張學(xué)媛等
摘 要: 安全問題歷來是移動(dòng)警務(wù)技術(shù)的核心和瓶頸,束縛著移動(dòng)警務(wù)技術(shù)的發(fā)展。分析了當(dāng)前移動(dòng)警務(wù)終端面臨的主要安全隱患,在有針對(duì)性地制定相應(yīng)對(duì)策的基礎(chǔ)上,提出了一種高效移動(dòng)警務(wù)終端安全管控平臺(tái)的解決方案,具體閘述了此平臺(tái)的實(shí)現(xiàn)原理、架構(gòu)設(shè)計(jì)、性能優(yōu)勢(shì)。對(duì)目前移動(dòng)警務(wù)終端安全保障機(jī)制的研究,具有一定的借鑒意義。
關(guān)鍵詞: 移動(dòng)警務(wù)終端; 安全管控平臺(tái); 終端安全加固; 安全策略
中圖分類號(hào): TN911?34 文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào): 1004?373X(2014)06?0039?02
0 引 言
當(dāng)前公安信息化建設(shè)方興未艾,通過先進(jìn)的移動(dòng)警務(wù)終端和無線通信網(wǎng)絡(luò)實(shí)現(xiàn)移動(dòng)執(zhí)法和辦公成為公安網(wǎng)信息化建設(shè)的重心。但功能越來越強(qiáng)大的移動(dòng)警務(wù)終端,在提升移動(dòng)辦公能力的同時(shí),也帶來了巨大的安全隱患。公安行業(yè)內(nèi)北信源、聯(lián)軟、明朝萬達(dá)目前已提供PC終端安全管理,正對(duì)移動(dòng)終端的安全管控不惜巨資投入。但到目前為止沒有一家企業(yè)能提供深刻理解公安行業(yè)特征和滿足公安行業(yè)需求的移動(dòng)警務(wù)終端安全管控解決方案。
1 移動(dòng)警務(wù)終端面臨的安全隱患
移動(dòng)警務(wù)終端在給公安信息化帶來便利的同時(shí),也帶來了更多的安全隱患,具體可總結(jié)如下:
隱患1:移動(dòng)警務(wù)終端基本采用Android等智能操作系統(tǒng),系統(tǒng)架構(gòu)公開,容易遭受功能替換、系統(tǒng)替換等攻擊;容易造成終端控制權(quán)失控,攻擊者偽裝發(fā)布虛假信息等危害。
隱患2:移動(dòng)警務(wù)終端被他人獲取時(shí),缺少很好的訪問控制,身份驗(yàn)證,數(shù)據(jù)保密存儲(chǔ)等功能。
隱患3:移動(dòng)警務(wù)終端硬件平臺(tái)缺乏完整性保護(hù)和驗(yàn)證機(jī)制,且移動(dòng)警務(wù)終端內(nèi)部各個(gè)通信接口缺乏機(jī)密性和完整性保護(hù)。
隱患4:移動(dòng)警務(wù)終端在信息傳輸過程中,必須考慮到信息的安全性、保密性,在傳輸過程中,如果被截取到的移動(dòng)警務(wù)終端信息遭到篡改,將失去執(zhí)法公正性、嚴(yán)肅性。
2 針對(duì)存在的安全隱患制定對(duì)策
針對(duì)移動(dòng)警務(wù)終端面臨的各種安全隱患,只有從源頭上加強(qiáng)安全性,才能有效預(yù)防安全風(fēng)險(xiǎn),因此可采用一種實(shí)現(xiàn)終端安全、統(tǒng)一策略、系統(tǒng)可控、集中監(jiān)管的管理軟件來解決各種安全隱患。此管理軟件由移動(dòng)警務(wù)終端、服務(wù)器管控后臺(tái)、網(wǎng)絡(luò)傳輸鏈路三部分組成。采用在移動(dòng)警務(wù)終端上對(duì)終端進(jìn)行加固;在服務(wù)器管控后臺(tái)制定并統(tǒng)一下發(fā)安全策略;在網(wǎng)絡(luò)傳輸鏈路上信道加密措施,三管齊下應(yīng)對(duì)移動(dòng)警務(wù)終端面臨的安全隱患。
2.1 終端安全加固
移動(dòng)警務(wù)終端上對(duì)終端進(jìn)行加固。加固系統(tǒng)設(shè)計(jì)由五部分組成:安全保護(hù)子系統(tǒng)、中心信息收發(fā)子系統(tǒng)、操作系統(tǒng)、基礎(chǔ)安全服務(wù)子系統(tǒng)、控制中心。安全保護(hù)子系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)所有本地的安全加固功能;中心信息收發(fā)子系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)與控制中心交互策略文件功能;基礎(chǔ)安全服務(wù)子系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)提供基于智能卡的服務(wù),與控制中心進(jìn)行安全交互等功能。
2.2 統(tǒng)一下發(fā)安全策略
移動(dòng)警務(wù)終端管控后臺(tái)為移動(dòng)警務(wù)終端提供一系列統(tǒng)一的安全策略,并下發(fā)到終端,預(yù)防或規(guī)避警務(wù)終端的一系列安全風(fēng)險(xiǎn)。
2.3 信道加密
移動(dòng)警務(wù)終端與安全管控平臺(tái)后臺(tái)采用應(yīng)用環(huán)境、應(yīng)用邊界和安全通信的三重安全防護(hù)體系,保障公安信息公網(wǎng)移動(dòng)接入系統(tǒng)的安全。
3 一種高效移動(dòng)警務(wù)終端安全管控平臺(tái)
本文結(jié)合公安特點(diǎn),針對(duì)現(xiàn)有移動(dòng)警務(wù)終端統(tǒng)一管控的不足,創(chuàng)新性地提出使用安全管控平臺(tái)實(shí)現(xiàn)移動(dòng)警務(wù)終端的安全運(yùn)行,延伸移動(dòng)接入平臺(tái)的安全策略在移動(dòng)警務(wù)終端的覆蓋,保障各級(jí)安全管理部門對(duì)警務(wù)應(yīng)用各種設(shè)備進(jìn)行統(tǒng)一安全管控。
3.1 實(shí)現(xiàn)原理
平臺(tái)原理圖如圖1所示。
終端安全加固設(shè)計(jì)主要功能包括三層,第一層是硬件/驅(qū)動(dòng)層,負(fù)責(zé)整個(gè)終端系統(tǒng)的保護(hù)。第二層是服務(wù)層,負(fù)責(zé)與后臺(tái)的交互,以及基礎(chǔ)服務(wù)的支撐。第三層是管控層,通過修改原生Android代碼,從根本上實(shí)現(xiàn)資源訪問控制,滿足安全加固的要求。警務(wù)業(yè)務(wù)走專有VPN網(wǎng)絡(luò),以此保證網(wǎng)絡(luò)交互的安全性。
管控中心主要功能設(shè)計(jì)包括四層:第一層web服務(wù)層,接收和響應(yīng)終端發(fā)來的請(qǐng)求;第二層是業(yè)務(wù)處理層,負(fù)責(zé)處理管控中心的各種業(yè)務(wù);第三層是數(shù)據(jù)持久層,完成數(shù)據(jù)庫的數(shù)據(jù)的寫入等操作;第四層是數(shù)據(jù)庫,存儲(chǔ)管控中心所有的數(shù)據(jù)。
3.2 架構(gòu)設(shè)計(jì)
移動(dòng)警務(wù)終端安全管控平臺(tái)設(shè)計(jì)主要由Android操作系統(tǒng)安全加固功能模塊,實(shí)現(xiàn)遠(yuǎn)程安全管控的交互模塊,實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)和處理模塊和管控中心自身管理模塊組成。具體架構(gòu)如圖2所示。
Android操作系統(tǒng)安全加固功能模塊設(shè)計(jì)主要功能:以安全TF卡為基點(diǎn)進(jìn)行嚴(yán)格的身份認(rèn)證,降低非法攻擊和信息泄密的風(fēng)險(xiǎn);通過應(yīng)用簽名和認(rèn)證,降低非法應(yīng)用的越權(quán)訪問和非法攻擊;通過用戶、TF安全卡、SIM卡、移動(dòng)終端IMEI號(hào)等的綁定功能,實(shí)現(xiàn)設(shè)備認(rèn)證、設(shè)備管理和訪問權(quán)限控制。交互功能模塊設(shè)計(jì)主要功能:把管控中心根據(jù)不同用戶配置的安全管控策略下發(fā)到不同終端,在移動(dòng)警務(wù)終端上線時(shí)獲取新的安全策略。數(shù)據(jù)存儲(chǔ)和處理模塊設(shè)計(jì)主要功能:收集移動(dòng)警務(wù)終端上報(bào)上來的終端信息、行為數(shù)據(jù),支持根據(jù)用戶需求進(jìn)行不同的數(shù)據(jù)收集和審計(jì)。自身管理功能模塊設(shè)計(jì)主要功能:基于角色的管理員權(quán)限管理;日志審計(jì);產(chǎn)品許可證等。
3.3 性能優(yōu)勢(shì)
本移動(dòng)警務(wù)終端安全管控平臺(tái)采用安全性和實(shí)時(shí)性俱佳的B/S架構(gòu),性能優(yōu)勢(shì)體現(xiàn)在:
(1) 在先進(jìn)性上,安全加固系統(tǒng)固化在Android操作系統(tǒng)中,終端的身份認(rèn)證以及加解密服務(wù)是基于TF安全卡。
(2) 在穩(wěn)定性上,支持多級(jí)架構(gòu),采用負(fù)載均衡技術(shù)和產(chǎn)品許可機(jī)制。
(3) 在可靠性上,具有系統(tǒng)還原管理功能。
(4) 在易用性上,部署靈活,系統(tǒng)易擴(kuò)展,管理便捷。
4 結(jié) 語
本文從公安移動(dòng)警務(wù)終端的安全隱患入手,深入研究了移動(dòng)警務(wù)終端解決安全隱患的對(duì)策,根據(jù)公安工作特點(diǎn)提出一套集移動(dòng)終端安全管理、行為統(tǒng)計(jì)和遠(yuǎn)程控制于一體的安全監(jiān)管系統(tǒng),較好地解決了目前移動(dòng)警務(wù)終端面臨的各種安全問題,具有重要的現(xiàn)實(shí)意義。
參考文獻(xiàn)
[1] 羅琨,白建軍.基于Java技術(shù)的移動(dòng)警務(wù)系統(tǒng)[J].中國(guó)科技信息,2006(20):158?159.
[2] 董煜.基于VPDN的移動(dòng)警務(wù)安全保障系統(tǒng)設(shè)計(jì)與研究[J].信息安全與通信保密,2007(1):66?68.
[3] 楊曉輝.基于GPRS的移動(dòng)警務(wù)監(jiān)控系統(tǒng)設(shè)計(jì)[J].儀器儀表學(xué)報(bào),2006(z1):794?797.
[4] 李小蓉.基于WAP技術(shù)的公安移動(dòng)警務(wù)系統(tǒng)[D].西安:長(zhǎng)安大學(xué),2006.
[5] 常志軍,劉世宗,劉新.鄭州移動(dòng)警務(wù)系統(tǒng)研究[J].河南科學(xué),2003(6):827?830.
[6] 陳浩,李本富.基于Android的移動(dòng)警務(wù)系統(tǒng)開發(fā)[J].科學(xué)技術(shù)與工程,2012(4):911?913.
[7] 肖會(huì)波,王闖英.終端安全加固系統(tǒng)在移動(dòng)警務(wù)安全接入系統(tǒng)中的應(yīng)用[J].警察技術(shù),2010(1):8?11.
[8] 李繼寧.基于信息安全技術(shù)的移動(dòng)警務(wù)通系統(tǒng)設(shè)計(jì)[D].青島:中國(guó)海洋大學(xué),2009.
摘 要: 安全問題歷來是移動(dòng)警務(wù)技術(shù)的核心和瓶頸,束縛著移動(dòng)警務(wù)技術(shù)的發(fā)展。分析了當(dāng)前移動(dòng)警務(wù)終端面臨的主要安全隱患,在有針對(duì)性地制定相應(yīng)對(duì)策的基礎(chǔ)上,提出了一種高效移動(dòng)警務(wù)終端安全管控平臺(tái)的解決方案,具體閘述了此平臺(tái)的實(shí)現(xiàn)原理、架構(gòu)設(shè)計(jì)、性能優(yōu)勢(shì)。對(duì)目前移動(dòng)警務(wù)終端安全保障機(jī)制的研究,具有一定的借鑒意義。
關(guān)鍵詞: 移動(dòng)警務(wù)終端; 安全管控平臺(tái); 終端安全加固; 安全策略
中圖分類號(hào): TN911?34 文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào): 1004?373X(2014)06?0039?02
0 引 言
當(dāng)前公安信息化建設(shè)方興未艾,通過先進(jìn)的移動(dòng)警務(wù)終端和無線通信網(wǎng)絡(luò)實(shí)現(xiàn)移動(dòng)執(zhí)法和辦公成為公安網(wǎng)信息化建設(shè)的重心。但功能越來越強(qiáng)大的移動(dòng)警務(wù)終端,在提升移動(dòng)辦公能力的同時(shí),也帶來了巨大的安全隱患。公安行業(yè)內(nèi)北信源、聯(lián)軟、明朝萬達(dá)目前已提供PC終端安全管理,正對(duì)移動(dòng)終端的安全管控不惜巨資投入。但到目前為止沒有一家企業(yè)能提供深刻理解公安行業(yè)特征和滿足公安行業(yè)需求的移動(dòng)警務(wù)終端安全管控解決方案。
1 移動(dòng)警務(wù)終端面臨的安全隱患
移動(dòng)警務(wù)終端在給公安信息化帶來便利的同時(shí),也帶來了更多的安全隱患,具體可總結(jié)如下:
隱患1:移動(dòng)警務(wù)終端基本采用Android等智能操作系統(tǒng),系統(tǒng)架構(gòu)公開,容易遭受功能替換、系統(tǒng)替換等攻擊;容易造成終端控制權(quán)失控,攻擊者偽裝發(fā)布虛假信息等危害。
隱患2:移動(dòng)警務(wù)終端被他人獲取時(shí),缺少很好的訪問控制,身份驗(yàn)證,數(shù)據(jù)保密存儲(chǔ)等功能。
隱患3:移動(dòng)警務(wù)終端硬件平臺(tái)缺乏完整性保護(hù)和驗(yàn)證機(jī)制,且移動(dòng)警務(wù)終端內(nèi)部各個(gè)通信接口缺乏機(jī)密性和完整性保護(hù)。
隱患4:移動(dòng)警務(wù)終端在信息傳輸過程中,必須考慮到信息的安全性、保密性,在傳輸過程中,如果被截取到的移動(dòng)警務(wù)終端信息遭到篡改,將失去執(zhí)法公正性、嚴(yán)肅性。
2 針對(duì)存在的安全隱患制定對(duì)策
針對(duì)移動(dòng)警務(wù)終端面臨的各種安全隱患,只有從源頭上加強(qiáng)安全性,才能有效預(yù)防安全風(fēng)險(xiǎn),因此可采用一種實(shí)現(xiàn)終端安全、統(tǒng)一策略、系統(tǒng)可控、集中監(jiān)管的管理軟件來解決各種安全隱患。此管理軟件由移動(dòng)警務(wù)終端、服務(wù)器管控后臺(tái)、網(wǎng)絡(luò)傳輸鏈路三部分組成。采用在移動(dòng)警務(wù)終端上對(duì)終端進(jìn)行加固;在服務(wù)器管控后臺(tái)制定并統(tǒng)一下發(fā)安全策略;在網(wǎng)絡(luò)傳輸鏈路上信道加密措施,三管齊下應(yīng)對(duì)移動(dòng)警務(wù)終端面臨的安全隱患。
2.1 終端安全加固
移動(dòng)警務(wù)終端上對(duì)終端進(jìn)行加固。加固系統(tǒng)設(shè)計(jì)由五部分組成:安全保護(hù)子系統(tǒng)、中心信息收發(fā)子系統(tǒng)、操作系統(tǒng)、基礎(chǔ)安全服務(wù)子系統(tǒng)、控制中心。安全保護(hù)子系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)所有本地的安全加固功能;中心信息收發(fā)子系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)與控制中心交互策略文件功能;基礎(chǔ)安全服務(wù)子系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)提供基于智能卡的服務(wù),與控制中心進(jìn)行安全交互等功能。
2.2 統(tǒng)一下發(fā)安全策略
移動(dòng)警務(wù)終端管控后臺(tái)為移動(dòng)警務(wù)終端提供一系列統(tǒng)一的安全策略,并下發(fā)到終端,預(yù)防或規(guī)避警務(wù)終端的一系列安全風(fēng)險(xiǎn)。
2.3 信道加密
移動(dòng)警務(wù)終端與安全管控平臺(tái)后臺(tái)采用應(yīng)用環(huán)境、應(yīng)用邊界和安全通信的三重安全防護(hù)體系,保障公安信息公網(wǎng)移動(dòng)接入系統(tǒng)的安全。
3 一種高效移動(dòng)警務(wù)終端安全管控平臺(tái)
本文結(jié)合公安特點(diǎn),針對(duì)現(xiàn)有移動(dòng)警務(wù)終端統(tǒng)一管控的不足,創(chuàng)新性地提出使用安全管控平臺(tái)實(shí)現(xiàn)移動(dòng)警務(wù)終端的安全運(yùn)行,延伸移動(dòng)接入平臺(tái)的安全策略在移動(dòng)警務(wù)終端的覆蓋,保障各級(jí)安全管理部門對(duì)警務(wù)應(yīng)用各種設(shè)備進(jìn)行統(tǒng)一安全管控。
3.1 實(shí)現(xiàn)原理
平臺(tái)原理圖如圖1所示。
終端安全加固設(shè)計(jì)主要功能包括三層,第一層是硬件/驅(qū)動(dòng)層,負(fù)責(zé)整個(gè)終端系統(tǒng)的保護(hù)。第二層是服務(wù)層,負(fù)責(zé)與后臺(tái)的交互,以及基礎(chǔ)服務(wù)的支撐。第三層是管控層,通過修改原生Android代碼,從根本上實(shí)現(xiàn)資源訪問控制,滿足安全加固的要求。警務(wù)業(yè)務(wù)走專有VPN網(wǎng)絡(luò),以此保證網(wǎng)絡(luò)交互的安全性。
管控中心主要功能設(shè)計(jì)包括四層:第一層web服務(wù)層,接收和響應(yīng)終端發(fā)來的請(qǐng)求;第二層是業(yè)務(wù)處理層,負(fù)責(zé)處理管控中心的各種業(yè)務(wù);第三層是數(shù)據(jù)持久層,完成數(shù)據(jù)庫的數(shù)據(jù)的寫入等操作;第四層是數(shù)據(jù)庫,存儲(chǔ)管控中心所有的數(shù)據(jù)。
3.2 架構(gòu)設(shè)計(jì)
移動(dòng)警務(wù)終端安全管控平臺(tái)設(shè)計(jì)主要由Android操作系統(tǒng)安全加固功能模塊,實(shí)現(xiàn)遠(yuǎn)程安全管控的交互模塊,實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)和處理模塊和管控中心自身管理模塊組成。具體架構(gòu)如圖2所示。
Android操作系統(tǒng)安全加固功能模塊設(shè)計(jì)主要功能:以安全TF卡為基點(diǎn)進(jìn)行嚴(yán)格的身份認(rèn)證,降低非法攻擊和信息泄密的風(fēng)險(xiǎn);通過應(yīng)用簽名和認(rèn)證,降低非法應(yīng)用的越權(quán)訪問和非法攻擊;通過用戶、TF安全卡、SIM卡、移動(dòng)終端IMEI號(hào)等的綁定功能,實(shí)現(xiàn)設(shè)備認(rèn)證、設(shè)備管理和訪問權(quán)限控制。交互功能模塊設(shè)計(jì)主要功能:把管控中心根據(jù)不同用戶配置的安全管控策略下發(fā)到不同終端,在移動(dòng)警務(wù)終端上線時(shí)獲取新的安全策略。數(shù)據(jù)存儲(chǔ)和處理模塊設(shè)計(jì)主要功能:收集移動(dòng)警務(wù)終端上報(bào)上來的終端信息、行為數(shù)據(jù),支持根據(jù)用戶需求進(jìn)行不同的數(shù)據(jù)收集和審計(jì)。自身管理功能模塊設(shè)計(jì)主要功能:基于角色的管理員權(quán)限管理;日志審計(jì);產(chǎn)品許可證等。
3.3 性能優(yōu)勢(shì)
本移動(dòng)警務(wù)終端安全管控平臺(tái)采用安全性和實(shí)時(shí)性俱佳的B/S架構(gòu),性能優(yōu)勢(shì)體現(xiàn)在:
(1) 在先進(jìn)性上,安全加固系統(tǒng)固化在Android操作系統(tǒng)中,終端的身份認(rèn)證以及加解密服務(wù)是基于TF安全卡。
(2) 在穩(wěn)定性上,支持多級(jí)架構(gòu),采用負(fù)載均衡技術(shù)和產(chǎn)品許可機(jī)制。
(3) 在可靠性上,具有系統(tǒng)還原管理功能。
(4) 在易用性上,部署靈活,系統(tǒng)易擴(kuò)展,管理便捷。
4 結(jié) 語
本文從公安移動(dòng)警務(wù)終端的安全隱患入手,深入研究了移動(dòng)警務(wù)終端解決安全隱患的對(duì)策,根據(jù)公安工作特點(diǎn)提出一套集移動(dòng)終端安全管理、行為統(tǒng)計(jì)和遠(yuǎn)程控制于一體的安全監(jiān)管系統(tǒng),較好地解決了目前移動(dòng)警務(wù)終端面臨的各種安全問題,具有重要的現(xiàn)實(shí)意義。
參考文獻(xiàn)
[1] 羅琨,白建軍.基于Java技術(shù)的移動(dòng)警務(wù)系統(tǒng)[J].中國(guó)科技信息,2006(20):158?159.
[2] 董煜.基于VPDN的移動(dòng)警務(wù)安全保障系統(tǒng)設(shè)計(jì)與研究[J].信息安全與通信保密,2007(1):66?68.
[3] 楊曉輝.基于GPRS的移動(dòng)警務(wù)監(jiān)控系統(tǒng)設(shè)計(jì)[J].儀器儀表學(xué)報(bào),2006(z1):794?797.
[4] 李小蓉.基于WAP技術(shù)的公安移動(dòng)警務(wù)系統(tǒng)[D].西安:長(zhǎng)安大學(xué),2006.
[5] 常志軍,劉世宗,劉新.鄭州移動(dòng)警務(wù)系統(tǒng)研究[J].河南科學(xué),2003(6):827?830.
[6] 陳浩,李本富.基于Android的移動(dòng)警務(wù)系統(tǒng)開發(fā)[J].科學(xué)技術(shù)與工程,2012(4):911?913.
[7] 肖會(huì)波,王闖英.終端安全加固系統(tǒng)在移動(dòng)警務(wù)安全接入系統(tǒng)中的應(yīng)用[J].警察技術(shù),2010(1):8?11.
[8] 李繼寧.基于信息安全技術(shù)的移動(dòng)警務(wù)通系統(tǒng)設(shè)計(jì)[D].青島:中國(guó)海洋大學(xué),2009.
摘 要: 安全問題歷來是移動(dòng)警務(wù)技術(shù)的核心和瓶頸,束縛著移動(dòng)警務(wù)技術(shù)的發(fā)展。分析了當(dāng)前移動(dòng)警務(wù)終端面臨的主要安全隱患,在有針對(duì)性地制定相應(yīng)對(duì)策的基礎(chǔ)上,提出了一種高效移動(dòng)警務(wù)終端安全管控平臺(tái)的解決方案,具體閘述了此平臺(tái)的實(shí)現(xiàn)原理、架構(gòu)設(shè)計(jì)、性能優(yōu)勢(shì)。對(duì)目前移動(dòng)警務(wù)終端安全保障機(jī)制的研究,具有一定的借鑒意義。
關(guān)鍵詞: 移動(dòng)警務(wù)終端; 安全管控平臺(tái); 終端安全加固; 安全策略
中圖分類號(hào): TN911?34 文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào): 1004?373X(2014)06?0039?02
0 引 言
當(dāng)前公安信息化建設(shè)方興未艾,通過先進(jìn)的移動(dòng)警務(wù)終端和無線通信網(wǎng)絡(luò)實(shí)現(xiàn)移動(dòng)執(zhí)法和辦公成為公安網(wǎng)信息化建設(shè)的重心。但功能越來越強(qiáng)大的移動(dòng)警務(wù)終端,在提升移動(dòng)辦公能力的同時(shí),也帶來了巨大的安全隱患。公安行業(yè)內(nèi)北信源、聯(lián)軟、明朝萬達(dá)目前已提供PC終端安全管理,正對(duì)移動(dòng)終端的安全管控不惜巨資投入。但到目前為止沒有一家企業(yè)能提供深刻理解公安行業(yè)特征和滿足公安行業(yè)需求的移動(dòng)警務(wù)終端安全管控解決方案。
1 移動(dòng)警務(wù)終端面臨的安全隱患
移動(dòng)警務(wù)終端在給公安信息化帶來便利的同時(shí),也帶來了更多的安全隱患,具體可總結(jié)如下:
隱患1:移動(dòng)警務(wù)終端基本采用Android等智能操作系統(tǒng),系統(tǒng)架構(gòu)公開,容易遭受功能替換、系統(tǒng)替換等攻擊;容易造成終端控制權(quán)失控,攻擊者偽裝發(fā)布虛假信息等危害。
隱患2:移動(dòng)警務(wù)終端被他人獲取時(shí),缺少很好的訪問控制,身份驗(yàn)證,數(shù)據(jù)保密存儲(chǔ)等功能。
隱患3:移動(dòng)警務(wù)終端硬件平臺(tái)缺乏完整性保護(hù)和驗(yàn)證機(jī)制,且移動(dòng)警務(wù)終端內(nèi)部各個(gè)通信接口缺乏機(jī)密性和完整性保護(hù)。
隱患4:移動(dòng)警務(wù)終端在信息傳輸過程中,必須考慮到信息的安全性、保密性,在傳輸過程中,如果被截取到的移動(dòng)警務(wù)終端信息遭到篡改,將失去執(zhí)法公正性、嚴(yán)肅性。
2 針對(duì)存在的安全隱患制定對(duì)策
針對(duì)移動(dòng)警務(wù)終端面臨的各種安全隱患,只有從源頭上加強(qiáng)安全性,才能有效預(yù)防安全風(fēng)險(xiǎn),因此可采用一種實(shí)現(xiàn)終端安全、統(tǒng)一策略、系統(tǒng)可控、集中監(jiān)管的管理軟件來解決各種安全隱患。此管理軟件由移動(dòng)警務(wù)終端、服務(wù)器管控后臺(tái)、網(wǎng)絡(luò)傳輸鏈路三部分組成。采用在移動(dòng)警務(wù)終端上對(duì)終端進(jìn)行加固;在服務(wù)器管控后臺(tái)制定并統(tǒng)一下發(fā)安全策略;在網(wǎng)絡(luò)傳輸鏈路上信道加密措施,三管齊下應(yīng)對(duì)移動(dòng)警務(wù)終端面臨的安全隱患。
2.1 終端安全加固
移動(dòng)警務(wù)終端上對(duì)終端進(jìn)行加固。加固系統(tǒng)設(shè)計(jì)由五部分組成:安全保護(hù)子系統(tǒng)、中心信息收發(fā)子系統(tǒng)、操作系統(tǒng)、基礎(chǔ)安全服務(wù)子系統(tǒng)、控制中心。安全保護(hù)子系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)所有本地的安全加固功能;中心信息收發(fā)子系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)與控制中心交互策略文件功能;基礎(chǔ)安全服務(wù)子系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)提供基于智能卡的服務(wù),與控制中心進(jìn)行安全交互等功能。
2.2 統(tǒng)一下發(fā)安全策略
移動(dòng)警務(wù)終端管控后臺(tái)為移動(dòng)警務(wù)終端提供一系列統(tǒng)一的安全策略,并下發(fā)到終端,預(yù)防或規(guī)避警務(wù)終端的一系列安全風(fēng)險(xiǎn)。
2.3 信道加密
移動(dòng)警務(wù)終端與安全管控平臺(tái)后臺(tái)采用應(yīng)用環(huán)境、應(yīng)用邊界和安全通信的三重安全防護(hù)體系,保障公安信息公網(wǎng)移動(dòng)接入系統(tǒng)的安全。
3 一種高效移動(dòng)警務(wù)終端安全管控平臺(tái)
本文結(jié)合公安特點(diǎn),針對(duì)現(xiàn)有移動(dòng)警務(wù)終端統(tǒng)一管控的不足,創(chuàng)新性地提出使用安全管控平臺(tái)實(shí)現(xiàn)移動(dòng)警務(wù)終端的安全運(yùn)行,延伸移動(dòng)接入平臺(tái)的安全策略在移動(dòng)警務(wù)終端的覆蓋,保障各級(jí)安全管理部門對(duì)警務(wù)應(yīng)用各種設(shè)備進(jìn)行統(tǒng)一安全管控。
3.1 實(shí)現(xiàn)原理
平臺(tái)原理圖如圖1所示。
終端安全加固設(shè)計(jì)主要功能包括三層,第一層是硬件/驅(qū)動(dòng)層,負(fù)責(zé)整個(gè)終端系統(tǒng)的保護(hù)。第二層是服務(wù)層,負(fù)責(zé)與后臺(tái)的交互,以及基礎(chǔ)服務(wù)的支撐。第三層是管控層,通過修改原生Android代碼,從根本上實(shí)現(xiàn)資源訪問控制,滿足安全加固的要求。警務(wù)業(yè)務(wù)走專有VPN網(wǎng)絡(luò),以此保證網(wǎng)絡(luò)交互的安全性。
管控中心主要功能設(shè)計(jì)包括四層:第一層web服務(wù)層,接收和響應(yīng)終端發(fā)來的請(qǐng)求;第二層是業(yè)務(wù)處理層,負(fù)責(zé)處理管控中心的各種業(yè)務(wù);第三層是數(shù)據(jù)持久層,完成數(shù)據(jù)庫的數(shù)據(jù)的寫入等操作;第四層是數(shù)據(jù)庫,存儲(chǔ)管控中心所有的數(shù)據(jù)。
3.2 架構(gòu)設(shè)計(jì)
移動(dòng)警務(wù)終端安全管控平臺(tái)設(shè)計(jì)主要由Android操作系統(tǒng)安全加固功能模塊,實(shí)現(xiàn)遠(yuǎn)程安全管控的交互模塊,實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)和處理模塊和管控中心自身管理模塊組成。具體架構(gòu)如圖2所示。
Android操作系統(tǒng)安全加固功能模塊設(shè)計(jì)主要功能:以安全TF卡為基點(diǎn)進(jìn)行嚴(yán)格的身份認(rèn)證,降低非法攻擊和信息泄密的風(fēng)險(xiǎn);通過應(yīng)用簽名和認(rèn)證,降低非法應(yīng)用的越權(quán)訪問和非法攻擊;通過用戶、TF安全卡、SIM卡、移動(dòng)終端IMEI號(hào)等的綁定功能,實(shí)現(xiàn)設(shè)備認(rèn)證、設(shè)備管理和訪問權(quán)限控制。交互功能模塊設(shè)計(jì)主要功能:把管控中心根據(jù)不同用戶配置的安全管控策略下發(fā)到不同終端,在移動(dòng)警務(wù)終端上線時(shí)獲取新的安全策略。數(shù)據(jù)存儲(chǔ)和處理模塊設(shè)計(jì)主要功能:收集移動(dòng)警務(wù)終端上報(bào)上來的終端信息、行為數(shù)據(jù),支持根據(jù)用戶需求進(jìn)行不同的數(shù)據(jù)收集和審計(jì)。自身管理功能模塊設(shè)計(jì)主要功能:基于角色的管理員權(quán)限管理;日志審計(jì);產(chǎn)品許可證等。
3.3 性能優(yōu)勢(shì)
本移動(dòng)警務(wù)終端安全管控平臺(tái)采用安全性和實(shí)時(shí)性俱佳的B/S架構(gòu),性能優(yōu)勢(shì)體現(xiàn)在:
(1) 在先進(jìn)性上,安全加固系統(tǒng)固化在Android操作系統(tǒng)中,終端的身份認(rèn)證以及加解密服務(wù)是基于TF安全卡。
(2) 在穩(wěn)定性上,支持多級(jí)架構(gòu),采用負(fù)載均衡技術(shù)和產(chǎn)品許可機(jī)制。
(3) 在可靠性上,具有系統(tǒng)還原管理功能。
(4) 在易用性上,部署靈活,系統(tǒng)易擴(kuò)展,管理便捷。
4 結(jié) 語
本文從公安移動(dòng)警務(wù)終端的安全隱患入手,深入研究了移動(dòng)警務(wù)終端解決安全隱患的對(duì)策,根據(jù)公安工作特點(diǎn)提出一套集移動(dòng)終端安全管理、行為統(tǒng)計(jì)和遠(yuǎn)程控制于一體的安全監(jiān)管系統(tǒng),較好地解決了目前移動(dòng)警務(wù)終端面臨的各種安全問題,具有重要的現(xiàn)實(shí)意義。
參考文獻(xiàn)
[1] 羅琨,白建軍.基于Java技術(shù)的移動(dòng)警務(wù)系統(tǒng)[J].中國(guó)科技信息,2006(20):158?159.
[2] 董煜.基于VPDN的移動(dòng)警務(wù)安全保障系統(tǒng)設(shè)計(jì)與研究[J].信息安全與通信保密,2007(1):66?68.
[3] 楊曉輝.基于GPRS的移動(dòng)警務(wù)監(jiān)控系統(tǒng)設(shè)計(jì)[J].儀器儀表學(xué)報(bào),2006(z1):794?797.
[4] 李小蓉.基于WAP技術(shù)的公安移動(dòng)警務(wù)系統(tǒng)[D].西安:長(zhǎng)安大學(xué),2006.
[5] 常志軍,劉世宗,劉新.鄭州移動(dòng)警務(wù)系統(tǒng)研究[J].河南科學(xué),2003(6):827?830.
[6] 陳浩,李本富.基于Android的移動(dòng)警務(wù)系統(tǒng)開發(fā)[J].科學(xué)技術(shù)與工程,2012(4):911?913.
[7] 肖會(huì)波,王闖英.終端安全加固系統(tǒng)在移動(dòng)警務(wù)安全接入系統(tǒng)中的應(yīng)用[J].警察技術(shù),2010(1):8?11.
[8] 李繼寧.基于信息安全技術(shù)的移動(dòng)警務(wù)通系統(tǒng)設(shè)計(jì)[D].青島:中國(guó)海洋大學(xué),2009.