政企客戶移動互聯網立體通道安全防護的構建

鄭健　楊廣龍

摘要：日益凸顯的移動安全問題為政企客戶帶來了不得不直面的問題，因此將從連接通道、傳輸通道、身份通道等三方面提出相應的移動安全解決方法，并結合案例將這三方面結合起來形成一個政企客戶立體通道安全防護解決方案。

關鍵詞：立體通道安全 個人信息安全 安全防護體系

1 政企客戶在移動互聯網所面臨的管道

安全挑戰

當今世界，信息技術創新日新月異，以數字化、網絡化、智能化為特征的信息化浪潮蓬勃興起。國家也發布了《國家信息化發展戰略綱要》，將信息化發展以戰略的高度要求各地區各部門結合實際認真貫徹落實。而隨著移動網絡的技術和設施的快速發展和部署，移動互聯網下的信息化也得到了快速發展和應用。越來越多的政企客戶將原來只能在內網中使用和共享的信息，通過移動信息化應用置放于外部網絡環境中，因此如何保障信息的機密性和信息安全，被越來越多的政企客戶擺上了議事日程。信息安全建設作為政企客戶信息化發展過程中必然需要面臨和解決的問題，成為當前政企客戶移動信息化發展中的一個焦點。

據有關資料統計，當前我國企業的信息安全管理才剛剛起步，而80%以上的的安全威脅來自于內部，如木馬、內部人員有意、無意攻擊、泄密、病毒傳播、內部資源濫用等。國內信息產業長期桎梏：“重硬輕軟”，始終制約著信息系統監管體系的建立與完善。在防火墻、入侵檢測等傳統網絡安全產品占據信息安全市場半壁江山的同時，內部審計、信息安全監管類技術只是處于起步階段，企業信息安全還有許多問題需要解決。

如圖1所示，政企客戶通過移動互聯網實施移動辦公時，都會面臨鏈接通道安全、身份通道安全和數據通道安全等三個方面的安全問題：

（1）鏈接通道安全：很多客戶的辦公網一般都是內部的局域網，政府、金融、公檢法等保密要求比較高的客戶，內網是不允許有互聯網出口的。為了實現移動辦公，又需要使用運營商的移動網絡進行接入，因此如何做到既能讓手機、Pad這些終端通過移動網絡安全地接入內網，又不會讓內網暴露在Internet上遭受DDos攻擊、病毒、木馬等的入侵成為重點。

（2）身份通道安全：政企客戶在實施內部應用移動化的過程中，如何確定使用者的身份、如何防止身份被盜用或者冒用，這是身份通道安全需要關心和認真解決的問題。

（3）數據通道安全：客戶的數據在鏈接通道上以明文的方式傳輸，萬一被截取了就會有信息被竊取和盜用的風險。因此，如何保證數據在鏈接通道上安全的傳輸，做到可管可控也是需要通過添加一些加密方法和設施才能得到保障的。

本文將就這3方面的通道安全進行闡述，提出針對這3方面的解決辦法，并通過實際的案例分析，將這3方面的通道安全結合起來形成一套完整的通道立體安全防護解決方案。

2 通道安全的解決方法

通過上文對鏈路通道、身份通道、數據通道所碰到的風險的闡述，接下來將針對每種通道上的解決辦法進行討論。

（1）鏈路通道安全

鏈路通道安全主要要解決好兩個問題，一個是組網問題，即如何通過運營商的移動網絡接入到內網；一個是安全問題，即如何避免將內網暴露在Internet上而遭受各種攻擊和入侵。

為了能解決好以上兩個問題，可以使用無線VPDN接入方案。無線VPDN業務的承載在運營商的高速分組數據（3G/4G）網絡之上，利用L2TP隧道技術搭建虛擬專用網絡，結合運營商內部的多業務承載網絡連通客戶內部辦公網絡，為客戶提供與Internet完全隔離的端到端的安全通道和組網方案。無線VPDN網絡架構如圖2所示：

這個方案既能使用移動終端通過運營商的移動網絡接入到客戶內網，而且Internet上的用戶無法感知到這條虛擬通道的存在，也無法穿過虛擬通道訪問客戶內網，從而避免了大量的Internet攻擊和入侵。

（2）身份通道安全

傳統的帳號密碼體系由于容易被盜用或冒用，已不能滿足高安全性行業的應用。目前，業界比較流行的是使用電子簽名的方案來實現客戶應用、數據訪問的使用者身份確認和防止冒用。但傳統的USB key、藍牙key因攜帶不方便，與移動終端接口不對應，近幾年啟用的TF卡key也因為谷歌在Android4.0后收緊了第三方應用對TF卡實時讀寫的權限，也無法正常使用。

為了能解決電子證書的秘鑰存儲和加解密，可以使用UIM卡盾方案。UIM卡盾是在UIM卡中加載合法CA數字證書的硬件級安全產品，采用非對稱密鑰算法對敏感交易信息加密及簽名，提供身份認證、安全加解密、電子簽名等服務。UIM卡盾功能如圖3所示：

該方案符合《中華人民共和國電子簽名法》，身份經第三方CA機構嚴格審核并授權使用數字證書，關鍵步驟采用電子認證技術可追溯是誰操作，具有不可抵賴性，并且由于UIM卡是直接插在移動終端上的，很好地解決了攜帶問題。

（3）數據通道安全

在移動終端與客戶內網建立了虛擬通道后，為了防止數據在某些節點意外泄露，需要對傳輸的數據進行移動終端與客戶內網之間的雙向加密，以確保即使傳輸數據遭到意外泄密后，盜取者也無法獲取到正確的數據。SSL VPN網絡架構如圖4所示：

目前業界較為常用的方法是使用VPN技術，而以SSL VPN的使用較為常見。SSL協議位于TCP/IP 協議與各種應用層協議之間，為數據通訊提供安全支持。SSL VPN可提供數據封裝、壓縮、加密等基本功能的支持，可用于在實際的數據傳輸開始前，通訊雙方進行身份認證、協商加密算法、交換加密密鑰等。

3 移動互聯網立體通道安全防護解決方案

以上的通道安全解決方法從技術和實現上都是相對獨立的，但是，客戶通常要同時面對這3個問題。如果只是將3個安全解決的方法單獨實施和使用，在用戶看來防護和使用的效果不會那么突出。但如果將這3個方法融合成一套立體安全防護解決方案，將會有效提升3種解決方法的聯動效應。舉一個較為形象的例子，如圖5所示，如何將銀行的現金安全地運抵金庫，首先需要一條安全的路徑，這就如無線VPDN虛擬通道，其次需要一輛有防爆措施的運鈔車，這就好比SSL VPN，最后押運的人員也需要合格的資質，這就是數字證書。只有這3個條件都具備并且聯動配合著發揮了作用，才能把現金安全地送達金庫。

如所舉的例子，各種防護措施需要互相配合才能達到整體的安全要求，而目前很多信息安全項目在實施過程中，由于各種防護措施沒有整合和聯動，用戶使用起來非常麻煩，達到的效果也不佳。下面就某市信息辦的安全辦公項目對立體通道安全防護解決方案進行介紹。該市信息辦要求同時具備這3種防護能力，在移動終端上的使用要盡量簡單最好做到免配置。針對這樣的要求，在客戶搭建好鏈路、網關、電子證書認證系統等設施后，方案實施時在移動終端的撥號客戶端和各個安全系統間進行了整合和聯動。在終端上的撥號應用改造主要是3種防護方法的調用機制的聯動，如在移動終端上使用同一個客戶端啟動并切換至無線VPDN后，客戶端自動觸發SSL VPN與安全網關的連接，在SSL VPN建立后客戶端自動發起用戶電子身份認證，在用戶點擊使用客戶應用前就已經一次性地啟動了所有防護機制，用戶無需干預和頻繁地操作。而且撥號時所需的用戶名密碼、電子證書所需的公秘鑰等參數會通過系統推送到達終端并進行自動配置，減免了用戶配置的過程。而在安全系統間的聯動，主要改造了SSL VPN，不再采帳號密碼的認證方式，而是采信無線VPDN的在線記錄以判斷是否允許SSL VPN的接入。具體的做法是無線VPDN撥號成功后，移動終端的撥號客戶端會向安全網關發起SSL VPN的撥號請求，安全網關收到請求后會通過接口向無線VPDN系統查詢該用戶號碼是否已在線來判斷是否允許該用戶接入。實施了這套解決方案后，用戶配置和使用操作簡化了，系統對用戶的管理內容減少了，系統間的聯動加強也增強了整體安全性。該方案得到了該市信息辦的認可并下文要求下屬委辦參照執行。

4 結束語

如前文所述，隨著移動互聯網和移動信息化的逐步深入，政企客戶的安全邊界由內網擴展至移動終端，信息安全的風險正日漸增長，如何從承載身份信息、應用數據的通道上有效地防范安全漏洞，依靠單一的防護措施是很難達到整體防范的效果的。通過本文對移動互聯網立體通道安全防護解決方案的介紹，可以了解在鏈路通道、身份通道和數據通道上采取立體安全防護措施，保證數據在管道中安全地傳送，再結合其他移動終端的安全管理應用，如MDM、MAM、安全沙箱等保障數據在終端上存儲和使用安全，最終達到移動信息化的整體安全防護。

參考文獻：

[1] 王占京，張麗諾，雷波. VPN網絡技術與業務應用[M]. 北京： 國防工業出版社， 2012.

[2] 蔣文新. VPN中的隧道技術詳解[EB/OL]. （2011-01-30）. http：//www.chinabaike.com/z/xinxihua/253195.html.

[3] 熊小明，周民立. 電信技術數據網絡的現狀及發展分析[J]. 信息網絡， 2005（10）： 42-45.

[4] 陳濤，彭勁. 二層MPLS VPN技術與部署[J]. 廣播電視信息， 2010（7）： 52-54.

[5] 李洪，渠凱. SSL VPN安全方案與發展趨勢分析[J]. 電信技術， 2011（1）： 72-74.

[6] 易觀智庫. 中國企業級移動管理市場專題研究報告[R]. 2014.

[7] 易觀智庫. 中國手機安全市場現狀研究報告[R]. 2014.

[8] 陳靜. 移動辦公與管理[M]. 北京： 對外經濟貿易大學出版社， 2012.

[9] 中國電信集團公司. UIM卡級安全認證[EB/OL]. （2015-10-01）. https：//www.189office.com/productsUD.

[10] 中國電信集團公司. 安全認證產品技術規范[R]. 2014. ★