政企客戶移動(dòng)互聯(lián)網(wǎng)立體通道安全防護(hù)的構(gòu)建

鄭健　楊廣龍

摘要：日益凸顯的移動(dòng)安全問題為政企客戶帶來了不得不直面的問題，因此將從連接通道、傳輸通道、身份通道等三方面提出相應(yīng)的移動(dòng)安全解決方法，并結(jié)合案例將這三方面結(jié)合起來形成一個(gè)政企客戶立體通道安全防護(hù)解決方案。

關(guān)鍵詞：立體通道安全 個(gè)人信息安全 安全防護(hù)體系

1 政企客戶在移動(dòng)互聯(lián)網(wǎng)所面臨的管道

安全挑戰(zhàn)

當(dāng)今世界，信息技術(shù)創(chuàng)新日新月異，以數(shù)字化、網(wǎng)絡(luò)化、智能化為特征的信息化浪潮蓬勃興起。國家也發(fā)布了《國家信息化發(fā)展戰(zhàn)略綱要》，將信息化發(fā)展以戰(zhàn)略的高度要求各地區(qū)各部門結(jié)合實(shí)際認(rèn)真貫徹落實(shí)。而隨著移動(dòng)網(wǎng)絡(luò)的技術(shù)和設(shè)施的快速發(fā)展和部署，移動(dòng)互聯(lián)網(wǎng)下的信息化也得到了快速發(fā)展和應(yīng)用。越來越多的政企客戶將原來只能在內(nèi)網(wǎng)中使用和共享的信息，通過移動(dòng)信息化應(yīng)用置放于外部網(wǎng)絡(luò)環(huán)境中，因此如何保障信息的機(jī)密性和信息安全，被越來越多的政企客戶擺上了議事日程。信息安全建設(shè)作為政企客戶信息化發(fā)展過程中必然需要面臨和解決的問題，成為當(dāng)前政企客戶移動(dòng)信息化發(fā)展中的一個(gè)焦點(diǎn)。

據(jù)有關(guān)資料統(tǒng)計(jì)，當(dāng)前我國企業(yè)的信息安全管理才剛剛起步，而80%以上的的安全威脅來自于內(nèi)部，如木馬、內(nèi)部人員有意、無意攻擊、泄密、病毒傳播、內(nèi)部資源濫用等。國內(nèi)信息產(chǎn)業(yè)長(zhǎng)期桎梏：“重硬輕軟”，始終制約著信息系統(tǒng)監(jiān)管體系的建立與完善。在防火墻、入侵檢測(cè)等傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品占據(jù)信息安全市場(chǎng)半壁江山的同時(shí)，內(nèi)部審計(jì)、信息安全監(jiān)管類技術(shù)只是處于起步階段，企業(yè)信息安全還有許多問題需要解決。

如圖1所示，政企客戶通過移動(dòng)互聯(lián)網(wǎng)實(shí)施移動(dòng)辦公時(shí)，都會(huì)面臨鏈接通道安全、身份通道安全和數(shù)據(jù)通道安全等三個(gè)方面的安全問題：

（1）鏈接通道安全：很多客戶的辦公網(wǎng)一般都是內(nèi)部的局域網(wǎng)，政府、金融、公檢法等保密要求比較高的客戶，內(nèi)網(wǎng)是不允許有互聯(lián)網(wǎng)出口的。為了實(shí)現(xiàn)移動(dòng)辦公，又需要使用運(yùn)營(yíng)商的移動(dòng)網(wǎng)絡(luò)進(jìn)行接入，因此如何做到既能讓手機(jī)、Pad這些終端通過移動(dòng)網(wǎng)絡(luò)安全地接入內(nèi)網(wǎng)，又不會(huì)讓內(nèi)網(wǎng)暴露在Internet上遭受DDos攻擊、病毒、木馬等的入侵成為重點(diǎn)。

（2）身份通道安全：政企客戶在實(shí)施內(nèi)部應(yīng)用移動(dòng)化的過程中，如何確定使用者的身份、如何防止身份被盜用或者冒用，這是身份通道安全需要關(guān)心和認(rèn)真解決的問題。

（3）數(shù)據(jù)通道安全：客戶的數(shù)據(jù)在鏈接通道上以明文的方式傳輸，萬一被截取了就會(huì)有信息被竊取和盜用的風(fēng)險(xiǎn)。因此，如何保證數(shù)據(jù)在鏈接通道上安全的傳輸，做到可管可控也是需要通過添加一些加密方法和設(shè)施才能得到保障的。

本文將就這3方面的通道安全進(jìn)行闡述，提出針對(duì)這3方面的解決辦法，并通過實(shí)際的案例分析，將這3方面的通道安全結(jié)合起來形成一套完整的通道立體安全防護(hù)解決方案。

2 通道安全的解決方法

通過上文對(duì)鏈路通道、身份通道、數(shù)據(jù)通道所碰到的風(fēng)險(xiǎn)的闡述，接下來將針對(duì)每種通道上的解決辦法進(jìn)行討論。

（1）鏈路通道安全

鏈路通道安全主要要解決好兩個(gè)問題，一個(gè)是組網(wǎng)問題，即如何通過運(yùn)營(yíng)商的移動(dòng)網(wǎng)絡(luò)接入到內(nèi)網(wǎng)；一個(gè)是安全問題，即如何避免將內(nèi)網(wǎng)暴露在Internet上而遭受各種攻擊和入侵。

為了能解決好以上兩個(gè)問題，可以使用無線VPDN接入方案。無線VPDN業(yè)務(wù)的承載在運(yùn)營(yíng)商的高速分組數(shù)據(jù)（3G/4G）網(wǎng)絡(luò)之上，利用L2TP隧道技術(shù)搭建虛擬專用網(wǎng)絡(luò)，結(jié)合運(yùn)營(yíng)商內(nèi)部的多業(yè)務(wù)承載網(wǎng)絡(luò)連通客戶內(nèi)部辦公網(wǎng)絡(luò)，為客戶提供與Internet完全隔離的端到端的安全通道和組網(wǎng)方案。無線VPDN網(wǎng)絡(luò)架構(gòu)如圖2所示：

這個(gè)方案既能使用移動(dòng)終端通過運(yùn)營(yíng)商的移動(dòng)網(wǎng)絡(luò)接入到客戶內(nèi)網(wǎng)，而且Internet上的用戶無法感知到這條虛擬通道的存在，也無法穿過虛擬通道訪問客戶內(nèi)網(wǎng)，從而避免了大量的Internet攻擊和入侵。

（2）身份通道安全

傳統(tǒng)的帳號(hào)密碼體系由于容易被盜用或冒用，已不能滿足高安全性行業(yè)的應(yīng)用。目前，業(yè)界比較流行的是使用電子簽名的方案來實(shí)現(xiàn)客戶應(yīng)用、數(shù)據(jù)訪問的使用者身份確認(rèn)和防止冒用。但傳統(tǒng)的USB key、藍(lán)牙key因攜帶不方便，與移動(dòng)終端接口不對(duì)應(yīng)，近幾年啟用的TF卡key也因?yàn)楣雀柙贏ndroid4.0后收緊了第三方應(yīng)用對(duì)TF卡實(shí)時(shí)讀寫的權(quán)限，也無法正常使用。

為了能解決電子證書的秘鑰存儲(chǔ)和加解密，可以使用UIM卡盾方案。UIM卡盾是在UIM卡中加載合法CA數(shù)字證書的硬件級(jí)安全產(chǎn)品，采用非對(duì)稱密鑰算法對(duì)敏感交易信息加密及簽名，提供身份認(rèn)證、安全加解密、電子簽名等服務(wù)。UIM卡盾功能如圖3所示：

該方案符合《中華人民共和國電子簽名法》，身份經(jīng)第三方CA機(jī)構(gòu)嚴(yán)格審核并授權(quán)使用數(shù)字證書，關(guān)鍵步驟采用電子認(rèn)證技術(shù)可追溯是誰操作，具有不可抵賴性，并且由于UIM卡是直接插在移動(dòng)終端上的，很好地解決了攜帶問題。

（3）數(shù)據(jù)通道安全

在移動(dòng)終端與客戶內(nèi)網(wǎng)建立了虛擬通道后，為了防止數(shù)據(jù)在某些節(jié)點(diǎn)意外泄露，需要對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行移動(dòng)終端與客戶內(nèi)網(wǎng)之間的雙向加密，以確保即使傳輸數(shù)據(jù)遭到意外泄密后，盜取者也無法獲取到正確的數(shù)據(jù)。SSL VPN網(wǎng)絡(luò)架構(gòu)如圖4所示：

目前業(yè)界較為常用的方法是使用VPN技術(shù)，而以SSL VPN的使用較為常見。SSL協(xié)議位于TCP/IP 協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。SSL VPN可提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持，可用于在實(shí)際的數(shù)據(jù)傳輸開始前，通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。

3 移動(dòng)互聯(lián)網(wǎng)立體通道安全防護(hù)解決方案

以上的通道安全解決方法從技術(shù)和實(shí)現(xiàn)上都是相對(duì)獨(dú)立的，但是，客戶通常要同時(shí)面對(duì)這3個(gè)問題。如果只是將3個(gè)安全解決的方法單獨(dú)實(shí)施和使用，在用戶看來防護(hù)和使用的效果不會(huì)那么突出。但如果將這3個(gè)方法融合成一套立體安全防護(hù)解決方案，將會(huì)有效提升3種解決方法的聯(lián)動(dòng)效應(yīng)。舉一個(gè)較為形象的例子，如圖5所示，如何將銀行的現(xiàn)金安全地運(yùn)抵金庫，首先需要一條安全的路徑，這就如無線VPDN虛擬通道，其次需要一輛有防爆措施的運(yùn)鈔車，這就好比SSL VPN，最后押運(yùn)的人員也需要合格的資質(zhì)，這就是數(shù)字證書。只有這3個(gè)條件都具備并且聯(lián)動(dòng)配合著發(fā)揮了作用，才能把現(xiàn)金安全地送達(dá)金庫。

如所舉的例子，各種防護(hù)措施需要互相配合才能達(dá)到整體的安全要求，而目前很多信息安全項(xiàng)目在實(shí)施過程中，由于各種防護(hù)措施沒有整合和聯(lián)動(dòng)，用戶使用起來非常麻煩，達(dá)到的效果也不佳。下面就某市信息辦的安全辦公項(xiàng)目對(duì)立體通道安全防護(hù)解決方案進(jìn)行介紹。該市信息辦要求同時(shí)具備這3種防護(hù)能力，在移動(dòng)終端上的使用要盡量簡(jiǎn)單最好做到免配置。針對(duì)這樣的要求，在客戶搭建好鏈路、網(wǎng)關(guān)、電子證書認(rèn)證系統(tǒng)等設(shè)施后，方案實(shí)施時(shí)在移動(dòng)終端的撥號(hào)客戶端和各個(gè)安全系統(tǒng)間進(jìn)行了整合和聯(lián)動(dòng)。在終端上的撥號(hào)應(yīng)用改造主要是3種防護(hù)方法的調(diào)用機(jī)制的聯(lián)動(dòng)，如在移動(dòng)終端上使用同一個(gè)客戶端啟動(dòng)并切換至無線VPDN后，客戶端自動(dòng)觸發(fā)SSL VPN與安全網(wǎng)關(guān)的連接，在SSL VPN建立后客戶端自動(dòng)發(fā)起用戶電子身份認(rèn)證，在用戶點(diǎn)擊使用客戶應(yīng)用前就已經(jīng)一次性地啟動(dòng)了所有防護(hù)機(jī)制，用戶無需干預(yù)和頻繁地操作。而且撥號(hào)時(shí)所需的用戶名密碼、電子證書所需的公秘鑰等參數(shù)會(huì)通過系統(tǒng)推送到達(dá)終端并進(jìn)行自動(dòng)配置，減免了用戶配置的過程。而在安全系統(tǒng)間的聯(lián)動(dòng)，主要改造了SSL VPN，不再采帳號(hào)密碼的認(rèn)證方式，而是采信無線VPDN的在線記錄以判斷是否允許SSL VPN的接入。具體的做法是無線VPDN撥號(hào)成功后，移動(dòng)終端的撥號(hào)客戶端會(huì)向安全網(wǎng)關(guān)發(fā)起SSL VPN的撥號(hào)請(qǐng)求，安全網(wǎng)關(guān)收到請(qǐng)求后會(huì)通過接口向無線VPDN系統(tǒng)查詢?cè)撚脩籼?hào)碼是否已在線來判斷是否允許該用戶接入。實(shí)施了這套解決方案后，用戶配置和使用操作簡(jiǎn)化了，系統(tǒng)對(duì)用戶的管理內(nèi)容減少了，系統(tǒng)間的聯(lián)動(dòng)加強(qiáng)也增強(qiáng)了整體安全性。該方案得到了該市信息辦的認(rèn)可并下文要求下屬委辦參照?qǐng)?zhí)行。

4 結(jié)束語

如前文所述，隨著移動(dòng)互聯(lián)網(wǎng)和移動(dòng)信息化的逐步深入，政企客戶的安全邊界由內(nèi)網(wǎng)擴(kuò)展至移動(dòng)終端，信息安全的風(fēng)險(xiǎn)正日漸增長(zhǎng)，如何從承載身份信息、應(yīng)用數(shù)據(jù)的通道上有效地防范安全漏洞，依靠單一的防護(hù)措施是很難達(dá)到整體防范的效果的。通過本文對(duì)移動(dòng)互聯(lián)網(wǎng)立體通道安全防護(hù)解決方案的介紹，可以了解在鏈路通道、身份通道和數(shù)據(jù)通道上采取立體安全防護(hù)措施，保證數(shù)據(jù)在管道中安全地傳送，再結(jié)合其他移動(dòng)終端的安全管理應(yīng)用，如MDM、MAM、安全沙箱等保障數(shù)據(jù)在終端上存儲(chǔ)和使用安全，最終達(dá)到移動(dòng)信息化的整體安全防護(hù)。

參考文獻(xiàn)：

[1] 王占京，張麗諾，雷波. VPN網(wǎng)絡(luò)技術(shù)與業(yè)務(wù)應(yīng)用[M]. 北京： 國防工業(yè)出版社， 2012.

[2] 蔣文新. VPN中的隧道技術(shù)詳解[EB/OL]. （2011-01-30）. http：//www.chinabaike.com/z/xinxihua/253195.html.

[3] 熊小明，周民立. 電信技術(shù)數(shù)據(jù)網(wǎng)絡(luò)的現(xiàn)狀及發(fā)展分析[J]. 信息網(wǎng)絡(luò)， 2005（10）： 42-45.

[4] 陳濤，彭勁. 二層MPLS VPN技術(shù)與部署[J]. 廣播電視信息， 2010（7）： 52-54.

[5] 李洪，渠凱. SSL VPN安全方案與發(fā)展趨勢(shì)分析[J]. 電信技術(shù)， 2011（1）： 72-74.

[6] 易觀智庫. 中國企業(yè)級(jí)移動(dòng)管理市場(chǎng)專題研究報(bào)告[R]. 2014.

[7] 易觀智庫. 中國手機(jī)安全市場(chǎng)現(xiàn)狀研究報(bào)告[R]. 2014.

[8] 陳靜. 移動(dòng)辦公與管理[M]. 北京： 對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)出版社， 2012.

[9] 中國電信集團(tuán)公司. UIM卡級(jí)安全認(rèn)證[EB/OL]. （2015-10-01）. https：//www.189office.com/productsUD.

[10] 中國電信集團(tuán)公司. 安全認(rèn)證產(chǎn)品技術(shù)規(guī)范[R]. 2014. ★