企業辦公網移動終端安全接入問題分析

李明駿,李民民

（酒泉鋼鐵（集團）有限責任公司 信息中心，甘肅 嘉峪關 735100）

企業辦公網移動終端安全接入系統屬于企業安全保障的重點，采取移動終端安全接入模式、方法與技術，構建安全接入系統，有效保障企業辦公的安全，抵御各種安全威脅[1]。終端設備借助4G移動通信網站訪問企業網絡時，需滿足安全策略、規則要求，全部接入設備安全接入點進入網絡，第一時間發現及消除因移動終端設備所誘發的安全問題，避免病毒、木馬侵入企業網絡。

1 移動終端安全風險分析

新經濟常態下，企業大多數辦公已經實現了自動化、信息化，然而安全形勢不容樂觀，竊取、破壞、泄密等現象頻繁出現，直接影響了企業的安全。雖然現行安全防護方法可安全防護企業內部運用系統及安全傳輸數據，然而隨著移動終端大范圍使用而造成網絡安全邊界不明，企業網絡安全形勢十分嚴峻。所以，在引進新技術提高企業智能化、自動化的基礎上，怎樣確保企業核心信息的安全性，預防非法分值竊取、破壞、泄密企業重要信息，消除外部安全威脅，是企業移動終端接入需重點解決的問題。

企業移動終端接入的安全風險主要體現在終端、傳輸通道、應用系統等三方面。對終端風險而言，主要包括終端物理完整性、數據存儲安全風險、系統漏洞與非法軟件安裝風險、設備非安全管理風險和非法使用風險等；傳輸通道風險主要是GPRS/CDMA/3G等公網或WiFi等無線專網通道發生不合法獲取信息的情況和非法終端接入風險等；而對應用系統風險來說，具體表現在非法授權訪問、非法攻擊系統和泄露重要數據等方面[2]。

2 企業移動辦公安全設計

就前文闡述的移動辦公安全需求而言，需將企業具體狀況與移動辦公運用模式結合在一起，立足于總體信息安全架構，安全規劃與設計移動辦公方面的內容，進而建立起移動辦公安全技術防護框架。根據多層技術防護措施構建縱深安全防護機制，確保能夠對移動辦公的用戶身份予以安全的鑒別，同時需對移動辦公設備予以嚴格的管控，確保通信數據能夠安全的進行傳輸，進而消除移動辦公過程可能會出現的安全風險與威脅。

2.1 安全技術防護框架

對于大多數企業而言，安全保密是信息化建設重點關注的問題，基于企業辦公特征，協同辦公系統關系到企業重要、敏感的信息，所以安全性尤為關鍵。系統應該形成全面而完善的安全體系，并發揮出信息安全支撐平臺的作用，讓系統始終處于穩定與安全的狀態。在訪問企業應用系統的過程中，主要選擇手機、平板電腦等移動辦公設備，由于移動辦公存在各種安全威脅，應結合企業業務特征及安全需求，設計相對應的移動辦公安全技術防護框架，詳如圖1所示。

圖1 安全技術防護框架示意圖

（1）終端安全。采取桌面虛擬化、數字證書、VPN、移動設備管理等方式，可對移動辦公設備的安全進行有效認證、準確鑒別用戶身份、控制訪問及隔離有關數據信息等；（2）傳輸安全。當移動辦公設備訪問企業內部網絡時，采取CA和VPN技術相聯合的方法對于授權用戶設立專門加密隧道，以此來思想安全、保密傳輸數據[3]；（3）接入安全。采取隔離交換數據、防御入侵等技術方法，將互聯網與企業內網的邊界予以隔離，并控制訪問，確保安全交換數據。

2.2 多重安全防護技術

2.2.1 身份認證控制模塊

以可信度判定規則，對終端的完整度、可信度進行全面驗證，針對通過對接入的移動終端設備的身份進行有效認證，并基于事先編制的訪問策略控制列表（ACL）方法，確保合法的終端和移動終端設備能夠順利地進入系統，并訪問所需數據。

2.2.2 可信安全接入控制技術

安全接入控制技術通常選擇可信端口安全接入機制[4]。結合接入點功能等情況，應該在系統內設置相應的可信端口，包括網絡可信端口、網關可信端口和終端可信端口等。其中，網絡可信端口可安全傳輸數據；網關可信端口：定位設備，監控終端設備，下發規則，與設備之間安全通信、安全應用信息交互，同時實現端口最小化分配等；終端可信端口：移動終端設備方面，終端可信端口能夠采集終端設備的屬性語言，讓遠程桌面協議(RDP)獲得證書。

2.2.3 可信判定技術

可信判定技術可判定接入系統移動終端設備，在訪問過程中，基于設備認證信息、屬性信息，周期輪詢設備，重新分析移動終端可信度，以此來保證移動終端訪問的可行性、安全性。

2.2.4 公開密鑰（WPKI）系統模塊

公開密鑰（WPKI）為企業辦公網移動終端安全接入系統，可以發揮出加密訪問、頒發證書、管理證書等功能，形成移動終端證書管理體系，移動終端安全接入的可信證書將具備產生、管理、存儲、分發以及撤銷等功能。在企業辦公網移動終端安全接入服務方面，其中WPKI系統為核心部分，圖2為具體構成情況。

圖2 公開密鑰（WPKI）組成

3 移動辦公安全接入應用

從企業內網基本情況出發，充分考慮到業務訪問與安全管理等需求，逐步形成以移動辦公安全技術為基礎的防護框架，讓企業內網功能有關區域得到改善。同時，立足于區域特點及功能，科學設計，構建縱深防御機制（如圖3所示）。對終端接入區來說，邏輯隔離與安全連接設備與產品，尤其是對鏈路負載均衡而言，能夠解決各運營商互訪問延遲率高與速度慢等問題，而侵防御設備發揮出智能防御的作用，能夠進行自學習，避免受到互聯網非法入侵與攻擊。在移動辦公設備和用戶身份認證方面，借助安全網關，VPN網關同移動辦公設備設計加密隧道，讓連接更加可靠。防火墻能夠進行隔離邏輯與劃分區域，安全監管部署則能夠進行移動設備和身份認證，如在身份認證平臺中，可以形成企業統一身份認證體系，對接入用戶和設備作出授權與認證。借助移動設備管理系統，將對所有移動辦公設備進行集中管控。隔離區部署可確保數據順利地流入控制的設備與產品，通過網閘的設計確保業務數據信息安全交換與隔離[5]。

圖3 移動辦公系統部署示意圖

運用以上策略與方式，除了可以確保企業在移動辦公業務方面的需求得到滿足之外，還能夠增強移動辦公所具備的安全性，并實現以下運用效果。

3.1 終端安全機制

就移動辦公用戶而言，只需要在移動辦公設備之中將電子密鑰（USB-Key）、PIN碼插入，就能夠利用互聯網對企業內網業務應用進行訪問，并且系統后臺會自動完成VPN隧道加密、虛擬桌面分配以及權限分配等[6]。

3.2 良好的用戶體驗

針對運用移動筆記本的用戶而言，在辦公的過程中利用個人虛擬桌面對業務應用系統進行訪問，和其在企業內網之中的工作方式相同，不對用戶習慣進行改變。運用手機、平板電腦的相關用戶，在辦公的過程中運用專用APP對業務系統進行訪問，能夠較好滿足用戶辦公需要。

4 結語

近年來無線網絡技術發展速度很快，企業辦公系統中移動網絡中斷安全接入問題受到了廣泛關注，企業應采取有效的安全接入技術，在開放性網絡環境下確保移動辦公的安全性，從而有利于確保企業的信息安全和可持續健康發展。