电力公司移动作业终端安全防护研究

时间：2022-04-22 22:14:13

关键字：移动作业终端终端检测终端安全

手机看文章

扫描二维码
随时随地手机看文章

[导读]摘要:随着公司移动信息化的快速发展,公司移动作业终端越来越多,但是移动作业终端入网存在很大的安全隐患,主要表现在没有自动化的安全风险检测手段。为了保障移动作业安全,国网安徽省电力有限公司在智能电网安全防护方案、信息安全顶层设计中,设计了移动安全专项防护,通过建设一套检测工具针对新入网移动作业终端设备进行安全风险自动化检测,保障移动作业终端安全入网,确保移动作业终端设备入网的规范性和安全性。

引言

随着移动互联技术快速发展,各种Android和ios智能终端设备己经普遍进入了人们的工作与生活中。移动客户端丰富多样的应用程序给人们的工作与生活带来了前所未有的便利,同时也带来了很大的安全隐患。一方面,由于移动智能终端有一定私密性,大多由用户自行购买,使用监控难度大,成为军工政企行业大量涉密单位互联网移动智能终端信息安全管理的新难点。另一方面,我国面对国内外复杂的政治经济环境,保密行业的互联网移动智能终端信息安全受到各方面越来越大的挑战,传统的恶意代码查杀机制,已经难以维护保密行业移动智能终端的信息安全。

国网公司要求对移动作业应用的各环节进行安全保障,防止恶意渗透攻击,防止数据丢失,防止恶意篡改,防止应用系统被破坏,以确保移动终端可信,传输通道可靠,业务应用可控,保障公司移动作业应用安全稳定运行,提升公司移动作业应用终端的防护能力和防护水平。

1传统移动安全防护存在的缺陷与不足

目前移动作业安全防护主要表现在以下方面:(1）无法知道手机信息被窃取:(2）无法告知手机是否被远程监控:(3）无法掌握手机上恶意代码行为事件是什么:(4）无法提供手机上恶意代码行为分析报告:(5）无法告知所谓"安全"应用,具备潜在威胁行为是什么:(6）无法对"中毒"手机进行现场取证。

传统移动安全软件检测结果只是告知用户某个应用是否有"木马、病毒",并不提供更多的信息证据或分析报告,更不会对"中毒"终端设备进行现场取证。

2电力公司移动作业终端安全防护工作内容

2.1确认防护范围

通过对公司统推和自建内网移动应用、外网移动应用进行统计分析,确定防护范围。调研发现,目前安徽公司内网移动应用主要包括13项,其中统推应用6项,自建应用7项,涵盖营销、设备(运检）和安监等专业。外网移动应用34个,涵盖生产、营销、调度、通信、信息等专业,使用终端数有8000余台。

2.2统计防护对象

通过对公司使用终端统计,内网移动应用使用了工业PDA、笔记本、定制设备等10余种类型终端,使用包括安卓、winMobi1e、winCE等移动操作系统:外网移动终端主要为通用的智能手机和平板设备,操作系统包括各类版本的Android系统、ios和wP等通用系统。通过建设移动安全防护工具,对终端各种恶意代码(病毒、后门木马、蠕虫）进行全面检测,提供移动智能终端恶意代码检测和分析、查杀和归整的移动安全解决方案。

2.3移动终端安全管理

提供策略统一配置、设备控制和状态实时监测能力,实现终端集中安全管理,强化移动终端自身安全防护能力,配合采购、准入等规范,实现移动终端全周期统一管理,协同安全接入/交互平台、移动互联支撑平台实现移动业务综合管控,为公司移动信息化业务安全综合保障体系的建设提供基础支撑。

2.4移动终端安全监控

实现对移动设备进行全方位安全监控,包括设备是否被RooT、检测设备是否安装不必要的进程、检测设备是否开启不必要的端口、终端是否存在风险、终端攻击情况、是否违规连接外网等。

2.5移动终端恶意代码检测

建设移动终端应用恶意代码检测工具,实现对移动终端应用未知恶意代码运行生命周期内产生的行为进行仿真分析和评估判定,并提供详细的恶意行为分析报告:同时对信息刺探、数据窃取、隐秘监听、远程控制等类型的特殊恶意代码,具备全面的检测和分析能力。

3研究成果

3.1移动终端安全管理

移动终端安全管理系统如图1所示。

图1移动终端安全管理系统

3.1.1移动终端安全策略统一配置

依据公司移动安全管理要求,形成终端安全策略的统一配置和管理中心,简化移动终端安全配置管理过程,提升移动终端安全管理水平。

3.1.2移动终端设备应用集中管理

实现对内外网业务系统移动应用设备集中统一全周期安全管理,同时通过在移动终端上部署公司安全管家应用,为安全管理员提供移动终端安全控制措施,实现用户终端可控,终端行为可监督,通信链路可信,离线数据可管理。

3.1.3移动终端安全状态实时监测

收集终端状态日志和告警信息,实现应用监控、流量监控、合规检查,一方面进行告警实时响应和处置,另一方面为分析系统提供元数据,为公司安全运营提供辅助决策。

3.2移动终端安全监控

移动安全监测系统如图2所示。对移动设备进行全方位安全监控,查看终端是否存在违规行为,具体包括设备是否被RooT、检测设备是否安装不必要的进程、检测设备是否开启不必要的端口、终端是否存在风险、终端攻击情况、是否违规连接外网等。

图2移动安全监测系统

3.3终端恶意代码检测

终端恶意代码检测如图3所示。首先,工具以Android应用程序APK文件作为输入,通过代码反编译模块进行反编译,获得Android源代码。其次,源代码分析模块对源代码进行分析,得到敏感数据以及API调用。接下来,安全判定模块根据制定的安全规则,对敏感数据以及API调用进行分析,确定是否为恶意行为。最后,系统根据判定结果更新恶意代码库。