鐵路移動辦公系統安全防護方案的研究

蔣笑冰

（北京鐵路局 北京鐵路通信技術中心，北京 100038）

鐵路移動辦公系統安全防護方案的研究

蔣笑冰

（北京鐵路局 北京鐵路通信技術中心，北京 100038）

本文綜合分析鐵路移動辦公系統網絡接入存在的安全風險，結合鐵路信息安全技術架構特點，提出一種鐵路移動辦公系統網絡安全接入方案。該方案針對鐵路移動辦公系統網絡接入安全風險設計，并與鐵路信息網絡安全技術架構特點相適應，為鐵路移動辦公系統網絡接入安全防護提供了一種新的方法。

鐵路移動辦公系統；網絡安全；終端安全

隨著智能終端應用的普及，移動辦公的需求日益增多，建設一個鐵路移動辦公系統，支持隨時隨地的移動辦公業務審批、信息快速查詢、移動網絡互動交流，以提高辦公處理效率和辦理靈活性非常必要。移動辦公系統在滿足辦公人員便利的同時，也帶來了諸多安全隱患，為此，本文提出一種鐵路移動辦公系統網絡安全接入方案。

1 系統介紹

鐵路現有辦公系統始建于2002年，后續相繼開發了機關辦公網、電子郵件、公文流轉、檔案管理等多個子系統，在日常辦公中發揮了一定作用。由于辦公系統建設時間較早，存在建設理念不新、技術標準不統一、業務規范性不高、應用功能不能滿足需要、硬件設備陳舊等諸多問題。目前電力等行業已經部分實現移動辦公[1～3]，鐵路亟待建設鐵路移動辦公系統，支持移動終端、實現移動辦公。在無線網覆蓋的地方，隨時隨地可以上網辦公、參加會議。支持視頻、短信、網絡電話、微博、微信、即時通、郵件等多種通信方式，選擇方便、快捷、直觀、簡潔的工作和通信方式，實現雙人、成組、會議多媒體方式。移動辦公接入鐵路信息網絡，實現應用系統間的互聯互通與信息共享。

2 安全風險及需求分析

2.1 安全風險

2.1.1 數據泄密的安全風險

移動辦公系統所涉及的部分數據比較重要和敏感。移動終端在通過網絡訪問這些數據時，如果有惡意程序在終端后臺運行，可能在用戶不知情的情況下對敏感數據做攔截、截圖等非法操作；當終端連接互聯網時，包含敏感信息的數據在用戶不知的情況下可能被發送到互聯網指定位置。

在移動辦公過程中，用戶可能會將企業敏感的信息文件存儲到終端的本地磁盤中進行操作，導致這些敏感信息存在泄漏的風險。

2.1.2 網絡環境的安全風險

移動終端有可能從任意地點、任意環境通過無線網或互聯網訪問移動辦公系統，當數據在無線網或互聯網進行傳輸時，可能會遭受到各類攻擊和竊聽。接入終端在進行遠程辦公的過程中，如果還能繼續訪問互聯網，就會造成互聯網和企業網絡交叉訪問，帶來嚴重的安全風險。

2.1.3 移動終端自身的安全風險

移動終端在提供用戶便利的同時，由于其便攜小巧，遺失、被盜被搶的風險大大增加，對終端存儲的數據造成威脅。

由于用戶終端接入網絡的安全性未知，終端在上網或安裝其他軟件的過程中，容易感染病毒或被惡意植入木馬，當用戶通過終端進行移動辦公的時候，這些病毒和木馬可能會擴散到企業的內部網絡中，從而帶來巨大的安全隱患。

2.1.4 接入身份的安全風險

攻擊者可能偽裝、假冒成合法用戶，通過網絡接入到應用系統中，從而進行信息竊取、破壞和攻擊等行為。

2.1.5 內外網信息交換的安全風險

數據大都存儲在內網中，如果對來自互聯網的訪問未經有效防護，將帶來內網數據被破壞的風險。

2.2 安全需求

移動辦公系統的安全需求如下。

2.2.1 保證敏感信息的使用和存儲安全

保證敏感數據在網絡訪問和存儲中的完整性、機密性和不可否認性；保證未授權的其他應用不能調用辦公系統的數據。在網絡、終端、主機多個層面保證數據安全。

2.2.2 保證移動辦公接入網絡通道的安全

需要使用加密專用網絡訪問通道，保證數據在傳輸中的機密性。

2.2.3 保證終端的安全

通過多種技術手段提升終端安全性，制定終端安全策略，對終端的行為進行適當控制。加強終端病毒、木馬防治。當移動終端丟失時，采用遠程數據擦除等補救措施。

2.2.4 保證使用移動辦公系統的用戶均經過安全認證

需要在不同層次對用戶進行身份認證，用戶接入網絡和用戶訪問移動辦公系統時認證用戶身份，保證只有經過認證的用戶才能使用移動辦公系統。

2.2.5 保證移動辦公數據在內外網之間交換的安全

需要通過安全平臺的代理機制和訪問控制機制保證數據在內外網之間的安全交換。

2.2.6 保證移動應用的安全管理

為移動終端提供安全的應用軟件，需要搭建面向內部的移動應用管理平臺，對企業內部應用及公共應用進行發布、審核、更新和管理，并對企業移動應用進行病毒掃描、更新、刪除等。

3 安全架構設計

通過對移動辦公系統的風險分析，本方案的安全目標是保障在移動辦公系統訪問過程的整體安全性。結合安全需求分析，方案需要考慮的安全要點主要是敏感信息的保密性、網絡接入的安全性、移動終端的安全性、接入人員身份的合法性、內外網數據交換的安全性以及移動應用軟件的安全性。本方案分別從網絡安全、終端安全、應用安全、主機安全和物理安全5個方面進行設計[4]。架構如圖1所示。

圖1 安全架構

4 安全設計方案

4.1 網絡安全

4.1.1 安全區域劃分

根據移動辦公系統的部署架構，該系統的安全區域分別是互聯網區、外部服務網區、內部服務網區。安全邊界分別是互聯網/公網邊界、內外網邊界，對不同安全域邊界采取相應的安全措施，重點保障邊界接入安全。

4.1.2 網絡接入邊界安全

當用戶希望在非辦公室的環境中能夠隨時訪問敏感業務和敏感數據時，可以采用安全性更高的無線移動虛擬撥號專用網絡（VPDN）實現對用戶的安全接入和訪問控制管理，如圖2所示。

用戶使用各類終端設備，通過移動公網接入鐵路外部服務網。在鐵路外部服務網部署SSL VPN設備、網絡接入認證服務器、網絡接入策略服務器、移動設備管理服務器，構成移動辦公網安全平臺。

內外部服務網邊界主要通過既有網絡安全平臺訪問控制系統實現邊界劃分。移動辦公內外網信息交換網關通過與安全平臺訪問控制系統及安全隔離與信息交換設備的協同工作，實現內、外網邊界數據的安全交換以及統一的訪問控制，優化用戶體驗。

4.2 移動終端安全設計

根據移動終端的類型不同，移動終端安全設計分為筆記本電腦安全設計和智能終端安全設計。智能終端包括：智能手機、平板電腦、手持終端等。

4.2.1 筆記本電腦安全設計

（1）檢測防病毒軟件更新狀態

聯網計算機安裝并運行防病毒產品和補丁升級產品，及時修補安全漏洞，定期實行病毒掃描、病毒特征碼更新和軟件補丁升級，接受病毒防治系統的集中控制。

圖2 移動辦公安全接入

（2）敏感信息保護

在進行遠程辦公時，用戶訪問內部網絡的應用，可能會從應用獲取一些內部文件到本地磁盤進行處理。這些文件可能含有敏感信息。由于接入終端在非辦公時間可能連接互聯網，這些存儲在本地的信息具有極大的安全風險，容易造成敏感信息的泄漏。移動終端安全管理系統可提供文件保險箱功能，保證信息在本地存儲的安全性。

（3）設定多重訪問密碼

筆記本電腦必須設定開機密碼和鎖屏密碼，必須設置合理的自動鎖屏時間，訪問敏感數據的應用程序必須設定獨立的訪問密碼。可通過移動終端安全管理系統策略進行檢查和報警。

（4）終端強審計功能

當用戶進行遠程辦公時，立刻啟用錄屏強審計措施，信息記錄在本地，不能刪除，回單位后可由審計人員提取。另外，對于文件保險箱的操作進行審計，記錄文件保險箱向本地磁盤的文件操作。

4.2.2 智能終端安全設計

智能終端安全的解決方案主要從數據的敏感性、設備的移動性和便攜性3個特性所帶來的安全風險著重解決。可以通過在企業內部設置移動終端安全管理服務器，移動終端安裝客戶端的方式來解決移動終端上的眾多安全問題 ，如圖3所示。

（1）專機專用

圖3 智能終端安全設計

為保證敏感數據的安全性，數據不被第三方程序監控和竊聽，任何有權訪問敏感數據的移動終端（需要訪問辦公網敏感數據的終端，或者對移動終端有明確要求，只能工作專用不能上互聯網的終端），必須從技術上保證專機專用，使用定制終端，禁止安裝第三方軟件。

（2）安全準入

智能終端必須設定開機密碼和鎖屏密碼，必須設置合理的自動鎖屏時間，訪問敏感數據的應用程序（APP）必須設定獨立的訪問密碼。可通過移動終端安全管理系統策略進行檢查和報警。

（3）加密數據

為避免非授權用戶接觸到智能終端后導致數據泄露，所有工作數據需加密，訪問敏感數據的應用程序不得將敏感數據長時間駐留本地。敏感數據不落地，強制用戶在線模式下打開敏感數據，保持對敏感數據訪問的在線監控；非敏感數據加密存儲。

（4）應用沙箱

用戶安裝第三方程序可能為終端系統帶來病毒和風險，必須有可控手段在用戶安裝第三方程序之后仍能對終端系統進行保護。通過移動終端安全管理系統啟用應用級沙箱，監控和管理應用程序之間互相調用的行為，并針對可疑的病毒行為進行處置和報警。

（5）遠程擦拭

一旦終端設備丟失，可從管理端對終端設備進行有條件的數據擦拭。可通過移動終端安全管理系統的遠程擦除數據功能實現。

4.3 應用安全設計

4.3.1 身份鑒別

移動辦公系統嚴格限制非法人員的使用，保證只有經過授權的人員才可以訪問應用系統，采用的措施為：統一用戶身份管理和統一認證與授權管理。在移動終端的操作入口提供專用的登錄模塊對登錄用戶進行身份識別。如果登錄失敗，結束當前會話并自動退出；多次登錄不成功，鎖定該用戶帳號，以限制非法登錄。

4.3.2 訪問控制

移動辦公系統提供訪問控制功能，依據安全策略控制用戶對系統功能和數據的訪問。系統通過權限配置限制每個用戶的訪問權限，嚴格限制默認帳戶的訪問權限，為不同調度崗位制定其承擔任務所需的最小權限，確保應用訪問安全。

4.3.3 剩余信息保護

移動辦公系統在完成一次對數據庫訪問后，及時清除此次訪問中操作會話記錄占用的系統內存、硬盤等存儲空間，防止被惡意利用。

4.3.4 數據的完整性、保密性和不可抵賴性

移動辦公系統與其他系統間通信使用數字證書。所有的通信過程發送前都必須使用數字證書對數據進行安全校驗和簽名。接收端在接收到數據后，使用對應的數字證書對簽名進行驗證，保證了通信過程中數據的完整性。對于敏感信息，在通信過程中對相關字段進行加密。

4.3.5 軟件容錯

移動辦公系統提供數據有效性檢驗功能，保證通過平板輸入或通過通信接口輸入的數據格式或長度符合系統設定要求。

4.3.6 資源控制

為保證移動終端在使用過程中的應用和數據安全，應用系統通信雙方在一段時間內如果一方未作任何響應，另一方將自動結束會話，系統退出。移動辦公系統設置最大并發會話連接數并進行限制。

4.4 主機安全設計

4.4.1 用戶管理

對登錄服務器操作系統和數據庫的用戶，都會為其創建獨立的帳戶，并且分配到相應的用戶組，設置相應的登錄路徑和操作權限。過期帳戶，將會及時在系統中刪除。

4.4.2 訪問控制

不同身份用戶，將分配不同的讀寫權限，并且僅授予其最小訪問權限。遠程登錄服務器，僅允許加密的連接方式如SSH，禁止Telnet登錄。此外，root用戶無法直接登錄，必須通過普通帳號跳轉。

4.4.3 主機監控

針對主機故障監控，采用自主研發的ITSM信息服務管理系統。該系統集監控和管理于一體，能夠實時監控服務器、存儲、網絡設備、數據庫、中間件和應用系統的狀態，發現問題及時報警；同時以ITIL理念為指導，將事件管理、變更管理和維修管理融為一體，實現故障從發生到關閉全閉環管理，有效地提高了應用系統的安全性。

4.4.4 可靠性保障

服務器采用集群部署方式，當主用服務器出現故障時，應用可以自動切換至備用服務器上運行，實現應用訪問不中斷，有效地提高了系統的可靠性和可用性。

4.4.5 安全審計

所有服務器均采用單點登錄系統（堡壘機）進行管理。每個運維人員都會為其在堡壘機上創建一個唯一賬戶。運維人員只有先登錄堡壘機，然后才能跳轉到被管的服務器上進行各種維護操作，無法直接登錄機器。該系統能夠完整地記錄下所有登錄用戶的操作內容，便于日后審計。

4.5 數據安全

數據是企業的重要資產，保證數據的安全至關重要。移動辦公系統的數據安全保障方案主要通過以下技術實現。

4.5.1 集中式數據庫管理系統

應用系統中重要的數據都是通過數據庫管理系統來集中管理。數據庫系統部署在高可用的小型機上，由專業的數據庫管理員進行維護和管理，數據訪問都遵循嚴格的訪問控制機制，有效地確保了數據的安全性和一致性。

4.5.2 雙磁盤陣列架構

數據的存儲采用雙磁盤陣列架構，即所有數據都同時存入兩臺磁盤陣列中，數據保存兩份，當有一臺存儲出現故障無法訪問時，另一臺存儲可以支撐應用正常運行，不會出現應用訪問中斷或數據丟失。

4.5.3 數據備份機制

數據庫的數據都會被定期備份到磁帶庫中，用于數據的恢復和長期保留。備份數據庫時，通過制定合理的增量及全備份策略，將數據庫數據備份至虛擬磁帶庫中，當發生數據丟失或數據庫異常情況時，可以通過備份管理軟件將丟失的數據從虛擬磁帶庫恢復出來。

4.6 物理安全設計

移動辦公系統設備部署的機房要求專門人員7×24 h值守、監控、巡視。機房各關鍵地點均有攝像頭進行實時監控。機房符合防雷擊、防火、防水防潮、防靜電、溫濕度控制的要求。采用不間斷供電系統（UPS），達到等級保護對供電系統的要求。設備采用雙路供電。進行電磁防護，對密碼機等關鍵設備和磁介質實施電磁屏蔽。

5 結束語

本文根據鐵路信息安全技術架構特點，提出了一種鐵路移動辦公系統網絡安全接入方案。該方案針對鐵路移動辦公系統網絡接入安全風險設計，為鐵路移動辦公系統網絡接入安全防護提供了一種新的方法。

[1]趙永彬，韋 明，李 巍.電力企業移動辦公系統的研究與設計[J].電力信息化，2011，9（4）.

[2]唐全藝，蒲 江，趙 進，周 旋.安全移動辦公平臺技術研究[J].信息安全與技術，2013，4（5）.

[3]時長江，張柏青，趙 謙，鄭 雯.基于智能網絡與虛擬化計算的移動辦公系統信息安全的研究與應用[J].網絡安全技術與應用2014（1）.

[4]中華人民共和國國家標準.GB/T22239-2008，信息安全技術–信息系統安全等級保護基本要求[S].北京：中國標準出版社，2008.

責任編輯 王 浩

Security protection scheme for Railway Mobile Of fi ce Automation System

JIANG Xiaobing
( Beijing Railway Communication Technology Center, Beijing Railway Administration, Beijing 100038, China )

After analyzing the security risk of network access for Railway Mobile Offce Automation System and combining with the technique architecture of railway information security, this paper proposed a security scheme of network access for the System. This scheme was aimed at the security risk, adapted to the technique architecture of railway network security, which was provided a new approach to security protection of network access for the System.

Railway Mobile Offce Automation System; network security; terminal security

U29∶TP39

A

1005-8451（2015）09-0022-05

2015-01-29

中國鐵路總公司科技研究開發課題（2015X009-I）。

蔣笑冰，高級工程師。