鄭健　楊廣龍

摘要：日益凸顯的移動安全問題為政企客戶帶來了不得不直面的問題，因此將從連接通道、傳輸通道、身份通道等三方面提出相應的移動安全解決方法，并結合案例將這三方面結合起來形成一個政企客戶立體通道安全防護解決方案。

關鍵詞：立體通道安全 個人信息安全 安全防護體系

1 政企客戶在移動互聯(lián)網(wǎng)所面臨的管道

安全挑戰(zhàn)

當今世界，信息技術創(chuàng)新日新月異，以數(shù)字化、網(wǎng)絡化、智能化為特征的信息化浪潮蓬勃興起。國家也發(fā)布了《國家信息化發(fā)展戰(zhàn)略綱要》，將信息化發(fā)展以戰(zhàn)略的高度要求各地區(qū)各部門結合實際認真貫徹落實。而隨著移動網(wǎng)絡的技術和設施的快速發(fā)展和部署，移動互聯(lián)網(wǎng)下的信息化也得到了快速發(fā)展和應用。越來越多的政企客戶將原來只能在內(nèi)網(wǎng)中使用和共享的信息，通過移動信息化應用置放于外部網(wǎng)絡環(huán)境中，因此如何保障信息的機密性和信息安全，被越來越多的政企客戶擺上了議事日程。信息安全建設作為政企客戶信息化發(fā)展過程中必然需要面臨和解決的問題，成為當前政企客戶移動信息化發(fā)展中的一個焦點。

據(jù)有關資料統(tǒng)計，當前我國企業(yè)的信息安全管理才剛剛起步，而80%以上的的安全威脅來自于內(nèi)部，如木馬、內(nèi)部人員有意、無意攻擊、泄密、病毒傳播、內(nèi)部資源濫用等。國內(nèi)信息產(chǎn)業(yè)長期桎梏：“重硬輕軟”，始終制約著信息系統(tǒng)監(jiān)管體系的建立與完善。在防火墻、入侵檢測等傳統(tǒng)網(wǎng)絡安全產(chǎn)品占據(jù)信息安全市場半壁江山的同時，內(nèi)部審計、信息安全監(jiān)管類技術只是處于起步階段，企業(yè)信息安全還有許多問題需要解決。

如圖1所示，政企客戶通過移動互聯(lián)網(wǎng)實施移動辦公時，都會面臨鏈接通道安全、身份通道安全和數(shù)據(jù)通道安全等三個方面的安全問題：

（1）鏈接通道安全：很多客戶的辦公網(wǎng)一般都是內(nèi)部的局域網(wǎng)，政府、金融、公檢法等保密要求比較高的客戶，內(nèi)網(wǎng)是不允許有互聯(lián)網(wǎng)出口的。為了實現(xiàn)移動辦公，又需要使用運營商的移動網(wǎng)絡進行接入，因此如何做到既能讓手機、Pad這些終端通過移動網(wǎng)絡安全地接入內(nèi)網(wǎng)，又不會讓內(nèi)網(wǎng)暴露在Internet上遭受DDos攻擊、病毒、木馬等的入侵成為重點。

（2）身份通道安全：政企客戶在實施內(nèi)部應用移動化的過程中，如何確定使用者的身份、如何防止身份被盜用或者冒用，這是身份通道安全需要關心和認真解決的問題。

（3）數(shù)據(jù)通道安全：客戶的數(shù)據(jù)在鏈接通道上以明文的方式傳輸，萬一被截取了就會有信息被竊取和盜用的風險。因此，如何保證數(shù)據(jù)在鏈接通道上安全的傳輸，做到可管可控也是需要通過添加一些加密方法和設施才能得到保障的。

本文將就這3方面的通道安全進行闡述，提出針對這3方面的解決辦法，并通過實際的案例分析，將這3方面的通道安全結合起來形成一套完整的通道立體安全防護解決方案。

2 通道安全的解決方法

通過上文對鏈路通道、身份通道、數(shù)據(jù)通道所碰到的風險的闡述，接下來將針對每種通道上的解決辦法進行討論。

（1）鏈路通道安全

鏈路通道安全主要要解決好兩個問題，一個是組網(wǎng)問題，即如何通過運營商的移動網(wǎng)絡接入到內(nèi)網(wǎng)；一個是安全問題，即如何避免將內(nèi)網(wǎng)暴露在Internet上而遭受各種攻擊和入侵。

為了能解決好以上兩個問題，可以使用無線VPDN接入方案。無線VPDN業(yè)務的承載在運營商的高速分組數(shù)據(jù)（3G/4G）網(wǎng)絡之上，利用L2TP隧道技術搭建虛擬專用網(wǎng)絡，結合運營商內(nèi)部的多業(yè)務承載網(wǎng)絡連通客戶內(nèi)部辦公網(wǎng)絡，為客戶提供與Internet完全隔離的端到端的安全通道和組網(wǎng)方案。無線VPDN網(wǎng)絡架構如圖2所示：

這個方案既能使用移動終端通過運營商的移動網(wǎng)絡接入到客戶內(nèi)網(wǎng)，而且Internet上的用戶無法感知到這條虛擬通道的存在，也無法穿過虛擬通道訪問客戶內(nèi)網(wǎng)，從而避免了大量的Internet攻擊和入侵。

（2）身份通道安全

傳統(tǒng)的帳號密碼體系由于容易被盜用或冒用，已不能滿足高安全性行業(yè)的應用。目前，業(yè)界比較流行的是使用電子簽名的方案來實現(xiàn)客戶應用、數(shù)據(jù)訪問的使用者身份確認和防止冒用。但傳統(tǒng)的USB key、藍牙key因攜帶不方便，與移動終端接口不對應，近幾年啟用的TF卡key也因為谷歌在Android4.0后收緊了第三方應用對TF卡實時讀寫的權限，也無法正常使用。

為了能解決電子證書的秘鑰存儲和加解密，可以使用UIM卡盾方案。UIM卡盾是在UIM卡中加載合法CA數(shù)字證書的硬件級安全產(chǎn)品，采用非對稱密鑰算法對敏感交易信息加密及簽名，提供身份認證、安全加解密、電子簽名等服務。UIM卡盾功能如圖3所示：

該方案符合《中華人民共和國電子簽名法》，身份經(jīng)第三方CA機構嚴格審核并授權使用數(shù)字證書，關鍵步驟采用電子認證技術可追溯是誰操作，具有不可抵賴性，并且由于UIM卡是直接插在移動終端上的，很好地解決了攜帶問題。

（3）數(shù)據(jù)通道安全

在移動終端與客戶內(nèi)網(wǎng)建立了虛擬通道后，為了防止數(shù)據(jù)在某些節(jié)點意外泄露，需要對傳輸?shù)臄?shù)據(jù)進行移動終端與客戶內(nèi)網(wǎng)之間的雙向加密，以確保即使傳輸數(shù)據(jù)遭到意外泄密后，盜取者也無法獲取到正確的數(shù)據(jù)。SSL VPN網(wǎng)絡架構如圖4所示：

目前業(yè)界較為常用的方法是使用VPN技術，而以SSL VPN的使用較為常見。SSL協(xié)議位于TCP/IP 協(xié)議與各種應用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。SSL VPN可提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持，可用于在實際的數(shù)據(jù)傳輸開始前，通訊雙方進行身份認證、協(xié)商加密算法、交換加密密鑰等。

3 移動互聯(lián)網(wǎng)立體通道安全防護解決方案

以上的通道安全解決方法從技術和實現(xiàn)上都是相對獨立的，但是，客戶通常要同時面對這3個問題。如果只是將3個安全解決的方法單獨實施和使用，在用戶看來防護和使用的效果不會那么突出。但如果將這3個方法融合成一套立體安全防護解決方案，將會有效提升3種解決方法的聯(lián)動效應。舉一個較為形象的例子，如圖5所示，如何將銀行的現(xiàn)金安全地運抵金庫，首先需要一條安全的路徑，這就如無線VPDN虛擬通道，其次需要一輛有防爆措施的運鈔車，這就好比SSL VPN，最后押運的人員也需要合格的資質(zhì)，這就是數(shù)字證書。只有這3個條件都具備并且聯(lián)動配合著發(fā)揮了作用，才能把現(xiàn)金安全地送達金庫。

如所舉的例子，各種防護措施需要互相配合才能達到整體的安全要求，而目前很多信息安全項目在實施過程中，由于各種防護措施沒有整合和聯(lián)動，用戶使用起來非常麻煩，達到的效果也不佳。下面就某市信息辦的安全辦公項目對立體通道安全防護解決方案進行介紹。該市信息辦要求同時具備這3種防護能力，在移動終端上的使用要盡量簡單最好做到免配置。針對這樣的要求，在客戶搭建好鏈路、網(wǎng)關、電子證書認證系統(tǒng)等設施后，方案實施時在移動終端的撥號客戶端和各個安全系統(tǒng)間進行了整合和聯(lián)動。在終端上的撥號應用改造主要是3種防護方法的調(diào)用機制的聯(lián)動，如在移動終端上使用同一個客戶端啟動并切換至無線VPDN后，客戶端自動觸發(fā)SSL VPN與安全網(wǎng)關的連接，在SSL VPN建立后客戶端自動發(fā)起用戶電子身份認證，在用戶點擊使用客戶應用前就已經(jīng)一次性地啟動了所有防護機制，用戶無需干預和頻繁地操作。而且撥號時所需的用戶名密碼、電子證書所需的公秘鑰等參數(shù)會通過系統(tǒng)推送到達終端并進行自動配置，減免了用戶配置的過程。而在安全系統(tǒng)間的聯(lián)動，主要改造了SSL VPN，不再采帳號密碼的認證方式，而是采信無線VPDN的在線記錄以判斷是否允許SSL VPN的接入。具體的做法是無線VPDN撥號成功后，移動終端的撥號客戶端會向安全網(wǎng)關發(fā)起SSL VPN的撥號請求，安全網(wǎng)關收到請求后會通過接口向無線VPDN系統(tǒng)查詢該用戶號碼是否已在線來判斷是否允許該用戶接入。實施了這套解決方案后，用戶配置和使用操作簡化了，系統(tǒng)對用戶的管理內(nèi)容減少了，系統(tǒng)間的聯(lián)動加強也增強了整體安全性。該方案得到了該市信息辦的認可并下文要求下屬委辦參照執(zhí)行。

4 結束語

如前文所述，隨著移動互聯(lián)網(wǎng)和移動信息化的逐步深入，政企客戶的安全邊界由內(nèi)網(wǎng)擴展至移動終端，信息安全的風險正日漸增長，如何從承載身份信息、應用數(shù)據(jù)的通道上有效地防范安全漏洞，依靠單一的防護措施是很難達到整體防范的效果的。通過本文對移動互聯(lián)網(wǎng)立體通道安全防護解決方案的介紹，可以了解在鏈路通道、身份通道和數(shù)據(jù)通道上采取立體安全防護措施，保證數(shù)據(jù)在管道中安全地傳送，再結合其他移動終端的安全管理應用，如MDM、MAM、安全沙箱等保障數(shù)據(jù)在終端上存儲和使用安全，最終達到移動信息化的整體安全防護。

參考文獻：

[1] 王占京，張麗諾，雷波. VPN網(wǎng)絡技術與業(yè)務應用[M]. 北京： 國防工業(yè)出版社， 2012.

[2] 蔣文新. VPN中的隧道技術詳解[EB/OL]. （2011-01-30）. http：//www.chinabaike.com/z/xinxihua/253195.html.

[3] 熊小明，周民立. 電信技術數(shù)據(jù)網(wǎng)絡的現(xiàn)狀及發(fā)展分析[J]. 信息網(wǎng)絡， 2005（10）： 42-45.

[4] 陳濤，彭勁. 二層MPLS VPN技術與部署[J]. 廣播電視信息， 2010（7）： 52-54.

[5] 李洪，渠凱. SSL VPN安全方案與發(fā)展趨勢分析[J]. 電信技術， 2011（1）： 72-74.

[6] 易觀智庫. 中國企業(yè)級移動管理市場專題研究報告[R]. 2014.

[7] 易觀智庫. 中國手機安全市場現(xiàn)狀研究報告[R]. 2014.

[8] 陳靜. 移動辦公與管理[M]. 北京： 對外經(jīng)濟貿(mào)易大學出版社， 2012.

[9] 中國電信集團公司. UIM卡級安全認證[EB/OL]. （2015-10-01）. https：//www.189office.com/productsUD.

[10] 中國電信集團公司. 安全認證產(chǎn)品技術規(guī)范[R]. 2014. ★