軍工企業(yè)移動辦公安全接入研究與應(yīng)用

曾紅霞 朱泉

【 摘 要 】 隨著無線網(wǎng)絡(luò)和移動終端的不斷發(fā)展，移動辦公已成為現(xiàn)代企業(yè)信息化建設(shè)的重要組成部分。但是，面臨日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅，必須充分考慮移動辦公在接入和使用過程中面臨的各種安全問題并進(jìn)行安全防范。論文以某軍工企業(yè)為例，結(jié)合其現(xiàn)有業(yè)務(wù)特點和安全需求，實現(xiàn)移動辦公的安全框架設(shè)計和應(yīng)用部署，確保該軍工企業(yè)移動辦公的安全性、有效性和保密性。

【 關(guān)鍵詞 】 移動辦公；信息安全；SSL VPN；身份認(rèn)證

【 中圖分類號 】 TP39

【 文獻(xiàn)標(biāo)識碼 】 A

【 Abstract 】 With the continuous development of wireless network and mobile terminal， mobile office has become an important part of the modern enterprise information construction. However， facing the increasingly serious network security threats， we must fully consider the various security issues in the process of access and use and to carry out safety precautions. In this paper， a military enterprise as an example， combined with its existing business features and security needs， mobile office security framework design and application deployment， to ensure that the mobile office of the defense enterprise security， availability and confidentiality.

【 Keywords 】 mobile office； information security； vpn ssl； identity authentication

1 引言

隨著移動辦公應(yīng)用技術(shù)、部署條件等日趨成熟，移動辦公在各行業(yè)中得到了廣泛推廣和深入應(yīng)用，其價值也日益凸顯。軍工企業(yè)結(jié)合自身的業(yè)務(wù)發(fā)展需要，尤其在企業(yè)內(nèi)外部業(yè)務(wù)對信息交互的及時性、時效性要求越來越高，也促使軍工企業(yè)對移動辦公需求也越來越迫切。但是，面臨日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅，對信息安全要求較高的軍工企業(yè)，必須充分考慮移動辦公在接入和使用過程中面臨的各種安全威脅和問題，保障企業(yè)數(shù)據(jù)信息的安全。

2 移動辦公安全接入需求

移動辦公是利用手機、筆記本電腦等移動設(shè)備通過國際互聯(lián)網(wǎng)或運營商通信網(wǎng)（4G等）接入企業(yè)內(nèi)部網(wǎng)絡(luò)，實現(xiàn)訪問內(nèi)網(wǎng)信息、處理各類業(yè)務(wù)的功能應(yīng)用。通過移動辦公使企業(yè)員工可以隨時隨地接入企業(yè)內(nèi)部網(wǎng)絡(luò)，在線處理事務(wù)，在方便企業(yè)員工日常辦公的同時，提高了企業(yè)管理效率。

雖然移動辦公的靈活性、易用性給企業(yè)日常辦公帶來諸多好處，與此同時，由于移動辦公網(wǎng)絡(luò)接入的開放性和靈活性、設(shè)備的多樣化以及依賴國際互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)傳輸?shù)忍攸c，使企業(yè)內(nèi)部網(wǎng)絡(luò)更多的暴露在國際互聯(lián)網(wǎng)中，帶來了更多的安全風(fēng)險隱患，尤其對軍工企業(yè)的信息安全提出了嚴(yán)峻的考驗。

主要威脅表現(xiàn)在幾個方面。

（1）移動用戶的身份識別。移動辦公用戶通過互聯(lián)網(wǎng)登錄企業(yè)內(nèi)部網(wǎng)絡(luò)辦公系統(tǒng)時，基于傳統(tǒng)的用戶名與密碼的方式進(jìn)行身份認(rèn)證與訪問授權(quán)，容易造成用戶身份信息的泄露，存在非法用戶獲取用戶授權(quán)而造成數(shù)據(jù)信息泄露的風(fēng)險。

（2）移動用戶設(shè)備的管理。移動辦公需借助手機、筆記本電腦等設(shè)備進(jìn)行網(wǎng)絡(luò)接入，未經(jīng)授權(quán)的移動設(shè)備接入企業(yè)內(nèi)部網(wǎng)絡(luò)，直接訪問企業(yè)內(nèi)部的業(yè)務(wù)應(yīng)用系統(tǒng)，如不能有效識別并管控移動接入設(shè)備，容易造成網(wǎng)絡(luò)非法入侵，非授權(quán)訪問或數(shù)據(jù)信息外泄的風(fēng)險。

（3）信息傳輸?shù)陌踩浴Ｒ苿愚k公需借助互聯(lián)網(wǎng)訪問企業(yè)內(nèi)部信息并處理業(yè)務(wù)，開放的網(wǎng)絡(luò)線路容易發(fā)生傳輸數(shù)據(jù)的被監(jiān)聽或竊取等，如果數(shù)據(jù)信息在網(wǎng)絡(luò)傳輸過程中沒有受到一定的保護，會存在被監(jiān)聽竊取數(shù)據(jù)信息的風(fēng)險。

（4）企業(yè)內(nèi)部信息的保護。企業(yè)內(nèi)部信息涉及到企業(yè)內(nèi)部經(jīng)營決策、規(guī)劃發(fā)展等重要數(shù)據(jù)信息，移動辦公需要企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)或無線通信網(wǎng)絡(luò)進(jìn)行聯(lián)接，不采取有效的網(wǎng)絡(luò)安全防護，將可能被非法用戶網(wǎng)絡(luò)入侵，竊取內(nèi)部數(shù)據(jù)信息。

基于對移動辦公接入所帶來的安全風(fēng)險分析，提出幾方面的移動辦公安全接入需求：1）移動用戶的身份鑒別和訪問控制；2）移動終端設(shè)備可管可控；3）線路通信的加密傳輸；4）企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)的邊界控制。

3 移動辦公安全設(shè)計

針對上述提出的移動辦公安全需求，結(jié)合該軍工企業(yè)的現(xiàn)狀和移動辦公應(yīng)用模式，基于其的總體信息安全架構(gòu)，對移動辦公部分進(jìn)行安全規(guī)劃和設(shè)計，形成移動辦公安全技術(shù)防護框架。通過利用多層技術(shù)防護措施和手段建立一套縱深安全防護機制，以保障移動辦公過程中用戶的身份鑒別安全，移動辦公設(shè)備的安全管控，通信數(shù)據(jù)的安全傳輸?shù)龋杂行У慕鉀Q移動辦公所面臨的安全風(fēng)險和威脅。

3.1 安全技術(shù)防護框架

安全保密是軍工企業(yè)進(jìn)行信息化建設(shè)的關(guān)鍵問題之一，根據(jù)軍工企業(yè)辦公特點，協(xié)同辦公系統(tǒng)涉及到企業(yè)的重要信息，因此安全性需要放在首位進(jìn)行考慮。系統(tǒng)要有完善、周密的安全體系和信息安全支撐平臺緊密配合，從多方面采用多層次的安全保障措施。

軍工企業(yè)的移動辦公用戶將通過筆記本電腦、平板電腦、手機等移動辦公設(shè)備訪問企業(yè)內(nèi)部的業(yè)務(wù)應(yīng)用系統(tǒng)，考慮到移動辦公的安全風(fēng)險和威脅，本次結(jié)合該單位的業(yè)務(wù)特點和安全需求，有針對性地設(shè)計了移動辦公安全技術(shù)防護框架，具體如圖1所示。

（1）終端安全。綜合運用VPN、數(shù)字證書、桌面虛擬化、移動設(shè)備管理等技術(shù)手段，實現(xiàn)了對于移動辦公設(shè)備的安全認(rèn)證、用戶身份鑒別、訪問控制、數(shù)據(jù)隔離等。

（2）傳輸安全。在移動辦公設(shè)備訪問企業(yè)內(nèi)網(wǎng)的過程中，采用CA和VPN技術(shù)相結(jié)合的方式針對指定的授權(quán)用戶建立專有加密隧道，保障了數(shù)據(jù)在傳輸時的安全性和保密性。

（3）接入安全。利用入侵防御、數(shù)據(jù)隔離交換等技術(shù)手段，實現(xiàn)企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的邊界隔離、訪問控制以及數(shù)據(jù)安全交換。

3.2 多重安全防護技術(shù)

基于上述安全技術(shù)防護框架，將在鏈路層、設(shè)備層和數(shù)據(jù)層等不同層次中借助通信加密、移動設(shè)備安全管控、數(shù)據(jù)安全交換等多種安全防護技術(shù)進(jìn)行全方位地防護，從而保障了該企業(yè)數(shù)據(jù)和信息的安全。

（1）通信加密。移動辦公通信信道是通過SSL VPN網(wǎng)關(guān)設(shè)備構(gòu)建安全連接，利用USB KEY+PIN碼的方式建立VPN加密隧道，對數(shù)據(jù)進(jìn)行SSL加密封裝，使得工作信息的安全得到更好的保護，防止被網(wǎng)絡(luò)截包程序攔截而導(dǎo)致企業(yè)數(shù)據(jù)外泄。

（2）移動設(shè)備安全管控。通過移動設(shè)備管理系統(tǒng)和SSL VPN網(wǎng)關(guān)設(shè)備對移動辦公終端設(shè)備進(jìn)行管控，實現(xiàn)對設(shè)備的硬件、軟件、數(shù)據(jù)的統(tǒng)一管理和控制。所有移動設(shè)備必須注冊并綁定硬件特征碼，經(jīng)過設(shè)備認(rèn)證獲得授權(quán)后，才能接入企業(yè)內(nèi)網(wǎng)訪問指定的系統(tǒng)資源。

（3）數(shù)據(jù)安全交換。利用防火墻、網(wǎng)閘、入侵防御等技術(shù)手段，對企業(yè)內(nèi)網(wǎng)的安全區(qū)域、訪問控制策略、邊界隔離措施和入侵防御策略等進(jìn)行規(guī)劃和設(shè)計，嚴(yán)格控制互聯(lián)網(wǎng)與企業(yè)內(nèi)網(wǎng)之間的數(shù)據(jù)流向，以保證在安全可控的前提下進(jìn)行安全數(shù)據(jù)交換。

（4）數(shù)據(jù)安全隔離。通過桌面虛擬化、沙箱技術(shù)實現(xiàn)所處理的數(shù)據(jù)信息均不在移動辦公設(shè)備上落地，其中使用移動筆記本的用戶通過虛擬桌面訪問企業(yè)內(nèi)網(wǎng)中的業(yè)務(wù)應(yīng)用系統(tǒng)，所有數(shù)據(jù)均保存在虛擬桌面中。使用手機和PAD的用戶通過APP訪問企業(yè)內(nèi)網(wǎng)中的業(yè)務(wù)應(yīng)用系統(tǒng)，APP運行在手機和PAD的沙箱環(huán)境中，以確保用戶數(shù)據(jù)安全。

（5）身份認(rèn)證與授權(quán)控制。利用身份認(rèn)證平臺中的CA系統(tǒng)和應(yīng)用安全網(wǎng)關(guān)，對用戶、設(shè)備和應(yīng)用進(jìn)行細(xì)粒度的授權(quán)和訪問控制。為用戶和設(shè)備頒發(fā)用戶證書和設(shè)備證書，數(shù)字證書加密存儲在USB KEY或TF卡中，實現(xiàn)用戶身份認(rèn)證和設(shè)備接入認(rèn)證。用戶在訪問應(yīng)用系統(tǒng)時，由應(yīng)用安全網(wǎng)關(guān)對其進(jìn)行統(tǒng)一的認(rèn)證和授權(quán)。

4 移動辦公安全接入應(yīng)用

根據(jù)該軍工企業(yè)的企業(yè)內(nèi)網(wǎng)現(xiàn)狀，結(jié)合業(yè)務(wù)訪問需求和安全防護需要，基于本次提出的移動辦公安全技術(shù)防護框架，對企業(yè)內(nèi)網(wǎng)的功能區(qū)域進(jìn)行了調(diào)整和優(yōu)化，并根據(jù)區(qū)域的功能和特點進(jìn)行了有針對性的設(shè)計，以構(gòu)建縱深防御機制，具體如圖2所示。

終端接入?yún)^(qū)用于部署實現(xiàn)邏輯隔離與安全連接的產(chǎn)品和設(shè)備，其中鏈路負(fù)載均衡用于解決不同運營商互訪延遲較高和速度較慢的問題，入侵防御設(shè)備利用其智能防御和自學(xué)習(xí)功能，以阻止來自互聯(lián)網(wǎng)的攻擊、入侵。應(yīng)用安全網(wǎng)關(guān)用于實現(xiàn)移動辦公設(shè)備和用戶的身份認(rèn)證。VPN網(wǎng)關(guān)用于與移動辦公設(shè)備構(gòu)建加密隧道，建立安全連接。防火墻用于與互聯(lián)網(wǎng)進(jìn)行邏輯隔離和區(qū)域劃分。

安全監(jiān)管區(qū)部署實現(xiàn)身份認(rèn)證和移動設(shè)備管理的產(chǎn)品和設(shè)備，其中身份認(rèn)證平臺用于構(gòu)建企業(yè)統(tǒng)一的身份認(rèn)證體系，并對接入設(shè)備和用戶進(jìn)行認(rèn)證和授權(quán)。移動設(shè)備管理系統(tǒng)用于對所有的移動辦公設(shè)備進(jìn)行集中管理和控制。

隔離區(qū)部署實現(xiàn)數(shù)據(jù)流向控制的產(chǎn)品和設(shè)備，通過部署網(wǎng)閘用于實現(xiàn)業(yè)務(wù)數(shù)據(jù)信息的安全隔離與交換。

通過上述措施和手段，不僅滿足了該軍工企業(yè)的移動辦公業(yè)務(wù)需要，提升了移動辦公的安全性，并達(dá)到了以下應(yīng)用效果。

（1）單點登錄

移動辦公用戶僅需在移動辦公設(shè)備上插入USB-KEY或TF卡并輸入一次PIN碼，即可通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用，系統(tǒng)在后臺將自動完成VPN隧道加密、用戶身份認(rèn)證、虛擬桌面分配、設(shè)備認(rèn)證、權(quán)限分配等。

（2）良好的用戶體驗

使用移動筆記本的用戶在辦公時將通過個人虛擬桌面訪問業(yè)務(wù)應(yīng)用系統(tǒng)，與其在企業(yè)內(nèi)網(wǎng)中的工作方式相同，不改變用戶習(xí)慣。使用手機、平板電腦的用戶在辦公時通過專用APP訪問業(yè)務(wù)系統(tǒng)，可滿足用戶的辦公需要。

5 結(jié)束語

本文基于對某軍工企業(yè)移動辦公的安全風(fēng)險和威脅分析，提出了相應(yīng)的安全技術(shù)防護框架和措施并進(jìn)行實際應(yīng)用，保證了移動辦公用戶的安全接入和業(yè)務(wù)訪問，解決了用戶通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)網(wǎng)所面臨的信息安全問題，有效地提高了本單位移動辦公系統(tǒng)的安全性。

參考文獻(xiàn)

[1] 陳軍，歐書琴.移動OA系統(tǒng)的安全設(shè)計[J].電腦知識與技術(shù)，2014年12期.

[2] 趙波.安全移動辦公解決方案簡析[J].電信科學(xué)，2012年第10期.

[3] 王炳輝，黃春.移動辦公的安全解決方案[J].移動通信，2013（18）96-98.

[4] 劉道群，孫慶和.信息敏感行業(yè)3G移動辦公安全解決方案[A].中國通信學(xué)會信息通信網(wǎng)絡(luò)技術(shù)委員會2011年年會論文集（上冊），2011年.

[5] 劉海英.計算機安全技術(shù)在企業(yè)移動辦公中的應(yīng)用[J].科技創(chuàng)新，2013，20：33-3.

[6] 陳瑋.企業(yè)無線網(wǎng)絡(luò)移動辦公的安全接入問題分析[J].信息通信，2013.

[7] http：//www.chinabwips.Org.

[8] Olivier，Nora D，Laurent G.Mobile Terminal Security[EB/OL].

作者簡介：

曾紅霞（1980-），女，漢族，河北人，畢業(yè)于北京工業(yè)大學(xué)，碩士，核工業(yè)計算機應(yīng)用研究所協(xié)調(diào)保障中心副主任，工程師；主要研究方向和關(guān)注領(lǐng)域：移動辦公系統(tǒng)安全技術(shù)。

朱泉（1977-），男，漢族，湖北人，畢業(yè)于南華理工大學(xué)，碩士，核工業(yè)計算機應(yīng)用研究所戰(zhàn)略與安全中心主任，高級工程師；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)及應(yīng)用安全技術(shù)。