哈尔滨工业大学（深圳）虚拟安全域守护移动应用

文／范士喜 李昌 王彬

高校移动安全现状

随着移动计算时代的到来，我们都经历着从有线到无线的变化[1]。异地办公、远程审批、在线服务、移动学习等高效便捷灵活的移动办公形式，引发了高校科研、管理和服务方式的变革，极大地提升了高校的服务效率和管理能力。目前，高校有多种业务移动化场景，涉及到多种办公设备和平台，面向不同用户群体[2]，包括面向领导的管理类应用（审批等）、面向办公室人员的通用办公类应用（邮件、OA办公等）、以及面向科研人员的私密数据（科研结果等）等。这些应用场景极大提高了校内师生和领导的工作效率，促进了业务创新，为教师和学生的校园生活提供了便利[3][4]。在快捷方便的同时，移动办公在一定程度上也带来了安全隐患，如何实现安全可靠的校园移动办公变得尤为重要[5]。相比传统办公，移动办公面临着更加复杂的安全问题，信息数据和计算终端走出高校的安全边界、脱离内部管控、多样的设备类型和复杂的数据运行环境，大大增加了数据泄露的风险[6]。

校园移动场景的多样性与复杂性

随着高校信息化快速发展，学校内存在繁多的校园应用，复杂的移动设备系统和类型。不同应用之间的数据交换与共享，面向不同的职能岗位、对象、移动应用的差异化模式管理，权限、对象的复杂化，不同设备数据联通等问题，为高校移动安全管理带来极大挑战[7]。同时，移动化本身涉及到的专业知识与技术架构，与传统的IT环境存在很大差异。

校园安全管理与个人隐私的平衡

当前师生使用的移动设备上既有个人常用的应用软件，也有工作中需要用到的工作应用。存在个人应用软件可以随意访问、存取工作数据的风险，甚至很容易通过个人应用软件将工作数据非法上传、共享和外泄，工作应用同样也会触及到个人数据。为了解决这种新趋势带来的安全问题，需要同一个智能手机、平板上运行两套相互隔离操作系统的解决方案，同时满足个人日常使用及移动办公的需求[8]。

校园业务数据泄露风险高

智能移动设备的接入，给信息安全管理带来极大挑战。移动设备具有使用方便、处理高效、信息及时等优点，然而移动设备易丢失、常更换，可以在任何时间、任何地点、任何网络、任何环境下使用。相比PC端，移动系统自身具备的便捷操作性，使得每一个移动用户都能够快捷地将工作信息分享、外泄出去，承载了越来越多业务流程及数据的移动设备成为信息泄露的重要风险点。

基于虚拟安全域技术的移动办公解决方案

为了有效解决移动办公带来的安全隐患，旨在打造安全防护性高、用户体验好、可扩展性强的移动安全平台。哈尔滨工业大学（深圳）建设了一个基于虚拟安全域技术的移动办公平台。该平台具备强大的安全防护能力，面对纷繁复杂的移动环境能够快速迭代、及时适应。同时，也要让师生愿意用、乐意用。

虚拟安全域

建设轻量化、用户体验好、安全策略灵活的移动安全平台，最首要的技术就是虚拟安全域（Virtual Security Area,VSA），这是一种通过在系统底层实现提供移动应用安全保护能力的技术，在无需获取应用源代码，也不需要Root权限；在代码零改造的基础上对应用形成的一个虚拟安全域。在该安全域中可实现各种移动业务安全运行的通用性需求：数据防泄露、应用功能安全调用、运行安全保护和隐私类保护等，也可以快速地适配实现其他个性化的网络安全保护和内容审计等需求。用户将机密数据控制在一个安全的区域，能够了解用户的上网行为模式和进行行为监控，在学校开展移动业务的同时能够保证业务的安全运行。

图1 虚拟安全域

虚拟安全域技术的原理是通过VSA实现建立一个单独的、安全的虚拟系统，构建在应用和系统之间的桥梁，从系统底层对应权限和用户使用行为等进行全方位的管理和保护。应用发起的请求先经过该安全虚拟系统中进行安全判断和审计，阻断不安全请求，防止将应用中的机密信息外泄等情况，使学校应用运行在一个安全可靠的环境中。可参照图1。

构建内部移动应用商店

建立一个学校内部应用商店，实现对所有移动软件统一管理。可根据业务特性、安全要求，无需通过App Store等外部应用商店的复杂流程，自行管理发布移动业务应用，大大缩短应用更新发布迭代周期，避免繁琐的应用上架外部审核过程，保护学校内部应用资产。

图2 “个人”和“工作”模式

学校的内部应用商店相当于创建一个虚拟安全域。这是一种沙箱技术，将通过学校内部应用商店下载的应用和App Store下载的应用分离，有效实现用户个人数据与政企业务数据的安全隔离，既保障了政企数据的安全性，同时极大提升了移动办公的用户体验。实现了一个设备兼备“个人”和“工作”两套“区域”，兼顾工作数据安全及个人生活隐私。校内其他业务部门或者师生自己研发的APP应用可以在虚拟安全域上二次打包，既保证了校园移动应用的统一入口，又保证了校园移动应用的安全。这种统一管控的模式让校园应用运行在虚拟安全域中作为工作区域，其他个人应用正常运行在系统上，就像形成两个独立的空间一样。具体的模式如图2“个人”和“工作”模式。师生在使用的过程中，只要下载一个“校园内部商店APP”就可以看到虚拟安全域内所有的校内应用，用户根据需要下载删除各类APP应用。实现了校内移动APP的统一安全管理、统一使用、统一升级。

防护模块

虚拟安全域并不能解决所有的问题，也还需要集成相关安全防护模块。包括的模块有网络安全访问、上网内容审计、功能安全调用、隐私保护等，可根据不同业务场景配置不同的安全策略。

在保证应用正常的情况下阻断应用的不安全请求，防止机密信息外泄的同时，也防止外部方式对该类信息的截取，包括对应用文件进行加密处理，禁止将内部数据粘贴到外部，添加水印对内容的拍摄之后形成溯源等各种保护方式。详细见图3安全防护模块。

总结

图3 安全防护模块

高校在大力发展业务移动化的同时，应加强移动安全建设，打造移动应用安全服务平台，将学校的APP有效管理起来，个人应用和工作应用分离，个人数据和工作数据分离。同时，提供从终端数据保护、应用级隔离、多级安全等一站式整合的移动安全服务。在充分满足用户需求的基础上，保障业务移动化安全，实现简化有效的管理。

同时，个人使用习惯也至关重要。要加强对移动设备的安全防护，减少因病毒导致数据的泄露，在公共场合不连接不安全的Wi-Fi，对非常重要和保密的数据，要有自我保护意识，积极学习保密相关条例，定期备份重要数据，申请相关的保密存储设备等。