李明駿,李民民

（酒泉鋼鐵（集團(tuán)）有限責(zé)任公司 信息中心，甘肅 嘉峪關(guān) 735100）

企業(yè)辦公網(wǎng)移動(dòng)終端安全接入系統(tǒng)屬于企業(yè)安全保障的重點(diǎn)，采取移動(dòng)終端安全接入模式、方法與技術(shù)，構(gòu)建安全接入系統(tǒng)，有效保障企業(yè)辦公的安全，抵御各種安全威脅[1]。終端設(shè)備借助4G移動(dòng)通信網(wǎng)站訪問(wèn)企業(yè)網(wǎng)絡(luò)時(shí)，需滿足安全策略、規(guī)則要求，全部接入設(shè)備安全接入點(diǎn)進(jìn)入網(wǎng)絡(luò)，第一時(shí)間發(fā)現(xiàn)及消除因移動(dòng)終端設(shè)備所誘發(fā)的安全問(wèn)題，避免病毒、木馬侵入企業(yè)網(wǎng)絡(luò)。

1 移動(dòng)終端安全風(fēng)險(xiǎn)分析

新經(jīng)濟(jì)常態(tài)下，企業(yè)大多數(shù)辦公已經(jīng)實(shí)現(xiàn)了自動(dòng)化、信息化，然而安全形勢(shì)不容樂(lè)觀，竊取、破壞、泄密等現(xiàn)象頻繁出現(xiàn)，直接影響了企業(yè)的安全。雖然現(xiàn)行安全防護(hù)方法可安全防護(hù)企業(yè)內(nèi)部運(yùn)用系統(tǒng)及安全傳輸數(shù)據(jù)，然而隨著移動(dòng)終端大范圍使用而造成網(wǎng)絡(luò)安全邊界不明，企業(yè)網(wǎng)絡(luò)安全形勢(shì)十分嚴(yán)峻。所以，在引進(jìn)新技術(shù)提高企業(yè)智能化、自動(dòng)化的基礎(chǔ)上，怎樣確保企業(yè)核心信息的安全性，預(yù)防非法分值竊取、破壞、泄密企業(yè)重要信息，消除外部安全威脅，是企業(yè)移動(dòng)終端接入需重點(diǎn)解決的問(wèn)題。

企業(yè)移動(dòng)終端接入的安全風(fēng)險(xiǎn)主要體現(xiàn)在終端、傳輸通道、應(yīng)用系統(tǒng)等三方面。對(duì)終端風(fēng)險(xiǎn)而言，主要包括終端物理完整性、數(shù)據(jù)存儲(chǔ)安全風(fēng)險(xiǎn)、系統(tǒng)漏洞與非法軟件安裝風(fēng)險(xiǎn)、設(shè)備非安全管理風(fēng)險(xiǎn)和非法使用風(fēng)險(xiǎn)等；傳輸通道風(fēng)險(xiǎn)主要是GPRS/CDMA/3G等公網(wǎng)或WiFi等無(wú)線專網(wǎng)通道發(fā)生不合法獲取信息的情況和非法終端接入風(fēng)險(xiǎn)等；而對(duì)應(yīng)用系統(tǒng)風(fēng)險(xiǎn)來(lái)說(shuō)，具體表現(xiàn)在非法授權(quán)訪問(wèn)、非法攻擊系統(tǒng)和泄露重要數(shù)據(jù)等方面[2]。

2 企業(yè)移動(dòng)辦公安全設(shè)計(jì)

就前文闡述的移動(dòng)辦公安全需求而言，需將企業(yè)具體狀況與移動(dòng)辦公運(yùn)用模式結(jié)合在一起，立足于總體信息安全架構(gòu)，安全規(guī)劃與設(shè)計(jì)移動(dòng)辦公方面的內(nèi)容，進(jìn)而建立起移動(dòng)辦公安全技術(shù)防護(hù)框架。根據(jù)多層技術(shù)防護(hù)措施構(gòu)建縱深安全防護(hù)機(jī)制，確保能夠?qū)σ苿?dòng)辦公的用戶身份予以安全的鑒別，同時(shí)需對(duì)移動(dòng)辦公設(shè)備予以嚴(yán)格的管控，確保通信數(shù)據(jù)能夠安全的進(jìn)行傳輸，進(jìn)而消除移動(dòng)辦公過(guò)程可能會(huì)出現(xiàn)的安全風(fēng)險(xiǎn)與威脅。

2.1 安全技術(shù)防護(hù)框架

對(duì)于大多數(shù)企業(yè)而言，安全保密是信息化建設(shè)重點(diǎn)關(guān)注的問(wèn)題，基于企業(yè)辦公特征，協(xié)同辦公系統(tǒng)關(guān)系到企業(yè)重要、敏感的信息，所以安全性尤為關(guān)鍵。系統(tǒng)應(yīng)該形成全面而完善的安全體系，并發(fā)揮出信息安全支撐平臺(tái)的作用，讓系統(tǒng)始終處于穩(wěn)定與安全的狀態(tài)。在訪問(wèn)企業(yè)應(yīng)用系統(tǒng)的過(guò)程中，主要選擇手機(jī)、平板電腦等移動(dòng)辦公設(shè)備，由于移動(dòng)辦公存在各種安全威脅，應(yīng)結(jié)合企業(yè)業(yè)務(wù)特征及安全需求，設(shè)計(jì)相對(duì)應(yīng)的移動(dòng)辦公安全技術(shù)防護(hù)框架，詳如圖1所示。

圖1 安全技術(shù)防護(hù)框架示意圖

（1）終端安全。采取桌面虛擬化、數(shù)字證書(shū)、VPN、移動(dòng)設(shè)備管理等方式，可對(duì)移動(dòng)辦公設(shè)備的安全進(jìn)行有效認(rèn)證、準(zhǔn)確鑒別用戶身份、控制訪問(wèn)及隔離有關(guān)數(shù)據(jù)信息等；（2）傳輸安全。當(dāng)移動(dòng)辦公設(shè)備訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)時(shí)，采取CA和VPN技術(shù)相聯(lián)合的方法對(duì)于授權(quán)用戶設(shè)立專門(mén)加密隧道，以此來(lái)思想安全、保密傳輸數(shù)據(jù)[3]；（3）接入安全。采取隔離交換數(shù)據(jù)、防御入侵等技術(shù)方法，將互聯(lián)網(wǎng)與企業(yè)內(nèi)網(wǎng)的邊界予以隔離，并控制訪問(wèn)，確保安全交換數(shù)據(jù)。

2.2 多重安全防護(hù)技術(shù)

2.2.1 身份認(rèn)證控制模塊

以可信度判定規(guī)則，對(duì)終端的完整度、可信度進(jìn)行全面驗(yàn)證，針對(duì)通過(guò)對(duì)接入的移動(dòng)終端設(shè)備的身份進(jìn)行有效認(rèn)證，并基于事先編制的訪問(wèn)策略控制列表（ACL）方法，確保合法的終端和移動(dòng)終端設(shè)備能夠順利地進(jìn)入系統(tǒng)，并訪問(wèn)所需數(shù)據(jù)。

2.2.2 可信安全接入控制技術(shù)

安全接入控制技術(shù)通常選擇可信端口安全接入機(jī)制[4]。結(jié)合接入點(diǎn)功能等情況，應(yīng)該在系統(tǒng)內(nèi)設(shè)置相應(yīng)的可信端口，包括網(wǎng)絡(luò)可信端口、網(wǎng)關(guān)可信端口和終端可信端口等。其中，網(wǎng)絡(luò)可信端口可安全傳輸數(shù)據(jù)；網(wǎng)關(guān)可信端口：定位設(shè)備，監(jiān)控終端設(shè)備，下發(fā)規(guī)則，與設(shè)備之間安全通信、安全應(yīng)用信息交互，同時(shí)實(shí)現(xiàn)端口最小化分配等；終端可信端口：移動(dòng)終端設(shè)備方面，終端可信端口能夠采集終端設(shè)備的屬性語(yǔ)言，讓遠(yuǎn)程桌面協(xié)議(RDP)獲得證書(shū)。

2.2.3 可信判定技術(shù)

可信判定技術(shù)可判定接入系統(tǒng)移動(dòng)終端設(shè)備，在訪問(wèn)過(guò)程中，基于設(shè)備認(rèn)證信息、屬性信息，周期輪詢?cè)O(shè)備，重新分析移動(dòng)終端可信度，以此來(lái)保證移動(dòng)終端訪問(wèn)的可行性、安全性。

2.2.4 公開(kāi)密鑰（WPKI）系統(tǒng)模塊

公開(kāi)密鑰（WPKI）為企業(yè)辦公網(wǎng)移動(dòng)終端安全接入系統(tǒng)，可以發(fā)揮出加密訪問(wèn)、頒發(fā)證書(shū)、管理證書(shū)等功能，形成移動(dòng)終端證書(shū)管理體系，移動(dòng)終端安全接入的可信證書(shū)將具備產(chǎn)生、管理、存儲(chǔ)、分發(fā)以及撤銷(xiāo)等功能。在企業(yè)辦公網(wǎng)移動(dòng)終端安全接入服務(wù)方面，其中WPKI系統(tǒng)為核心部分，圖2為具體構(gòu)成情況。

圖2 公開(kāi)密鑰（WPKI）組成

3 移動(dòng)辦公安全接入應(yīng)用

從企業(yè)內(nèi)網(wǎng)基本情況出發(fā)，充分考慮到業(yè)務(wù)訪問(wèn)與安全管理等需求，逐步形成以移動(dòng)辦公安全技術(shù)為基礎(chǔ)的防護(hù)框架，讓企業(yè)內(nèi)網(wǎng)功能有關(guān)區(qū)域得到改善。同時(shí)，立足于區(qū)域特點(diǎn)及功能，科學(xué)設(shè)計(jì)，構(gòu)建縱深防御機(jī)制（如圖3所示）。對(duì)終端接入?yún)^(qū)來(lái)說(shuō)，邏輯隔離與安全連接設(shè)備與產(chǎn)品，尤其是對(duì)鏈路負(fù)載均衡而言，能夠解決各運(yùn)營(yíng)商互訪問(wèn)延遲率高與速度慢等問(wèn)題，而侵防御設(shè)備發(fā)揮出智能防御的作用，能夠進(jìn)行自學(xué)習(xí)，避免受到互聯(lián)網(wǎng)非法入侵與攻擊。在移動(dòng)辦公設(shè)備和用戶身份認(rèn)證方面，借助安全網(wǎng)關(guān)，VPN網(wǎng)關(guān)同移動(dòng)辦公設(shè)備設(shè)計(jì)加密隧道，讓連接更加可靠。防火墻能夠進(jìn)行隔離邏輯與劃分區(qū)域，安全監(jiān)管部署則能夠進(jìn)行移動(dòng)設(shè)備和身份認(rèn)證，如在身份認(rèn)證平臺(tái)中，可以形成企業(yè)統(tǒng)一身份認(rèn)證體系，對(duì)接入用戶和設(shè)備作出授權(quán)與認(rèn)證。借助移動(dòng)設(shè)備管理系統(tǒng)，將對(duì)所有移動(dòng)辦公設(shè)備進(jìn)行集中管控。隔離區(qū)部署可確保數(shù)據(jù)順利地流入控制的設(shè)備與產(chǎn)品，通過(guò)網(wǎng)閘的設(shè)計(jì)確保業(yè)務(wù)數(shù)據(jù)信息安全交換與隔離[5]。

圖3 移動(dòng)辦公系統(tǒng)部署示意圖

運(yùn)用以上策略與方式，除了可以確保企業(yè)在移動(dòng)辦公業(yè)務(wù)方面的需求得到滿足之外，還能夠增強(qiáng)移動(dòng)辦公所具備的安全性，并實(shí)現(xiàn)以下運(yùn)用效果。

3.1 終端安全機(jī)制

就移動(dòng)辦公用戶而言，只需要在移動(dòng)辦公設(shè)備之中將電子密鑰（USB-Key）、PIN碼插入，就能夠利用互聯(lián)網(wǎng)對(duì)企業(yè)內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用進(jìn)行訪問(wèn)，并且系統(tǒng)后臺(tái)會(huì)自動(dòng)完成VPN隧道加密、虛擬桌面分配以及權(quán)限分配等[6]。

3.2 良好的用戶體驗(yàn)

針對(duì)運(yùn)用移動(dòng)筆記本的用戶而言，在辦公的過(guò)程中利用個(gè)人虛擬桌面對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行訪問(wèn)，和其在企業(yè)內(nèi)網(wǎng)之中的工作方式相同，不對(duì)用戶習(xí)慣進(jìn)行改變。運(yùn)用手機(jī)、平板電腦的相關(guān)用戶，在辦公的過(guò)程中運(yùn)用專用APP對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行訪問(wèn)，能夠較好滿足用戶辦公需要。

4 結(jié)語(yǔ)

近年來(lái)無(wú)線網(wǎng)絡(luò)技術(shù)發(fā)展速度很快，企業(yè)辦公系統(tǒng)中移動(dòng)網(wǎng)絡(luò)中斷安全接入問(wèn)題受到了廣泛關(guān)注，企業(yè)應(yīng)采取有效的安全接入技術(shù)，在開(kāi)放性網(wǎng)絡(luò)環(huán)境下確保移動(dòng)辦公的安全性，從而有利于確保企業(yè)的信息安全和可持續(xù)健康發(fā)展。