移動應(yīng)用安全管理系統(tǒng)設(shè)計方案

1、移動應(yīng)用安全管理系統(tǒng)設(shè)計方案2014年目 錄2 系統(tǒng)設(shè)計原則42.1 安全性原則42.2 標(biāo)準(zhǔn)性原則52.3 規(guī)劃先進(jìn)性原則52.4 安全服務(wù)細(xì)致化原則63 建設(shè)思路64 整體分析74.1 業(yè)務(wù)需求74.1.1 移動采集74.1.2 移動辦公74.2 業(yè)務(wù)類型84.2.1 數(shù)據(jù)交換和數(shù)據(jù)采集84.2.2 授權(quán)訪問84.3 功能域劃分84.3.1 業(yè)務(wù)域94.3.2 接入域104.3.3 監(jiān)管域104.3.4 用戶域114.4 安全需求分析114.4.1 安全技術(shù)需求分析124.4.2 安全管理需求分析165 平臺設(shè)計165.1 設(shè)計目標(biāo)165.2 設(shè)計思路175.3 設(shè)計內(nèi)容185.4 安全技

2、術(shù)體系設(shè)計185.4.1 終端環(huán)境安全設(shè)計185.4.2 接入域邊界安全設(shè)計215.4.3 通信網(wǎng)絡(luò)安全設(shè)計245.4.4 集中監(jiān)測與管理設(shè)計275.5 性能設(shè)計305.5.1 鏈路帶寬305.5.2 業(yè)務(wù)并發(fā)數(shù)315.5.3 吞吐量325.7.2 安全管理機(jī)構(gòu)345.7.3 人員安全管理346 方案特點347 移動安全管理平臺關(guān)鍵技術(shù)358 建設(shè)效果371 概述安徽省電子認(rèn)證管理中心（簡稱“安徽 CA”）移動應(yīng)用安全管理系統(tǒng)是從用戶的應(yīng)用安全和安全管理需求出發(fā)，基于PKI技術(shù)構(gòu)建可信身份體系、鑒權(quán)體系及行為追溯體系，實現(xiàn)信息系統(tǒng)可信、可控、可管理，滿足用戶自身信息化建設(shè)發(fā)展要求和相關(guān)法規(guī)政策

3、要求的網(wǎng)絡(luò)信任體系支撐平臺。由于歷史的原因，也是計算機(jī)技術(shù)日新月異發(fā)展的結(jié)果，信息化要求較高的行業(yè)現(xiàn)有的多套應(yīng)用系統(tǒng)從當(dāng)時的設(shè)計和建設(shè)看來可以說是非常科學(xué)和滿足業(yè)務(wù)需求的，但以現(xiàn)在的標(biāo)準(zhǔn)來看，由于不同的應(yīng)用系統(tǒng)建立在不同的硬件和操作平臺上，不同的應(yīng)用系統(tǒng)是由不同的系統(tǒng)集成商使用不同的語言和開發(fā)工具開發(fā)出來的，將不可避免的導(dǎo)致不同業(yè)務(wù)系統(tǒng)之間的用戶無法統(tǒng)一管理，資源無法統(tǒng)一授權(quán)，審計系統(tǒng)也分別獨立，且基于數(shù)字證書的強(qiáng)身份認(rèn)證也可能沒有實現(xiàn)。由于用戶角色以及資源的改變使得業(yè)務(wù)運(yùn)作不夠順暢，導(dǎo)致業(yè)務(wù)流程被割裂，需要過多的人工介入，效率下降，數(shù)據(jù)精確度降低，使的信息系統(tǒng)失去了其應(yīng)有的作用。從信息化建設(shè)

4、的長遠(yuǎn)發(fā)展來看，要形成相互一致的業(yè)務(wù)基礎(chǔ)信息系統(tǒng)和有效運(yùn)行的信息層次化可信安全體系，必然需要將原來已分別建設(shè)的各個業(yè)務(wù)應(yīng)用系統(tǒng)平滑地整合在一起，在一個可信的安全基礎(chǔ)平臺上實現(xiàn)統(tǒng)一用戶管理、統(tǒng)一安全審計以及基于數(shù)字證書的集中身份認(rèn)證，統(tǒng)一Web管理界面方式讓各個業(yè)務(wù)系統(tǒng)間形成一個有機(jī)的整體，在整個可信網(wǎng)絡(luò)體系范圍內(nèi)實現(xiàn)系統(tǒng)信息的高度共享，針對快速變化的外部環(huán)境和客戶需求，做出及時的調(diào)整和反應(yīng)，真正提升政府機(jī)關(guān)行政能力或企事業(yè)單位核心競爭力。安徽CA積累多年信息安全建設(shè)經(jīng)驗，致力于幫助用戶安全便捷的運(yùn)用 PKI 技術(shù)建立可信安全體系架構(gòu)，整合已有或未來業(yè)務(wù)系統(tǒng)，實現(xiàn)在一個網(wǎng)絡(luò)信任體系下，用戶登錄任

5、何一個業(yè)務(wù)系統(tǒng)之后不必再次登錄就可進(jìn)入其它有權(quán)限系統(tǒng)的單點登錄；各種用戶信息根據(jù)不同業(yè)務(wù)系統(tǒng)在用戶管理系統(tǒng)進(jìn)行跨平臺、跨應(yīng)用有效管理，資源信息根據(jù)不同的業(yè)務(wù)范圍和需求在資源授權(quán)管理系統(tǒng)進(jìn)行有效管理；各業(yè)務(wù)系統(tǒng)各類日志在統(tǒng)一安全審計系統(tǒng)可追溯；采用開放、插件式的集成技術(shù)，滿足不斷發(fā)展的業(yè)務(wù)系統(tǒng)與門戶的集成。2 系統(tǒng)設(shè)計原則安徽CA依據(jù)上述的需求分析和相關(guān)的安全技術(shù)，設(shè)計了如下基于數(shù)字證書的移動應(yīng)用安全系統(tǒng)的設(shè)計原則。2.1 安全性原則安全保護(hù)機(jī)制必須簡單、一致并建立到系統(tǒng)底層。系統(tǒng)的安全性和系統(tǒng)的正確性一樣，不應(yīng)當(dāng)是一種附加特性，而必須建立到系統(tǒng)底層而成為系統(tǒng)固有的屬性。所有購置的密碼產(chǎn)品都已通

6、過國家安全主管部門的認(rèn)證，符合有關(guān)標(biāo)準(zhǔn)和協(xié)議，滿足財政部門實際使用過程中的安全要求。應(yīng)用安全平臺的規(guī)劃、設(shè)計、開發(fā)都要基于安全體系的有關(guān)標(biāo)準(zhǔn)、技術(shù)。2.2 標(biāo)準(zhǔn)性原則整個方案設(shè)計中采用的技術(shù)都是符合國際標(biāo)準(zhǔn)的，對于國際上沒有通用標(biāo)準(zhǔn)的技術(shù)采用國內(nèi)的技術(shù)標(biāo)準(zhǔn)。2.3 規(guī)劃先進(jìn)性原則移動政務(wù)業(yè)務(wù)覆蓋面廣泛，所以其安全保障體系建設(shè)規(guī)模龐大，意義深遠(yuǎn)。對所需的各類安全產(chǎn)品提出了很高的要求。必須認(rèn)真考慮各安全產(chǎn)品的技術(shù)水平、合理性、先進(jìn)性、安全性和穩(wěn)定性等特點，共同打好工程的技術(shù)基礎(chǔ)。在設(shè)計時，參考目前國內(nèi)成熟的公安及政務(wù)相關(guān)體系的移動應(yīng)用安全管理系統(tǒng)設(shè)計。 參考文件如下： ·關(guān)于印發(fā)<

7、公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）>的通知(公信 通2007191 號) ·關(guān)于穩(wěn)步開展公安信息資源共享服務(wù)工作的通知(公信通2007189 號) 關(guān)于做好社區(qū)和農(nóng)村警務(wù)室接入公安信息網(wǎng)安全工作的通知 ( 公信通 200715 號) ·關(guān)于進(jìn)一步加強(qiáng)公安信息通信網(wǎng)日常安全管理工作機(jī)制建設(shè)的通知 (公信 通傳發(fā)2008109 號) ·關(guān)于公安信息通信網(wǎng)邊界接入平臺建設(shè)有關(guān)問題的通知 ( 公信通傳發(fā) 2008296 號)·移動政務(wù)信息安全建設(shè)實施指南 粵經(jīng)信電政2012551號) ·北京市移動電子政務(wù)平臺總體技術(shù)要求北京市經(jīng)濟(jì)和信息化

8、委員會 ·移動政務(wù)辦公系統(tǒng)通用規(guī)范 湖北省質(zhì)量技術(shù)監(jiān)督局2.4 安全服務(wù)細(xì)致化原則要使得安全保障體系發(fā)揮最大的功效，除安全產(chǎn)品的部署外還應(yīng)提供有效的安全服務(wù)，根據(jù)移動應(yīng)用安全管理的網(wǎng)絡(luò)系統(tǒng)具體現(xiàn)狀及承載的重要業(yè)務(wù)，全面而細(xì)致的安全服務(wù)會提升日常運(yùn)維及應(yīng)急處理風(fēng)險的能力。安全服務(wù)就需要把安全服務(wù)商的專業(yè)技術(shù)經(jīng)驗與行業(yè)經(jīng)驗相結(jié)合，結(jié)合移動應(yīng)用安全管理的實際信息系統(tǒng)量身定做才可以保障其信息系統(tǒng)安全穩(wěn)定的運(yùn)行。3 建設(shè)思路移動應(yīng)用安全管理系統(tǒng)以合規(guī)要求為基礎(chǔ)，根據(jù)自身的業(yè)務(wù)訴求、業(yè)務(wù)特性及應(yīng)用重點，采用等級化與體系化相結(jié)合的安全體系設(shè)計方法，幫助構(gòu)建一套覆蓋全面、重點突出、節(jié)約成本、持續(xù)運(yùn)行

9、的安全防御體系。（1） 功能域設(shè)計：通過分析系統(tǒng)業(yè)務(wù)流程，根據(jù)域劃分原則設(shè)計功能域架構(gòu)。通過功能域設(shè)計將系統(tǒng)分解為多個層次，為下一步安全保障體系框架設(shè)計提供基礎(chǔ)框架。 （2） 安全保障體系框架設(shè)計：根據(jù)功能域框架，設(shè)計系統(tǒng)各個層次的安全保障體系框架（包括策略、組織、技術(shù)和運(yùn)作），各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架。（3） 安全技術(shù)解決方案設(shè)計：針對安全要求，建立安全技術(shù)措施庫。通過等級風(fēng)險評估結(jié)果，設(shè)計系統(tǒng)安全技術(shù)解決方案。 （4） 安全管理建設(shè)：針對安全要求，建立安全管理措施庫。通過等級風(fēng)險評估結(jié)果，進(jìn)行安全管理建設(shè)。通過如上步驟，移動應(yīng)用安全管理系統(tǒng)的網(wǎng)絡(luò)信息系統(tǒng)可以形

10、成整體的等級化的安全保障體系，同時根據(jù)安全技術(shù)建設(shè)和安全管理建設(shè)，保障系統(tǒng)整體的安全。4 整體分析4.1 業(yè)務(wù)需求 4.1.1 移動采集此次移動應(yīng)用安全管理系統(tǒng)的建設(shè)具有以下特點：操作方式為接入終端的訪問控制；不可直接訪問內(nèi)部業(yè)務(wù)網(wǎng)，但上報數(shù)據(jù)需要匯總至內(nèi)部業(yè)務(wù)網(wǎng)；數(shù)據(jù)進(jìn)行單向交換，以由外到內(nèi)為主；終端對象作為可信憑證，需防止或規(guī)避合法入侵行為；用戶量大；業(yè)務(wù)實時性要求高。4.1.2 移動辦公另一種業(yè)務(wù)場景，為出差或外出辦公人員，進(jìn)行遠(yuǎn)程無線辦公業(yè)務(wù)，該類業(yè)務(wù)具有以下特點：操作方式為接入終端的訪問控制；可直接訪問內(nèi)部業(yè)務(wù)網(wǎng)，但需要進(jìn)行嚴(yán)格的訪問控制；終端對象作為可信憑證，需防止或規(guī)避合法入侵行

11、為；用戶訪問數(shù)據(jù)量大；業(yè)務(wù)實時性要求高；數(shù)據(jù)采用雙向交換。4.2 業(yè)務(wù)類型4.2.1 數(shù)據(jù)交換和數(shù)據(jù)采集數(shù)據(jù)采集要實現(xiàn)將采集相關(guān)信息通過安全的接入方式由外部網(wǎng)絡(luò)流轉(zhuǎn)至內(nèi)部緩存區(qū)域。需實現(xiàn)如下功能：需支持各類B/S應(yīng)用的無線數(shù)據(jù)采集；需支持各類C/S應(yīng)用的無線數(shù)據(jù)采集。數(shù)據(jù)傳遞數(shù)據(jù)傳遞分為兩個層面，其一是將采集到緩存區(qū)域的數(shù)據(jù)安全、穩(wěn)定、可靠 地交換到內(nèi)部業(yè)務(wù)區(qū)域，以支撐業(yè)務(wù)的開展；其二是將外部的數(shù)據(jù)信息直接流轉(zhuǎn) 至內(nèi)部業(yè)務(wù)區(qū)域，同時接受內(nèi)部業(yè)務(wù)區(qū)域?qū)ν獍l(fā)布的信息。需實現(xiàn)如下功能：文件及數(shù)據(jù)的直接傳遞；文件及數(shù)據(jù)的交換傳遞。4.2.2 授權(quán)訪問授權(quán)訪問功能主要是指對于外部授權(quán)訪問類終端（PDA）

12、及內(nèi)部數(shù)據(jù)交換類系統(tǒng)通過安全接入鏈路訪問資源時，對于不同的接入終端可實現(xiàn)基于資源、數(shù)字證書、IP地址等多種類型訪問權(quán)限的控制，保證資源不被越權(quán)訪問，進(jìn)而保護(hù)內(nèi)部業(yè)務(wù)網(wǎng)的安全。4.3 功能域劃分平臺建設(shè)的關(guān)鍵在于功能域的劃分，依照上文的分析，借鑒其他行業(yè)成熟的標(biāo)準(zhǔn)及規(guī)范，移動應(yīng)用安全管理系統(tǒng)從采集過程分析，可劃分為四大功能域，用于進(jìn)行移動政務(wù)的內(nèi)部業(yè)務(wù)域、連接Internet 獲取報送數(shù)據(jù)的接入域、提供交互 源數(shù)據(jù)的移動終端用戶域，進(jìn)行統(tǒng)一管理、集中監(jiān)控的監(jiān)管域。其中，內(nèi)部業(yè)務(wù)域是整個政務(wù)業(yè)務(wù)開展的重要平臺，承載著核心業(yè)務(wù)；而接入域是移動采集業(yè)務(wù)的核心承載平臺，提供專用終端基于Internet網(wǎng)

13、絡(luò)的無線接入服務(wù)，然后終端用戶域則是整個平臺的基礎(chǔ)支撐，提供政務(wù)業(yè)務(wù)的源數(shù)據(jù)，最后監(jiān)管域從管理維度出發(fā)，從全局統(tǒng)一可控管理的視角切入，對全網(wǎng)無線資源進(jìn)行集中管理。通過對這四類安全區(qū)域的劃分，對移動政務(wù)各層面的訪問操作、 運(yùn)行管理、開發(fā)設(shè)計進(jìn)行有效的控制和規(guī)范，保證和維護(hù)各個層次安全、正常有序地工作。4.3.1 業(yè)務(wù)域業(yè)務(wù)域是指位于邏輯隔離區(qū)內(nèi)包括移動數(shù)據(jù)同步模塊、標(biāo)準(zhǔn)接口、應(yīng)用程序、應(yīng)用中間件等在內(nèi)的大環(huán)境。它包括各類服務(wù)或者數(shù)據(jù)接口、政務(wù)應(yīng)用支撐平臺、系統(tǒng)運(yùn)行環(huán)境。這一區(qū)域主要承擔(dān)著涉及平臺的專用網(wǎng)路，在業(yè)務(wù)專用中運(yùn)行著各業(yè)務(wù)數(shù)據(jù)交換平臺的存儲平臺，為平臺的核心業(yè)務(wù)網(wǎng)。該區(qū)域主要安全功能為：

14、作為外部終端網(wǎng)絡(luò)連接的終點，實現(xiàn)應(yīng)用級身份認(rèn)證、訪問控制、應(yīng)用代理、數(shù)據(jù)暫存等功能，防止對政務(wù)網(wǎng)的非法訪問和信息泄露。對此區(qū)域，應(yīng)加強(qiáng)對服務(wù)器等設(shè)備的安全保護(hù)，應(yīng)具有病毒、木馬防護(hù)功能，防止病毒傳播與非法控制。此次建設(shè)不涉及該部分的內(nèi)部建設(shè)，只對其網(wǎng)絡(luò)邊界進(jìn)行安全設(shè)計。4.3.2 接入域指移動通信網(wǎng)絡(luò)的大環(huán)境。它包括各類移動網(wǎng)絡(luò)運(yùn)營商、電信 網(wǎng)絡(luò)運(yùn)營商 在內(nèi)的提供各種移動公網(wǎng)，如GSM、CDMA、3G網(wǎng)絡(luò)以及傳統(tǒng)固網(wǎng)服務(wù)的網(wǎng)絡(luò)基礎(chǔ)運(yùn)營平臺。這一區(qū)域負(fù)責(zé)對移動政務(wù)物理層安全傳輸、信號轉(zhuǎn)換、安全專線的管理。接入域為移動應(yīng)用安全管理系統(tǒng)的專用承載平臺，它包括各類移動網(wǎng)絡(luò)運(yùn)營商、電信網(wǎng)絡(luò)運(yùn)營商在內(nèi)的提

15、供各種移動公網(wǎng)，如GSM、CDMA、3G 網(wǎng)絡(luò)以及傳統(tǒng)固網(wǎng)服務(wù)的網(wǎng)絡(luò)基礎(chǔ)運(yùn)營平臺，位于業(yè)務(wù)域與用戶域之間，與業(yè)務(wù)域邏輯隔 離，主要基于移動終端進(jìn)行無線的數(shù)據(jù)傳送的緩存區(qū)域。該區(qū)域主要安全功能為：實現(xiàn)網(wǎng)絡(luò)級身份認(rèn)證、訪問控制和權(quán)限管理，數(shù)據(jù)機(jī)密性和完整性保護(hù)，防御網(wǎng)絡(luò)攻擊和嗅探。4.3.3 監(jiān)管域監(jiān)管域指移動政務(wù)準(zhǔn)入安全控制的大環(huán)境。它包括各類提供權(quán)威性第三方身份認(rèn)證以及安全訪問控制服務(wù)的提供，如CA證書、動態(tài)密碼等。同時將移動終端的各種業(yè)務(wù)請求傳遞到政務(wù)外網(wǎng)應(yīng)用服務(wù)的大環(huán)境。它包括移動網(wǎng)絡(luò)、固網(wǎng)的數(shù)據(jù)經(jīng)過安全審計、防病毒、入侵檢測等安全接入并通過移動政務(wù)服務(wù)平臺數(shù)據(jù)接口、統(tǒng)一移動終端驗證、用戶

16、身份認(rèn)證、數(shù)據(jù)包封裝/解析、會話管理、安全審計、服務(wù)接口、系統(tǒng)管理等功能模塊處理來自移動終端用戶的請求。該區(qū)域負(fù)責(zé)對移動政務(wù)進(jìn)行身份驗證、安全審計以及移動政務(wù)中來自移動接入網(wǎng)絡(luò)的移動應(yīng)用請求的轉(zhuǎn)遞、應(yīng)答、安全轉(zhuǎn)換。4.3.4 用戶域用戶域包括移動終端用戶及外部接入終端環(huán)境，是整個平臺的基礎(chǔ)支撐，為用戶群體在使用移動政務(wù)相關(guān)業(yè)務(wù)時所使用移動設(shè)備的大環(huán)境，它提供業(yè)務(wù)交換 的源數(shù)據(jù)，處于移動公網(wǎng)（專線）中，實現(xiàn)外部鏈路與接入平臺間連接。該區(qū)域主要安全功能為：實現(xiàn)終端接入訪問控制，將來自不同接入終端及不同外部鏈路的數(shù)據(jù)流按照接入平臺的安全策略進(jìn)行準(zhǔn)入控制并加以區(qū)分，同時實現(xiàn)對移動終端自身的安全保護(hù)。4

17、.4 安全需求分析從平臺整體安全建設(shè)角度出發(fā)，目前已經(jīng)按照等級保護(hù)要求對內(nèi)部網(wǎng)進(jìn)行了一些合規(guī)建設(shè)工作，所以在移動應(yīng)用安全管理系統(tǒng)項目的建設(shè)內(nèi)容中，業(yè)務(wù)域部分的安全建設(shè)基于現(xiàn)有的建設(shè)基礎(chǔ)，可以不予考慮，整個項目的重點在于接入域部分的合規(guī)性、業(yè)務(wù)性建設(shè)。需要說明的是，接入域作為承載整個移動應(yīng)用安全管理系統(tǒng)的核心部分，是 整個安全建設(shè)的目標(biāo)，其次是終端安全；即在接入安全與終端防護(hù)上具備和業(yè)務(wù)內(nèi)網(wǎng)同一級別的安全要求，又因邊界的不同屬性需要采取不同的個性化解決方案。下文將按照合規(guī)思路，從兩大項（技術(shù)與管理）進(jìn)行建設(shè)的分析；4.4.1 安全技術(shù)需求分析（1） 物理安全風(fēng)險與需求分析 物理安全風(fēng)險主要是指網(wǎng)

18、絡(luò)周邊的環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可使用，從而會造成網(wǎng)絡(luò)系統(tǒng)的不可使用，甚至導(dǎo)致整個網(wǎng)絡(luò)的癱瘓。因此，在通盤考慮安全風(fēng)險時，應(yīng)優(yōu)先考慮物理安全風(fēng)險。此次，移動應(yīng)用安全管理系統(tǒng)基于現(xiàn)有的物理基礎(chǔ)設(shè)施，在物理安全方面可以不進(jìn)行建設(shè)考慮。 （2） 終端環(huán)境安全風(fēng)險與需求分析 計算環(huán)境的安全主要指終端以及應(yīng)用層面的安全風(fēng)險與需求分析，具體到本項目，其安全建設(shè)對象則應(yīng)對為專用移動終端，整體的安全需求包括：身份鑒別、訪問控制、入侵防范、惡意代碼防范、數(shù)據(jù)完整性與保密性、抗抵賴等方面。終端可信終端為通過移動應(yīng)用安全管理系統(tǒng)唯一的訪問主體，最重要的前提即應(yīng)確保 該主體客觀存在性及行為可信性。訪問控

19、制訪問控制主要為了保證非法用戶對終端資源的合法使用。非法用戶可能企圖假冒合法用戶的身份進(jìn)入系統(tǒng)，低權(quán)限的合法用戶也可能企圖執(zhí)行高權(quán)限用戶的操作，這些行為將給終端系統(tǒng)和應(yīng)用系統(tǒng)帶來了很大的安全風(fēng)險。用戶在擁有合法的用戶標(biāo)識符情況下，在制定好的訪問控制策略下進(jìn)行操作，杜絕越權(quán)非法操 作。入侵防范終端操作系統(tǒng)面臨著各類具有針對性的入侵威脅，常見操作系統(tǒng)存在著各種安全漏洞，并且現(xiàn)在漏洞被發(fā)現(xiàn)與漏洞被利用之間的時間差變得越來越短，這就使得操作系統(tǒng)本身的安全性給整個系統(tǒng)帶來巨大的安全風(fēng)險，因此對于終端操作系統(tǒng)的使用、維護(hù)等提出了需求，防范針對系統(tǒng)的入侵行為。惡意代碼防范 病毒、蠕蟲等惡意代碼是對計算環(huán)境造

20、成危害最大的隱患，當(dāng)前病毒威脅非常嚴(yán)峻，特別是蠕蟲病毒的爆發(fā)，會立刻向其他子網(wǎng)迅速蔓延，發(fā)動網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密。大量占據(jù)正常業(yè)務(wù)十分有限的帶寬，造成網(wǎng)絡(luò)性能嚴(yán)重下降、服務(wù)器崩潰甚至網(wǎng)絡(luò)通信中斷，信息損壞或泄漏，嚴(yán)重影響正常業(yè)務(wù)開展。因此必須部署惡意代碼防范軟件進(jìn)行防御，同時保持惡意代碼庫的及時更新。數(shù)據(jù)安全主要指數(shù)據(jù)的完整性與保密性。數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)，所有的措施最終無不是為了業(yè)務(wù)數(shù)據(jù)的安全。應(yīng)采取措施保證數(shù)據(jù)在傳輸過程中的完整性以及保密性，保護(hù)鑒別信息的保密性。（3） 接入域邊界安全風(fēng)險與需求分析 區(qū)域邊界的安全主要包括：邊界可信接入、邊界完整性檢測、邊界入侵防范以及邊界安全審計等方面

21、。邊界訪問控制 對于接入域邊界最基本的安全需求就是訪問控制，對進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán)及越權(quán)訪問。邊界可信接入 對于接入域而言，其主要目的是提供外網(wǎng)設(shè)備隨時隨地快速接入到業(yè)務(wù)內(nèi)網(wǎng)絡(luò)進(jìn) 行數(shù)據(jù)報送，這就引伸出安全風(fēng)險，一旦外來用戶不加阻攔的接入到網(wǎng)絡(luò)中來，就有可能破壞網(wǎng)絡(luò)的安全邊界，使得外來用戶具備對網(wǎng)絡(luò)進(jìn)行破壞的條件，由此而引入諸如蠕蟲擴(kuò)散、文件泄密等安全問題。因此需要對非法客戶端實現(xiàn)禁入，能監(jiān)控網(wǎng)絡(luò)，對于沒有合法認(rèn)證的外來機(jī)器，能夠阻斷其網(wǎng)絡(luò)訪問，保護(hù)好已經(jīng)建立起來的安全環(huán)境。邊界入侵防范各類網(wǎng)絡(luò)攻擊行為既可能來自于大家公認(rèn)的互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)，在內(nèi)部也同樣存在。通過安全

22、措施，要實現(xiàn)主動阻斷針對信息系統(tǒng)的各種攻擊，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等，實現(xiàn)對網(wǎng)絡(luò)層以及業(yè)務(wù)系統(tǒng)的安全防護(hù)，保護(hù)核心信息資產(chǎn)的免受攻擊危害。邊界安全審計在安全區(qū)域邊界需要建立必要的審計機(jī)制，對進(jìn)出邊界的各類網(wǎng)絡(luò)行為進(jìn)行 記錄與審計分析，可以和終端審計、應(yīng)用審計以及網(wǎng)絡(luò)審計形成多層次的審計系統(tǒng)，并可通過安全管理中心集中管理。邊界惡意代碼防范現(xiàn)今，病毒的發(fā)展呈現(xiàn)出以下趨勢:病毒與黑客程序相結(jié)合、蠕蟲病毒更加 泛濫，目前計算機(jī)病毒的傳播途徑與過去相比已經(jīng)發(fā)生了很大的變化，更多的以網(wǎng)絡(luò)（包括Internet、廣域網(wǎng)、局域網(wǎng)）形態(tài)進(jìn)行傳播，因此為了安全的防護(hù)手段也需以

23、變應(yīng)變，迫切需要網(wǎng)關(guān)型產(chǎn)品在網(wǎng)絡(luò)層面對病毒予以查殺。 （4）通信網(wǎng)絡(luò)安全風(fēng)險與需求分析 移動應(yīng)用安全系統(tǒng)通信網(wǎng)絡(luò)的安全主要包括：鏈路設(shè)計、網(wǎng)絡(luò)安全審計、網(wǎng)絡(luò)設(shè)備防護(hù)、通信完整性與保密性、準(zhǔn)入可信等方面。鏈路安全由于采用通過移動公網(wǎng)的方式接入，所以對于公網(wǎng)的鏈路提出了比較高的要求，由于目前公用移動網(wǎng)上存在著眾多不可知及不可控的監(jiān)聽、攻擊手段，所以要選擇一條相對封閉或有安全保障的移動鏈路成為通訊安全的首要基礎(chǔ)。網(wǎng)絡(luò)安全審計由于用戶的計算機(jī)相關(guān)的知識水平參差不齊，一旦某些安全意識薄弱的管理用戶誤操作，將給信息系統(tǒng)帶來致命的破壞，沒有相應(yīng)的審計記錄將給事后追查帶來困難，有必要進(jìn)行基于網(wǎng)絡(luò)行為的審計，從

24、而威懾那些心存僥幸、有惡意企圖的少部分用戶，以利于規(guī)范正常的網(wǎng)絡(luò)應(yīng)用行為。網(wǎng)絡(luò)設(shè)備防護(hù)由于傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)將會使用大量的網(wǎng)絡(luò)設(shè)備和安全設(shè)備，如交換機(jī)、防火墻、入侵檢測設(shè)備等，這些設(shè)備的自身安全性也會直接關(guān)系到內(nèi)部網(wǎng)絡(luò)及各種網(wǎng)絡(luò)應(yīng) 用的正常運(yùn)行。如果發(fā)生網(wǎng)絡(luò)設(shè)備被不法分子攻擊，將導(dǎo)致設(shè)備不能正常運(yùn)行。更加嚴(yán)重情況是設(shè)備設(shè)臵被篡改，不法分子輕松獲得網(wǎng)絡(luò)設(shè)備的控制權(quán)，通過網(wǎng) 絡(luò)設(shè)備作為跳板攻擊服務(wù)器， 將會造成無法想象的后果。例如，交換機(jī)口令泄漏、防火墻規(guī)則被篡改、入侵檢測設(shè)備失靈等都將成為威脅網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的風(fēng)險因素。通信完整性與保密性由于網(wǎng)絡(luò)協(xié)議及文件格式均具有標(biāo)準(zhǔn)、開發(fā)、公開的特征，因此數(shù)據(jù)在網(wǎng)

25、上存儲和傳輸過程中，不僅僅面臨信息丟失、信息重復(fù)或信息傳送的自身錯誤，而且會遭遇信息攻擊或欺詐行為，導(dǎo)致最終信息收發(fā)的差異性。因此，在信息傳輸過程中，必須要確保信息內(nèi)容在發(fā)送、接收及保存的一致性；并在信息遭受篡改 攻擊的情況下，應(yīng)提供有效的察覺與發(fā)現(xiàn)機(jī)制，實現(xiàn)通信的完整性。 而數(shù)據(jù)在傳輸過程中，為能夠抵御不良企圖者采取的各種攻擊，防止遭到竊取，應(yīng)采用加密措施保證數(shù)據(jù)的機(jī)密性。4.4.2 安全管理需求分析“三分技術(shù)、七分管理”更加突出的是管理層面在安全體系中的重要性。除了技術(shù)管理措施外，安全管理是保障安全技術(shù)手段發(fā)揮具體作用的最有效手段，建立健全安全管理體系不但是合規(guī)性要求，也是作為一個安全體系

26、來講，不可或缺的重要組成部分。安全管理體系依賴于國家相關(guān)標(biāo)準(zhǔn)、行業(yè)規(guī)范、國際安全標(biāo)準(zhǔn)等規(guī)范和標(biāo)準(zhǔn)來指導(dǎo)，形成可操作的體系。主要包括：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理，根據(jù)等級保護(hù)的要求在上述方面建立一系列的管理制度與操作規(guī)范，并明確執(zhí)行。5 平臺設(shè)計5.1 設(shè)計目標(biāo)移動應(yīng)用安全系統(tǒng)設(shè)計目標(biāo)是建立移動政務(wù)信息安全立體防護(hù)保障體系，防止來自外部和內(nèi)部的各種入侵和攻擊，防止非授權(quán)的訪問，防止各種冒充、篡改和抵賴等行為，防止信息泄密和被破壞。通過從終端安全、網(wǎng)絡(luò)安全、接入邊界安全、傳輸數(shù)據(jù)安全等方面進(jìn)行安全建設(shè)以構(gòu)建整體安全結(jié)構(gòu)；并以安全管理制度、安全管理機(jī)構(gòu)、人員安全管理等方面入手進(jìn)行管理體

27、系建設(shè)，把安全技術(shù)和 安全管理相結(jié)合，使得移動應(yīng)用安全系統(tǒng)安全建設(shè)方案能夠全方面為移動采集業(yè)務(wù)提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護(hù)能力，實 現(xiàn)電子政務(wù)移動辦公的實用性、先進(jìn)性、經(jīng)濟(jì)性和可擴(kuò)展性。5.2 設(shè)計思路移動應(yīng)用安全系統(tǒng)的安全體系設(shè)計主要由三重防護(hù)體系設(shè)計、 兩個基礎(chǔ)設(shè)施設(shè)計構(gòu)成，如下圖。接入?yún)^(qū)域邊界安全 鏈路與網(wǎng)絡(luò)通信安全無線終端安全 PKI/PMI 基礎(chǔ)設(shè)施 安全監(jiān)測與管理基礎(chǔ)設(shè)施三重防護(hù)體系設(shè)計：即應(yīng)用環(huán)境安全設(shè)計、應(yīng)用區(qū)域邊界安全設(shè)計和網(wǎng)絡(luò)通信安全設(shè)計。無線終端安全設(shè)計：即確保終端和用戶來源可信、可監(jiān)控設(shè)計，無線終端系 統(tǒng)自身安全加固設(shè)計以及核心業(yè)務(wù)程序安

28、全設(shè)計。接入?yún)^(qū)域邊界安全設(shè)計：主要涉及網(wǎng)絡(luò)及應(yīng)用系統(tǒng)邊界安全方面，通過身份認(rèn)證、訪問控制技術(shù)，確保對應(yīng)用系統(tǒng)的訪問是通過細(xì)粒度控制下的合法訪問者。鏈路與網(wǎng)絡(luò)通信安全設(shè)計：主要涉及鏈路及網(wǎng)絡(luò)安全方面，采用數(shù)據(jù)機(jī)密性與完整性保護(hù)技術(shù)，建立端到端傳輸?shù)陌踩珯C(jī)制。兩個基礎(chǔ)設(shè)施設(shè)計：即PKI/PMI基礎(chǔ)設(shè)施，安全監(jiān)測與管理基礎(chǔ)設(shè)施。PKI/PMI基礎(chǔ)設(shè)施設(shè)計：實施網(wǎng)上數(shù)字證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能，是實現(xiàn)接入平臺身份認(rèn)證、授權(quán)管理、訪問控制策略等安全機(jī)制的基礎(chǔ)。安全監(jiān)測與管理基礎(chǔ)設(shè)施設(shè)計：實現(xiàn)整個平臺的安全監(jiān)測、管理與運(yùn)行維護(hù)。5.3 設(shè)計內(nèi)容一是構(gòu)建邊界接入平臺。按照邊界安全接入的規(guī)范要

29、求，采取區(qū)分鏈路安全防御的方法，構(gòu)建集邊界保護(hù)、身份認(rèn)證、應(yīng)用安全、安全隔離等功能的邊界接入平臺，在確保邊界接入安全的前提下，建立政務(wù)網(wǎng)與外網(wǎng)的網(wǎng)絡(luò)安全通道，為有關(guān)機(jī)關(guān)及部門提供安全的網(wǎng)絡(luò)接入服務(wù)。二是建設(shè)邊界接入平臺監(jiān)控和管理系統(tǒng)。按照統(tǒng)一接入管理、 統(tǒng)一應(yīng)用審計、統(tǒng)一運(yùn)行監(jiān)控、統(tǒng)一策略部署的策略，建設(shè)邊界接入平臺的集中監(jiān)控和審計系統(tǒng)，以加強(qiáng)對外部接入及數(shù)據(jù)交換情況進(jìn)行審計，并對平臺的運(yùn)維提供服務(wù)。監(jiān)控和管理系統(tǒng)支持總局/省局結(jié)構(gòu)的上下層接入平臺。接入平臺的監(jiān)控和管理系統(tǒng)主要功能分為兩部分：接入平臺自身的安全監(jiān)控管理功能和接入平臺級聯(lián)服務(wù)功能。三是建立相應(yīng)的運(yùn)行維護(hù)和管理工作機(jī)制。在建設(shè)邊界

30、接入平臺的同時，建立系統(tǒng)平臺的日常運(yùn)行維護(hù)和管理工作機(jī)制，通過規(guī)范接入配臵、規(guī)范安全監(jiān)控、規(guī)范運(yùn)行處臵等工作，保障系統(tǒng)平臺正常運(yùn)行。5.4 安全技術(shù)體系設(shè)計整體安全技術(shù)體系分為終端環(huán)境、通訊網(wǎng)絡(luò)、邊界接入三個大部分，下文按照整體設(shè)計框架，對三大部分進(jìn)行詳細(xì)闡述。5.4.1 終端環(huán)境安全設(shè)計（1） 系統(tǒng)加固操作系統(tǒng)安全：對移動終端自身的操作系統(tǒng)進(jìn)行安全加固措施；一致性校驗：系統(tǒng)啟動后對操作系統(tǒng)裝載器、內(nèi)核、硬件配臵、關(guān)鍵應(yīng)用和配臵信息等進(jìn)行驗證，確保引導(dǎo)過程中各部件的完整性，一致性，使終端按照經(jīng)過嚴(yán)格驗證的方式進(jìn)行引導(dǎo)；接口監(jiān)控：實現(xiàn)對移動終端輸入、輸出接口進(jìn)行分類，對各個物理接口進(jìn)行接入安全控

31、制，如數(shù)據(jù)口等；移動終端應(yīng)能夠與智能卡安全的進(jìn)行信息交互。（2） 身份標(biāo)識 為了保證信息源的真實性，對終端設(shè)備進(jìn)行標(biāo)識，具體為以下幾種措施：采用由權(quán)威中心為終端集成數(shù)字證書方式； 采用安全介質(zhì)（TF 卡）作為數(shù)字證書的存儲介質(zhì)；通過對安全介質(zhì)及數(shù)字證書的全生命周期管理，實現(xiàn)對該設(shè)備的可控管理；實現(xiàn)TF 卡號+SIM卡+終端設(shè)備號的三號綁定實現(xiàn)對該設(shè)備全網(wǎng)身份唯一標(biāo)識，確保接入終端的可信性。 （3） 身份鑒別 為提高系統(tǒng)安全性， 保障各種應(yīng)用的正常運(yùn)行，對終端需要進(jìn)行一系列的加固措施，包括：對登錄終端操作系統(tǒng)的用戶進(jìn)行可信識別；按照系統(tǒng)的特性，采用混合模式，結(jié)合圖形及數(shù)字口令的混合模式并定期更換

32、；對登錄TF卡用戶采取使用基于數(shù)字簽名+口令的可信憑證認(rèn)證；啟用登陸失敗處理功能，登陸失敗后，必須基于自身安全特性配臵結(jié)束會話、限制非法登錄次數(shù)等措施。 （4） 訪問控制 訪問控制主要是通過基于系統(tǒng)的程序鎖機(jī)制，對移動接入資源的授權(quán)訪問，避免越權(quán)非法使用。主要途徑：所有專用程序均集成在TF 內(nèi)，確保敏感資源的統(tǒng)一管理；對訪問TF卡內(nèi)的資源進(jìn)行口令認(rèn)證，確保所有訪問敏感資源可控； （5） 入侵防范 針對終端的入侵防范，基于現(xiàn)有移動終端技術(shù)，可以部署終端系統(tǒng)安全性掃描軟件進(jìn)行系統(tǒng)安全性檢測。 （6） 終端惡意代碼防范 各類惡意代碼尤其是病毒、木馬等是對移動應(yīng)用安全管理系統(tǒng)的重大危害，針對病毒的風(fēng)險

33、，我們建議重點是將病毒消滅或封堵在終端這個源頭上。所以，在所有終端上部署基于系統(tǒng)防病毒系統(tǒng)，加強(qiáng)終端的病毒防護(hù)能力并及時升級惡意代碼軟件版本以及惡意代碼庫。同時，防毒系統(tǒng)可以為終端提供關(guān)于病毒威脅和事件的監(jiān)控、審計日志，為終端的病毒防護(hù)管理提供必要的信息。 （7） 數(shù)據(jù)加密 為了保證業(yè)務(wù)數(shù)據(jù)流及緩存數(shù)據(jù)的安全性，提供對于敏感數(shù)據(jù)的保護(hù)措施：所有專用程序涉及的數(shù)據(jù)均存儲在TF卡內(nèi)，確保敏感資源的統(tǒng)一存儲；采用非對稱密鑰體系，使用數(shù)字證書對需要進(jìn)行保護(hù)的數(shù)據(jù)進(jìn)行算法加密。 （8） 數(shù)據(jù)完整性與保密性 目前，移動應(yīng)用安全管理系統(tǒng)中傳輸?shù)男畔⒅饕侵匾臄?shù)據(jù)，對信息完整性校驗提出了一定的需求，特別是通

34、過互聯(lián)網(wǎng)遠(yuǎn)程接入業(yè)務(wù)內(nèi)網(wǎng)傳遞數(shù)據(jù)的私密性有很高的要求。 此次設(shè)計，采用無線接入網(wǎng)關(guān)設(shè)備，通過專用終端客戶端，采用SSL 方式，基于移動身份證書實現(xiàn)邊界與移動終端之間的雙向認(rèn)證，結(jié)合通訊網(wǎng)絡(luò)自身的安全措施，保證使用移動公網(wǎng)傳輸信息的機(jī)密性、完整性和不可抵賴性。5.4.2 接入域邊界安全設(shè)計（1） 邊界可信接入 為提高移動終端接入業(yè)務(wù)內(nèi)網(wǎng)的可信力， 需要對接入邊界的所有用戶及終端進(jìn)行統(tǒng)一有效的唯一性校驗：采用終端植入數(shù)字證書的方式，對登錄用戶進(jìn)行身份標(biāo)識，且保證終端設(shè)備與用戶的綁定關(guān)系；采用無線接入網(wǎng)關(guān)設(shè)備對接入請求進(jìn)行基于TF卡+數(shù)字證書+設(shè)備號的三維身份鑒別；基于全網(wǎng)統(tǒng)一的策略對接入終端進(jìn)行可

35、信識別；啟用登陸失敗處理功能，登陸失敗后采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。 （2） 邊界訪問控制 網(wǎng)絡(luò)資源訪問控制邊界接入域與業(yè)務(wù)域間、 邊界接入域與互聯(lián)網(wǎng)區(qū)域間，在網(wǎng)絡(luò)層部署防火墻產(chǎn)品進(jìn)行訪問控制，通過對所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴(yán)格的安全規(guī)則進(jìn)行過濾，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，杜絕越權(quán)訪問，防止各類非法攻擊行為。設(shè)臵只有經(jīng)過適配的應(yīng)用協(xié)議才能通過防火墻，同時可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。通過以防火墻為中心的安全方案配臵，能將所有安全軟件（如口令、

36、加密、身份認(rèn)證、審計等）配臵在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個終端上相比，防火墻的集中安全管理更經(jīng)濟(jì)。在實現(xiàn)精準(zhǔn)訪問控制與邊界隔離防護(hù)基礎(chǔ)上，實現(xiàn)阻止由于病毒或者P2P軟件引起的異常流量、進(jìn)行精確的流量控制等。對各級節(jié)點功能域?qū)崿F(xiàn)全面的邊界 防護(hù)，嚴(yán)格控制節(jié)點之間的網(wǎng)絡(luò)數(shù)據(jù)流。應(yīng)用資源訪問控制終端訪問控制主要控制終端客體對業(yè)務(wù)內(nèi)網(wǎng)中的網(wǎng)絡(luò)域、應(yīng)用系統(tǒng)等資源的訪問，避免越權(quán)非法用。此次設(shè)計采用無線認(rèn)證網(wǎng)關(guān)、邊界接入網(wǎng)關(guān)，對用戶訪問的資源進(jìn)行訪問控制，對違規(guī)行為進(jìn)行報警和阻斷，訪問控制采用基于角色的配臵策略，遵循業(yè)務(wù)相關(guān)和屬地化的白名單原則，對于B/S應(yīng)用基于URL過濾形式進(jìn)行訪問控制，對于B

37、/S和C/S相結(jié)合的應(yīng)用，基于URL和 IP/端口相結(jié)合的形式進(jìn)行訪問控制。啟用訪問控制功能：制定嚴(yán)格的訪問控制安全策略，根據(jù)策略控制用戶對應(yīng)用系統(tǒng)的訪問，特別是應(yīng)用對象、URL，控制粒度主體為用戶級、客體為訪問路徑。權(quán)限控制：對于制定的訪問控制規(guī)則要能清楚的覆蓋資源訪問相關(guān)的主體、客體及它們之間的操作。對于不同的用戶授權(quán)原則是進(jìn)行能夠完成工作的最小化授權(quán)，避免授權(quán)范圍過大，并在它們之間形成相互制約的關(guān)系。 （3） 邊界入侵防御在各區(qū)域邊界，防火墻起到了協(xié)議過濾的主要作用，根據(jù)安全策略偏重在網(wǎng) 絡(luò)層判斷數(shù)據(jù)包的合法流動。但面對越來越廣泛的基于應(yīng)用層內(nèi)容的攻擊行為，防火墻并不擅長處理應(yīng)用層數(shù)據(jù)。

38、在移動應(yīng)用安全管理系統(tǒng)網(wǎng)絡(luò)邊界區(qū)域均已經(jīng)設(shè)計部署了防火墻，對每個功 能域進(jìn)行嚴(yán)格的訪問控制。鑒于以上對防火墻核心作用的分析，需要其他具備檢測新型的混合攻擊和防護(hù)的能力的設(shè)備和防火墻配合，共同防御來自應(yīng)用層到網(wǎng)絡(luò)層的多種攻擊類型，建立一整套的安全防護(hù)體系，進(jìn)行多層次、多手段的檢測和防護(hù)。入侵防護(hù)系統(tǒng)（IPS）就是安全防護(hù)體系中重要的一環(huán)，它能夠及時識別網(wǎng)絡(luò)中發(fā)生的入侵行為并實時報警并且進(jìn)行有效攔截防護(hù)。IPS是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護(hù)方法之后的新一代安全保 障技術(shù)。它監(jiān)視計算機(jī)系統(tǒng)或網(wǎng)絡(luò)中發(fā)生的事件，并對它們進(jìn)行分析，以尋找危及信息的機(jī)密性、完整性、可用性或試圖繞過安全機(jī)制的入侵

39、行為并進(jìn)行有效攔截。IPS 就是自動執(zhí)行這種監(jiān)視和分析過程，并且執(zhí)行阻斷的硬件產(chǎn)品。將IPS串接在防火墻后面，核心服務(wù)器區(qū)的前面，在防火墻進(jìn)行訪問控制，保證了訪問的合法性之后，IPS動態(tài)的進(jìn)行入侵行為的保護(hù)，對訪問狀態(tài)進(jìn)行檢 測、對通信協(xié)議和應(yīng)用協(xié)議進(jìn)行檢測、對內(nèi)容進(jìn)行深度的檢測。阻斷來自內(nèi)部的數(shù)據(jù)攻擊以及垃圾數(shù)據(jù)流的泛濫。由于IPS對訪問進(jìn)行深度的檢測，因此，IPS 產(chǎn)品需要通過先進(jìn)的硬件架構(gòu)、軟件架構(gòu)和處理引擎對處理能力進(jìn)行充分保證。（4） 邊界安全審計 各安全區(qū)域邊界已經(jīng)部署了相應(yīng)的安全設(shè)備負(fù)責(zé)進(jìn)行區(qū)域邊界的安全。對于流經(jīng)各主要邊界（重要服務(wù)器區(qū)域、外部連接邊界）需要設(shè)臵必要的審計機(jī)制，

40、進(jìn)行數(shù)據(jù)監(jiān)視并記錄各類操作，通過審計分析能夠發(fā)現(xiàn)跨區(qū)域的安全威脅，實時地綜合分析出網(wǎng)絡(luò)中發(fā)生的安全事件。一般可采取開啟邊界安全設(shè)備的審計功能 模塊，根據(jù)審計策略進(jìn)行數(shù)據(jù)的日志記錄與審計。同時審計信息要通過安全管理中心進(jìn)行統(tǒng)一集中管理，為安全管理中心提供必要的邊界安全審計數(shù)據(jù)，利于管理中心進(jìn)行全局管控。以終端、用戶、業(yè)務(wù)應(yīng)用系統(tǒng)為對象的安全審計，以及對異常事件的追蹤。用戶行為審計，即用戶信息、訪問的資源、訪問的時間等；業(yè)務(wù)對象訪問審計，即應(yīng)用系統(tǒng)信息，數(shù)據(jù)傳輸流量、傳輸時間、傳輸單位 等；異常行為審計等；按時間段、應(yīng)用系統(tǒng)、用戶單位分析統(tǒng)計用戶行為、業(yè)務(wù)應(yīng)用系統(tǒng)的異常行為。（5） 邊界惡意代碼防

41、范 在移動應(yīng)用安全管理系統(tǒng)接入邊界部署防病毒網(wǎng)關(guān)，采用透明接入方式，在最接近病毒發(fā)生源安全邊界處進(jìn)行集中防護(hù)，對夾雜在網(wǎng)絡(luò)交換數(shù)據(jù)中的各類網(wǎng)絡(luò)病毒進(jìn)行過濾，可以對網(wǎng)絡(luò)病毒、蠕蟲、混合攻擊、端口掃描、間諜軟件、P2P軟件帶寬濫用等各種廣義病毒進(jìn)行全面的攔截。阻止病毒通過網(wǎng)絡(luò)的快速擴(kuò)散，將經(jīng)網(wǎng)絡(luò)傳播的病毒阻擋在外，可以有效防止病毒從其他區(qū)域傳播到內(nèi)部其他功 能域中。通過部署 AV 防病毒網(wǎng)關(guān)（防毒墻） ，截斷了病毒通過網(wǎng)絡(luò)傳播的途徑，凈化了網(wǎng)絡(luò)流量。為使得達(dá)到最佳防毒效果，AV 防病毒網(wǎng)關(guān)設(shè)備和終端防病毒 軟件應(yīng)為不同的廠家產(chǎn)品， 兩類病毒防護(hù)產(chǎn)品共同組成移動應(yīng)用安全管理系統(tǒng)的 立體病毒防護(hù)體系。

42、 為能達(dá)到最好的防護(hù)效果，病毒庫的及時升級至最新版本至 關(guān)重要。對于能夠與互聯(lián)網(wǎng)實現(xiàn)連接的網(wǎng)絡(luò)，應(yīng)對自動升級進(jìn)行準(zhǔn)確配臵；對與 不能與互聯(lián)網(wǎng)進(jìn)行連接的網(wǎng)絡(luò)環(huán)境，需采取手動下載升級包的方式進(jìn)行手動升 級。5.4.3 通信網(wǎng)絡(luò)安全設(shè)計（1） 鏈路設(shè)計 移動應(yīng)用安全管理系統(tǒng)作為專網(wǎng)邊界接入統(tǒng)一的出入口，是通信的重要通道。 針對該平臺政務(wù)外網(wǎng)邊界接入業(yè)務(wù)狀況，為了保障移動應(yīng)用安全管理系統(tǒng)本身、 業(yè)務(wù)信息及內(nèi)部業(yè)務(wù)網(wǎng)等的安全，采用適度安全原則，對接入用戶終端到移動應(yīng) 用安全管理系統(tǒng)（外部鏈路）和移動應(yīng)用安全管理系統(tǒng)內(nèi)部（內(nèi)部鏈路）的物理 鏈路進(jìn)行分別設(shè)計。 ? 外部鏈路 外部鏈路指的是外部接入終端/用戶

43、到移動應(yīng)用安全管理系統(tǒng)邊界的物理鏈 路。 為了保障接入終端本身的安全、信息在外部鏈路上傳輸?shù)陌踩捌脚_本身的 安全，外部接入鏈路采用安全專線方式和 VPDN 方式。 專線方式： 專線方式指的是平臺租用公共通信網(wǎng)運(yùn)營商提供的專用通信線路 /帶寬，其特點為接入點位臵固定電路專用。例如專用接入點。 VPDN 方式：VPDN（Virtual Private Dail-up Network 虛擬撥號專用網(wǎng)） ，是基 于撥號接入(PSTN、ISDN)的虛擬專用網(wǎng)，采用專用的網(wǎng)絡(luò)安全和通信協(xié)議，在公共網(wǎng)絡(luò)上建立相對安全的虛擬專網(wǎng)。VPDN 用戶可以經(jīng)過公共網(wǎng)絡(luò)，通過虛擬的 安全通道和用戶內(nèi)部的用戶網(wǎng)絡(luò)進(jìn)行連

44、接， 而公共網(wǎng)絡(luò)上的用戶則無法穿過虛擬 通道訪問用戶網(wǎng)絡(luò)內(nèi)部的資源。 對于 VPDN 方式這種接入方式，外部接入鏈路方式不僅僅只局限于 VPDN。 還可采用其它類似的安全接入方式，如專用 MPLS VPN 等。這些接入方式主要需 滿足如下要求即可： 客戶端在未使用賬號/密碼（或其它方式）登錄到公共通信網(wǎng)運(yùn)營商提供的 網(wǎng)絡(luò)接入（此時物理上是鏈接的）之前，不能訪問其它網(wǎng)絡(luò)； 客戶端通過賬號/密碼（或其它方式）登錄到公共通信網(wǎng)運(yùn)營商提供的網(wǎng)絡(luò) 后，其不能訪問其它網(wǎng)絡(luò)，只能訪問指定的移動應(yīng)用安全管理系統(tǒng)邊界； 客戶端在鏈接的過程中（即登錄的過程中）不能訪問其它網(wǎng)絡(luò)。 在此，需要說明的是 ADSL +

45、VPN 這種接入方式不符合外部接入安全要求。 ADSL+VPN 在 ADSL 拔通后，始終存在公網(wǎng)地址,設(shè)備始終在公網(wǎng)可見，會造成嚴(yán) 重的安全問題。 ? 內(nèi)部鏈路目前移動應(yīng)用安全管理系統(tǒng)處于規(guī)劃階段，內(nèi)部業(yè)務(wù)來源單一、終端用戶統(tǒng)一， 但是考慮到訪問量的巨大壓力， 在內(nèi)部物理鏈路上采用多安全級別鏈路的方式進(jìn) 行規(guī)劃。（2） 網(wǎng)絡(luò)安全審計 網(wǎng)絡(luò)安全審計系統(tǒng)主要用于監(jiān)視并記錄網(wǎng)絡(luò)中的各類操作， 偵察系統(tǒng)中存在 的現(xiàn)有和潛在的威脅， 實時地綜合分析出網(wǎng)絡(luò)中發(fā)生的安全事件，包括各種外部 事件和內(nèi)部事件。 在接入域核心路由處并聯(lián)部署網(wǎng)絡(luò)行為監(jiān)控與審計系統(tǒng)， 形成對全網(wǎng)網(wǎng)絡(luò)數(shù) 據(jù)的流量監(jiān)測并進(jìn)行相應(yīng)安全審計

46、， 同時和其它網(wǎng)絡(luò)安全設(shè)備共同為集中安全管 理提供監(jiān)控數(shù)據(jù)用于分析及檢測。 網(wǎng)絡(luò)行為監(jiān)控和審計系統(tǒng)將獨立的網(wǎng)絡(luò)傳感器硬件組件連接到網(wǎng)絡(luò)中的數(shù) 據(jù)會聚點設(shè)備上，對網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行分析、匹配、統(tǒng)計，通過特定的協(xié)議算 法，從而實現(xiàn)入侵檢測、信息還原等網(wǎng)絡(luò)審計功能，根據(jù)記錄生成詳細(xì)的審計報 表。網(wǎng)絡(luò)行為監(jiān)控和審計系統(tǒng)采用旁路技術(shù)，不用在目標(biāo)終端中安裝任何組件。 同時網(wǎng)絡(luò)審計系統(tǒng)可以與其它網(wǎng)絡(luò)安全設(shè)備進(jìn)行聯(lián)動， 將各自的監(jiān)控記錄送往集 中監(jiān)測與管理域中的安全管理服務(wù)器，集中對網(wǎng)絡(luò)異常、攻擊和病毒進(jìn)行分析和 檢測。 （3） 網(wǎng)絡(luò)設(shè)備防護(hù) 為提高網(wǎng)絡(luò)設(shè)備的自身安全性，保障各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)行，對網(wǎng)絡(luò)設(shè)備

47、 需要進(jìn)行一系列的加固措施，包括： 對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別，用戶名必須唯一； 對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制； 身份鑒別信息具有不易被冒用的特點，口令設(shè)臵需 3 種以上字符、長度不少 于 8 位，并定期更換； 具有登錄失敗處理功能，失敗后采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò) 登錄連接超時自動退出等措施； 啟用 SSH 等管理方式，加密管理數(shù)據(jù)，防止被網(wǎng)絡(luò)竊聽。 （4） 通信完整性 信息的完整性設(shè)計包括信息傳輸?shù)耐暾孕ｒ炓约靶畔⒋鎯Φ耐暾孕ｒ灐?對于信息傳輸和存儲的完整性校驗可以采用的技術(shù)包括校驗碼技術(shù)、 消息鑒 別碼、密碼校驗函數(shù)、散列函數(shù)、數(shù)字簽名等。 對于信息傳輸?shù)耐暾?/p>

48、性校驗應(yīng)由傳輸加密系統(tǒng)完成。部署無線接入網(wǎng)關(guān)設(shè) 備，采用 SSL 協(xié)議保證遠(yuǎn)程數(shù)據(jù)傳輸?shù)臄?shù)據(jù)完整性。 對于信息存儲的完整性校驗應(yīng)由業(yè)務(wù)域內(nèi)的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫系統(tǒng)完成。（5） 通信保密性 應(yīng)用層的通信保密性主要由應(yīng)用系統(tǒng)完成。在通信雙方建立連接之前，應(yīng)用 系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗證； 并對通信過程中的敏感信息字段進(jìn)行 加密。 對于信息傳輸?shù)耐ㄐ疟Ｃ苄詰?yīng)由傳輸加密系統(tǒng)完成。 部署無線接入網(wǎng)關(guān)設(shè)備 采用 SSL 協(xié)議，保證終端數(shù)據(jù)傳輸?shù)臄?shù)據(jù)機(jī)密性。5.4.4 集中監(jiān)測與管理設(shè)計由于所有終端覆蓋面廣，用戶眾多，技術(shù)人員水平不一。為了能準(zhǔn)確了解終端的運(yùn)行狀態(tài)、設(shè)備的運(yùn)行情況，統(tǒng)一部署安全策略，

49、應(yīng)進(jìn)行安全管理中心的設(shè) 計，根據(jù)要求，應(yīng)在終端管理、審計管理和安全管理幾個大方面進(jìn)行建設(shè)。 在集中監(jiān)測與管理域中建立安全管理中心， 是有效幫助管理人員實施好安全 措施的重要保障，是實現(xiàn)業(yè)務(wù)穩(wěn)定運(yùn)行、長治久安的基礎(chǔ)。通過安全管理中心的 建設(shè)， 真正實現(xiàn)安全技術(shù)層面和管理層面的結(jié)合，全面提升用戶網(wǎng)絡(luò)的信息安全 保障能力。 （1） 終端證書管理 系統(tǒng)管理員對于終端進(jìn)行數(shù)字證書的發(fā)放工作。 （2） 移動終端管理 通過系統(tǒng)管理員對終端及安全設(shè)備資源和運(yùn)行進(jìn)行配臵、 控制和管理， 包括： 終端入網(wǎng)許可：終端設(shè)備入網(wǎng)許可，實現(xiàn) TF 卡+SIM 卡+設(shè)備號的三號綁定； 安全介質(zhì)管理：統(tǒng)一對所有對外發(fā)放的 T

50、F 卡進(jìn)行序列號、初始化等管理； 終端合規(guī)性初始化：對每臺為終端服務(wù)的 TF 卡進(jìn)行合規(guī)性初始化工作，包 括安裝防毒、漏掃等安全程序； 終端合規(guī)性檢測：檢測每臺終端的合規(guī)性執(zhí)行情況（訪問控制、防毒、掃描 等） ； 終端資產(chǎn)管理：對終端及所屬機(jī)構(gòu)進(jìn)行綜合管理，內(nèi)容包括組織機(jī)構(gòu)管理、 終端設(shè)備序列號、對應(yīng)責(zé)任關(guān)系等； 終端凍結(jié)：由于業(yè)務(wù)或者其他原因，停止該終端的接入行為； 終端解凍：開通該終端的業(yè)務(wù)接入行為許可。 （3） 授權(quán)策略管理 鑒別策略管理：提供終端鑒別策略，驗證策略包括驗證證書名、驗證內(nèi)部編 號、驗證手機(jī)號、驗證 TF 卡號、驗證 SIM 卡號、驗證 IMEI 號、驗證組織機(jī)構(gòu)等 信息

51、監(jiān)控策略管理：提供終端監(jiān)控策略，包括是否監(jiān)控、監(jiān)控對象、監(jiān)控內(nèi)容等。 終端訪問權(quán)限策略：提供終端數(shù)據(jù)采集報送策略，包括可信名單、可信訪問 時間、可信訪問資源等； 應(yīng)用訪問權(quán)限策略： 提供終端用戶訪問業(yè)務(wù)網(wǎng)、 前臵訪問業(yè)務(wù)網(wǎng)的權(quán)限策略， 包括可信路徑、可信資源等。（4） 統(tǒng)一審計監(jiān)控 統(tǒng)一審計監(jiān)控系統(tǒng)主要根據(jù)接入平臺以及業(yè)務(wù)注冊過程中配臵的安全策略 提供安全管理功能。主要包括實時監(jiān)控接入終端的安全狀況、網(wǎng)絡(luò)連接情況、系 統(tǒng)和業(yè)務(wù)應(yīng)用的運(yùn)行情況；實時監(jiān)控接入平臺的運(yùn)行狀況，并實現(xiàn)對監(jiān)測信息、 報警信息、 安全事件信息等數(shù)據(jù)的查詢和統(tǒng)計， 監(jiān)控接入平臺當(dāng)前運(yùn)行總體情況； 用戶監(jiān)控，即登錄狀態(tài)、操作行

52、為、訪問資源等；異常監(jiān)控，包括異常用戶、流 量、設(shè)備等信息；按時間段、應(yīng)用系統(tǒng)、用戶單位分析統(tǒng)計用戶信息、流量信息、 異常信息；及時生成網(wǎng)絡(luò)流量信息的報表。 具體集中審計內(nèi)容包括： 日志監(jiān)視 實時監(jiān)視接收到的事件的狀況，如最近日志列表、系統(tǒng)風(fēng)險狀況等；監(jiān)控事 件狀況的同時也可以監(jiān)控設(shè)備運(yùn)行參數(shù)，以配合確定設(shè)備及網(wǎng)絡(luò)的狀態(tài)；日志監(jiān) 視支持以圖形化方式實時監(jiān)控日志流量、系統(tǒng)風(fēng)險等變化趨勢。 日志管理 日志管理實現(xiàn)對多種日志格式的統(tǒng)一管理。 通過 SNMP、 SYSLOG 或者其它的 日志接口采集管理對象的日志信息， 轉(zhuǎn)換為統(tǒng)一的日志格式， 再統(tǒng)一管理、 分析、 報警； 自動完成日志數(shù)據(jù)的格式解析和

53、分類； 提供日志數(shù)據(jù)的存儲、 備份、 恢復(fù)、 刪除、導(dǎo)入和導(dǎo)出操作等功能。日志管理支持分布式日志級聯(lián)管理，下級管理中 心的日志數(shù)據(jù)可以發(fā)送到上級管理中心進(jìn)行集中管理。 審計分析 集中審計可綜合各種安全設(shè)備的安全事件， 以統(tǒng)一的審計結(jié)果向用戶提供可 定制的報表，全面反映網(wǎng)絡(luò)安全總體狀況，重點突出，簡單易懂。 可以生成多種形式的審計報表，報表支持表格和多種圖形表現(xiàn)形式；用戶可 以通過 IE 瀏覽器訪問，導(dǎo)出審計結(jié)果?？稍O(shè)定定時生成日志統(tǒng)計報表，并自動 保存以備審閱或自動通過郵件發(fā)送給指定收件人，實現(xiàn)對安全審計的流程化處 理。 終端資源配臵與監(jiān)控 進(jìn)行終端資源配臵管理與監(jiān)控，包括終端狀態(tài)、證書狀態(tài)等

54、。 運(yùn)行異常監(jiān)控安全設(shè)備遇到攻擊， 或未授權(quán)終端非法訪問資源等情況，會以告警等信息方 式，通知管理員。統(tǒng)一監(jiān)控可提供多種自動處理機(jī)制，協(xié)助用戶監(jiān)控最新告警， 全方位掌控終端及安全設(shè)備異常和攻擊。 遠(yuǎn)程鎖定 基于定制終端操作系統(tǒng)， 實現(xiàn)對遠(yuǎn)程遺失或非法用戶使用的合法終端進(jìn)行整 機(jī)鎖定或資源保護(hù)控制。5.5 性能設(shè)計移動應(yīng)用安全管理系統(tǒng)在性能上需滿足目前的業(yè)務(wù)需求外， 還需對將來的業(yè) 務(wù)擴(kuò)展留下充足的空間。在性能設(shè)計上主要體現(xiàn)在平臺鏈路帶寬、在線 /并發(fā)用 戶數(shù)和網(wǎng)絡(luò)吞吐量等方面。5.5.1 鏈路帶寬對于移動應(yīng)用安全管理系統(tǒng)，鏈路帶寬分為外部鏈路和內(nèi)部鏈路兩個部分。 （1） 外部鏈路 由于外部所有

55、的信息傳輸都經(jīng)過加密， 因此對終端接入的帶寬要求比普通的 無線網(wǎng)絡(luò)接入要高。 目前最高端的鏈路為聯(lián)通的 WCDMA-HSDPA， 該 3G 網(wǎng)支持 14.4Mbps 的帶寬， 將來規(guī)劃在一線主流城市升級至 WCDMA-HSPA+，該 3G 網(wǎng)為 21Mbps。 電信主流的鏈路為 CDMA2000 EV-DO A 版本(Rev.A)速率為 3.1Mbps，將來規(guī) 劃升級為 CDMA2000 EV-DO B 版本(Rev.B)速率為 9.3Mbps。 中國移動目前主流的為 TD-HSDPA 速率為 2.8Mbps。 （2） 內(nèi)部鏈路 移動應(yīng)用安全管理系統(tǒng)的邊界接入域是政務(wù)外網(wǎng)與其它網(wǎng)唯一通道， 將

56、來接 入業(yè)務(wù)會逐漸增加，因此在內(nèi)部鏈路上皆采用千兆鏈路，如用戶有特殊情況 /要 求， 也可建設(shè)百兆鏈路。 在平臺內(nèi)部鏈路上的通用網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)環(huán)境皆采用千 兆的設(shè)備架設(shè)。以滿足將來的業(yè)務(wù)擴(kuò)展和升級，保護(hù)投資。（3） 帶寬估算方式 以下給出帶寬的初步的估算方式。 接入的應(yīng)用可分為面向長連接的和不面向長連接的。如 B/S 方式的應(yīng)用，由 于采用的是 HTTP 協(xié)議，不是長連接的，對資源要求少；而對于 C/S 應(yīng)用，由于其是長連接的，因此其占用帶寬資源較多。一般采用 B/S 方式估算，如果同時在 線用戶數(shù)為 10*n，對于 B/S 類應(yīng)用實際的并發(fā)在線用戶數(shù)可以總用戶數(shù)的 1/10 計。則同時并發(fā)在

57、線用戶數(shù)為 n，假設(shè)各個用戶業(yè)務(wù)要求的帶寬為 200Kb，則總 帶寬要求為：200Kb * n = 0.2*n Mb。因此，一個真千兆的接入鏈路，可承載 5000 個用戶的并發(fā)，相當(dāng)于可同時支撐 50000 個用戶。 若總用戶數(shù)超過 50000 個， 則由于目前架設(shè)高于千兆鏈路環(huán)境成本較高， 則 可通過分流用戶或增加鏈路節(jié)點來實現(xiàn)大用戶量的業(yè)務(wù)接入。5.5.2 業(yè)務(wù)并發(fā)數(shù)從鏈路帶寬的分析中可知，真千兆的同時并發(fā)業(yè)務(wù)數(shù)極限為 5000。因此，在實 際使用中需少于這個數(shù)目。 在進(jìn)行設(shè)備選型時，設(shè)備的性能參數(shù)的最高值必須在 這個值左右或以上， 這是因為設(shè)備的性能參數(shù)是在實驗室環(huán)境下測出來的，在實 際

58、工作環(huán)境中不可能達(dá)到。5.5.3 吞吐量從上述分析中可知，內(nèi)部鏈路帶寬采用千兆鏈路。 對于授權(quán)訪問類應(yīng)用， 其吞吐量性能與業(yè)務(wù)情況實時掛鉤。而對數(shù)據(jù)交換類 業(yè)務(wù)，如果業(yè)務(wù)總需求高于鏈路的吞吐量設(shè)計，則可通過以下方式進(jìn)行解決： 負(fù)載均衡技術(shù) 最容易想到方法就時采用負(fù)載均衡技術(shù)來實現(xiàn)，這是一個最容易想到的方 案，也是最行之有效的。然而，從目前的實際情況來看并不存在這樣的必要性： 所有業(yè)務(wù)不是馬上就可以一步實施到位的；不是所有的業(yè)務(wù)都需要準(zhǔn)實時交換 的，通過人為的規(guī)劃，可以將各種業(yè)務(wù)按要求進(jìn)行劃分，錯開時間高峰以滿足應(yīng) 用要求。 綜上所述，為了更好地支撐將來業(yè)務(wù)的接入，整個平臺采用千兆設(shè)備架設(shè)。5.6 業(yè)務(wù)流程設(shè)計移動終端在線接入安全方案如下圖所示：移動終端首先與移動運(yùn)營商建立無線接入通道，再通過此通道與信息網(wǎng)連 接。 連接通道建成后，移動終端與信息網(wǎng)內(nèi)的安全設(shè)備相互進(jìn)行身份認(rèn)證，通過 證書的認(rèn)證，確認(rèn)雙方都是可信任的。 然后雙方利用密鑰協(xié)商機(jī)制，采用國家密碼管理局批準(zhǔn)的專用加密算法，建 立安全的數(shù)據(jù)加密傳輸通道。 利用雙方的身份認(rèn)證， 確保移動終端安全可靠的接入信息網(wǎng)， 通過加密傳輸， 保障業(yè)務(wù)數(shù)據(jù)的傳輸安全，