信息敏感行業3G移動辦公安全解決方案

劉道群，孫慶和

（1.重慶理工大學 重慶 400054；2.中國聯合網絡通信有限公司重慶市分公司 重慶 400042）

1 引言

隨著3G行業的不斷發展以及人們對隨時隨地辦公需求的日益強烈，基于3G的移動辦公業務日益受到重視，3G移動辦公已經進入政府、公安、金融以及連鎖等行業。

移動辦公是以“簡單、實用、使用不受地點限制”為設計理念開發的辦公自動化系統，可以在移動條件下使用手持設備通過移動網絡訪問單位內部的信息系統[1]，完成以前必須在桌面PC上處理的工作，如公文審批、收發郵件等。

3G移動辦公網絡部署方案是基于運營商提供的3G移動通信網絡，在移動狀態下，通過筆記本電腦、智能移動終端等實現查詢、審批、回復、確認等辦公操作，使辦公信息可以隨時隨地地進行交流互動，整體運作更加協調。這種最新的辦公模式通過在手機等移動終端設備上安裝企業信息化軟件，使手機具備和電腦一樣的辦公功能，為企業和政府信息化建設提供了全新的思路。

由于移動辦公以有線和移動網絡為承載網絡，所以面臨著有線和移動網絡通信中的雙重安全風險[2]；同時，移動辦公運行著大量需要保護的數據和信息，特別是公安、金融等信息敏感行業中的移動辦公系統，數據和信息的安全性顯得特別重要，如果敏感信息泄漏，必將導致嚴重的后果，因此安全性是信息敏感行業大規模應用3G移動辦公的最大障礙。

2 3G移動辦公面臨的安全威脅

IP網絡面臨的安全隱患，如病毒傳播、主機遭受攻擊、網絡通信數據被非法劫持甚至篡改，3G移動辦公同樣存在；同時由于3G移動辦公網絡架構的開放性，用戶身份認證、內網數據泄密等安全性問題顯的尤為突出。在信息敏感行業中，3G移動辦公面臨的安全威脅潛伏在數據安全、數據完整性、信息傳輸、身份認證和事后追蹤等各個環節，主要表現在以下幾個方面。

（1）信息機密性和完整性

移動辦公人員系統環境復雜，信息流轉頻繁，經常會通過公網與內網的應用系統進行敏感信息的交互，這些數據在開放的網絡環境中傳輸時有可能被截取，被非法用戶惡意篡改，導致信息發送與接收不一致，從而用戶和系統之間產生信息的差異，嚴重的會影響到雙方的正確判斷。

（2）信息傳輸的安全性

基于3G的移動辦公系統的數據傳輸過程包括無線傳輸和有線傳輸。無線傳輸采用3G網絡，雖然有加密標準和規范，但手機號碼、SIM卡有被克隆的可能，存在數據泄露的安全隱患；在有線網絡中，互聯網的開放、公眾性使得極易發生監聽傳輸數據、入侵數據庫等事件，若敏感信息在網絡傳輸中沒有受到有效保護，一旦被竊取或篡改，將造成很大的危害。

（3）身份認證

移動辦公人員在登錄系統時，系統應該能夠依據其身份授予不同的訪問操作權限，使其能夠進行相應授權內的操作，以避免假冒身份進行越權操作，但基于傳統的用戶名/密碼方式的身份認證安全強度不高，易被破解或截獲，從而增加了非法訪問系統的可能性。短信動態密碼與靜態用戶名/口令結合的身份認證方式，無法解決SIM卡克隆和手機丟失后造成的身份泄露問題。因此必須通過有效方式，保證對系統用戶的身份強鑒別。

（4）信息抗抵賴

在電子化的網絡環境中，如果沒有有效的手段保證電子數據共享和傳輸的抗抵賴，誰都可以否認自己共享或傳輸過的電子數據。一旦出現問題，將沒有任何有效的證據，對肇事者進行追究。目前大多數通過用戶名/密碼、手機號、IP地址等信息確認用戶行為，這些信息容易泄漏，大多不是實名信息，且沒有簽名機制，很難追查到人[3]。

3 安全體系架構

由于終端的移動性、使用場景的開放性和不可監督性、無線傳輸安全的脆弱性、網絡環境的復雜性，基于3G的移動辦公安全問題無處不在。為解決以上安全問題，本文采用終端加固、信道加密、認證接入、訪問控制和網閘隔離5大安全措施共同構成獨立完整的安全接入體系，如圖1所示。

終端加固：基于硬件密碼對終端進行安全加固，保證終端計算環境、資源和網絡訪問的安全和控制。

信道加密：采用密碼算法實現移動終端到移動接入區端到端的通信加密，保證內網信息在傳輸過程中的機密性和完整性。加密信道建立在通信運營商提供的APN專線之上。

認證接入：實現移動終端和移動接入區接入設備之間的雙向身份認證，保證持有合法身份證書的移動終端能接入移動接入區。

訪問控制：保證內網信息資源只能被授權的終端訪問，并對異常的訪問進行阻斷。

網閘隔離：實現移動接入區和內網之間的網絡隔離，對出入內網的數據進行協議剝離和內容過濾。

圖1 移動辦公接入安全體系架構

4 安全解決方案

以某政府單位移動辦公應用為例，介紹一個端到端、安全可靠的移動辦公解決方案，采用圖1所示的安全體系架構，將移動辦公網絡分成5個不同的區域（移動終端、移動通信網、移動接入區、安全隔離區和內網），如圖2所示。

對不同的區域采用不同的安全措施，通過3G網絡訪問內部的辦公系統、業務系統以及內部核心資源時，采取適當的信息安全策略，在為合法的訪問提供方便的同時，又能防止內網信息資源被非法竊取，具體安全措施介紹如下。

4.1 移動終端加固

客戶端的安全通過運營商USIM卡或TF卡配合VPN客戶端軟件安全功能實現。運營商USIM卡本身并不只作單純的接入功能，在安全性方面采用了改進的加密算法，密鑰長度增加至128 bit；同時增加了對網絡的認證功能，這種雙向認證可以有效防止黑客對卡片的攻擊；另外，USIM卡支持二次開發，在USIM卡中配置安全信息，從網絡訪問、用戶身份認證、信息加密等方面實現了接入客戶端系統公網路段的數據保密傳輸功能。

安全USIM卡或TF卡與移動VPN客戶端軟件配合，接入VPN安全網關對用戶采用口令的方式進行驗證，只有口令驗證通過后才能進行內網查詢操作，查看存儲在客戶端的內網信息。

安全USIM卡或TF卡的安全存儲功能，確保了密鑰和敏感信息的安全存儲。遺失的安全USIM卡或TF卡通過管理員在VPN安全網關發送遠程遙毀指令將其內網功能銷毀，并且將存儲的密鑰和加密短信等內容擦除。

4.2 專用APN及隧道加密

在移動接入區，采用專用APN，類似行業專用的3G無線局域網，由運營商分配獨立的接入點，并部署一條專線連接運營商GGSN與該單位內網，運營商GGSN和客戶端路由器之間采用私有IP進行通信。在專用APN白名單中的用戶，可以高速地通過APN專線接入內網。采用專用APN，限制非法用戶加入該APN，關閉合法用戶訪問公網權限，從而使內網信息與Internet完全隔離，保障了內網信息的機密性。

為了保證專用APN的數據業務在運營商IP核心網中傳輸的的私有性，在專用APN專線上啟用虛擬撥號網（VPDN）業務，利用安全的L2TP隧道傳輸協議，在現有的撥號網絡上構建一條虛擬、不受外界干擾的專用通道，從而能夠安全地訪問內部網資源。

4.3 網絡隔離

安全隔離區采用網絡隔離技術和設備，進一步保證高安全性網絡環境。網絡隔離設備在理論和實踐上均要比防火墻高一個安全級別，它把外網接口和內網接口從一套操作系統中分離出來[4]，然后在兩套主機系統之間通過不可路由的協議進行數據交換，即便黑客攻破了外網系統，仍然無法控制內網系統，從而達到了更高的安全級別。

網絡隔離采用專用通信硬件、專有安全協議、加密驗證機制及應用層數據提取和鑒別認證技術，進行不同安全級別網絡之間的數據交換，徹底阻斷了網絡間的直接TCP/IP連接，同時對網間通信的雙方、內容、過程施以嚴格的身份認證、內容過濾、安全審計等多種安全防護機制，從而保證了網間數據交換的安全、可控，杜絕了操作系統和網絡協議自身漏洞帶來的安全風險。

圖2 移動辦公網絡組網方案

4.4 身份認證

為了解決信息抵賴及身份認證安全隱患，在移動接入區和內部網絡分別安裝了認證服務器，采取用戶名/密碼與USIM卡卡號綁定以及數字證書等多重認證措施。

首先，在移動接入區配置VPN安全網關，該網關與移動終端使用的USIM卡或TF卡共同保證合法終端的接入，實現移動終端的認證接入、端到端信道加密、應用訪問控制等安全接入和控制功能，同時提供終端和接入設備身份注冊與管理服務等功能。

其次，配置系統的CA體系，完成數字證書的簽發、管理及整個安全系統的配置及管理；在安全認證管理系統的支持下，對移動終端進行基于公鑰證書的身份認證，保證非授權的用戶不能接入某政府單位內網。數字證書存儲個人身份信息及簽名私鑰，為移動終端提供數字簽名、簽名驗證和數據加解密等密碼服務。

5 結束語

隨著3G網絡覆蓋范圍的擴大，基于3G的移動辦公在各行業得到了廣泛的應用，3G移動辦公的安全性迫切需要系統的解決方案。本文基于安全USIM卡、專用APN、數字證書認證、網絡隔離等技術，提出了3G移動辦公安全解決方案，通過終端加固、信道加密、認證接入、訪問控制和網閘隔離等5大安全措施解決了移動辦公安全問題，實現了移動終端通過運營商公用移動網絡與單位內網的信息交換。該方案解決了移動終端、公網傳輸、內網保護等方面的安全需求，將移動接入作為一個系統整體的安全需求，建立一個全方位、多層次的安全服務體系，確保系統的身份認證、訪問控制、信息安全、網絡隔離、日志審計、病毒防范以及系統管理的安全。

1 唐寧,蔣紅源,楊恒.基于3G運營商的移動辦公系統應用和分析.電信科學,2009,25(10A):35～38

2 鄧霄博,杜勇,朱偉光.基于3G網絡的企業數據通信安全方案.電信科學,2010,26(8):102～106

3 趙波.安全移動辦公解決方案簡析.電信科學,2010,26(10):167～174

4 厲京運,趙卓.基于WPKI的移動OA安全平臺的研究與設計.計算機工程與設計,2010,31(3):472～479

5 陳強,付強,張勇.淺談網絡隔離技術.北方交通,2010(4):195～197

6 “網絡隔離”安全技術發展方向概述.http://www.huacolor.com/article/737.html