曾紅霞 朱泉

【 摘 要 】 隨著無(wú)線網(wǎng)絡(luò)和移動(dòng)終端的不斷發(fā)展，移動(dòng)辦公已成為現(xiàn)代企業(yè)信息化建設(shè)的重要組成部分。但是，面臨日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅，必須充分考慮移動(dòng)辦公在接入和使用過程中面臨的各種安全問題并進(jìn)行安全防范。論文以某軍工企業(yè)為例，結(jié)合其現(xiàn)有業(yè)務(wù)特點(diǎn)和安全需求，實(shí)現(xiàn)移動(dòng)辦公的安全框架設(shè)計(jì)和應(yīng)用部署，確保該軍工企業(yè)移動(dòng)辦公的安全性、有效性和保密性。

【 關(guān)鍵詞 】 移動(dòng)辦公；信息安全；SSL VPN；身份認(rèn)證

【 中圖分類號(hào) 】 TP39

【 文獻(xiàn)標(biāo)識(shí)碼 】 A

【 Abstract 】 With the continuous development of wireless network and mobile terminal， mobile office has become an important part of the modern enterprise information construction. However， facing the increasingly serious network security threats， we must fully consider the various security issues in the process of access and use and to carry out safety precautions. In this paper， a military enterprise as an example， combined with its existing business features and security needs， mobile office security framework design and application deployment， to ensure that the mobile office of the defense enterprise security， availability and confidentiality.

【 Keywords 】 mobile office； information security； vpn ssl； identity authentication

1 引言

隨著移動(dòng)辦公應(yīng)用技術(shù)、部署條件等日趨成熟，移動(dòng)辦公在各行業(yè)中得到了廣泛推廣和深入應(yīng)用，其價(jià)值也日益凸顯。軍工企業(yè)結(jié)合自身的業(yè)務(wù)發(fā)展需要，尤其在企業(yè)內(nèi)外部業(yè)務(wù)對(duì)信息交互的及時(shí)性、時(shí)效性要求越來(lái)越高，也促使軍工企業(yè)對(duì)移動(dòng)辦公需求也越來(lái)越迫切。但是，面臨日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅，對(duì)信息安全要求較高的軍工企業(yè)，必須充分考慮移動(dòng)辦公在接入和使用過程中面臨的各種安全威脅和問題，保障企業(yè)數(shù)據(jù)信息的安全。

2 移動(dòng)辦公安全接入需求

移動(dòng)辦公是利用手機(jī)、筆記本電腦等移動(dòng)設(shè)備通過國(guó)際互聯(lián)網(wǎng)或運(yùn)營(yíng)商通信網(wǎng)（4G等）接入企業(yè)內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)訪問內(nèi)網(wǎng)信息、處理各類業(yè)務(wù)的功能應(yīng)用。通過移動(dòng)辦公使企業(yè)員工可以隨時(shí)隨地接入企業(yè)內(nèi)部網(wǎng)絡(luò)，在線處理事務(wù)，在方便企業(yè)員工日常辦公的同時(shí)，提高了企業(yè)管理效率。

雖然移動(dòng)辦公的靈活性、易用性給企業(yè)日常辦公帶來(lái)諸多好處，與此同時(shí)，由于移動(dòng)辦公網(wǎng)絡(luò)接入的開放性和靈活性、設(shè)備的多樣化以及依賴國(guó)際互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)傳輸?shù)忍攸c(diǎn)，使企業(yè)內(nèi)部網(wǎng)絡(luò)更多的暴露在國(guó)際互聯(lián)網(wǎng)中，帶來(lái)了更多的安全風(fēng)險(xiǎn)隱患，尤其對(duì)軍工企業(yè)的信息安全提出了嚴(yán)峻的考驗(yàn)。

主要威脅表現(xiàn)在幾個(gè)方面。

（1）移動(dòng)用戶的身份識(shí)別。移動(dòng)辦公用戶通過互聯(lián)網(wǎng)登錄企業(yè)內(nèi)部網(wǎng)絡(luò)辦公系統(tǒng)時(shí)，基于傳統(tǒng)的用戶名與密碼的方式進(jìn)行身份認(rèn)證與訪問授權(quán)，容易造成用戶身份信息的泄露，存在非法用戶獲取用戶授權(quán)而造成數(shù)據(jù)信息泄露的風(fēng)險(xiǎn)。

（2）移動(dòng)用戶設(shè)備的管理。移動(dòng)辦公需借助手機(jī)、筆記本電腦等設(shè)備進(jìn)行網(wǎng)絡(luò)接入，未經(jīng)授權(quán)的移動(dòng)設(shè)備接入企業(yè)內(nèi)部網(wǎng)絡(luò)，直接訪問企業(yè)內(nèi)部的業(yè)務(wù)應(yīng)用系統(tǒng)，如不能有效識(shí)別并管控移動(dòng)接入設(shè)備，容易造成網(wǎng)絡(luò)非法入侵，非授權(quán)訪問或數(shù)據(jù)信息外泄的風(fēng)險(xiǎn)。

（3）信息傳輸?shù)陌踩?。移?dòng)辦公需借助互聯(lián)網(wǎng)訪問企業(yè)內(nèi)部信息并處理業(yè)務(wù)，開放的網(wǎng)絡(luò)線路容易發(fā)生傳輸數(shù)據(jù)的被監(jiān)聽或竊取等，如果數(shù)據(jù)信息在網(wǎng)絡(luò)傳輸過程中沒有受到一定的保護(hù)，會(huì)存在被監(jiān)聽竊取數(shù)據(jù)信息的風(fēng)險(xiǎn)。

（4）企業(yè)內(nèi)部信息的保護(hù)。企業(yè)內(nèi)部信息涉及到企業(yè)內(nèi)部經(jīng)營(yíng)決策、規(guī)劃發(fā)展等重要數(shù)據(jù)信息，移動(dòng)辦公需要企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)或無(wú)線通信網(wǎng)絡(luò)進(jìn)行聯(lián)接，不采取有效的網(wǎng)絡(luò)安全防護(hù)，將可能被非法用戶網(wǎng)絡(luò)入侵，竊取內(nèi)部數(shù)據(jù)信息。

基于對(duì)移動(dòng)辦公接入所帶來(lái)的安全風(fēng)險(xiǎn)分析，提出幾方面的移動(dòng)辦公安全接入需求：1）移動(dòng)用戶的身份鑒別和訪問控制；2）移動(dòng)終端設(shè)備可管可控；3）線路通信的加密傳輸；4）企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)的邊界控制。

3 移動(dòng)辦公安全設(shè)計(jì)

針對(duì)上述提出的移動(dòng)辦公安全需求，結(jié)合該軍工企業(yè)的現(xiàn)狀和移動(dòng)辦公應(yīng)用模式，基于其的總體信息安全架構(gòu)，對(duì)移動(dòng)辦公部分進(jìn)行安全規(guī)劃和設(shè)計(jì)，形成移動(dòng)辦公安全技術(shù)防護(hù)框架。通過利用多層技術(shù)防護(hù)措施和手段建立一套縱深安全防護(hù)機(jī)制，以保障移動(dòng)辦公過程中用戶的身份鑒別安全，移動(dòng)辦公設(shè)備的安全管控，通信數(shù)據(jù)的安全傳輸?shù)?，以有效的解決移動(dòng)辦公所面臨的安全風(fēng)險(xiǎn)和威脅。

3.1 安全技術(shù)防護(hù)框架

安全保密是軍工企業(yè)進(jìn)行信息化建設(shè)的關(guān)鍵問題之一，根據(jù)軍工企業(yè)辦公特點(diǎn)，協(xié)同辦公系統(tǒng)涉及到企業(yè)的重要信息，因此安全性需要放在首位進(jìn)行考慮。系統(tǒng)要有完善、周密的安全體系和信息安全支撐平臺(tái)緊密配合，從多方面采用多層次的安全保障措施。

軍工企業(yè)的移動(dòng)辦公用戶將通過筆記本電腦、平板電腦、手機(jī)等移動(dòng)辦公設(shè)備訪問企業(yè)內(nèi)部的業(yè)務(wù)應(yīng)用系統(tǒng)，考慮到移動(dòng)辦公的安全風(fēng)險(xiǎn)和威脅，本次結(jié)合該單位的業(yè)務(wù)特點(diǎn)和安全需求，有針對(duì)性地設(shè)計(jì)了移動(dòng)辦公安全技術(shù)防護(hù)框架，具體如圖1所示。

（1）終端安全。綜合運(yùn)用VPN、數(shù)字證書、桌面虛擬化、移動(dòng)設(shè)備管理等技術(shù)手段，實(shí)現(xiàn)了對(duì)于移動(dòng)辦公設(shè)備的安全認(rèn)證、用戶身份鑒別、訪問控制、數(shù)據(jù)隔離等。

（2）傳輸安全。在移動(dòng)辦公設(shè)備訪問企業(yè)內(nèi)網(wǎng)的過程中，采用CA和VPN技術(shù)相結(jié)合的方式針對(duì)指定的授權(quán)用戶建立專有加密隧道，保障了數(shù)據(jù)在傳輸時(shí)的安全性和保密性。

（3）接入安全。利用入侵防御、數(shù)據(jù)隔離交換等技術(shù)手段，實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的邊界隔離、訪問控制以及數(shù)據(jù)安全交換。

3.2 多重安全防護(hù)技術(shù)

基于上述安全技術(shù)防護(hù)框架，將在鏈路層、設(shè)備層和數(shù)據(jù)層等不同層次中借助通信加密、移動(dòng)設(shè)備安全管控、數(shù)據(jù)安全交換等多種安全防護(hù)技術(shù)進(jìn)行全方位地防護(hù)，從而保障了該企業(yè)數(shù)據(jù)和信息的安全。

（1）通信加密。移動(dòng)辦公通信信道是通過SSL VPN網(wǎng)關(guān)設(shè)備構(gòu)建安全連接，利用USB KEY+PIN碼的方式建立VPN加密隧道，對(duì)數(shù)據(jù)進(jìn)行SSL加密封裝，使得工作信息的安全得到更好的保護(hù)，防止被網(wǎng)絡(luò)截包程序攔截而導(dǎo)致企業(yè)數(shù)據(jù)外泄。

（2）移動(dòng)設(shè)備安全管控。通過移動(dòng)設(shè)備管理系統(tǒng)和SSL VPN網(wǎng)關(guān)設(shè)備對(duì)移動(dòng)辦公終端設(shè)備進(jìn)行管控，實(shí)現(xiàn)對(duì)設(shè)備的硬件、軟件、數(shù)據(jù)的統(tǒng)一管理和控制。所有移動(dòng)設(shè)備必須注冊(cè)并綁定硬件特征碼，經(jīng)過設(shè)備認(rèn)證獲得授權(quán)后，才能接入企業(yè)內(nèi)網(wǎng)訪問指定的系統(tǒng)資源。

（3）數(shù)據(jù)安全交換。利用防火墻、網(wǎng)閘、入侵防御等技術(shù)手段，對(duì)企業(yè)內(nèi)網(wǎng)的安全區(qū)域、訪問控制策略、邊界隔離措施和入侵防御策略等進(jìn)行規(guī)劃和設(shè)計(jì)，嚴(yán)格控制互聯(lián)網(wǎng)與企業(yè)內(nèi)網(wǎng)之間的數(shù)據(jù)流向，以保證在安全可控的前提下進(jìn)行安全數(shù)據(jù)交換。

（4）數(shù)據(jù)安全隔離。通過桌面虛擬化、沙箱技術(shù)實(shí)現(xiàn)所處理的數(shù)據(jù)信息均不在移動(dòng)辦公設(shè)備上落地，其中使用移動(dòng)筆記本的用戶通過虛擬桌面訪問企業(yè)內(nèi)網(wǎng)中的業(yè)務(wù)應(yīng)用系統(tǒng)，所有數(shù)據(jù)均保存在虛擬桌面中。使用手機(jī)和PAD的用戶通過APP訪問企業(yè)內(nèi)網(wǎng)中的業(yè)務(wù)應(yīng)用系統(tǒng)，APP運(yùn)行在手機(jī)和PAD的沙箱環(huán)境中，以確保用戶數(shù)據(jù)安全。

（5）身份認(rèn)證與授權(quán)控制。利用身份認(rèn)證平臺(tái)中的CA系統(tǒng)和應(yīng)用安全網(wǎng)關(guān)，對(duì)用戶、設(shè)備和應(yīng)用進(jìn)行細(xì)粒度的授權(quán)和訪問控制。為用戶和設(shè)備頒發(fā)用戶證書和設(shè)備證書，數(shù)字證書加密存儲(chǔ)在USB KEY或TF卡中，實(shí)現(xiàn)用戶身份認(rèn)證和設(shè)備接入認(rèn)證。用戶在訪問應(yīng)用系統(tǒng)時(shí)，由應(yīng)用安全網(wǎng)關(guān)對(duì)其進(jìn)行統(tǒng)一的認(rèn)證和授權(quán)。

4 移動(dòng)辦公安全接入應(yīng)用

根據(jù)該軍工企業(yè)的企業(yè)內(nèi)網(wǎng)現(xiàn)狀，結(jié)合業(yè)務(wù)訪問需求和安全防護(hù)需要，基于本次提出的移動(dòng)辦公安全技術(shù)防護(hù)框架，對(duì)企業(yè)內(nèi)網(wǎng)的功能區(qū)域進(jìn)行了調(diào)整和優(yōu)化，并根據(jù)區(qū)域的功能和特點(diǎn)進(jìn)行了有針對(duì)性的設(shè)計(jì)，以構(gòu)建縱深防御機(jī)制，具體如圖2所示。

終端接入?yún)^(qū)用于部署實(shí)現(xiàn)邏輯隔離與安全連接的產(chǎn)品和設(shè)備，其中鏈路負(fù)載均衡用于解決不同運(yùn)營(yíng)商互訪延遲較高和速度較慢的問題，入侵防御設(shè)備利用其智能防御和自學(xué)習(xí)功能，以阻止來(lái)自互聯(lián)網(wǎng)的攻擊、入侵。應(yīng)用安全網(wǎng)關(guān)用于實(shí)現(xiàn)移動(dòng)辦公設(shè)備和用戶的身份認(rèn)證。VPN網(wǎng)關(guān)用于與移動(dòng)辦公設(shè)備構(gòu)建加密隧道，建立安全連接。防火墻用于與互聯(lián)網(wǎng)進(jìn)行邏輯隔離和區(qū)域劃分。

安全監(jiān)管區(qū)部署實(shí)現(xiàn)身份認(rèn)證和移動(dòng)設(shè)備管理的產(chǎn)品和設(shè)備，其中身份認(rèn)證平臺(tái)用于構(gòu)建企業(yè)統(tǒng)一的身份認(rèn)證體系，并對(duì)接入設(shè)備和用戶進(jìn)行認(rèn)證和授權(quán)。移動(dòng)設(shè)備管理系統(tǒng)用于對(duì)所有的移動(dòng)辦公設(shè)備進(jìn)行集中管理和控制。

隔離區(qū)部署實(shí)現(xiàn)數(shù)據(jù)流向控制的產(chǎn)品和設(shè)備，通過部署網(wǎng)閘用于實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)信息的安全隔離與交換。

通過上述措施和手段，不僅滿足了該軍工企業(yè)的移動(dòng)辦公業(yè)務(wù)需要，提升了移動(dòng)辦公的安全性，并達(dá)到了以下應(yīng)用效果。

（1）單點(diǎn)登錄

移動(dòng)辦公用戶僅需在移動(dòng)辦公設(shè)備上插入U(xiǎn)SB-KEY或TF卡并輸入一次PIN碼，即可通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用，系統(tǒng)在后臺(tái)將自動(dòng)完成VPN隧道加密、用戶身份認(rèn)證、虛擬桌面分配、設(shè)備認(rèn)證、權(quán)限分配等。

（2）良好的用戶體驗(yàn)

使用移動(dòng)筆記本的用戶在辦公時(shí)將通過個(gè)人虛擬桌面訪問業(yè)務(wù)應(yīng)用系統(tǒng)，與其在企業(yè)內(nèi)網(wǎng)中的工作方式相同，不改變用戶習(xí)慣。使用手機(jī)、平板電腦的用戶在辦公時(shí)通過專用APP訪問業(yè)務(wù)系統(tǒng)，可滿足用戶的辦公需要。

5 結(jié)束語(yǔ)

本文基于對(duì)某軍工企業(yè)移動(dòng)辦公的安全風(fēng)險(xiǎn)和威脅分析，提出了相應(yīng)的安全技術(shù)防護(hù)框架和措施并進(jìn)行實(shí)際應(yīng)用，保證了移動(dòng)辦公用戶的安全接入和業(yè)務(wù)訪問，解決了用戶通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)網(wǎng)所面臨的信息安全問題，有效地提高了本單位移動(dòng)辦公系統(tǒng)的安全性。

參考文獻(xiàn)

[1] 陳軍，歐書琴.移動(dòng)OA系統(tǒng)的安全設(shè)計(jì)[J].電腦知識(shí)與技術(shù)，2014年12期.

[2] 趙波.安全移動(dòng)辦公解決方案簡(jiǎn)析[J].電信科學(xué)，2012年第10期.

[3] 王炳輝，黃春.移動(dòng)辦公的安全解決方案[J].移動(dòng)通信，2013（18）96-98.

[4] 劉道群，孫慶和.信息敏感行業(yè)3G移動(dòng)辦公安全解決方案[A].中國(guó)通信學(xué)會(huì)信息通信網(wǎng)絡(luò)技術(shù)委員會(huì)2011年年會(huì)論文集（上冊(cè)），2011年.

[5] 劉海英.計(jì)算機(jī)安全技術(shù)在企業(yè)移動(dòng)辦公中的應(yīng)用[J].科技創(chuàng)新，2013，20：33-3.

[6] 陳瑋.企業(yè)無(wú)線網(wǎng)絡(luò)移動(dòng)辦公的安全接入問題分析[J].信息通信，2013.

[7] http：//www.chinabwips.Org.

[8] Olivier，Nora D，Laurent G.Mobile Terminal Security[EB/OL].

作者簡(jiǎn)介：

曾紅霞（1980-），女，漢族，河北人，畢業(yè)于北京工業(yè)大學(xué)，碩士，核工業(yè)計(jì)算機(jī)應(yīng)用研究所協(xié)調(diào)保障中心副主任，工程師；主要研究方向和關(guān)注領(lǐng)域：移動(dòng)辦公系統(tǒng)安全技術(shù)。

朱泉（1977-），男，漢族，湖北人，畢業(yè)于南華理工大學(xué)，碩士，核工業(yè)計(jì)算機(jī)應(yīng)用研究所戰(zhàn)略與安全中心主任，高級(jí)工程師；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)及應(yīng)用安全技術(shù)。