)用管理等功能。

此類型的手機安全防護應(yīng)用產(chǎn)品的功能具有很大的相似性，其應(yīng)用核心功能可以總結(jié)為以下4個方面。

• 1）病毒查殺：由于手機的個人特征更為顯著，手機病毒帶來更大的安全危害，可能導(dǎo)致個人信息丟失或損壞，手機軟硬件破壞、非法信息傳播、通信費用損失等。部分安全廠商在傳統(tǒng)病毒查殺的基礎(chǔ)上，建立了手機病毒庫，并提供病毒查殺服務(wù)，通?？商峁┍镜夭闅⒑途W(wǎng)絡(luò)查殺兩種方式。
• 2）垃圾清理：手機運行過程中產(chǎn)生大量的系統(tǒng)緩存數(shù)據(jù)，由于手機存儲容量大小受限，緩存數(shù)據(jù)占用空間過大會導(dǎo)致系統(tǒng)允許速度降低。應(yīng)用一般允許用戶設(shè)定當(dāng)手機存儲容量占用超過一定比例（如90%）時給出垃圾清理提示，可自動清理各類型緩存數(shù)據(jù)。
• 3）騷擾攔截：個人生活中經(jīng)常遇到騷擾電話的解決方案，包括來電標(biāo)簽、電話黑名單、短時振鈴來電自動攔截等。用戶可針對所來騷擾電話添加標(biāo)記分類，如常見的推銷、中介、詐騙等，并可手動或自動添加至電話黑名單，黑名單中的來電系統(tǒng)自動拒接；對短時振鈴的詐騙性來電也可自動標(biāo)記或拒接。
• 4）流量管理：按流量計費是移動智能網(wǎng)絡(luò)發(fā)展到3G/4G時代的重要消費行為轉(zhuǎn)變，流量作為智能機時代終端的重要個人資產(chǎn)，因為直接關(guān)系到用戶資金而備受關(guān)注。流量管理可實現(xiàn)智能終端當(dāng)前流量消耗情況，及各應(yīng)用的具體消耗明細等，并可依據(jù)設(shè)定給出流量管理提醒，避免應(yīng)用偷跑流量、消耗流程超過套餐流量等問題，達到“省錢省心”的效果。

基于以上常規(guī)安全功能服務(wù)，有的應(yīng)用還基于其服務(wù)提供商的定位提供其擅長領(lǐng)域的服務(wù)，常見的集成功能有如下4個。

• 1）應(yīng)用商店：推送各種官方安全應(yīng)用，提供后臺App行為分析，經(jīng)后臺掃描后的應(yīng)用上架到應(yīng)用商店，并基于用戶應(yīng)用行為習(xí)慣向用戶推送類型應(yīng)用。主推官方App純凈安全。
• 2）手機管理：在集成前述安全防護的基礎(chǔ)上，主動滿足用戶體檢加速、手機系統(tǒng)優(yōu)化、電池管理優(yōu)化、手機丟失找回、手機信息遠程擦除等手機本地和遠程管理功能。
• 3）無網(wǎng)線快傳：不用數(shù)據(jù)線，通過Wi-Fi或其他方式快速輕松傳文件等。
• 4）公共Wi-Fi星級標(biāo)記：公共Wi-Fi熱點分布越來越廣，智能終端隨時隨地在尋找Wi-Fi熱點并連接已經(jīng)成了很多人的新習(xí)慣。但公共場合的Wi-Fi熱點不可避免地存在良莠不分和各種安全風(fēng)險，以星級所在位置的Wi-Fi評價得到部分用戶的歡迎。

典型安全應(yīng)用推廣文案如圖所示，關(guān)注的在于優(yōu)化終端響應(yīng)速度、騷擾攔截、支付等安全防護等方面。

軟件廠商給出的解決方案，是純軟件解決方案，在不影響用戶體驗的前提下，提供必要的安全防護功能選項。相對于其安全功能，更傾向于其安全管理特征，通常會向用戶體驗妥協(xié)犧牲必要的安全性。

但是，第三方安全軟件為了獲取更高的安全管理能力，經(jīng)常需要破解系統(tǒng)獲取ROOT權(quán)限，可能為系統(tǒng)引入其他不安全影響。

2 企業(yè)移動辦公終端安全解決方案

隨著移動智能終端和移動互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，終端的軟硬件能力持續(xù)提升，移動智能終端已不單單作為個人通信和娛樂的工具，越來越多的企業(yè)員工也開始擺脫辦公室的約束，隨時隨地通過自帶的移動智能終端設(shè)備來處理日常事務(wù)，如使用企業(yè)郵箱、登錄OA系統(tǒng)（Office Automation System，辦公自動化系統(tǒng)）等。

企業(yè)用戶使用移動終端滿足辦公需求，對信息安全的要求更高。作為信息安全的代價，企業(yè)級安全用戶能接受一定程度的性能和體驗的下降。

CCSA（China Communications Standards Association，中國通信標(biāo)準化協(xié)會）很早就啟動了行業(yè)標(biāo)準化工作，推動企業(yè)級信息安全解決方案的標(biāo)準實施。CCSA的企業(yè)信息安全項目，稱為BYOD（Bring Your Own Device，自帶設(shè)備辦公）。

企業(yè)級信息安全方案的解決策略，原則上是企業(yè)終端安全方案和企業(yè)安全云端的集合，通過“終端—管道—云端”的整體安全設(shè)計，達到較高級別的安全性。

企業(yè)安全云端的解決策略，包括企業(yè)定制化可信應(yīng)用商店、傳輸安全機制等；而企業(yè)終端安全方案的解決策略，通常采用沙箱技術(shù)以軟件方式隔離個人工作區(qū)并對其提供必要的安全防護，同時兼顧了設(shè)備成本和設(shè)備安全。

在企業(yè)信息安全解決方案之上，再疊加定制化的企業(yè)辦公應(yīng)用，從而滿足企業(yè)用戶的移動辦公需求。

芯片層面的ARM TrustZone架構(gòu)為企業(yè)級信息安全做好了硬件準備，但TrustZone在之前很長一段時間里都沒有得到正式的大規(guī)模應(yīng)用。伴隨著終端信息安全概念的深入人心，大量系統(tǒng)開發(fā)商、應(yīng)用開發(fā)商都啟動了基于TrustZone的安全機制研發(fā)，可以預(yù)見企業(yè)信息安全解決方案在近期將產(chǎn)生大規(guī)模應(yīng)用效果。

相對于完全獨立的兩套硬件設(shè)計的硬件隔離方案，基于TrustZone架構(gòu)的安全設(shè)計在設(shè)備成本、業(yè)務(wù)部署等方面有著明顯的優(yōu)勢，可以滿足一般性安全需求的企業(yè)需求。

與企業(yè)移動辦公類似的，大眾的支付類業(yè)務(wù)也可以接受前述的解決方案，如銀聯(lián)也提出了基于TrustZone的安全支付解決方案。

典型的企業(yè)級信息安全解決方案，有三星KNOX、360天機以及Android for Work等。

KNOX——垂直的移動終端辦公安全

KNOX是三星推出的一種基于Android系統(tǒng)的移動解決方案，集成了Android系統(tǒng)安全強化套件（SE for Android）和應(yīng)用于硬件以及Android框架的完整性管理服務(wù)，提供從硬件層、架構(gòu)層到應(yīng)用層的多層次的整體安全保護，為企業(yè)及員工提供企業(yè)移動終端辦公安全解決方案。

KNOX具有綜合移動設(shè)備管理性能，結(jié)合安全容器技術(shù)，可在不侵犯公司員工隱私的情況下，滿足企業(yè)IT移動安全的需要。

KNOX解決方案的層次架構(gòu)示意如圖所示

KNOX試圖從終端系統(tǒng)和應(yīng)用層面解決移動終端的安全性問題。

在終端系統(tǒng)層面，KNOX使用ARM TrustZone實現(xiàn)硬件資源隔離，通過可信任安全啟動、TIMA（Linux內(nèi)核完整性監(jiān)控模塊）、SE for Android（Android系統(tǒng)安全強化套件）保障系統(tǒng)啟動和運行時的安全性。

在應(yīng)用層面，KNOX使用安全容器保障運行時的安全性，通過專屬應(yīng)用商店保證應(yīng)用程序的下載、安裝及運行的安全性，使用VPN防止傳輸數(shù)據(jù)泄露，對終端數(shù)據(jù)加密防止靜態(tài)數(shù)據(jù)泄露。

同時，KNOX支持根據(jù)用戶需求提供客制化的安全配置策略。三星KNOX針對原生Android平臺的短板，通過上述多重安全措施來確保Android設(shè)備上的企業(yè)數(shù)據(jù)安全。

360天機——輕量化的移動終端辦公安全

360天機的全稱為360天機企業(yè)移動終端安全管理系統(tǒng)，是360企業(yè)安全集團面向政府、金融、運營商、能源、制造等企業(yè)推出的企業(yè)級移動終端安全管理系統(tǒng)，為客戶移動終端安全使用企業(yè)資源提供從硬件、OS、應(yīng)用、數(shù)據(jù)到鏈路等多層次的安全防護。

360天機分為移動終端解決方案和企業(yè)管理平臺。360天機在移動終端上建立了一個嚴格安全的辦公區(qū)域，通過加密、監(jiān)測等手段確保企業(yè)數(shù)據(jù)和應(yīng)用在移動終端上的安全；企業(yè)管理平臺則部署于企業(yè)內(nèi)部，用于管理員的管理和維護操作。

Android for work——谷歌在安全辦公方向的努力

2015年，Google發(fā)布了Android for work項目，為企業(yè)用戶提供了更加強大的信息安全和管理功能，這是安卓操作系統(tǒng)面向企業(yè)市場的專題工作組。支持Android for work的智能機能夠安全隔離企業(yè)和個人應(yīng)用，并允許企業(yè)管理電郵、日歷、聯(lián)系人等。

Android for work主要安全能力與其他企業(yè)安全產(chǎn)品類似，表現(xiàn)在以下幾個方面：

• 1）工作區(qū)數(shù)據(jù)隔離；
• 2）針對個人數(shù)據(jù)和企業(yè)數(shù)據(jù)，可選擇性的擦除數(shù)據(jù)；
• 3）不依賴特定硬件，提供跨設(shè)備廠商支持；
• 4）提供系統(tǒng)級企業(yè)管理和配置能力，如靜默安裝/卸載App、推送系統(tǒng)配置等；
• 5）增強工作區(qū)應(yīng)用安全，限制惡意程序及木馬無法侵入工作區(qū)；
• 6）限制個人區(qū)和企業(yè)區(qū)之間的數(shù)據(jù)遷移；
• 7）提供企業(yè)級安全應(yīng)用，如安全瀏覽器、安全郵件、文檔處理工具等；
• 8）工作區(qū)內(nèi)引入應(yīng)用級VPN支持；
• 9）支持多平臺的企業(yè)移動管理系統(tǒng)。但是，以Google Play Market為核心的Google框架在國內(nèi)無法使用，Android for work在中國市場的前景尚不明朗。

高級別的終端安全解決方案

傳統(tǒng)的信息安全管理一直遵循著涉及國家信息安全的內(nèi)容采用的涉密不上網(wǎng)、上網(wǎng)不涉密的指導(dǎo)思想。

但隨著移動智能終端更深度地融入工作和生活，在難以完全杜絕智能終端使用的情況下，進一步提高智能終端安全性、研究更高安全級別終端產(chǎn)品方案成為重中之重。

更高安全級別的智能終端產(chǎn)品，主要面向的用戶一般包括涉及商業(yè)機密的企業(yè)客戶、涉及國家安全的政府工作人員和機要人員等。

高安全級別的終端，因其高安全性帶來相對更高的終端硬件成本，且為了安全性可以在整體友好交互的前提下而犧牲部分便利性。

相對于TrustZone等基于芯片管理策略創(chuàng)建安全運行環(huán)境方式，設(shè)備商試圖以完全獨立的兩套硬件來實現(xiàn)更純粹的資源隔離，構(gòu)造更為獨立的安全運行空間，典型的終端架構(gòu)如圖所示。

除了物理上共用的屏幕、聽筒、麥克風(fēng)、機身按鍵和電池等設(shè)備，其他諸如主芯片SoC、ROM、RAM、基帶芯片和Wi-Fi、藍牙、FM等芯片，根據(jù)需求均可以采用分立設(shè)計，并在各自的硬件平臺上適配兩個獨立的操作系統(tǒng)，安裝和運行相互獨立的各種應(yīng)用。

特別地，安全系統(tǒng)視需求可以集成特定的安全加密芯片，為系統(tǒng)提供硬件級安全防護。

前文提到，為彌補產(chǎn)業(yè)方面的不足，國產(chǎn)智能終端操作系統(tǒng)在雙系統(tǒng)方面做了較大的努力，安全也是其研發(fā)和部署的重要方向。

更進一步地，基于國產(chǎn)終端操作系統(tǒng)的雙系統(tǒng)方案，加強了國產(chǎn)系統(tǒng)對從系統(tǒng)的運行監(jiān)管和安全管控，提供系統(tǒng)級安全服務(wù)。越來越多的OS開發(fā)商，尤其是主打自主知識產(chǎn)權(quán)的國內(nèi)OS開發(fā)商，基于系統(tǒng)級安全服務(wù)的概念，面向企業(yè)級或更高安全等級的信息服務(wù)需求，推出系統(tǒng)層規(guī)劃的安全服務(wù)。

從國家信息安全的角度，自主的硬件+自主的操作系統(tǒng)+國密算法硬件+定制的安全應(yīng)用是最安全的。

國家一直在大力扶助相關(guān)產(chǎn)業(yè)的研發(fā)，從2009年開始設(shè)立了一系列重大專項，支持核心電子元器件、高端通用芯片及基礎(chǔ)軟件產(chǎn)品的研發(fā)和產(chǎn)業(yè)化，推動相關(guān)產(chǎn)業(yè)的發(fā)展。

運營商的安全手機產(chǎn)品規(guī)劃

運營商發(fā)揮在終端定制領(lǐng)域的引導(dǎo)作用，設(shè)立了安全手機研發(fā)方向。安全手機研發(fā)工作主要致力于研發(fā)定制分類安全手機終端和安全業(yè)務(wù)，滿足用戶終端安全需求并培育終端安全市場。

基于對用戶安全應(yīng)用場景劃分及對用戶面臨的手機安全問題的調(diào)研和分析，運營商的安全手機大致可以分為大眾用戶市場、企業(yè)用戶市場和涉密安全用戶市場3個等級。

• 1）針對大眾用戶，目前運營商推出的安全手機產(chǎn)品側(cè)重于提升病毒查殺、騷擾攔截、流量管理等大眾用戶普遍關(guān)心的日常安全能力，集成主流互聯(lián)網(wǎng)安全應(yīng)用廠商的安全解決方案。同時，通過網(wǎng)絡(luò)升級不斷完善自身網(wǎng)絡(luò)安全能力，面向開發(fā)者開放運營商安全能力，為大眾用戶提供相對安全、放心的大眾級安全手機產(chǎn)品。
• 2）面向企業(yè)用戶的安全手機產(chǎn)品，除具備上述大眾級安全手機所具備的一切安全能力外，通常還疊加安全通信功能，包括加密通信、加密存儲等功能，進一步提高對商業(yè)信息的安全保護。根據(jù)需求，還可采用雙系統(tǒng)或國產(chǎn)操作系統(tǒng)、自主芯片的方式，輔以運營商推出的企業(yè)服務(wù)，全方位地滿足企業(yè)用戶的安全需求。
• 3）面向黨政軍警、涉密單位等最高級別安全用戶，運營商協(xié)同國家專業(yè)信息安全機構(gòu)與自主芯片廠商，積極參與安全手機產(chǎn)品定制研發(fā)工作，共同打造“自主芯片+自主OS+安全應(yīng)用+安全云端服務(wù)”的端到端安全手機方案，推出綜合的安全通信服務(wù)。相關(guān)手機通過國家相關(guān)部門的安全檢驗和評測，可滿足極高信息安全的使用需求。

各等級安全手機所具有的安全功能如表所示。

各運營商先后均已建立了自己的安全手機體系，并推出了各自的安全手機系列產(chǎn)品，結(jié)合產(chǎn)業(yè)鏈各方力量，綜合各方優(yōu)勢，為不同細分市場用戶提供了相對滿意的安全手機產(chǎn)品，保護移動互聯(lián)網(wǎng)信息安全。文章來源地址http://www.zghlxwxcb.cn/news/detail-770515.html

參考資料

• 《移動互聯(lián)網(wǎng)時代的智能終端安全》

到了這里，關(guān)于智能終端安全：應(yīng)用安全技術(shù)—移動互聯(lián)網(wǎng)信息安全解決方案（上）的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！