鐵路移動辦公系統(tǒng)安全防護方案的研究

蔣笑冰

（北京鐵路局 北京鐵路通信技術(shù)中心，北京 100038）

鐵路移動辦公系統(tǒng)安全防護方案的研究

蔣笑冰

（北京鐵路局 北京鐵路通信技術(shù)中心，北京 100038）

本文綜合分析鐵路移動辦公系統(tǒng)網(wǎng)絡(luò)接入存在的安全風(fēng)險，結(jié)合鐵路信息安全技術(shù)架構(gòu)特點，提出一種鐵路移動辦公系統(tǒng)網(wǎng)絡(luò)安全接入方案。該方案針對鐵路移動辦公系統(tǒng)網(wǎng)絡(luò)接入安全風(fēng)險設(shè)計，并與鐵路信息網(wǎng)絡(luò)安全技術(shù)架構(gòu)特點相適應(yīng)，為鐵路移動辦公系統(tǒng)網(wǎng)絡(luò)接入安全防護提供了一種新的方法。

鐵路移動辦公系統(tǒng)；網(wǎng)絡(luò)安全；終端安全

隨著智能終端應(yīng)用的普及，移動辦公的需求日益增多，建設(shè)一個鐵路移動辦公系統(tǒng)，支持隨時隨地的移動辦公業(yè)務(wù)審批、信息快速查詢、移動網(wǎng)絡(luò)互動交流，以提高辦公處理效率和辦理靈活性非常必要。移動辦公系統(tǒng)在滿足辦公人員便利的同時，也帶來了諸多安全隱患，為此，本文提出一種鐵路移動辦公系統(tǒng)網(wǎng)絡(luò)安全接入方案。

1 系統(tǒng)介紹

鐵路現(xiàn)有辦公系統(tǒng)始建于2002年，后續(xù)相繼開發(fā)了機關(guān)辦公網(wǎng)、電子郵件、公文流轉(zhuǎn)、檔案管理等多個子系統(tǒng)，在日常辦公中發(fā)揮了一定作用。由于辦公系統(tǒng)建設(shè)時間較早，存在建設(shè)理念不新、技術(shù)標(biāo)準(zhǔn)不統(tǒng)一、業(yè)務(wù)規(guī)范性不高、應(yīng)用功能不能滿足需要、硬件設(shè)備陳舊等諸多問題。目前電力等行業(yè)已經(jīng)部分實現(xiàn)移動辦公[1～3]，鐵路亟待建設(shè)鐵路移動辦公系統(tǒng)，支持移動終端、實現(xiàn)移動辦公。在無線網(wǎng)覆蓋的地方，隨時隨地可以上網(wǎng)辦公、參加會議。支持視頻、短信、網(wǎng)絡(luò)電話、微博、微信、即時通、郵件等多種通信方式，選擇方便、快捷、直觀、簡潔的工作和通信方式，實現(xiàn)雙人、成組、會議多媒體方式。移動辦公接入鐵路信息網(wǎng)絡(luò)，實現(xiàn)應(yīng)用系統(tǒng)間的互聯(lián)互通與信息共享。

2 安全風(fēng)險及需求分析

2.1 安全風(fēng)險

2.1.1 數(shù)據(jù)泄密的安全風(fēng)險

移動辦公系統(tǒng)所涉及的部分?jǐn)?shù)據(jù)比較重要和敏感。移動終端在通過網(wǎng)絡(luò)訪問這些數(shù)據(jù)時，如果有惡意程序在終端后臺運行，可能在用戶不知情的情況下對敏感數(shù)據(jù)做攔截、截圖等非法操作；當(dāng)終端連接互聯(lián)網(wǎng)時，包含敏感信息的數(shù)據(jù)在用戶不知的情況下可能被發(fā)送到互聯(lián)網(wǎng)指定位置。

在移動辦公過程中，用戶可能會將企業(yè)敏感的信息文件存儲到終端的本地磁盤中進行操作，導(dǎo)致這些敏感信息存在泄漏的風(fēng)險。

2.1.2 網(wǎng)絡(luò)環(huán)境的安全風(fēng)險

移動終端有可能從任意地點、任意環(huán)境通過無線網(wǎng)或互聯(lián)網(wǎng)訪問移動辦公系統(tǒng)，當(dāng)數(shù)據(jù)在無線網(wǎng)或互聯(lián)網(wǎng)進行傳輸時，可能會遭受到各類攻擊和竊聽。接入終端在進行遠(yuǎn)程辦公的過程中，如果還能繼續(xù)訪問互聯(lián)網(wǎng)，就會造成互聯(lián)網(wǎng)和企業(yè)網(wǎng)絡(luò)交叉訪問，帶來嚴(yán)重的安全風(fēng)險。

2.1.3 移動終端自身的安全風(fēng)險

移動終端在提供用戶便利的同時，由于其便攜小巧，遺失、被盜被搶的風(fēng)險大大增加，對終端存儲的數(shù)據(jù)造成威脅。

由于用戶終端接入網(wǎng)絡(luò)的安全性未知，終端在上網(wǎng)或安裝其他軟件的過程中，容易感染病毒或被惡意植入木馬，當(dāng)用戶通過終端進行移動辦公的時候，這些病毒和木馬可能會擴散到企業(yè)的內(nèi)部網(wǎng)絡(luò)中，從而帶來巨大的安全隱患。

2.1.4 接入身份的安全風(fēng)險

攻擊者可能偽裝、假冒成合法用戶，通過網(wǎng)絡(luò)接入到應(yīng)用系統(tǒng)中，從而進行信息竊取、破壞和攻擊等行為。

2.1.5 內(nèi)外網(wǎng)信息交換的安全風(fēng)險

數(shù)據(jù)大都存儲在內(nèi)網(wǎng)中，如果對來自互聯(lián)網(wǎng)的訪問未經(jīng)有效防護，將帶來內(nèi)網(wǎng)數(shù)據(jù)被破壞的風(fēng)險。

2.2 安全需求

移動辦公系統(tǒng)的安全需求如下。

2.2.1 保證敏感信息的使用和存儲安全

保證敏感數(shù)據(jù)在網(wǎng)絡(luò)訪問和存儲中的完整性、機密性和不可否認(rèn)性；保證未授權(quán)的其他應(yīng)用不能調(diào)用辦公系統(tǒng)的數(shù)據(jù)。在網(wǎng)絡(luò)、終端、主機多個層面保證數(shù)據(jù)安全。

2.2.2 保證移動辦公接入網(wǎng)絡(luò)通道的安全

需要使用加密專用網(wǎng)絡(luò)訪問通道，保證數(shù)據(jù)在傳輸中的機密性。

2.2.3 保證終端的安全

通過多種技術(shù)手段提升終端安全性，制定終端安全策略，對終端的行為進行適當(dāng)控制。加強終端病毒、木馬防治。當(dāng)移動終端丟失時，采用遠(yuǎn)程數(shù)據(jù)擦除等補救措施。

2.2.4 保證使用移動辦公系統(tǒng)的用戶均經(jīng)過安全認(rèn)證

需要在不同層次對用戶進行身份認(rèn)證，用戶接入網(wǎng)絡(luò)和用戶訪問移動辦公系統(tǒng)時認(rèn)證用戶身份，保證只有經(jīng)過認(rèn)證的用戶才能使用移動辦公系統(tǒng)。

2.2.5 保證移動辦公數(shù)據(jù)在內(nèi)外網(wǎng)之間交換的安全

需要通過安全平臺的代理機制和訪問控制機制保證數(shù)據(jù)在內(nèi)外網(wǎng)之間的安全交換。

2.2.6 保證移動應(yīng)用的安全管理

為移動終端提供安全的應(yīng)用軟件，需要搭建面向內(nèi)部的移動應(yīng)用管理平臺，對企業(yè)內(nèi)部應(yīng)用及公共應(yīng)用進行發(fā)布、審核、更新和管理，并對企業(yè)移動應(yīng)用進行病毒掃描、更新、刪除等。

3 安全架構(gòu)設(shè)計

通過對移動辦公系統(tǒng)的風(fēng)險分析，本方案的安全目標(biāo)是保障在移動辦公系統(tǒng)訪問過程的整體安全性。結(jié)合安全需求分析，方案需要考慮的安全要點主要是敏感信息的保密性、網(wǎng)絡(luò)接入的安全性、移動終端的安全性、接入人員身份的合法性、內(nèi)外網(wǎng)數(shù)據(jù)交換的安全性以及移動應(yīng)用軟件的安全性。本方案分別從網(wǎng)絡(luò)安全、終端安全、應(yīng)用安全、主機安全和物理安全5個方面進行設(shè)計[4]。架構(gòu)如圖1所示。

圖1 安全架構(gòu)

4 安全設(shè)計方案

4.1 網(wǎng)絡(luò)安全

4.1.1 安全區(qū)域劃分

根據(jù)移動辦公系統(tǒng)的部署架構(gòu)，該系統(tǒng)的安全區(qū)域分別是互聯(lián)網(wǎng)區(qū)、外部服務(wù)網(wǎng)區(qū)、內(nèi)部服務(wù)網(wǎng)區(qū)。安全邊界分別是互聯(lián)網(wǎng)/公網(wǎng)邊界、內(nèi)外網(wǎng)邊界，對不同安全域邊界采取相應(yīng)的安全措施，重點保障邊界接入安全。

4.1.2 網(wǎng)絡(luò)接入邊界安全

當(dāng)用戶希望在非辦公室的環(huán)境中能夠隨時訪問敏感業(yè)務(wù)和敏感數(shù)據(jù)時，可以采用安全性更高的無線移動虛擬撥號專用網(wǎng)絡(luò)（VPDN）實現(xiàn)對用戶的安全接入和訪問控制管理，如圖2所示。

用戶使用各類終端設(shè)備，通過移動公網(wǎng)接入鐵路外部服務(wù)網(wǎng)。在鐵路外部服務(wù)網(wǎng)部署SSL VPN設(shè)備、網(wǎng)絡(luò)接入認(rèn)證服務(wù)器、網(wǎng)絡(luò)接入策略服務(wù)器、移動設(shè)備管理服務(wù)器，構(gòu)成移動辦公網(wǎng)安全平臺。

內(nèi)外部服務(wù)網(wǎng)邊界主要通過既有網(wǎng)絡(luò)安全平臺訪問控制系統(tǒng)實現(xiàn)邊界劃分。移動辦公內(nèi)外網(wǎng)信息交換網(wǎng)關(guān)通過與安全平臺訪問控制系統(tǒng)及安全隔離與信息交換設(shè)備的協(xié)同工作，實現(xiàn)內(nèi)、外網(wǎng)邊界數(shù)據(jù)的安全交換以及統(tǒng)一的訪問控制，優(yōu)化用戶體驗。

4.2 移動終端安全設(shè)計

根據(jù)移動終端的類型不同，移動終端安全設(shè)計分為筆記本電腦安全設(shè)計和智能終端安全設(shè)計。智能終端包括：智能手機、平板電腦、手持終端等。

4.2.1 筆記本電腦安全設(shè)計

（1）檢測防病毒軟件更新狀態(tài)

聯(lián)網(wǎng)計算機安裝并運行防病毒產(chǎn)品和補丁升級產(chǎn)品，及時修補安全漏洞，定期實行病毒掃描、病毒特征碼更新和軟件補丁升級，接受病毒防治系統(tǒng)的集中控制。

圖2 移動辦公安全接入

（2）敏感信息保護

在進行遠(yuǎn)程辦公時，用戶訪問內(nèi)部網(wǎng)絡(luò)的應(yīng)用，可能會從應(yīng)用獲取一些內(nèi)部文件到本地磁盤進行處理。這些文件可能含有敏感信息。由于接入終端在非辦公時間可能連接互聯(lián)網(wǎng)，這些存儲在本地的信息具有極大的安全風(fēng)險，容易造成敏感信息的泄漏。移動終端安全管理系統(tǒng)可提供文件保險箱功能，保證信息在本地存儲的安全性。

（3）設(shè)定多重訪問密碼

筆記本電腦必須設(shè)定開機密碼和鎖屏密碼，必須設(shè)置合理的自動鎖屏?xí)r間，訪問敏感數(shù)據(jù)的應(yīng)用程序必須設(shè)定獨立的訪問密碼。可通過移動終端安全管理系統(tǒng)策略進行檢查和報警。

（4）終端強審計功能

當(dāng)用戶進行遠(yuǎn)程辦公時，立刻啟用錄屏強審計措施，信息記錄在本地，不能刪除，回單位后可由審計人員提取。另外，對于文件保險箱的操作進行審計，記錄文件保險箱向本地磁盤的文件操作。

4.2.2 智能終端安全設(shè)計

智能終端安全的解決方案主要從數(shù)據(jù)的敏感性、設(shè)備的移動性和便攜性3個特性所帶來的安全風(fēng)險著重解決。可以通過在企業(yè)內(nèi)部設(shè)置移動終端安全管理服務(wù)器，移動終端安裝客戶端的方式來解決移動終端上的眾多安全問題 ，如圖3所示。

（1）專機專用

圖3 智能終端安全設(shè)計

為保證敏感數(shù)據(jù)的安全性，數(shù)據(jù)不被第三方程序監(jiān)控和竊聽，任何有權(quán)訪問敏感數(shù)據(jù)的移動終端（需要訪問辦公網(wǎng)敏感數(shù)據(jù)的終端，或者對移動終端有明確要求，只能工作專用不能上互聯(lián)網(wǎng)的終端），必須從技術(shù)上保證專機專用，使用定制終端，禁止安裝第三方軟件。

（2）安全準(zhǔn)入

智能終端必須設(shè)定開機密碼和鎖屏密碼，必須設(shè)置合理的自動鎖屏?xí)r間，訪問敏感數(shù)據(jù)的應(yīng)用程序（APP）必須設(shè)定獨立的訪問密碼。可通過移動終端安全管理系統(tǒng)策略進行檢查和報警。

（3）加密數(shù)據(jù)

為避免非授權(quán)用戶接觸到智能終端后導(dǎo)致數(shù)據(jù)泄露，所有工作數(shù)據(jù)需加密，訪問敏感數(shù)據(jù)的應(yīng)用程序不得將敏感數(shù)據(jù)長時間駐留本地。敏感數(shù)據(jù)不落地，強制用戶在線模式下打開敏感數(shù)據(jù)，保持對敏感數(shù)據(jù)訪問的在線監(jiān)控；非敏感數(shù)據(jù)加密存儲。

（4）應(yīng)用沙箱

用戶安裝第三方程序可能為終端系統(tǒng)帶來病毒和風(fēng)險，必須有可控手段在用戶安裝第三方程序之后仍能對終端系統(tǒng)進行保護。通過移動終端安全管理系統(tǒng)啟用應(yīng)用級沙箱，監(jiān)控和管理應(yīng)用程序之間互相調(diào)用的行為，并針對可疑的病毒行為進行處置和報警。

（5）遠(yuǎn)程擦拭

一旦終端設(shè)備丟失，可從管理端對終端設(shè)備進行有條件的數(shù)據(jù)擦拭。可通過移動終端安全管理系統(tǒng)的遠(yuǎn)程擦除數(shù)據(jù)功能實現(xiàn)。

4.3 應(yīng)用安全設(shè)計

4.3.1 身份鑒別

移動辦公系統(tǒng)嚴(yán)格限制非法人員的使用，保證只有經(jīng)過授權(quán)的人員才可以訪問應(yīng)用系統(tǒng)，采用的措施為：統(tǒng)一用戶身份管理和統(tǒng)一認(rèn)證與授權(quán)管理。在移動終端的操作入口提供專用的登錄模塊對登錄用戶進行身份識別。如果登錄失敗，結(jié)束當(dāng)前會話并自動退出；多次登錄不成功，鎖定該用戶帳號，以限制非法登錄。

4.3.2 訪問控制

移動辦公系統(tǒng)提供訪問控制功能，依據(jù)安全策略控制用戶對系統(tǒng)功能和數(shù)據(jù)的訪問。系統(tǒng)通過權(quán)限配置限制每個用戶的訪問權(quán)限，嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，為不同調(diào)度崗位制定其承擔(dān)任務(wù)所需的最小權(quán)限，確保應(yīng)用訪問安全。

4.3.3 剩余信息保護

移動辦公系統(tǒng)在完成一次對數(shù)據(jù)庫訪問后，及時清除此次訪問中操作會話記錄占用的系統(tǒng)內(nèi)存、硬盤等存儲空間，防止被惡意利用。

4.3.4 數(shù)據(jù)的完整性、保密性和不可抵賴性

移動辦公系統(tǒng)與其他系統(tǒng)間通信使用數(shù)字證書。所有的通信過程發(fā)送前都必須使用數(shù)字證書對數(shù)據(jù)進行安全校驗和簽名。接收端在接收到數(shù)據(jù)后，使用對應(yīng)的數(shù)字證書對簽名進行驗證，保證了通信過程中數(shù)據(jù)的完整性。對于敏感信息，在通信過程中對相關(guān)字段進行加密。

4.3.5 軟件容錯

移動辦公系統(tǒng)提供數(shù)據(jù)有效性檢驗功能，保證通過平板輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求。

4.3.6 資源控制

為保證移動終端在使用過程中的應(yīng)用和數(shù)據(jù)安全，應(yīng)用系統(tǒng)通信雙方在一段時間內(nèi)如果一方未作任何響應(yīng)，另一方將自動結(jié)束會話，系統(tǒng)退出。移動辦公系統(tǒng)設(shè)置最大并發(fā)會話連接數(shù)并進行限制。

4.4 主機安全設(shè)計

4.4.1 用戶管理

對登錄服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫的用戶，都會為其創(chuàng)建獨立的帳戶，并且分配到相應(yīng)的用戶組，設(shè)置相應(yīng)的登錄路徑和操作權(quán)限。過期帳戶，將會及時在系統(tǒng)中刪除。

4.4.2 訪問控制

不同身份用戶，將分配不同的讀寫權(quán)限，并且僅授予其最小訪問權(quán)限。遠(yuǎn)程登錄服務(wù)器，僅允許加密的連接方式如SSH，禁止Telnet登錄。此外，root用戶無法直接登錄，必須通過普通帳號跳轉(zhuǎn)。

4.4.3 主機監(jiān)控

針對主機故障監(jiān)控，采用自主研發(fā)的ITSM信息服務(wù)管理系統(tǒng)。該系統(tǒng)集監(jiān)控和管理于一體，能夠?qū)崟r監(jiān)控服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、中間件和應(yīng)用系統(tǒng)的狀態(tài)，發(fā)現(xiàn)問題及時報警；同時以ITIL理念為指導(dǎo)，將事件管理、變更管理和維修管理融為一體，實現(xiàn)故障從發(fā)生到關(guān)閉全閉環(huán)管理，有效地提高了應(yīng)用系統(tǒng)的安全性。

4.4.4 可靠性保障

服務(wù)器采用集群部署方式，當(dāng)主用服務(wù)器出現(xiàn)故障時，應(yīng)用可以自動切換至備用服務(wù)器上運行，實現(xiàn)應(yīng)用訪問不中斷，有效地提高了系統(tǒng)的可靠性和可用性。

4.4.5 安全審計

所有服務(wù)器均采用單點登錄系統(tǒng)（堡壘機）進行管理。每個運維人員都會為其在堡壘機上創(chuàng)建一個唯一賬戶。運維人員只有先登錄堡壘機，然后才能跳轉(zhuǎn)到被管的服務(wù)器上進行各種維護操作，無法直接登錄機器。該系統(tǒng)能夠完整地記錄下所有登錄用戶的操作內(nèi)容，便于日后審計。

4.5 數(shù)據(jù)安全

數(shù)據(jù)是企業(yè)的重要資產(chǎn)，保證數(shù)據(jù)的安全至關(guān)重要。移動辦公系統(tǒng)的數(shù)據(jù)安全保障方案主要通過以下技術(shù)實現(xiàn)。

4.5.1 集中式數(shù)據(jù)庫管理系統(tǒng)

應(yīng)用系統(tǒng)中重要的數(shù)據(jù)都是通過數(shù)據(jù)庫管理系統(tǒng)來集中管理。數(shù)據(jù)庫系統(tǒng)部署在高可用的小型機上，由專業(yè)的數(shù)據(jù)庫管理員進行維護和管理，數(shù)據(jù)訪問都遵循嚴(yán)格的訪問控制機制，有效地確保了數(shù)據(jù)的安全性和一致性。

4.5.2 雙磁盤陣列架構(gòu)

數(shù)據(jù)的存儲采用雙磁盤陣列架構(gòu)，即所有數(shù)據(jù)都同時存入兩臺磁盤陣列中，數(shù)據(jù)保存兩份，當(dāng)有一臺存儲出現(xiàn)故障無法訪問時，另一臺存儲可以支撐應(yīng)用正常運行，不會出現(xiàn)應(yīng)用訪問中斷或數(shù)據(jù)丟失。

4.5.3 數(shù)據(jù)備份機制

數(shù)據(jù)庫的數(shù)據(jù)都會被定期備份到磁帶庫中，用于數(shù)據(jù)的恢復(fù)和長期保留。備份數(shù)據(jù)庫時，通過制定合理的增量及全備份策略，將數(shù)據(jù)庫數(shù)據(jù)備份至虛擬磁帶庫中，當(dāng)發(fā)生數(shù)據(jù)丟失或數(shù)據(jù)庫異常情況時，可以通過備份管理軟件將丟失的數(shù)據(jù)從虛擬磁帶庫恢復(fù)出來。

4.6 物理安全設(shè)計

移動辦公系統(tǒng)設(shè)備部署的機房要求專門人員7×24 h值守、監(jiān)控、巡視。機房各關(guān)鍵地點均有攝像頭進行實時監(jiān)控。機房符合防雷擊、防火、防水防潮、防靜電、溫濕度控制的要求。采用不間斷供電系統(tǒng)（UPS），達到等級保護對供電系統(tǒng)的要求。設(shè)備采用雙路供電。進行電磁防護，對密碼機等關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽。

5 結(jié)束語

本文根據(jù)鐵路信息安全技術(shù)架構(gòu)特點，提出了一種鐵路移動辦公系統(tǒng)網(wǎng)絡(luò)安全接入方案。該方案針對鐵路移動辦公系統(tǒng)網(wǎng)絡(luò)接入安全風(fēng)險設(shè)計，為鐵路移動辦公系統(tǒng)網(wǎng)絡(luò)接入安全防護提供了一種新的方法。

[1]趙永彬，韋 明，李 巍.電力企業(yè)移動辦公系統(tǒng)的研究與設(shè)計[J].電力信息化，2011，9（4）.

[2]唐全藝，蒲 江，趙 進，周 旋.安全移動辦公平臺技術(shù)研究[J].信息安全與技術(shù)，2013，4（5）.

[3]時長江，張柏青，趙 謙，鄭 雯.基于智能網(wǎng)絡(luò)與虛擬化計算的移動辦公系統(tǒng)信息安全的研究與應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用2014（1）.

[4]中華人民共和國國家標(biāo)準(zhǔn).GB/T22239-2008，信息安全技術(shù)–信息系統(tǒng)安全等級保護基本要求[S].北京：中國標(biāo)準(zhǔn)出版社，2008.

責(zé)任編輯 王 浩

Security protection scheme for Railway Mobile Of fi ce Automation System

JIANG Xiaobing
( Beijing Railway Communication Technology Center, Beijing Railway Administration, Beijing 100038, China )

After analyzing the security risk of network access for Railway Mobile Offce Automation System and combining with the technique architecture of railway information security, this paper proposed a security scheme of network access for the System. This scheme was aimed at the security risk, adapted to the technique architecture of railway network security, which was provided a new approach to security protection of network access for the System.

Railway Mobile Offce Automation System; network security; terminal security

U29∶TP39

A

1005-8451（2015）09-0022-05

2015-01-29

中國鐵路總公司科技研究開發(fā)課題（2015X009-I）。

蔣笑冰，高級工程師。