移动办公系统安全解决方案

14.3　移动办公系统安全解决方案

14.3.1　移动办公面临的安全威胁

从互联网的诞生开始，网络安全威胁就应运而生;随着互联网的发展，网络安全威胁也在发展升级。移动办公作为一个非常成熟的互联网应用，同样面临着各类网络安全威胁，移动办公的安全威胁潜伏在业务的身份认证、数据安全、数据完整性和事后追踪等各个环节。

(1)移动办公的身份认证

早期的网络身份认证采用静态的用户名和口令的方式进行，这种方式简单易行，安全强度不高，易被破解或截获。手机普及以后，在静态用户名和密码的基础上增加了手机号码、手机IMEI号、用户名和密码的组合认证方式。这种组合方式的安全强度有所提高，但在用户更换手机或手机号码时需要重新进行绑定，使用不太方便;而且SIM卡、手机号码、手机IMEI号也可以克隆仿制，手机丢失后易造成身份泄露。于是又出现了短信动态密码的身份认证方式，以及将短信动态密码与静态用户名、口令组合成双因素的身份认证方式。这种方式虽然解决了更换手机重新绑定的麻烦，但仍然没有解决SIM卡克隆和手机丢失后易造成身份泄露的问题，同时带来了因短信拦截而导致泄密和网络质量不高或国际漫游时无法及时接收短信的问题。

(2)移动办公的数据安全

移动办公系统的数据传输过程包括无线传输和有线传输两个部分，无线传输部分采用现有的GSM、CDMA或3G网络，空口部分有加密标准和规范，但由于SIM卡、手机号码、手机IMEI号可能被克隆，所以空口加密也存在数据被解密的安全隐患;有线传输部分，一般的网络协议均为明文协议，不提供任何保密功能，因此敏感信息很有可能在传输过程中被非法窃取而造成泄密。目前常见的APN组网方式，解决了手机移动终端到互联网入口之间的认证和加密，但在互联网中的数据仍以明文方式传输。

(3)移动办公的数据完整性

办公信息在传输过程中有可能因攻击者通过拦截、转发等手段被恶意篡改，导致信息发送与接收的不一致性。目前有些应用系统中虽然通过数据摘要方式防止信息发送和接收不一致，但由于此类解决方案中未采用数字签名技术，若恶意篡改者将发送方的原文和数据摘要同时替换掉，那么接收方会误认为信息未被篡改。

(4)移动办公责任的事后追踪

传统方式下，事故或纠纷可以通过盖章或签名来实现责任认定。而在电子化的网络环境中，对于数据处理时的意外差错或欺诈行为，如果没有相应的取证措施，则当事各方可以随便否认各自的行为，避免承担相应的责任。目前普遍通过用户名和口令、手机号码、手机IEMI号、IP地址等确认用户行为，这些信息易被篡改、复制，并且都不是实名信息，没有签名机制，无法追查到人，不受法律保护。

由此看出，在移动办公应用中缺少完整的安全解决方案，更重要的是无法解决事后追溯，一旦出现安全泄密等重大安全事件，无法做到责任认定，更得不到国家法律保护。

14.3.2　安全可信的移动办公系统解决方案

通过以上的分析可知，目前的移动办公安全威胁无处不在，但还没有完整的解决方案，以下介绍一个安全可信的移动办公整体解决方案。所谓“安全”，是指通过互联网访问内部的OA办公系统、其他业务系统以及内部核心信息资源时，采取适当的信息安全策略，在为合法的访问提供方便的同时，又能严格防止企业信息资源被非法窃取。所谓“可信”，就是对每个用户操作行为都能做到事后追踪，根据国家相关的法律，依法防止抵赖行为的发生。

如图14.6所示，通过在企业侧部署SSL VPN网关保证内网接入通道的安全，并通过第三方CA认证中心给SSL VPN网关、各种终端用户签发数字证书;另外采用USBKey、SDKey、PKI-SIM卡硬件方式保存用户密钥和数字证书，确保了移动办公中所遇到的身份认证、传输保密、信息完整性、防篡改等安全问题得以解决;并且用户的各种操作行为都有数字签名，具备法律效力，可以做到防止冒名顶替，对各种公文处理、合同审批等行为做到不可否认。

图14.6　安全可信的移动办公解决方案系统拓扑图

信息安全方面的显著特点可以通过以下技术手段实现:

(1)通过硬件保证密钥安全来实现身份认证

在移动办公方案中，使用数字证书作为用户身份的惟一标识。数字证书是互联网应用中标识用户真实身份的电子文件，与用户公私钥对绑定，确保了每对公私钥都会和惟一的自然人个体或单位存在一一对应的关系，从而保证了用户身份的真实性和惟一性。

在移动办公业务中，使用USBKey、SDKey、PKISIM卡等硬件介质终端保存用户私钥，保证私钥不可导出，无法克隆。移动OA等应用系统在调用私钥进行数字签名时，都需要用户输入密钥保护口令，才能执行签名操作，这样就确保了私钥的安全性，从而保证了移动办公业务中用户身份认证的可靠性。

(2)基于SSL VPN的通道加密机制

SSL VPN技术保证了移动终端至企业内网之间网络传输通道的数据安全。SSL VPN技术采用SSL协议，同时用到了非对称加密技术和对称加密技术，充分利用了两种加密技术的优点。移动终端与SSL VPN网关之间通过密钥协商生成会话密钥(对称密钥)后，将建立数据加密通道，并且这种技术实现的是端到端的加密，同时解决了无线和有线传输通道的数据安全问题。SSL VPN网关部署快速，并且不需要调整企业现有网络结构，实施成本较低。可见SSL VPN是实现远程用户访问公司敏感数据既简单又安全的解决办法。

(3)数字签名技术确保数据完整性

数字签名是一种确保数据完整性和原始性的方法。发送方对数据进行数字摘要并用自己的私钥对摘要信息进行加密生成签名信息，然后将数据的签名信息、数据原文以及发送方公钥同时传送给接收方，接收方即可验证数据原文是否缺失或被篡改。数字签名可以提供有力的证据，表明数据自从被移动终端签名以来未发生变化。可见，数字签名技术解决了数据完整性的问题。数字签名原理见图14.7。

图14.7　数字签名原理图

(4)PKI/CA体系保证用户行为不可否认

在移动应用中，保证用户身份认证、数据安全传输和数据完整性的同时，还需要解决用户行为不可否认的问题。从技术角度，数字签名技术保证移动用户操作行为的不可否认;从管理角度来看，基于PKI和第三方CA中心的管理体系可以很好地解决这方面的问题。而且，2005年4月1日实施的《电子签名法》，确定了电子签名的合法地位，使数字签名真正具备了法律效力，为移动办公业务中产生的法律纠纷提供了有效的法律依据。

该方案从技术、管理、法律等多个层面解决了当前移动办公业务中所遇到的各种安全问题，是一个比较完整的移动办公安全解决方案。该方案满足了用户迫切的移动办公需求，又解决了传统业务模式所面临的信息安全和责任认定问题，为移动办公系统应用的推广和普及提供了安全保障。

14.3.3　ADT(安达通)远程移动办公系统安全解决方案介绍

很多单位为解决远程移动用户(如在外出差人员)的接入问题，在单位内部安装了“拨号服务器”(RAS)。远程移动用户可以通过远程拨号，接入到单位内部的拨号服务器后，进入内部局域网。ADT(安达通)采用安全网关，通过VPN技术和Internet技术相结合，提出了替代上述系统的最优解决方案。特别适合企事业单位对“拨号服务器RAS”系统的改造。

14.3.3.1　方案概述

(1)网络的现状

XX公司总部设置了拨号服务器。集团在全国各地分设分公司和办事处，通过拨号网络接入公司总部内网。分公司及办事处与总部之间通过内部的拨号网络沟通和交换信息。其网络示意见图14.8。

图14.8　目前的网络示意图

(2)目前网络系统存在的安全隐患和问题

①安全问题。目前拨号服务器通过口令和密码识别拨入的PC，而口令和密码很容易泄露，一旦泄露，黑客可以仿冒内部用户通过拨号服务器进入公司内网，偷盗公司内部机密。另外，拨号的PC与拨号服务器间传递的信息通过电话线明文传播，安全没有保障。

②并发接入用户数限制问题。受到拨号服务器的拨入Modem数量限制，同时连入拨号服务器的用户数量有限，所以如果分部一多，就会出现大量的占线，拨不上拨号服务器的现象。

③带宽问题。受到拨号网络的限制，拨号带宽不会大于64Kbps，所以只能满足一些小数据量的窄带业务需求。

④拨号话费问题。接入总部的拨号服务器必须通过电话网络拨号，必须支付电话话费，尤其是外地的公司，将要支付高额的长途电话费用。

14.3.3.2　解决方案

该方案对原有网络进行较大幅度改造，主要考虑采用宽带接入，全面解决上面提到的4个问题。

公司总部最好有固定真实的IP地址(如考虑到费用问题，也可以选择便宜的ADSL接入)，采用ADT硬件安全网关SGW25C-3。SGW25C-3为3端口100Mbps接入的高性能企业级安全网关，处于总部网络边界。对总部LAN起到Firewall作用，对远程分支机构和移动用户可起到VPN接入作用。

分部可用ADSL接入Internet(解决拨号接入带宽问题)，或使用拨号网络接入Internet，从而和集团总部相连。根据分部网络的大小、预算等具体情况可采取不同的建设方案。具体来讲，分为两种情况:

(1)对于一些较小的点往往只有几台机器上网或者只有一台机器需要和总部进行安全通信。可以采用安全客户端软件来实现，安全客户端是安达通公司配合安全网关开发的动态IP主机安全接入内部网络的软件，该软件支持Windows 2000/XP/98/Windows 2003/Windows 2007等多种操作系统，配合SureID使用，操作简单，使用灵活，对接入方式没有限制。

(2)对于一些规模较大分部网络，如采用ADSL接入，推荐使用支持PPPOE的SGW25B安全网关，该安全网关支持ADSL接入，加密吞吐率可达到6Mbps，完全可以满足ADSL接入的要求，另外有防火墙模块，可以做到基于状态检测的访问控制。

如图14.9所示，在Internet和Intranet接口处使用的安达通公司研制的“安全网关”SGW25C-3就彻底地解决了上述的问题。分支机构及其出差员工只要通过本地ISP(如163)拨号接入Internet，然后利用安装在他机器上的“安全网关客户端”软件，就可以安全透明地通过与安全网关构成的加密隧道从Internet上安全接入企业的内网，如图14.10所示。

基于上述原因，在该方案中建议可以省去中心机房中的“拨号服务器”。如果这些节点通过拨本地公用电话网连入Internet，再用“安全网关客户端”软件接入企业的专网，这样对于外地的机构就只需要交纳本地的电话费，不需要支付长途话费(解决话费问题);同时不用投资建“内部的拨号Server”，而且由于通过安全网关的VPN隧道接入公司内网(解决数据传输安全问题)，既安全又不受拨号Server的并发接入限制(解决并发拨入限制问题)，可以让各个分支机构与公司总部之间保持实时连通和长期在线。

图14.9　全面改造后整体网络结构示意图

图14.10　“安全网关客户端”使用示意

14.3.4　信息安全对策与建议:管理角度

对移动办公设备的信息安全管理，仍应坚持“预防为主”的方针，以人为本，充分利用技术和管理两种手段，达到有效防范信息丢失泄密的目的。

(1)加强“人防”，构筑人员安全关

一是加强保密知识和职业道德教育，提高全员个人综合素质，使全体员工在心目中树立“哪些是可以做的，哪些是不应该做的、哪些是需要防范的”的理念，从思想上筑起一道信息安全风险防范的“防火墙”;二是要开展安全知识培训，提高安全防范能力。用网上攻击案例教育操作人员，使他们充分了解计算机网络存在的安全隐患，提高工作人员的安全保密意识和自我防范能力。

(2)突出“技防”，把好技术安全关

①采用加密存储技术

首先是硬盘加密，对笔记本电脑硬盘进行加密，即使发生硬设备丢失或盗窃事件，也可确保存储在设备上的机密信息不会泄漏出去，启动前，需经过安全的身份认证，有效防止未经授权的用户绕过操作系统存取敏感信息;其次是文件加密，对服务器、笔记本电脑及可移动设备上文件和文件夹进行加密，经加密处理后，只有那些经过授权的用户才可对加密后的文件和文件夹进行读、写和修改等动作;其三是信息加密存储。对工作中需要保密的信息资料，通过一定的技术手段加密存储，该信息资料即使被截获了，截获者如果不知道加密密码或解密方法，也是徒劳的，从而达到保密效果。

②分区管理

对笔记本电脑进行适当的分区，安装两个操作系统，分别满足上互联网和移动办公需要，实现工作信息与互联网的隔离。

③加固内联网络基础，防范移动设备非法入侵

一方面增配必要的安全管理技术手段。对接入局域网的计算机设备(包括笔记本电脑)进行实时监测和身份认证、对通过合法端口非法接入局域网的设备进行端口屏蔽、报警;而对目前已配置的网络防病毒系统、内网非法外联监控系统、内网入侵检测系统、网络防火墙等安全管理技术资源要进行整合，使其能够整体联动，能够及时阻断网络蠕虫及其他非法网络流量在内联网上的传播;另一方面是设置安全策略。充分利用计算机操作系统的安全功能，对内联网上的服务器与客户机设置合理的安全策略，比如用户密码、密码生存周期，文件与打印共享等，都必须进行合理的设置，是内联网上计算机用户安全的基本要求。

(3)注重“管理”，健全信息管理关

①加强内部管理，防范内部风险

主要是进一步完善计算机保密制度，细化各个操作环节的管理规范和责任追究，明确界定涉密信息范围，切实落实各项具体措施，使计算机安全保密工作有章可循，逐步实现计算机信息安全保密工作的规范化管理。首先工作人员在使用笔记本电脑和移动存储介质(含U盘、MP3、软盘、PAD、移动硬盘、数码相机、数码录像机、移动存储卡等)期间要做好防盗失、防损坏等保护工作。移动设备管理应当责任到人，未经同意不得将笔记本电脑和移动存储介质转借他人使用，尽量减少移动设备共用机会;其次定期对笔记本电脑的操作系统、防病毒软件进行升级维护及移动存储介质的防病毒、信息备份工作;三是笔记本电脑和移动存储介质严禁存储任何涉密的文件、数据;四是工作人员原则上不得将软盘附送服务对象，确实需要的，将软盘格式化后，只拷贝指定内容附送。

②加强对移动办公设备管理的监督检查

主要是要形成一种机制，树立管理权威。全面掌握单位笔记本电脑、移动存储设备的使用管理情况，定期对笔记本电脑进行信息安全检查，如果发现违规情况应进行通报批评，起到警示作用。对涉密笔记本电脑应严格管理，专人专用，专人管理，严禁在办公室以外的地方使用。

③加强对外来技术服务的管理

为了防范信息泄密，确保信息与网络安全，应当进一步规范外来技术服务工作，保证外来技术支持服务达到内联网与信息系统安全管理要求，堵住外来技术人员通过随身携带的移动设备在内网上传播计算机病毒的途径，防范外来人员通过技术服务方式窃取涉密信息及重要业务数据的风险。