軍工企業移動辦公安全接入研究與應用

曾紅霞 朱泉

【 摘 要 】 隨著無線網絡和移動終端的不斷發展，移動辦公已成為現代企業信息化建設的重要組成部分。但是，面臨日益嚴峻的網絡安全威脅，必須充分考慮移動辦公在接入和使用過程中面臨的各種安全問題并進行安全防范。論文以某軍工企業為例，結合其現有業務特點和安全需求，實現移動辦公的安全框架設計和應用部署，確保該軍工企業移動辦公的安全性、有效性和保密性。

【 關鍵詞 】 移動辦公；信息安全；SSL VPN；身份認證

【 中圖分類號 】 TP39

【 文獻標識碼 】 A

【 Abstract 】 With the continuous development of wireless network and mobile terminal， mobile office has become an important part of the modern enterprise information construction. However， facing the increasingly serious network security threats， we must fully consider the various security issues in the process of access and use and to carry out safety precautions. In this paper， a military enterprise as an example， combined with its existing business features and security needs， mobile office security framework design and application deployment， to ensure that the mobile office of the defense enterprise security， availability and confidentiality.

【 Keywords 】 mobile office； information security； vpn ssl； identity authentication

1 引言

隨著移動辦公應用技術、部署條件等日趨成熟，移動辦公在各行業中得到了廣泛推廣和深入應用，其價值也日益凸顯。軍工企業結合自身的業務發展需要，尤其在企業內外部業務對信息交互的及時性、時效性要求越來越高，也促使軍工企業對移動辦公需求也越來越迫切。但是，面臨日益嚴峻的網絡安全威脅，對信息安全要求較高的軍工企業，必須充分考慮移動辦公在接入和使用過程中面臨的各種安全威脅和問題，保障企業數據信息的安全。

2 移動辦公安全接入需求

移動辦公是利用手機、筆記本電腦等移動設備通過國際互聯網或運營商通信網（4G等）接入企業內部網絡，實現訪問內網信息、處理各類業務的功能應用。通過移動辦公使企業員工可以隨時隨地接入企業內部網絡，在線處理事務，在方便企業員工日常辦公的同時，提高了企業管理效率。

雖然移動辦公的靈活性、易用性給企業日常辦公帶來諸多好處，與此同時，由于移動辦公網絡接入的開放性和靈活性、設備的多樣化以及依賴國際互聯網進行數據傳輸等特點，使企業內部網絡更多的暴露在國際互聯網中，帶來了更多的安全風險隱患，尤其對軍工企業的信息安全提出了嚴峻的考驗。

主要威脅表現在幾個方面。

（1）移動用戶的身份識別。移動辦公用戶通過互聯網登錄企業內部網絡辦公系統時，基于傳統的用戶名與密碼的方式進行身份認證與訪問授權，容易造成用戶身份信息的泄露，存在非法用戶獲取用戶授權而造成數據信息泄露的風險。

（2）移動用戶設備的管理。移動辦公需借助手機、筆記本電腦等設備進行網絡接入，未經授權的移動設備接入企業內部網絡，直接訪問企業內部的業務應用系統，如不能有效識別并管控移動接入設備，容易造成網絡非法入侵，非授權訪問或數據信息外泄的風險。

（3）信息傳輸的安全性。移動辦公需借助互聯網訪問企業內部信息并處理業務，開放的網絡線路容易發生傳輸數據的被監聽或竊取等，如果數據信息在網絡傳輸過程中沒有受到一定的保護，會存在被監聽竊取數據信息的風險。

（4）企業內部信息的保護。企業內部信息涉及到企業內部經營決策、規劃發展等重要數據信息，移動辦公需要企業內部網絡與互聯網或無線通信網絡進行聯接，不采取有效的網絡安全防護，將可能被非法用戶網絡入侵，竊取內部數據信息。

基于對移動辦公接入所帶來的安全風險分析，提出幾方面的移動辦公安全接入需求：1）移動用戶的身份鑒別和訪問控制；2）移動終端設備可管可控；3）線路通信的加密傳輸；4）企業內部網絡與互聯網的邊界控制。

3 移動辦公安全設計

針對上述提出的移動辦公安全需求，結合該軍工企業的現狀和移動辦公應用模式，基于其的總體信息安全架構，對移動辦公部分進行安全規劃和設計，形成移動辦公安全技術防護框架。通過利用多層技術防護措施和手段建立一套縱深安全防護機制，以保障移動辦公過程中用戶的身份鑒別安全，移動辦公設備的安全管控，通信數據的安全傳輸等，以有效的解決移動辦公所面臨的安全風險和威脅。

3.1 安全技術防護框架

安全保密是軍工企業進行信息化建設的關鍵問題之一，根據軍工企業辦公特點，協同辦公系統涉及到企業的重要信息，因此安全性需要放在首位進行考慮。系統要有完善、周密的安全體系和信息安全支撐平臺緊密配合，從多方面采用多層次的安全保障措施。

軍工企業的移動辦公用戶將通過筆記本電腦、平板電腦、手機等移動辦公設備訪問企業內部的業務應用系統，考慮到移動辦公的安全風險和威脅，本次結合該單位的業務特點和安全需求，有針對性地設計了移動辦公安全技術防護框架，具體如圖1所示。

（1）終端安全。綜合運用VPN、數字證書、桌面虛擬化、移動設備管理等技術手段，實現了對于移動辦公設備的安全認證、用戶身份鑒別、訪問控制、數據隔離等。

（2）傳輸安全。在移動辦公設備訪問企業內網的過程中，采用CA和VPN技術相結合的方式針對指定的授權用戶建立專有加密隧道，保障了數據在傳輸時的安全性和保密性。

（3）接入安全。利用入侵防御、數據隔離交換等技術手段，實現企業內網與互聯網的邊界隔離、訪問控制以及數據安全交換。

3.2 多重安全防護技術

基于上述安全技術防護框架，將在鏈路層、設備層和數據層等不同層次中借助通信加密、移動設備安全管控、數據安全交換等多種安全防護技術進行全方位地防護，從而保障了該企業數據和信息的安全。

（1）通信加密。移動辦公通信信道是通過SSL VPN網關設備構建安全連接，利用USB KEY+PIN碼的方式建立VPN加密隧道，對數據進行SSL加密封裝，使得工作信息的安全得到更好的保護，防止被網絡截包程序攔截而導致企業數據外泄。

（2）移動設備安全管控。通過移動設備管理系統和SSL VPN網關設備對移動辦公終端設備進行管控，實現對設備的硬件、軟件、數據的統一管理和控制。所有移動設備必須注冊并綁定硬件特征碼，經過設備認證獲得授權后，才能接入企業內網訪問指定的系統資源。

（3）數據安全交換。利用防火墻、網閘、入侵防御等技術手段，對企業內網的安全區域、訪問控制策略、邊界隔離措施和入侵防御策略等進行規劃和設計，嚴格控制互聯網與企業內網之間的數據流向，以保證在安全可控的前提下進行安全數據交換。

（4）數據安全隔離。通過桌面虛擬化、沙箱技術實現所處理的數據信息均不在移動辦公設備上落地，其中使用移動筆記本的用戶通過虛擬桌面訪問企業內網中的業務應用系統，所有數據均保存在虛擬桌面中。使用手機和PAD的用戶通過APP訪問企業內網中的業務應用系統，APP運行在手機和PAD的沙箱環境中，以確保用戶數據安全。

（5）身份認證與授權控制。利用身份認證平臺中的CA系統和應用安全網關，對用戶、設備和應用進行細粒度的授權和訪問控制。為用戶和設備頒發用戶證書和設備證書，數字證書加密存儲在USB KEY或TF卡中，實現用戶身份認證和設備接入認證。用戶在訪問應用系統時，由應用安全網關對其進行統一的認證和授權。

4 移動辦公安全接入應用

根據該軍工企業的企業內網現狀，結合業務訪問需求和安全防護需要，基于本次提出的移動辦公安全技術防護框架，對企業內網的功能區域進行了調整和優化，并根據區域的功能和特點進行了有針對性的設計，以構建縱深防御機制，具體如圖2所示。

終端接入區用于部署實現邏輯隔離與安全連接的產品和設備，其中鏈路負載均衡用于解決不同運營商互訪延遲較高和速度較慢的問題，入侵防御設備利用其智能防御和自學習功能，以阻止來自互聯網的攻擊、入侵。應用安全網關用于實現移動辦公設備和用戶的身份認證。VPN網關用于與移動辦公設備構建加密隧道，建立安全連接。防火墻用于與互聯網進行邏輯隔離和區域劃分。

安全監管區部署實現身份認證和移動設備管理的產品和設備，其中身份認證平臺用于構建企業統一的身份認證體系，并對接入設備和用戶進行認證和授權。移動設備管理系統用于對所有的移動辦公設備進行集中管理和控制。

隔離區部署實現數據流向控制的產品和設備，通過部署網閘用于實現業務數據信息的安全隔離與交換。

通過上述措施和手段，不僅滿足了該軍工企業的移動辦公業務需要，提升了移動辦公的安全性，并達到了以下應用效果。

（1）單點登錄

移動辦公用戶僅需在移動辦公設備上插入USB-KEY或TF卡并輸入一次PIN碼，即可通過互聯網訪問企業內網業務應用，系統在后臺將自動完成VPN隧道加密、用戶身份認證、虛擬桌面分配、設備認證、權限分配等。

（2）良好的用戶體驗

使用移動筆記本的用戶在辦公時將通過個人虛擬桌面訪問業務應用系統，與其在企業內網中的工作方式相同，不改變用戶習慣。使用手機、平板電腦的用戶在辦公時通過專用APP訪問業務系統，可滿足用戶的辦公需要。

5 結束語

本文基于對某軍工企業移動辦公的安全風險和威脅分析，提出了相應的安全技術防護框架和措施并進行實際應用，保證了移動辦公用戶的安全接入和業務訪問，解決了用戶通過互聯網訪問企業內網所面臨的信息安全問題，有效地提高了本單位移動辦公系統的安全性。

參考文獻

[1] 陳軍，歐書琴.移動OA系統的安全設計[J].電腦知識與技術，2014年12期.

[2] 趙波.安全移動辦公解決方案簡析[J].電信科學，2012年第10期.

[3] 王炳輝，黃春.移動辦公的安全解決方案[J].移動通信，2013（18）96-98.

[4] 劉道群，孫慶和.信息敏感行業3G移動辦公安全解決方案[A].中國通信學會信息通信網絡技術委員會2011年年會論文集（上冊），2011年.

[5] 劉海英.計算機安全技術在企業移動辦公中的應用[J].科技創新，2013，20：33-3.

[6] 陳瑋.企業無線網絡移動辦公的安全接入問題分析[J].信息通信，2013.

[7] http：//www.chinabwips.Org.

[8] Olivier，Nora D，Laurent G.Mobile Terminal Security[EB/OL].

作者簡介：

曾紅霞（1980-），女，漢族，河北人，畢業于北京工業大學，碩士，核工業計算機應用研究所協調保障中心副主任，工程師；主要研究方向和關注領域：移動辦公系統安全技術。

朱泉（1977-），男，漢族，湖北人，畢業于南華理工大學，碩士，核工業計算機應用研究所戰略與安全中心主任，高級工程師；主要研究方向和關注領域：網絡及應用安全技術。