“移动互联办公”是继无纸化办公、互联网远程办公之后的新一代办公模式,以智能手机、平板电脑、笔记本电脑等移动智能终端为载体,将智能设备、无线网络、移动办公自动化系统(即OA系统)三者有机结合,通过开放的无线通信方式接入内部网,建立起移动智能终端与内部网办公平台的互联互通。随着移动互联办公的推广,办公人员对办公设备、办公地点的依赖得以降低,机关企事业单位工作流转效率得以提高,实时响应能力有效增强。然而,移动设备成为互联网办公入口,也使数据安全问题从系统层面逐步走向应用层面,增加了失泄密隐患。
根据2018年初中国互联网络信息中心(CNNIC)发布的第41次《中国互联网络发展状况统计报告》,截至2017年12月,中国网民规模达到7.72亿,手机网民规模达7.53亿,使用手机上网的比例达到97.5%,另据2017年互联网数据中心数据显示,在全球范围内,移动互联办公的人数都在逐年增多,移动互联办公的需求量不断攀升,69%的用户表示会用自己的手机访问公司网络,且此数量还在不断增加。
另一项调研显示,移动互联办公主要集中在政府、电信、金融及互联网四大行业。其涉及的数据载体也已由传统的台式计算机、笔记本计算机,逐渐转换为智能移动设备。此外,移动互联办公个人应用系统中,OA系统占有率最高,风险隐患也最多。如某省网警通报的“安网2016”行动排查情况便显示,该省医疗卫生、政府、教育、制造业大量机构部门都使用某OA办公系统,其中15家单位系统中存在严重漏洞,安全威胁极大,风险等级为高危。
移动互联办公安全风险分析
越来越多的人开始担心移动互联办公泄密的种种风险。根据调研,54.9%的用户担心“移动设备丢失”,46.4%的人认为移动互联办公的“数据未做加密保护”,“恶意App和手机病毒”等也被公认为最容易发生的安全隐患之一。确实,移动互联办公接入、传输和存储的过程中均存在失泄密风险点,在使用移动设备办公时必须确保设备本身和网络环境的安全。
1.移动设备易丢失。移动设备的便携性也使其极易丢失,据统计,我国每年有700万部手机丢失,其中60%的手机包含敏感信息。而设备丢失不但意味着敏感信息被泄露,更可能为黑客攻击机关企事业单位网络提供跳板。
2.黑客入侵窃密。手机病毒数量和类型急速增加的同时,Root权限滥用和黑客攻击技术更新,使移动设备更容易被病毒和恶意软件等劫持。利用技术手段,黑客不仅能够窥视和窃取用户短信、通讯录、个人邮箱以及手机中存储的照片、私密文件、账户账号、密码信息等,还能监听用户通话,使用户隐私慕露无遗。
3.APP应用程序泄露信息。近年来,移动互联网恶意程序数量大幅增长,特别体现在应用下载渠道分散且不易管理的安卓平台中。有人甚至指出,安卓系统已经成为恶意软件的重点感染对象,国内市场约有1/4的安卓用户隐私遭到威胁。而360近期发布的数据显示,78%的知名应用曾遭“盗版”,第三方应用市场及论坛正是恶意程序传播的主要途径(占61%),应用市场的安全性堪忧,移动应用程序正成为新的数据泄露源头。
4.无线Wi-Fi信息泄露。移动终端传输个人信息必然要经过路由设备,如果路由设备被控制,那么用户数据自然也就泄露了。特别是在连接公共Wi-Fi时,用户更容易遭遇ARP欺骗和中间人攻击。一旦“中枪”,不法分子非但可以窃取用户信息,实时监听、监视用户,更能埋下为用户量身定做的“蠕虫”,长期在用户身上“吸血”—不少网络诈骗都起源于接入不安全无线网络。
5.移动互联信号被侦测窃密。侦听设备只要对截获的手机信号进行相应技术处理,就能轻而易举地获取手机信号的语音和数据信息。另外,手机的定位功能也隐藏着不少信息安全隐患。例如,俄罗斯军队成功击毙车臣反叛武装分子头目杜达耶夫,美军击毙阿富汗塔利班头目奥马尔,就都是利用了手机的定位技术。
移动互联办公安全防范措施
综上所述,针对移动互联办公存在的信息泄露风险,增强安全防护技术能力、实施有效的安全防范措施尤为重要。
1.注重宣传教育培训。机关企事业单位工作人员通常缺乏对高风险行为的判断能力,还有些工作人员对操作行为的潜在危害认识不足,容易麻痹大意、犯下错误。因此,有关部门应当对使用移动终端设备办公的人员进行培训,严格对人员和移动终端设备的管理,最好确保重要信息只保存在机关企事业单位内部网络中。另外,个人电子邮箱等也可能为移动终端设备带来风险,有关部门应当针对如何防范病毒或钓鱼软件开展培训,并介绍相关应急处置方法。
2.加强安全策略控制。为了保证移动互联网络的安全性,网络管理者需要对不同人群、不同区域进行访问权限控制。应保证办公人员工作数据与个人数据完全隔离,个人区不能访问工作区数据,工作区也不能访问个人区数据。此外,如果本单位数据敏感度高,或设备属单位自有,也可根据人员上网要求设定更细致的安全管控策略,例如实行定位、强制安全措施、强制白名单、强制加密等。
3.实行移动互联办公行为审计。管理人员可审计本单位移动办公人员访问的网站URL、网页标题、网页内容、下载上传的邮件及附件内容、BBS发帖内容等,全面掌握其网络使用情况。一旦发现用户的不 端行为,立即通过Portal认证、微信认证、手机短信认证、二维码审核认证等方式进行追踪溯源,在方便上网的同时保证移动互联网络的安全。及时对非法接入点进行检测及反制,有效杜绝钓鱼Wi-Fi、随身Wi- Fi、个人热点的接入隐患。
4.严格授权认证。网络认证方式一般分为802.1x, CA证书、短信、微信、二维码审核、临时访客、预共享密钥、MAC, WA尸等。机 关企事业单位内部移动办公多使用 802.1x和CA证书认证。其中,CA证书认证需要对用户的身份真实性进行校验,因此在用户接入、数据传输方面的安全性最高。为进一步确保安全,网络管理员可以对固定办公人员账号实行MAC地址绑定,对流动性较强的办事人员推行二维码授权认证。
5.强化数据加密和物理隔离。移动互联设备可内置防护墙,并在移动互联接入点与移动互联控制器之间设置加密隧道。同时,对App应用程序进行加密,积极应对恶意破 解、反编译、二次打包、内存抓取等常见威胁。在必要的时候,管理员应对移动终端设备访问内部网络进行控制与隔离,按不同部门建立专门的移动互联办公网络,如财务部门专用移动互联网、信息查询专用移动互联网和普通办公移动互联 网等。同时,建立相互隔离、彼此独立的企业办公移动互联网络与访客网络,在企业前台、接待厅、会议室等开放区域创建访客移动互联网络,在办公区域创建内网办公移动互联网络。(《保密工作》2018年第8期)