移動(dòng)應(yīng)用安全管理系統(tǒng)設(shè)計(jì)方案

1、移動(dòng)應(yīng)用安全管理系統(tǒng)設(shè)計(jì)方案2014年目 錄2 系統(tǒng)設(shè)計(jì)原則42.1 安全性原則42.2 標(biāo)準(zhǔn)性原則52.3 規(guī)劃先進(jìn)性原則52.4 安全服務(wù)細(xì)致化原則63 建設(shè)思路64 整體分析74.1 業(yè)務(wù)需求74.1.1 移動(dòng)采集74.1.2 移動(dòng)辦公74.2 業(yè)務(wù)類型84.2.1 數(shù)據(jù)交換和數(shù)據(jù)采集84.2.2 授權(quán)訪問84.3 功能域劃分84.3.1 業(yè)務(wù)域94.3.2 接入域104.3.3 監(jiān)管域104.3.4 用戶域114.4 安全需求分析114.4.1 安全技術(shù)需求分析124.4.2 安全管理需求分析165 平臺(tái)設(shè)計(jì)165.1 設(shè)計(jì)目標(biāo)165.2 設(shè)計(jì)思路175.3 設(shè)計(jì)內(nèi)容185.4 安全技

2、術(shù)體系設(shè)計(jì)185.4.1 終端環(huán)境安全設(shè)計(jì)185.4.2 接入域邊界安全設(shè)計(jì)215.4.3 通信網(wǎng)絡(luò)安全設(shè)計(jì)245.4.4 集中監(jiān)測(cè)與管理設(shè)計(jì)275.5 性能設(shè)計(jì)305.5.1 鏈路帶寬305.5.2 業(yè)務(wù)并發(fā)數(shù)315.5.3 吞吐量325.7.2 安全管理機(jī)構(gòu)345.7.3 人員安全管理346 方案特點(diǎn)347 移動(dòng)安全管理平臺(tái)關(guān)鍵技術(shù)358 建設(shè)效果371 概述安徽省電子認(rèn)證管理中心（簡(jiǎn)稱“安徽 CA”）移動(dòng)應(yīng)用安全管理系統(tǒng)是從用戶的應(yīng)用安全和安全管理需求出發(fā)，基于PKI技術(shù)構(gòu)建可信身份體系、鑒權(quán)體系及行為追溯體系，實(shí)現(xiàn)信息系統(tǒng)可信、可控、可管理，滿足用戶自身信息化建設(shè)發(fā)展要求和相關(guān)法規(guī)政策

3、要求的網(wǎng)絡(luò)信任體系支撐平臺(tái)。由于歷史的原因，也是計(jì)算機(jī)技術(shù)日新月異發(fā)展的結(jié)果，信息化要求較高的行業(yè)現(xiàn)有的多套應(yīng)用系統(tǒng)從當(dāng)時(shí)的設(shè)計(jì)和建設(shè)看來可以說是非常科學(xué)和滿足業(yè)務(wù)需求的，但以現(xiàn)在的標(biāo)準(zhǔn)來看，由于不同的應(yīng)用系統(tǒng)建立在不同的硬件和操作平臺(tái)上，不同的應(yīng)用系統(tǒng)是由不同的系統(tǒng)集成商使用不同的語言和開發(fā)工具開發(fā)出來的，將不可避免的導(dǎo)致不同業(yè)務(wù)系統(tǒng)之間的用戶無法統(tǒng)一管理，資源無法統(tǒng)一授權(quán)，審計(jì)系統(tǒng)也分別獨(dú)立，且基于數(shù)字證書的強(qiáng)身份認(rèn)證也可能沒有實(shí)現(xiàn)。由于用戶角色以及資源的改變使得業(yè)務(wù)運(yùn)作不夠順暢，導(dǎo)致業(yè)務(wù)流程被割裂，需要過多的人工介入，效率下降，數(shù)據(jù)精確度降低，使的信息系統(tǒng)失去了其應(yīng)有的作用。從信息化建設(shè)

4、的長(zhǎng)遠(yuǎn)發(fā)展來看，要形成相互一致的業(yè)務(wù)基礎(chǔ)信息系統(tǒng)和有效運(yùn)行的信息層次化可信安全體系，必然需要將原來已分別建設(shè)的各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)平滑地整合在一起，在一個(gè)可信的安全基礎(chǔ)平臺(tái)上實(shí)現(xiàn)統(tǒng)一用戶管理、統(tǒng)一安全審計(jì)以及基于數(shù)字證書的集中身份認(rèn)證，統(tǒng)一Web管理界面方式讓各個(gè)業(yè)務(wù)系統(tǒng)間形成一個(gè)有機(jī)的整體，在整個(gè)可信網(wǎng)絡(luò)體系范圍內(nèi)實(shí)現(xiàn)系統(tǒng)信息的高度共享，針對(duì)快速變化的外部環(huán)境和客戶需求，做出及時(shí)的調(diào)整和反應(yīng)，真正提升政府機(jī)關(guān)行政能力或企事業(yè)單位核心競(jìng)爭(zhēng)力。安徽CA積累多年信息安全建設(shè)經(jīng)驗(yàn)，致力于幫助用戶安全便捷的運(yùn)用 PKI 技術(shù)建立可信安全體系架構(gòu)，整合已有或未來業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)在一個(gè)網(wǎng)絡(luò)信任體系下，用戶登錄任

5、何一個(gè)業(yè)務(wù)系統(tǒng)之后不必再次登錄就可進(jìn)入其它有權(quán)限系統(tǒng)的單點(diǎn)登錄；各種用戶信息根據(jù)不同業(yè)務(wù)系統(tǒng)在用戶管理系統(tǒng)進(jìn)行跨平臺(tái)、跨應(yīng)用有效管理，資源信息根據(jù)不同的業(yè)務(wù)范圍和需求在資源授權(quán)管理系統(tǒng)進(jìn)行有效管理；各業(yè)務(wù)系統(tǒng)各類日志在統(tǒng)一安全審計(jì)系統(tǒng)可追溯；采用開放、插件式的集成技術(shù)，滿足不斷發(fā)展的業(yè)務(wù)系統(tǒng)與門戶的集成。2 系統(tǒng)設(shè)計(jì)原則安徽CA依據(jù)上述的需求分析和相關(guān)的安全技術(shù)，設(shè)計(jì)了如下基于數(shù)字證書的移動(dòng)應(yīng)用安全系統(tǒng)的設(shè)計(jì)原則。2.1 安全性原則安全保護(hù)機(jī)制必須簡(jiǎn)單、一致并建立到系統(tǒng)底層。系統(tǒng)的安全性和系統(tǒng)的正確性一樣，不應(yīng)當(dāng)是一種附加特性，而必須建立到系統(tǒng)底層而成為系統(tǒng)固有的屬性。所有購置的密碼產(chǎn)品都已通

6、過國家安全主管部門的認(rèn)證，符合有關(guān)標(biāo)準(zhǔn)和協(xié)議，滿足財(cái)政部門實(shí)際使用過程中的安全要求。應(yīng)用安全平臺(tái)的規(guī)劃、設(shè)計(jì)、開發(fā)都要基于安全體系的有關(guān)標(biāo)準(zhǔn)、技術(shù)。2.2 標(biāo)準(zhǔn)性原則整個(gè)方案設(shè)計(jì)中采用的技術(shù)都是符合國際標(biāo)準(zhǔn)的，對(duì)于國際上沒有通用標(biāo)準(zhǔn)的技術(shù)采用國內(nèi)的技術(shù)標(biāo)準(zhǔn)。2.3 規(guī)劃先進(jìn)性原則移動(dòng)政務(wù)業(yè)務(wù)覆蓋面廣泛，所以其安全保障體系建設(shè)規(guī)模龐大，意義深遠(yuǎn)。對(duì)所需的各類安全產(chǎn)品提出了很高的要求。必須認(rèn)真考慮各安全產(chǎn)品的技術(shù)水平、合理性、先進(jìn)性、安全性和穩(wěn)定性等特點(diǎn)，共同打好工程的技術(shù)基礎(chǔ)。在設(shè)計(jì)時(shí)，參考目前國內(nèi)成熟的公安及政務(wù)相關(guān)體系的移動(dòng)應(yīng)用安全管理系統(tǒng)設(shè)計(jì)。 參考文件如下： 關(guān)于印發(fā)的通知(公信 通20

7、07191 號(hào)) 關(guān)于穩(wěn)步開展公安信息資源共享服務(wù)工作的通知(公信通2007189 號(hào)) 關(guān)于做好社區(qū)和農(nóng)村警務(wù)室接入公安信息網(wǎng)安全工作的通知 ( 公信通 200715 號(hào)) 關(guān)于進(jìn)一步加強(qiáng)公安信息通信網(wǎng)日常安全管理工作機(jī)制建設(shè)的通知 (公信 通傳發(fā)2008109 號(hào)) 關(guān)于公安信息通信網(wǎng)邊界接入平臺(tái)建設(shè)有關(guān)問題的通知 ( 公信通傳發(fā) 2008296 號(hào))移動(dòng)政務(wù)信息安全建設(shè)實(shí)施指南 粵經(jīng)信電政2012551號(hào)) 北京市移動(dòng)電子政務(wù)平臺(tái)總體技術(shù)要求北京市經(jīng)濟(jì)和信息化委員會(huì) 移動(dòng)政務(wù)辦公系統(tǒng)通用規(guī)范 湖北省質(zhì)量技術(shù)監(jiān)督局2.4 安全服務(wù)細(xì)致化原則要使得安全保障體系發(fā)揮最大的功效，除安全產(chǎn)品的部署

8、外還應(yīng)提供有效的安全服務(wù)，根據(jù)移動(dòng)應(yīng)用安全管理的網(wǎng)絡(luò)系統(tǒng)具體現(xiàn)狀及承載的重要業(yè)務(wù)，全面而細(xì)致的安全服務(wù)會(huì)提升日常運(yùn)維及應(yīng)急處理風(fēng)險(xiǎn)的能力。安全服務(wù)就需要把安全服務(wù)商的專業(yè)技術(shù)經(jīng)驗(yàn)與行業(yè)經(jīng)驗(yàn)相結(jié)合，結(jié)合移動(dòng)應(yīng)用安全管理的實(shí)際信息系統(tǒng)量身定做才可以保障其信息系統(tǒng)安全穩(wěn)定的運(yùn)行。3 建設(shè)思路移動(dòng)應(yīng)用安全管理系統(tǒng)以合規(guī)要求為基礎(chǔ)，根據(jù)自身的業(yè)務(wù)訴求、業(yè)務(wù)特性及應(yīng)用重點(diǎn)，采用等級(jí)化與體系化相結(jié)合的安全體系設(shè)計(jì)方法，幫助構(gòu)建一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)運(yùn)行的安全防御體系。（1） 功能域設(shè)計(jì)：通過分析系統(tǒng)業(yè)務(wù)流程，根據(jù)域劃分原則設(shè)計(jì)功能域架構(gòu)。通過功能域設(shè)計(jì)將系統(tǒng)分解為多個(gè)層次，為下一步安全保障體

9、系框架設(shè)計(jì)提供基礎(chǔ)框架。 （2） 安全保障體系框架設(shè)計(jì)：根據(jù)功能域框架，設(shè)計(jì)系統(tǒng)各個(gè)層次的安全保障體系框架（包括策略、組織、技術(shù)和運(yùn)作），各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架。（3） 安全技術(shù)解決方案設(shè)計(jì)：針對(duì)安全要求，建立安全技術(shù)措施庫。通過等級(jí)風(fēng)險(xiǎn)評(píng)估結(jié)果，設(shè)計(jì)系統(tǒng)安全技術(shù)解決方案。 （4） 安全管理建設(shè)：針對(duì)安全要求，建立安全管理措施庫。通過等級(jí)風(fēng)險(xiǎn)評(píng)估結(jié)果，進(jìn)行安全管理建設(shè)。通過如上步驟，移動(dòng)應(yīng)用安全管理系統(tǒng)的網(wǎng)絡(luò)信息系統(tǒng)可以形成整體的等級(jí)化的安全保障體系，同時(shí)根據(jù)安全技術(shù)建設(shè)和安全管理建設(shè)，保障系統(tǒng)整體的安全。4 整體分析4.1 業(yè)務(wù)需求 4.1.1 移動(dòng)采集此次移

10、動(dòng)應(yīng)用安全管理系統(tǒng)的建設(shè)具有以下特點(diǎn)：操作方式為接入終端的訪問控制；不可直接訪問內(nèi)部業(yè)務(wù)網(wǎng)，但上報(bào)數(shù)據(jù)需要匯總至內(nèi)部業(yè)務(wù)網(wǎng)；數(shù)據(jù)進(jìn)行單向交換，以由外到內(nèi)為主；終端對(duì)象作為可信憑證，需防止或規(guī)避合法入侵行為；用戶量大；業(yè)務(wù)實(shí)時(shí)性要求高。4.1.2 移動(dòng)辦公另一種業(yè)務(wù)場(chǎng)景，為出差或外出辦公人員，進(jìn)行遠(yuǎn)程無線辦公業(yè)務(wù)，該類業(yè)務(wù)具有以下特點(diǎn)：操作方式為接入終端的訪問控制；可直接訪問內(nèi)部業(yè)務(wù)網(wǎng)，但需要進(jìn)行嚴(yán)格的訪問控制；終端對(duì)象作為可信憑證，需防止或規(guī)避合法入侵行為；用戶訪問數(shù)據(jù)量大；業(yè)務(wù)實(shí)時(shí)性要求高；數(shù)據(jù)采用雙向交換。4.2 業(yè)務(wù)類型4.2.1 數(shù)據(jù)交換和數(shù)據(jù)采集數(shù)據(jù)采集要實(shí)現(xiàn)將采集相關(guān)信息通過安全的

11、接入方式由外部網(wǎng)絡(luò)流轉(zhuǎn)至內(nèi)部緩存區(qū)域。需實(shí)現(xiàn)如下功能：需支持各類B/S應(yīng)用的無線數(shù)據(jù)采集；需支持各類C/S應(yīng)用的無線數(shù)據(jù)采集。數(shù)據(jù)傳遞數(shù)據(jù)傳遞分為兩個(gè)層面，其一是將采集到緩存區(qū)域的數(shù)據(jù)安全、穩(wěn)定、可靠 地交換到內(nèi)部業(yè)務(wù)區(qū)域，以支撐業(yè)務(wù)的開展；其二是將外部的數(shù)據(jù)信息直接流轉(zhuǎn) 至內(nèi)部業(yè)務(wù)區(qū)域，同時(shí)接受內(nèi)部業(yè)務(wù)區(qū)域?qū)ν獍l(fā)布的信息。需實(shí)現(xiàn)如下功能：文件及數(shù)據(jù)的直接傳遞；文件及數(shù)據(jù)的交換傳遞。4.2.2 授權(quán)訪問授權(quán)訪問功能主要是指對(duì)于外部授權(quán)訪問類終端（PDA）及內(nèi)部數(shù)據(jù)交換類系統(tǒng)通過安全接入鏈路訪問資源時(shí)，對(duì)于不同的接入終端可實(shí)現(xiàn)基于資源、數(shù)字證書、IP地址等多種類型訪問權(quán)限的控制，保證資源不被越權(quán)

12、訪問，進(jìn)而保護(hù)內(nèi)部業(yè)務(wù)網(wǎng)的安全。4.3 功能域劃分平臺(tái)建設(shè)的關(guān)鍵在于功能域的劃分，依照上文的分析，借鑒其他行業(yè)成熟的標(biāo)準(zhǔn)及規(guī)范，移動(dòng)應(yīng)用安全管理系統(tǒng)從采集過程分析，可劃分為四大功能域，用于進(jìn)行移動(dòng)政務(wù)的內(nèi)部業(yè)務(wù)域、連接Internet 獲取報(bào)送數(shù)據(jù)的接入域、提供交互 源數(shù)據(jù)的移動(dòng)終端用戶域，進(jìn)行統(tǒng)一管理、集中監(jiān)控的監(jiān)管域。其中，內(nèi)部業(yè)務(wù)域是整個(gè)政務(wù)業(yè)務(wù)開展的重要平臺(tái)，承載著核心業(yè)務(wù)；而接入域是移動(dòng)采集業(yè)務(wù)的核心承載平臺(tái)，提供專用終端基于Internet網(wǎng)絡(luò)的無線接入服務(wù)，然后終端用戶域則是整個(gè)平臺(tái)的基礎(chǔ)支撐，提供政務(wù)業(yè)務(wù)的源數(shù)據(jù)，最后監(jiān)管域從管理維度出發(fā)，從全局統(tǒng)一可控管理的視角切入，對(duì)全網(wǎng)無

13、線資源進(jìn)行集中管理。通過對(duì)這四類安全區(qū)域的劃分，對(duì)移動(dòng)政務(wù)各層面的訪問操作、 運(yùn)行管理、開發(fā)設(shè)計(jì)進(jìn)行有效的控制和規(guī)范，保證和維護(hù)各個(gè)層次安全、正常有序地工作。4.3.1 業(yè)務(wù)域業(yè)務(wù)域是指位于邏輯隔離區(qū)內(nèi)包括移動(dòng)數(shù)據(jù)同步模塊、標(biāo)準(zhǔn)接口、應(yīng)用程序、應(yīng)用中間件等在內(nèi)的大環(huán)境。它包括各類服務(wù)或者數(shù)據(jù)接口、政務(wù)應(yīng)用支撐平臺(tái)、系統(tǒng)運(yùn)行環(huán)境。這一區(qū)域主要承擔(dān)著涉及平臺(tái)的專用網(wǎng)路，在業(yè)務(wù)專用中運(yùn)行著各業(yè)務(wù)數(shù)據(jù)交換平臺(tái)的存儲(chǔ)平臺(tái)，為平臺(tái)的核心業(yè)務(wù)網(wǎng)。該區(qū)域主要安全功能為：作為外部終端網(wǎng)絡(luò)連接的終點(diǎn)，實(shí)現(xiàn)應(yīng)用級(jí)身份認(rèn)證、訪問控制、應(yīng)用代理、數(shù)據(jù)暫存等功能，防止對(duì)政務(wù)網(wǎng)的非法訪問和信息泄露。對(duì)此區(qū)域，應(yīng)加強(qiáng)對(duì)服務(wù)器

14、等設(shè)備的安全保護(hù)，應(yīng)具有病毒、木馬防護(hù)功能，防止病毒傳播與非法控制。此次建設(shè)不涉及該部分的內(nèi)部建設(shè)，只對(duì)其網(wǎng)絡(luò)邊界進(jìn)行安全設(shè)計(jì)。4.3.2 接入域指移動(dòng)通信網(wǎng)絡(luò)的大環(huán)境。它包括各類移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商、電信 網(wǎng)絡(luò)運(yùn)營(yíng)商 在內(nèi)的提供各種移動(dòng)公網(wǎng)，如GSM、CDMA、3G網(wǎng)絡(luò)以及傳統(tǒng)固網(wǎng)服務(wù)的網(wǎng)絡(luò)基礎(chǔ)運(yùn)營(yíng)平臺(tái)。這一區(qū)域負(fù)責(zé)對(duì)移動(dòng)政務(wù)物理層安全傳輸、信號(hào)轉(zhuǎn)換、安全專線的管理。接入域?yàn)橐苿?dòng)應(yīng)用安全管理系統(tǒng)的專用承載平臺(tái)，它包括各類移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商、電信網(wǎng)絡(luò)運(yùn)營(yíng)商在內(nèi)的提供各種移動(dòng)公網(wǎng)，如GSM、CDMA、3G 網(wǎng)絡(luò)以及傳統(tǒng)固網(wǎng)服務(wù)的網(wǎng)絡(luò)基礎(chǔ)運(yùn)營(yíng)平臺(tái)，位于業(yè)務(wù)域與用戶域之間，與業(yè)務(wù)域邏輯隔 離，主要基于移動(dòng)終端

15、進(jìn)行無線的數(shù)據(jù)傳送的緩存區(qū)域。該區(qū)域主要安全功能為：實(shí)現(xiàn)網(wǎng)絡(luò)級(jí)身份認(rèn)證、訪問控制和權(quán)限管理，數(shù)據(jù)機(jī)密性和完整性保護(hù)，防御網(wǎng)絡(luò)攻擊和嗅探。4.3.3 監(jiān)管域監(jiān)管域指移動(dòng)政務(wù)準(zhǔn)入安全控制的大環(huán)境。它包括各類提供權(quán)威性第三方身份認(rèn)證以及安全訪問控制服務(wù)的提供，如CA證書、動(dòng)態(tài)密碼等。同時(shí)將移動(dòng)終端的各種業(yè)務(wù)請(qǐng)求傳遞到政務(wù)外網(wǎng)應(yīng)用服務(wù)的大環(huán)境。它包括移動(dòng)網(wǎng)絡(luò)、固網(wǎng)的數(shù)據(jù)經(jīng)過安全審計(jì)、防病毒、入侵檢測(cè)等安全接入并通過移動(dòng)政務(wù)服務(wù)平臺(tái)數(shù)據(jù)接口、統(tǒng)一移動(dòng)終端驗(yàn)證、用戶身份認(rèn)證、數(shù)據(jù)包封裝/解析、會(huì)話管理、安全審計(jì)、服務(wù)接口、系統(tǒng)管理等功能模塊處理來自移動(dòng)終端用戶的請(qǐng)求。該區(qū)域負(fù)責(zé)對(duì)移動(dòng)政務(wù)進(jìn)行身份驗(yàn)證、安全

16、審計(jì)以及移動(dòng)政務(wù)中來自移動(dòng)接入網(wǎng)絡(luò)的移動(dòng)應(yīng)用請(qǐng)求的轉(zhuǎn)遞、應(yīng)答、安全轉(zhuǎn)換。4.3.4 用戶域用戶域包括移動(dòng)終端用戶及外部接入終端環(huán)境，是整個(gè)平臺(tái)的基礎(chǔ)支撐，為用戶群體在使用移動(dòng)政務(wù)相關(guān)業(yè)務(wù)時(shí)所使用移動(dòng)設(shè)備的大環(huán)境，它提供業(yè)務(wù)交換 的源數(shù)據(jù)，處于移動(dòng)公網(wǎng)（專線）中，實(shí)現(xiàn)外部鏈路與接入平臺(tái)間連接。該區(qū)域主要安全功能為：實(shí)現(xiàn)終端接入訪問控制，將來自不同接入終端及不同外部鏈路的數(shù)據(jù)流按照接入平臺(tái)的安全策略進(jìn)行準(zhǔn)入控制并加以區(qū)分，同時(shí)實(shí)現(xiàn)對(duì)移動(dòng)終端自身的安全保護(hù)。4.4 安全需求分析從平臺(tái)整體安全建設(shè)角度出發(fā)，目前已經(jīng)按照等級(jí)保護(hù)要求對(duì)內(nèi)部網(wǎng)進(jìn)行了一些合規(guī)建設(shè)工作，所以在移動(dòng)應(yīng)用安全管理系統(tǒng)項(xiàng)目的建設(shè)內(nèi)容

17、中，業(yè)務(wù)域部分的安全建設(shè)基于現(xiàn)有的建設(shè)基礎(chǔ)，可以不予考慮，整個(gè)項(xiàng)目的重點(diǎn)在于接入域部分的合規(guī)性、業(yè)務(wù)性建設(shè)。需要說明的是，接入域作為承載整個(gè)移動(dòng)應(yīng)用安全管理系統(tǒng)的核心部分，是 整個(gè)安全建設(shè)的目標(biāo)，其次是終端安全；即在接入安全與終端防護(hù)上具備和業(yè)務(wù)內(nèi)網(wǎng)同一級(jí)別的安全要求，又因邊界的不同屬性需要采取不同的個(gè)性化解決方案。下文將按照合規(guī)思路，從兩大項(xiàng)（技術(shù)與管理）進(jìn)行建設(shè)的分析；4.4.1 安全技術(shù)需求分析（1） 物理安全風(fēng)險(xiǎn)與需求分析 物理安全風(fēng)險(xiǎn)主要是指網(wǎng)絡(luò)周邊的環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可使用，從而會(huì)造成網(wǎng)絡(luò)系統(tǒng)的不可使用，甚至導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。因此，在通盤考慮安全風(fēng)險(xiǎn)時(shí)，應(yīng)優(yōu)先

18、考慮物理安全風(fēng)險(xiǎn)。此次，移動(dòng)應(yīng)用安全管理系統(tǒng)基于現(xiàn)有的物理基礎(chǔ)設(shè)施，在物理安全方面可以不進(jìn)行建設(shè)考慮。 （2） 終端環(huán)境安全風(fēng)險(xiǎn)與需求分析 計(jì)算環(huán)境的安全主要指終端以及應(yīng)用層面的安全風(fēng)險(xiǎn)與需求分析，具體到本項(xiàng)目，其安全建設(shè)對(duì)象則應(yīng)對(duì)為專用移動(dòng)終端，整體的安全需求包括：身份鑒別、訪問控制、入侵防范、惡意代碼防范、數(shù)據(jù)完整性與保密性、抗抵賴等方面。終端可信終端為通過移動(dòng)應(yīng)用安全管理系統(tǒng)唯一的訪問主體，最重要的前提即應(yīng)確保 該主體客觀存在性及行為可信性。訪問控制訪問控制主要為了保證非法用戶對(duì)終端資源的合法使用。非法用戶可能企圖假冒合法用戶的身份進(jìn)入系統(tǒng)，低權(quán)限的合法用戶也可能企圖執(zhí)行高權(quán)限用戶的操作

19、，這些行為將給終端系統(tǒng)和應(yīng)用系統(tǒng)帶來了很大的安全風(fēng)險(xiǎn)。用戶在擁有合法的用戶標(biāo)識(shí)符情況下，在制定好的訪問控制策略下進(jìn)行操作，杜絕越權(quán)非法操 作。入侵防范終端操作系統(tǒng)面臨著各類具有針對(duì)性的入侵威脅，常見操作系統(tǒng)存在著各種安全漏洞，并且現(xiàn)在漏洞被發(fā)現(xiàn)與漏洞被利用之間的時(shí)間差變得越來越短，這就使得操作系統(tǒng)本身的安全性給整個(gè)系統(tǒng)帶來巨大的安全風(fēng)險(xiǎn)，因此對(duì)于終端操作系統(tǒng)的使用、維護(hù)等提出了需求，防范針對(duì)系統(tǒng)的入侵行為。惡意代碼防范 病毒、蠕蟲等惡意代碼是對(duì)計(jì)算環(huán)境造成危害最大的隱患，當(dāng)前病毒威脅非常嚴(yán)峻，特別是蠕蟲病毒的爆發(fā)，會(huì)立刻向其他子網(wǎng)迅速蔓延，發(fā)動(dòng)網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密。大量占據(jù)正常業(yè)務(wù)十分有限的帶寬

20、，造成網(wǎng)絡(luò)性能嚴(yán)重下降、服務(wù)器崩潰甚至網(wǎng)絡(luò)通信中斷，信息損壞或泄漏，嚴(yán)重影響正常業(yè)務(wù)開展。因此必須部署惡意代碼防范軟件進(jìn)行防御，同時(shí)保持惡意代碼庫的及時(shí)更新。數(shù)據(jù)安全主要指數(shù)據(jù)的完整性與保密性。數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)，所有的措施最終無不是為了業(yè)務(wù)數(shù)據(jù)的安全。應(yīng)采取措施保證數(shù)據(jù)在傳輸過程中的完整性以及保密性，保護(hù)鑒別信息的保密性。（3） 接入域邊界安全風(fēng)險(xiǎn)與需求分析 區(qū)域邊界的安全主要包括：邊界可信接入、邊界完整性檢測(cè)、邊界入侵防范以及邊界安全審計(jì)等方面。邊界訪問控制 對(duì)于接入域邊界最基本的安全需求就是訪問控制，對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán)及越權(quán)訪問。邊界可信接入 對(duì)于接入

21、域而言，其主要目的是提供外網(wǎng)設(shè)備隨時(shí)隨地快速接入到業(yè)務(wù)內(nèi)網(wǎng)絡(luò)進(jìn) 行數(shù)據(jù)報(bào)送，這就引伸出安全風(fēng)險(xiǎn)，一旦外來用戶不加阻攔的接入到網(wǎng)絡(luò)中來，就有可能破壞網(wǎng)絡(luò)的安全邊界，使得外來用戶具備對(duì)網(wǎng)絡(luò)進(jìn)行破壞的條件，由此而引入諸如蠕蟲擴(kuò)散、文件泄密等安全問題。因此需要對(duì)非法客戶端實(shí)現(xiàn)禁入，能監(jiān)控網(wǎng)絡(luò)，對(duì)于沒有合法認(rèn)證的外來機(jī)器，能夠阻斷其網(wǎng)絡(luò)訪問，保護(hù)好已經(jīng)建立起來的安全環(huán)境。邊界入侵防范各類網(wǎng)絡(luò)攻擊行為既可能來自于大家公認(rèn)的互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)，在內(nèi)部也同樣存在。通過安全措施，要實(shí)現(xiàn)主動(dòng)阻斷針對(duì)信息系統(tǒng)的各種攻擊，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層以及業(yè)務(wù)系統(tǒng)的安全防護(hù)

22、，保護(hù)核心信息資產(chǎn)的免受攻擊危害。邊界安全審計(jì)在安全區(qū)域邊界需要建立必要的審計(jì)機(jī)制，對(duì)進(jìn)出邊界的各類網(wǎng)絡(luò)行為進(jìn)行 記錄與審計(jì)分析，可以和終端審計(jì)、應(yīng)用審計(jì)以及網(wǎng)絡(luò)審計(jì)形成多層次的審計(jì)系統(tǒng)，并可通過安全管理中心集中管理。邊界惡意代碼防范現(xiàn)今，病毒的發(fā)展呈現(xiàn)出以下趨勢(shì):病毒與黑客程序相結(jié)合、蠕蟲病毒更加 泛濫，目前計(jì)算機(jī)病毒的傳播途徑與過去相比已經(jīng)發(fā)生了很大的變化，更多的以網(wǎng)絡(luò)（包括Internet、廣域網(wǎng)、局域網(wǎng)）形態(tài)進(jìn)行傳播，因此為了安全的防護(hù)手段也需以變應(yīng)變，迫切需要網(wǎng)關(guān)型產(chǎn)品在網(wǎng)絡(luò)層面對(duì)病毒予以查殺。 （4）通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與需求分析 移動(dòng)應(yīng)用安全系統(tǒng)通信網(wǎng)絡(luò)的安全主要包括：鏈路設(shè)計(jì)、網(wǎng)絡(luò)

23、安全審計(jì)、網(wǎng)絡(luò)設(shè)備防護(hù)、通信完整性與保密性、準(zhǔn)入可信等方面。鏈路安全由于采用通過移動(dòng)公網(wǎng)的方式接入，所以對(duì)于公網(wǎng)的鏈路提出了比較高的要求，由于目前公用移動(dòng)網(wǎng)上存在著眾多不可知及不可控的監(jiān)聽、攻擊手段，所以要選擇一條相對(duì)封閉或有安全保障的移動(dòng)鏈路成為通訊安全的首要基礎(chǔ)。網(wǎng)絡(luò)安全審計(jì)由于用戶的計(jì)算機(jī)相關(guān)的知識(shí)水平參差不齊，一旦某些安全意識(shí)薄弱的管理用戶誤操作，將給信息系統(tǒng)帶來致命的破壞，沒有相應(yīng)的審計(jì)記錄將給事后追查帶來困難，有必要進(jìn)行基于網(wǎng)絡(luò)行為的審計(jì)，從而威懾那些心存僥幸、有惡意企圖的少部分用戶，以利于規(guī)范正常的網(wǎng)絡(luò)應(yīng)用行為。網(wǎng)絡(luò)設(shè)備防護(hù)由于傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)將會(huì)使用大量的網(wǎng)絡(luò)設(shè)備和安全設(shè)備，如交換

24、機(jī)、防火墻、入侵檢測(cè)設(shè)備等，這些設(shè)備的自身安全性也會(huì)直接關(guān)系到內(nèi)部網(wǎng)絡(luò)及各種網(wǎng)絡(luò)應(yīng) 用的正常運(yùn)行。如果發(fā)生網(wǎng)絡(luò)設(shè)備被不法分子攻擊，將導(dǎo)致設(shè)備不能正常運(yùn)行。更加嚴(yán)重情況是設(shè)備設(shè)臵被篡改，不法分子輕松獲得網(wǎng)絡(luò)設(shè)備的控制權(quán)，通過網(wǎng) 絡(luò)設(shè)備作為跳板攻擊服務(wù)器， 將會(huì)造成無法想象的后果。例如，交換機(jī)口令泄漏、防火墻規(guī)則被篡改、入侵檢測(cè)設(shè)備失靈等都將成為威脅網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的風(fēng)險(xiǎn)因素。通信完整性與保密性由于網(wǎng)絡(luò)協(xié)議及文件格式均具有標(biāo)準(zhǔn)、開發(fā)、公開的特征，因此數(shù)據(jù)在網(wǎng)上存儲(chǔ)和傳輸過程中，不僅僅面臨信息丟失、信息重復(fù)或信息傳送的自身錯(cuò)誤，而且會(huì)遭遇信息攻擊或欺詐行為，導(dǎo)致最終信息收發(fā)的差異性。因此，在信息傳輸

25、過程中，必須要確保信息內(nèi)容在發(fā)送、接收及保存的一致性；并在信息遭受篡改 攻擊的情況下，應(yīng)提供有效的察覺與發(fā)現(xiàn)機(jī)制，實(shí)現(xiàn)通信的完整性。 而數(shù)據(jù)在傳輸過程中，為能夠抵御不良企圖者采取的各種攻擊，防止遭到竊取，應(yīng)采用加密措施保證數(shù)據(jù)的機(jī)密性。4.4.2 安全管理需求分析“三分技術(shù)、七分管理”更加突出的是管理層面在安全體系中的重要性。除了技術(shù)管理措施外，安全管理是保障安全技術(shù)手段發(fā)揮具體作用的最有效手段，建立健全安全管理體系不但是合規(guī)性要求，也是作為一個(gè)安全體系來講，不可或缺的重要組成部分。安全管理體系依賴于國家相關(guān)標(biāo)準(zhǔn)、行業(yè)規(guī)范、國際安全標(biāo)準(zhǔn)等規(guī)范和標(biāo)準(zhǔn)來指導(dǎo)，形成可操作的體系。主要包括：安全管理制

26、度、安全管理機(jī)構(gòu)、人員安全管理，根據(jù)等級(jí)保護(hù)的要求在上述方面建立一系列的管理制度與操作規(guī)范，并明確執(zhí)行。5 平臺(tái)設(shè)計(jì)5.1 設(shè)計(jì)目標(biāo)移動(dòng)應(yīng)用安全系統(tǒng)設(shè)計(jì)目標(biāo)是建立移動(dòng)政務(wù)信息安全立體防護(hù)保障體系，防止來自外部和內(nèi)部的各種入侵和攻擊，防止非授權(quán)的訪問，防止各種冒充、篡改和抵賴等行為，防止信息泄密和被破壞。通過從終端安全、網(wǎng)絡(luò)安全、接入邊界安全、傳輸數(shù)據(jù)安全等方面進(jìn)行安全建設(shè)以構(gòu)建整體安全結(jié)構(gòu)；并以安全管理制度、安全管理機(jī)構(gòu)、人員安全管理等方面入手進(jìn)行管理體系建設(shè)，把安全技術(shù)和 安全管理相結(jié)合，使得移動(dòng)應(yīng)用安全系統(tǒng)安全建設(shè)方案能夠全方面為移動(dòng)采集業(yè)務(wù)提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整

27、體的安全保護(hù)能力，實(shí) 現(xiàn)電子政務(wù)移動(dòng)辦公的實(shí)用性、先進(jìn)性、經(jīng)濟(jì)性和可擴(kuò)展性。5.2 設(shè)計(jì)思路移動(dòng)應(yīng)用安全系統(tǒng)的安全體系設(shè)計(jì)主要由三重防護(hù)體系設(shè)計(jì)、 兩個(gè)基礎(chǔ)設(shè)施設(shè)計(jì)構(gòu)成，如下圖。接入?yún)^(qū)域邊界安全 鏈路與網(wǎng)絡(luò)通信安全無線終端安全 PKI/PMI 基礎(chǔ)設(shè)施 安全監(jiān)測(cè)與管理基礎(chǔ)設(shè)施三重防護(hù)體系設(shè)計(jì)：即應(yīng)用環(huán)境安全設(shè)計(jì)、應(yīng)用區(qū)域邊界安全設(shè)計(jì)和網(wǎng)絡(luò)通信安全設(shè)計(jì)。無線終端安全設(shè)計(jì)：即確保終端和用戶來源可信、可監(jiān)控設(shè)計(jì)，無線終端系 統(tǒng)自身安全加固設(shè)計(jì)以及核心業(yè)務(wù)程序安全設(shè)計(jì)。接入?yún)^(qū)域邊界安全設(shè)計(jì)：主要涉及網(wǎng)絡(luò)及應(yīng)用系統(tǒng)邊界安全方面，通過身份認(rèn)證、訪問控制技術(shù)，確保對(duì)應(yīng)用系統(tǒng)的訪問是通過細(xì)粒度控制下的合法訪問

28、者。鏈路與網(wǎng)絡(luò)通信安全設(shè)計(jì)：主要涉及鏈路及網(wǎng)絡(luò)安全方面，采用數(shù)據(jù)機(jī)密性與完整性保護(hù)技術(shù)，建立端到端傳輸?shù)陌踩珯C(jī)制。兩個(gè)基礎(chǔ)設(shè)施設(shè)計(jì)：即PKI/PMI基礎(chǔ)設(shè)施，安全監(jiān)測(cè)與管理基礎(chǔ)設(shè)施。PKI/PMI基礎(chǔ)設(shè)施設(shè)計(jì)：實(shí)施網(wǎng)上數(shù)字證書的產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撤銷等功能，是實(shí)現(xiàn)接入平臺(tái)身份認(rèn)證、授權(quán)管理、訪問控制策略等安全機(jī)制的基礎(chǔ)。安全監(jiān)測(cè)與管理基礎(chǔ)設(shè)施設(shè)計(jì)：實(shí)現(xiàn)整個(gè)平臺(tái)的安全監(jiān)測(cè)、管理與運(yùn)行維護(hù)。5.3 設(shè)計(jì)內(nèi)容一是構(gòu)建邊界接入平臺(tái)。按照邊界安全接入的規(guī)范要求，采取區(qū)分鏈路安全防御的方法，構(gòu)建集邊界保護(hù)、身份認(rèn)證、應(yīng)用安全、安全隔離等功能的邊界接入平臺(tái)，在確保邊界接入安全的前提下，建立政務(wù)網(wǎng)與外網(wǎng)

29、的網(wǎng)絡(luò)安全通道，為有關(guān)機(jī)關(guān)及部門提供安全的網(wǎng)絡(luò)接入服務(wù)。二是建設(shè)邊界接入平臺(tái)監(jiān)控和管理系統(tǒng)。按照統(tǒng)一接入管理、 統(tǒng)一應(yīng)用審計(jì)、統(tǒng)一運(yùn)行監(jiān)控、統(tǒng)一策略部署的策略，建設(shè)邊界接入平臺(tái)的集中監(jiān)控和審計(jì)系統(tǒng)，以加強(qiáng)對(duì)外部接入及數(shù)據(jù)交換情況進(jìn)行審計(jì)，并對(duì)平臺(tái)的運(yùn)維提供服務(wù)。監(jiān)控和管理系統(tǒng)支持總局/省局結(jié)構(gòu)的上下層接入平臺(tái)。接入平臺(tái)的監(jiān)控和管理系統(tǒng)主要功能分為兩部分：接入平臺(tái)自身的安全監(jiān)控管理功能和接入平臺(tái)級(jí)聯(lián)服務(wù)功能。三是建立相應(yīng)的運(yùn)行維護(hù)和管理工作機(jī)制。在建設(shè)邊界接入平臺(tái)的同時(shí)，建立系統(tǒng)平臺(tái)的日常運(yùn)行維護(hù)和管理工作機(jī)制，通過規(guī)范接入配臵、規(guī)范安全監(jiān)控、規(guī)范運(yùn)行處臵等工作，保障系統(tǒng)平臺(tái)正常運(yùn)行。5.4 安

30、全技術(shù)體系設(shè)計(jì)整體安全技術(shù)體系分為終端環(huán)境、通訊網(wǎng)絡(luò)、邊界接入三個(gè)大部分，下文按照整體設(shè)計(jì)框架，對(duì)三大部分進(jìn)行詳細(xì)闡述。5.4.1 終端環(huán)境安全設(shè)計(jì)（1） 系統(tǒng)加固操作系統(tǒng)安全：對(duì)移動(dòng)終端自身的操作系統(tǒng)進(jìn)行安全加固措施；一致性校驗(yàn)：系統(tǒng)啟動(dòng)后對(duì)操作系統(tǒng)裝載器、內(nèi)核、硬件配臵、關(guān)鍵應(yīng)用和配臵信息等進(jìn)行驗(yàn)證，確保引導(dǎo)過程中各部件的完整性，一致性，使終端按照經(jīng)過嚴(yán)格驗(yàn)證的方式進(jìn)行引導(dǎo)；接口監(jiān)控：實(shí)現(xiàn)對(duì)移動(dòng)終端輸入、輸出接口進(jìn)行分類，對(duì)各個(gè)物理接口進(jìn)行接入安全控制，如數(shù)據(jù)口等；移動(dòng)終端應(yīng)能夠與智能卡安全的進(jìn)行信息交互。（2） 身份標(biāo)識(shí) 為了保證信息源的真實(shí)性，對(duì)終端設(shè)備進(jìn)行標(biāo)識(shí)，具體為以下幾種措施：采

31、用由權(quán)威中心為終端集成數(shù)字證書方式； 采用安全介質(zhì)（TF 卡）作為數(shù)字證書的存儲(chǔ)介質(zhì)；通過對(duì)安全介質(zhì)及數(shù)字證書的全生命周期管理，實(shí)現(xiàn)對(duì)該設(shè)備的可控管理；實(shí)現(xiàn)TF 卡號(hào)+SIM卡+終端設(shè)備號(hào)的三號(hào)綁定實(shí)現(xiàn)對(duì)該設(shè)備全網(wǎng)身份唯一標(biāo)識(shí)，確保接入終端的可信性。 （3） 身份鑒別 為提高系統(tǒng)安全性， 保障各種應(yīng)用的正常運(yùn)行，對(duì)終端需要進(jìn)行一系列的加固措施，包括：對(duì)登錄終端操作系統(tǒng)的用戶進(jìn)行可信識(shí)別；按照系統(tǒng)的特性，采用混合模式，結(jié)合圖形及數(shù)字口令的混合模式并定期更換；對(duì)登錄TF卡用戶采取使用基于數(shù)字簽名+口令的可信憑證認(rèn)證；啟用登陸失敗處理功能，登陸失敗后，必須基于自身安全特性配臵結(jié)束會(huì)話、限制非法登錄次

32、數(shù)等措施。 （4） 訪問控制 訪問控制主要是通過基于系統(tǒng)的程序鎖機(jī)制，對(duì)移動(dòng)接入資源的授權(quán)訪問，避免越權(quán)非法使用。主要途徑：所有專用程序均集成在TF 內(nèi)，確保敏感資源的統(tǒng)一管理；對(duì)訪問TF卡內(nèi)的資源進(jìn)行口令認(rèn)證，確保所有訪問敏感資源可控； （5） 入侵防范 針對(duì)終端的入侵防范，基于現(xiàn)有移動(dòng)終端技術(shù)，可以部署終端系統(tǒng)安全性掃描軟件進(jìn)行系統(tǒng)安全性檢測(cè)。 （6） 終端惡意代碼防范 各類惡意代碼尤其是病毒、木馬等是對(duì)移動(dòng)應(yīng)用安全管理系統(tǒng)的重大危害，針對(duì)病毒的風(fēng)險(xiǎn)，我們建議重點(diǎn)是將病毒消滅或封堵在終端這個(gè)源頭上。所以，在所有終端上部署基于系統(tǒng)防病毒系統(tǒng)，加強(qiáng)終端的病毒防護(hù)能力并及時(shí)升級(jí)惡意代碼軟件版本以

33、及惡意代碼庫。同時(shí)，防毒系統(tǒng)可以為終端提供關(guān)于病毒威脅和事件的監(jiān)控、審計(jì)日志，為終端的病毒防護(hù)管理提供必要的信息。 （7） 數(shù)據(jù)加密 為了保證業(yè)務(wù)數(shù)據(jù)流及緩存數(shù)據(jù)的安全性，提供對(duì)于敏感數(shù)據(jù)的保護(hù)措施：所有專用程序涉及的數(shù)據(jù)均存儲(chǔ)在TF卡內(nèi)，確保敏感資源的統(tǒng)一存儲(chǔ)；采用非對(duì)稱密鑰體系，使用數(shù)字證書對(duì)需要進(jìn)行保護(hù)的數(shù)據(jù)進(jìn)行算法加密。 （8） 數(shù)據(jù)完整性與保密性 目前，移動(dòng)應(yīng)用安全管理系統(tǒng)中傳輸?shù)男畔⒅饕侵匾臄?shù)據(jù)，對(duì)信息完整性校驗(yàn)提出了一定的需求，特別是通過互聯(lián)網(wǎng)遠(yuǎn)程接入業(yè)務(wù)內(nèi)網(wǎng)傳遞數(shù)據(jù)的私密性有很高的要求。 此次設(shè)計(jì)，采用無線接入網(wǎng)關(guān)設(shè)備，通過專用終端客戶端，采用SSL 方式，基于移動(dòng)身份證書

34、實(shí)現(xiàn)邊界與移動(dòng)終端之間的雙向認(rèn)證，結(jié)合通訊網(wǎng)絡(luò)自身的安全措施，保證使用移動(dòng)公網(wǎng)傳輸信息的機(jī)密性、完整性和不可抵賴性。5.4.2 接入域邊界安全設(shè)計(jì)（1） 邊界可信接入 為提高移動(dòng)終端接入業(yè)務(wù)內(nèi)網(wǎng)的可信力， 需要對(duì)接入邊界的所有用戶及終端進(jìn)行統(tǒng)一有效的唯一性校驗(yàn)：采用終端植入數(shù)字證書的方式，對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)，且保證終端設(shè)備與用戶的綁定關(guān)系；采用無線接入網(wǎng)關(guān)設(shè)備對(duì)接入請(qǐng)求進(jìn)行基于TF卡+數(shù)字證書+設(shè)備號(hào)的三維身份鑒別；基于全網(wǎng)統(tǒng)一的策略對(duì)接入終端進(jìn)行可信識(shí)別；啟用登陸失敗處理功能，登陸失敗后采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施。 （2） 邊界訪問控制 網(wǎng)絡(luò)資源訪問控制邊界接入域與業(yè)

35、務(wù)域間、 邊界接入域與互聯(lián)網(wǎng)區(qū)域間，在網(wǎng)絡(luò)層部署防火墻產(chǎn)品進(jìn)行訪問控制，通過對(duì)所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴(yán)格的安全規(guī)則進(jìn)行過濾，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，杜絕越權(quán)訪問，防止各類非法攻擊行為。設(shè)臵只有經(jīng)過適配的應(yīng)用協(xié)議才能通過防火墻，同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。通過以防火墻為中心的安全方案配臵，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配臵在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)終端上相比，防火墻的集中安全管理更經(jīng)濟(jì)。在實(shí)現(xiàn)精準(zhǔn)訪問控制與邊界隔離防護(hù)基礎(chǔ)

36、上，實(shí)現(xiàn)阻止由于病毒或者P2P軟件引起的異常流量、進(jìn)行精確的流量控制等。對(duì)各級(jí)節(jié)點(diǎn)功能域?qū)崿F(xiàn)全面的邊界 防護(hù)，嚴(yán)格控制節(jié)點(diǎn)之間的網(wǎng)絡(luò)數(shù)據(jù)流。應(yīng)用資源訪問控制終端訪問控制主要控制終端客體對(duì)業(yè)務(wù)內(nèi)網(wǎng)中的網(wǎng)絡(luò)域、應(yīng)用系統(tǒng)等資源的訪問，避免越權(quán)非法用。此次設(shè)計(jì)采用無線認(rèn)證網(wǎng)關(guān)、邊界接入網(wǎng)關(guān)，對(duì)用戶訪問的資源進(jìn)行訪問控制，對(duì)違規(guī)行為進(jìn)行報(bào)警和阻斷，訪問控制采用基于角色的配臵策略，遵循業(yè)務(wù)相關(guān)和屬地化的白名單原則，對(duì)于B/S應(yīng)用基于URL過濾形式進(jìn)行訪問控制，對(duì)于B/S和C/S相結(jié)合的應(yīng)用，基于URL和 IP/端口相結(jié)合的形式進(jìn)行訪問控制。啟用訪問控制功能：制定嚴(yán)格的訪問控制安全策略，根據(jù)策略控制用戶對(duì)應(yīng)

37、用系統(tǒng)的訪問，特別是應(yīng)用對(duì)象、URL，控制粒度主體為用戶級(jí)、客體為訪問路徑。權(quán)限控制：對(duì)于制定的訪問控制規(guī)則要能清楚的覆蓋資源訪問相關(guān)的主體、客體及它們之間的操作。對(duì)于不同的用戶授權(quán)原則是進(jìn)行能夠完成工作的最小化授權(quán)，避免授權(quán)范圍過大，并在它們之間形成相互制約的關(guān)系。 （3） 邊界入侵防御在各區(qū)域邊界，防火墻起到了協(xié)議過濾的主要作用，根據(jù)安全策略偏重在網(wǎng) 絡(luò)層判斷數(shù)據(jù)包的合法流動(dòng)。但面對(duì)越來越廣泛的基于應(yīng)用層內(nèi)容的攻擊行為，防火墻并不擅長(zhǎng)處理應(yīng)用層數(shù)據(jù)。在移動(dòng)應(yīng)用安全管理系統(tǒng)網(wǎng)絡(luò)邊界區(qū)域均已經(jīng)設(shè)計(jì)部署了防火墻，對(duì)每個(gè)功 能域進(jìn)行嚴(yán)格的訪問控制。鑒于以上對(duì)防火墻核心作用的分析，需要其他具備檢測(cè)新

38、型的混合攻擊和防護(hù)的能力的設(shè)備和防火墻配合，共同防御來自應(yīng)用層到網(wǎng)絡(luò)層的多種攻擊類型，建立一整套的安全防護(hù)體系，進(jìn)行多層次、多手段的檢測(cè)和防護(hù)。入侵防護(hù)系統(tǒng)（IPS）就是安全防護(hù)體系中重要的一環(huán)，它能夠及時(shí)識(shí)別網(wǎng)絡(luò)中發(fā)生的入侵行為并實(shí)時(shí)報(bào)警并且進(jìn)行有效攔截防護(hù)。IPS是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護(hù)方法之后的新一代安全保 障技術(shù)。它監(jiān)視計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中發(fā)生的事件，并對(duì)它們進(jìn)行分析，以尋找危及信息的機(jī)密性、完整性、可用性或試圖繞過安全機(jī)制的入侵行為并進(jìn)行有效攔截。IPS 就是自動(dòng)執(zhí)行這種監(jiān)視和分析過程，并且執(zhí)行阻斷的硬件產(chǎn)品。將IPS串接在防火墻后面，核心服務(wù)器區(qū)的前面，在防火墻進(jìn)行

39、訪問控制，保證了訪問的合法性之后，IPS動(dòng)態(tài)的進(jìn)行入侵行為的保護(hù)，對(duì)訪問狀態(tài)進(jìn)行檢 測(cè)、對(duì)通信協(xié)議和應(yīng)用協(xié)議進(jìn)行檢測(cè)、對(duì)內(nèi)容進(jìn)行深度的檢測(cè)。阻斷來自內(nèi)部的數(shù)據(jù)攻擊以及垃圾數(shù)據(jù)流的泛濫。由于IPS對(duì)訪問進(jìn)行深度的檢測(cè)，因此，IPS 產(chǎn)品需要通過先進(jìn)的硬件架構(gòu)、軟件架構(gòu)和處理引擎對(duì)處理能力進(jìn)行充分保證。（4） 邊界安全審計(jì) 各安全區(qū)域邊界已經(jīng)部署了相應(yīng)的安全設(shè)備負(fù)責(zé)進(jìn)行區(qū)域邊界的安全。對(duì)于流經(jīng)各主要邊界（重要服務(wù)器區(qū)域、外部連接邊界）需要設(shè)臵必要的審計(jì)機(jī)制，進(jìn)行數(shù)據(jù)監(jiān)視并記錄各類操作，通過審計(jì)分析能夠發(fā)現(xiàn)跨區(qū)域的安全威脅，實(shí)時(shí)地綜合分析出網(wǎng)絡(luò)中發(fā)生的安全事件。一般可采取開啟邊界安全設(shè)備的審計(jì)功能

40、模塊，根據(jù)審計(jì)策略進(jìn)行數(shù)據(jù)的日志記錄與審計(jì)。同時(shí)審計(jì)信息要通過安全管理中心進(jìn)行統(tǒng)一集中管理，為安全管理中心提供必要的邊界安全審計(jì)數(shù)據(jù)，利于管理中心進(jìn)行全局管控。以終端、用戶、業(yè)務(wù)應(yīng)用系統(tǒng)為對(duì)象的安全審計(jì)，以及對(duì)異常事件的追蹤。用戶行為審計(jì)，即用戶信息、訪問的資源、訪問的時(shí)間等；業(yè)務(wù)對(duì)象訪問審計(jì)，即應(yīng)用系統(tǒng)信息，數(shù)據(jù)傳輸流量、傳輸時(shí)間、傳輸單位 等；異常行為審計(jì)等；按時(shí)間段、應(yīng)用系統(tǒng)、用戶單位分析統(tǒng)計(jì)用戶行為、業(yè)務(wù)應(yīng)用系統(tǒng)的異常行為。（5） 邊界惡意代碼防范 在移動(dòng)應(yīng)用安全管理系統(tǒng)接入邊界部署防病毒網(wǎng)關(guān)，采用透明接入方式，在最接近病毒發(fā)生源安全邊界處進(jìn)行集中防護(hù)，對(duì)夾雜在網(wǎng)絡(luò)交換數(shù)據(jù)中的各類網(wǎng)絡(luò)

41、病毒進(jìn)行過濾，可以對(duì)網(wǎng)絡(luò)病毒、蠕蟲、混合攻擊、端口掃描、間諜軟件、P2P軟件帶寬濫用等各種廣義病毒進(jìn)行全面的攔截。阻止病毒通過網(wǎng)絡(luò)的快速擴(kuò)散，將經(jīng)網(wǎng)絡(luò)傳播的病毒阻擋在外，可以有效防止病毒從其他區(qū)域傳播到內(nèi)部其他功 能域中。通過部署 AV 防病毒網(wǎng)關(guān)（防毒墻） ，截?cái)嗔瞬《就ㄟ^網(wǎng)絡(luò)傳播的途徑，凈化了網(wǎng)絡(luò)流量。為使得達(dá)到最佳防毒效果，AV 防病毒網(wǎng)關(guān)設(shè)備和終端防病毒 軟件應(yīng)為不同的廠家產(chǎn)品， 兩類病毒防護(hù)產(chǎn)品共同組成移動(dòng)應(yīng)用安全管理系統(tǒng)的 立體病毒防護(hù)體系。 為能達(dá)到最好的防護(hù)效果，病毒庫的及時(shí)升級(jí)至最新版本至 關(guān)重要。對(duì)于能夠與互聯(lián)網(wǎng)實(shí)現(xiàn)連接的網(wǎng)絡(luò)，應(yīng)對(duì)自動(dòng)升級(jí)進(jìn)行準(zhǔn)確配臵；對(duì)與 不能與互聯(lián)網(wǎng)進(jìn)

42、行連接的網(wǎng)絡(luò)環(huán)境，需采取手動(dòng)下載升級(jí)包的方式進(jìn)行手動(dòng)升 級(jí)。5.4.3 通信網(wǎng)絡(luò)安全設(shè)計(jì)（1） 鏈路設(shè)計(jì) 移動(dòng)應(yīng)用安全管理系統(tǒng)作為專網(wǎng)邊界接入統(tǒng)一的出入口，是通信的重要通道。 針對(duì)該平臺(tái)政務(wù)外網(wǎng)邊界接入業(yè)務(wù)狀況，為了保障移動(dòng)應(yīng)用安全管理系統(tǒng)本身、 業(yè)務(wù)信息及內(nèi)部業(yè)務(wù)網(wǎng)等的安全，采用適度安全原則，對(duì)接入用戶終端到移動(dòng)應(yīng) 用安全管理系統(tǒng)（外部鏈路）和移動(dòng)應(yīng)用安全管理系統(tǒng)內(nèi)部（內(nèi)部鏈路）的物理 鏈路進(jìn)行分別設(shè)計(jì)。 ? 外部鏈路 外部鏈路指的是外部接入終端/用戶到移動(dòng)應(yīng)用安全管理系統(tǒng)邊界的物理鏈 路。 為了保障接入終端本身的安全、信息在外部鏈路上傳輸?shù)陌踩捌脚_(tái)本身的 安全，外部接入鏈路采用安全專線方

43、式和 VPDN 方式。 專線方式： 專線方式指的是平臺(tái)租用公共通信網(wǎng)運(yùn)營(yíng)商提供的專用通信線路 /帶寬，其特點(diǎn)為接入點(diǎn)位臵固定電路專用。例如專用接入點(diǎn)。 VPDN 方式：VPDN（Virtual Private Dail-up Network 虛擬撥號(hào)專用網(wǎng)） ，是基 于撥號(hào)接入(PSTN、ISDN)的虛擬專用網(wǎng)，采用專用的網(wǎng)絡(luò)安全和通信協(xié)議，在公共網(wǎng)絡(luò)上建立相對(duì)安全的虛擬專網(wǎng)。VPDN 用戶可以經(jīng)過公共網(wǎng)絡(luò)，通過虛擬的 安全通道和用戶內(nèi)部的用戶網(wǎng)絡(luò)進(jìn)行連接， 而公共網(wǎng)絡(luò)上的用戶則無法穿過虛擬 通道訪問用戶網(wǎng)絡(luò)內(nèi)部的資源。 對(duì)于 VPDN 方式這種接入方式，外部接入鏈路方式不僅僅只局限于 VPD

44、N。 還可采用其它類似的安全接入方式，如專用 MPLS VPN 等。這些接入方式主要需 滿足如下要求即可： 客戶端在未使用賬號(hào)/密碼（或其它方式）登錄到公共通信網(wǎng)運(yùn)營(yíng)商提供的 網(wǎng)絡(luò)接入（此時(shí)物理上是鏈接的）之前，不能訪問其它網(wǎng)絡(luò)； 客戶端通過賬號(hào)/密碼（或其它方式）登錄到公共通信網(wǎng)運(yùn)營(yíng)商提供的網(wǎng)絡(luò) 后，其不能訪問其它網(wǎng)絡(luò)，只能訪問指定的移動(dòng)應(yīng)用安全管理系統(tǒng)邊界； 客戶端在鏈接的過程中（即登錄的過程中）不能訪問其它網(wǎng)絡(luò)。 在此，需要說明的是 ADSL + VPN 這種接入方式不符合外部接入安全要求。 ADSL+VPN 在 ADSL 拔通后，始終存在公網(wǎng)地址,設(shè)備始終在公網(wǎng)可見，會(huì)造成嚴(yán) 重的安全

45、問題。 ? 內(nèi)部鏈路目前移動(dòng)應(yīng)用安全管理系統(tǒng)處于規(guī)劃階段，內(nèi)部業(yè)務(wù)來源單一、終端用戶統(tǒng)一， 但是考慮到訪問量的巨大壓力， 在內(nèi)部物理鏈路上采用多安全級(jí)別鏈路的方式進(jìn) 行規(guī)劃。（2） 網(wǎng)絡(luò)安全審計(jì) 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)主要用于監(jiān)視并記錄網(wǎng)絡(luò)中的各類操作， 偵察系統(tǒng)中存在 的現(xiàn)有和潛在的威脅， 實(shí)時(shí)地綜合分析出網(wǎng)絡(luò)中發(fā)生的安全事件，包括各種外部 事件和內(nèi)部事件。 在接入域核心路由處并聯(lián)部署網(wǎng)絡(luò)行為監(jiān)控與審計(jì)系統(tǒng)， 形成對(duì)全網(wǎng)網(wǎng)絡(luò)數(shù) 據(jù)的流量監(jiān)測(cè)并進(jìn)行相應(yīng)安全審計(jì)， 同時(shí)和其它網(wǎng)絡(luò)安全設(shè)備共同為集中安全管 理提供監(jiān)控?cái)?shù)據(jù)用于分析及檢測(cè)。 網(wǎng)絡(luò)行為監(jiān)控和審計(jì)系統(tǒng)將獨(dú)立的網(wǎng)絡(luò)傳感器硬件組件連接到網(wǎng)絡(luò)中的數(shù)

46、據(jù)會(huì)聚點(diǎn)設(shè)備上，對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行分析、匹配、統(tǒng)計(jì)，通過特定的協(xié)議算 法，從而實(shí)現(xiàn)入侵檢測(cè)、信息還原等網(wǎng)絡(luò)審計(jì)功能，根據(jù)記錄生成詳細(xì)的審計(jì)報(bào) 表。網(wǎng)絡(luò)行為監(jiān)控和審計(jì)系統(tǒng)采用旁路技術(shù)，不用在目標(biāo)終端中安裝任何組件。 同時(shí)網(wǎng)絡(luò)審計(jì)系統(tǒng)可以與其它網(wǎng)絡(luò)安全設(shè)備進(jìn)行聯(lián)動(dòng)， 將各自的監(jiān)控記錄送往集 中監(jiān)測(cè)與管理域中的安全管理服務(wù)器，集中對(duì)網(wǎng)絡(luò)異常、攻擊和病毒進(jìn)行分析和 檢測(cè)。 （3） 網(wǎng)絡(luò)設(shè)備防護(hù) 為提高網(wǎng)絡(luò)設(shè)備的自身安全性，保障各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)行，對(duì)網(wǎng)絡(luò)設(shè)備 需要進(jìn)行一系列的加固措施，包括： 對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別，用戶名必須唯一； 對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制； 身份鑒別信息具有

47、不易被冒用的特點(diǎn)，口令設(shè)臵需 3 種以上字符、長(zhǎng)度不少 于 8 位，并定期更換； 具有登錄失敗處理功能，失敗后采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò) 登錄連接超時(shí)自動(dòng)退出等措施； 啟用 SSH 等管理方式，加密管理數(shù)據(jù)，防止被網(wǎng)絡(luò)竊聽。 （4） 通信完整性 信息的完整性設(shè)計(jì)包括信息傳輸?shù)耐暾孕ｒ?yàn)以及信息存儲(chǔ)的完整性校驗(yàn)。 對(duì)于信息傳輸和存儲(chǔ)的完整性校驗(yàn)可以采用的技術(shù)包括校驗(yàn)碼技術(shù)、 消息鑒 別碼、密碼校驗(yàn)函數(shù)、散列函數(shù)、數(shù)字簽名等。 對(duì)于信息傳輸?shù)耐暾孕ｒ?yàn)應(yīng)由傳輸加密系統(tǒng)完成。部署無線接入網(wǎng)關(guān)設(shè) 備，采用 SSL 協(xié)議保證遠(yuǎn)程數(shù)據(jù)傳輸?shù)臄?shù)據(jù)完整性。 對(duì)于信息存儲(chǔ)的完整性校驗(yàn)應(yīng)由業(yè)務(wù)域內(nèi)的業(yè)

48、務(wù)系統(tǒng)和數(shù)據(jù)庫系統(tǒng)完成。（5） 通信保密性 應(yīng)用層的通信保密性主要由應(yīng)用系統(tǒng)完成。在通信雙方建立連接之前，應(yīng)用 系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證； 并對(duì)通信過程中的敏感信息字段進(jìn)行 加密。 對(duì)于信息傳輸?shù)耐ㄐ疟Ｃ苄詰?yīng)由傳輸加密系統(tǒng)完成。 部署無線接入網(wǎng)關(guān)設(shè)備 采用 SSL 協(xié)議，保證終端數(shù)據(jù)傳輸?shù)臄?shù)據(jù)機(jī)密性。5.4.4 集中監(jiān)測(cè)與管理設(shè)計(jì)由于所有終端覆蓋面廣，用戶眾多，技術(shù)人員水平不一。為了能準(zhǔn)確了解終端的運(yùn)行狀態(tài)、設(shè)備的運(yùn)行情況，統(tǒng)一部署安全策略，應(yīng)進(jìn)行安全管理中心的設(shè) 計(jì)，根據(jù)要求，應(yīng)在終端管理、審計(jì)管理和安全管理幾個(gè)大方面進(jìn)行建設(shè)。 在集中監(jiān)測(cè)與管理域中建立安全管理中心， 是有效幫助

49、管理人員實(shí)施好安全 措施的重要保障，是實(shí)現(xiàn)業(yè)務(wù)穩(wěn)定運(yùn)行、長(zhǎng)治久安的基礎(chǔ)。通過安全管理中心的 建設(shè)， 真正實(shí)現(xiàn)安全技術(shù)層面和管理層面的結(jié)合，全面提升用戶網(wǎng)絡(luò)的信息安全 保障能力。 （1） 終端證書管理 系統(tǒng)管理員對(duì)于終端進(jìn)行數(shù)字證書的發(fā)放工作。 （2） 移動(dòng)終端管理 通過系統(tǒng)管理員對(duì)終端及安全設(shè)備資源和運(yùn)行進(jìn)行配臵、 控制和管理， 包括： 終端入網(wǎng)許可：終端設(shè)備入網(wǎng)許可，實(shí)現(xiàn) TF 卡+SIM 卡+設(shè)備號(hào)的三號(hào)綁定； 安全介質(zhì)管理：統(tǒng)一對(duì)所有對(duì)外發(fā)放的 TF 卡進(jìn)行序列號(hào)、初始化等管理； 終端合規(guī)性初始化：對(duì)每臺(tái)為終端服務(wù)的 TF 卡進(jìn)行合規(guī)性初始化工作，包 括安裝防毒、漏掃等安全程序； 終端合

50、規(guī)性檢測(cè)：檢測(cè)每臺(tái)終端的合規(guī)性執(zhí)行情況（訪問控制、防毒、掃描 等） ； 終端資產(chǎn)管理：對(duì)終端及所屬機(jī)構(gòu)進(jìn)行綜合管理，內(nèi)容包括組織機(jī)構(gòu)管理、 終端設(shè)備序列號(hào)、對(duì)應(yīng)責(zé)任關(guān)系等； 終端凍結(jié)：由于業(yè)務(wù)或者其他原因，停止該終端的接入行為； 終端解凍：開通該終端的業(yè)務(wù)接入行為許可。 （3） 授權(quán)策略管理 鑒別策略管理：提供終端鑒別策略，驗(yàn)證策略包括驗(yàn)證證書名、驗(yàn)證內(nèi)部編 號(hào)、驗(yàn)證手機(jī)號(hào)、驗(yàn)證 TF 卡號(hào)、驗(yàn)證 SIM 卡號(hào)、驗(yàn)證 IMEI 號(hào)、驗(yàn)證組織機(jī)構(gòu)等 信息 監(jiān)控策略管理：提供終端監(jiān)控策略，包括是否監(jiān)控、監(jiān)控對(duì)象、監(jiān)控內(nèi)容等。 終端訪問權(quán)限策略：提供終端數(shù)據(jù)采集報(bào)送策略，包括可信名單、可信訪問 時(shí)間

51、、可信訪問資源等； 應(yīng)用訪問權(quán)限策略： 提供終端用戶訪問業(yè)務(wù)網(wǎng)、 前臵訪問業(yè)務(wù)網(wǎng)的權(quán)限策略， 包括可信路徑、可信資源等。（4） 統(tǒng)一審計(jì)監(jiān)控 統(tǒng)一審計(jì)監(jiān)控系統(tǒng)主要根據(jù)接入平臺(tái)以及業(yè)務(wù)注冊(cè)過程中配臵的安全策略 提供安全管理功能。主要包括實(shí)時(shí)監(jiān)控接入終端的安全狀況、網(wǎng)絡(luò)連接情況、系 統(tǒng)和業(yè)務(wù)應(yīng)用的運(yùn)行情況；實(shí)時(shí)監(jiān)控接入平臺(tái)的運(yùn)行狀況，并實(shí)現(xiàn)對(duì)監(jiān)測(cè)信息、 報(bào)警信息、 安全事件信息等數(shù)據(jù)的查詢和統(tǒng)計(jì)， 監(jiān)控接入平臺(tái)當(dāng)前運(yùn)行總體情況； 用戶監(jiān)控，即登錄狀態(tài)、操作行為、訪問資源等；異常監(jiān)控，包括異常用戶、流 量、設(shè)備等信息；按時(shí)間段、應(yīng)用系統(tǒng)、用戶單位分析統(tǒng)計(jì)用戶信息、流量信息、 異常信息；及時(shí)生成網(wǎng)絡(luò)流

52、量信息的報(bào)表。 具體集中審計(jì)內(nèi)容包括： 日志監(jiān)視 實(shí)時(shí)監(jiān)視接收到的事件的狀況，如最近日志列表、系統(tǒng)風(fēng)險(xiǎn)狀況等；監(jiān)控事 件狀況的同時(shí)也可以監(jiān)控設(shè)備運(yùn)行參數(shù)，以配合確定設(shè)備及網(wǎng)絡(luò)的狀態(tài)；日志監(jiān) 視支持以圖形化方式實(shí)時(shí)監(jiān)控日志流量、系統(tǒng)風(fēng)險(xiǎn)等變化趨勢(shì)。 日志管理 日志管理實(shí)現(xiàn)對(duì)多種日志格式的統(tǒng)一管理。 通過 SNMP、 SYSLOG 或者其它的 日志接口采集管理對(duì)象的日志信息， 轉(zhuǎn)換為統(tǒng)一的日志格式， 再統(tǒng)一管理、 分析、 報(bào)警； 自動(dòng)完成日志數(shù)據(jù)的格式解析和分類； 提供日志數(shù)據(jù)的存儲(chǔ)、 備份、 恢復(fù)、 刪除、導(dǎo)入和導(dǎo)出操作等功能。日志管理支持分布式日志級(jí)聯(lián)管理，下級(jí)管理中 心的日志數(shù)據(jù)可以發(fā)送到上

53、級(jí)管理中心進(jìn)行集中管理。 審計(jì)分析 集中審計(jì)可綜合各種安全設(shè)備的安全事件， 以統(tǒng)一的審計(jì)結(jié)果向用戶提供可 定制的報(bào)表，全面反映網(wǎng)絡(luò)安全總體狀況，重點(diǎn)突出，簡(jiǎn)單易懂。 可以生成多種形式的審計(jì)報(bào)表，報(bào)表支持表格和多種圖形表現(xiàn)形式；用戶可 以通過 IE 瀏覽器訪問，導(dǎo)出審計(jì)結(jié)果。可設(shè)定定時(shí)生成日志統(tǒng)計(jì)報(bào)表，并自動(dòng) 保存以備審閱或自動(dòng)通過郵件發(fā)送給指定收件人，實(shí)現(xiàn)對(duì)安全審計(jì)的流程化處 理。 終端資源配臵與監(jiān)控 進(jìn)行終端資源配臵管理與監(jiān)控，包括終端狀態(tài)、證書狀態(tài)等。 運(yùn)行異常監(jiān)控安全設(shè)備遇到攻擊， 或未授權(quán)終端非法訪問資源等情況，會(huì)以告警等信息方 式，通知管理員。統(tǒng)一監(jiān)控可提供多種自動(dòng)處理機(jī)制，協(xié)助用戶

54、監(jiān)控最新告警， 全方位掌控終端及安全設(shè)備異常和攻擊。 遠(yuǎn)程鎖定 基于定制終端操作系統(tǒng)， 實(shí)現(xiàn)對(duì)遠(yuǎn)程遺失或非法用戶使用的合法終端進(jìn)行整 機(jī)鎖定或資源保護(hù)控制。5.5 性能設(shè)計(jì)移動(dòng)應(yīng)用安全管理系統(tǒng)在性能上需滿足目前的業(yè)務(wù)需求外， 還需對(duì)將來的業(yè) 務(wù)擴(kuò)展留下充足的空間。在性能設(shè)計(jì)上主要體現(xiàn)在平臺(tái)鏈路帶寬、在線 /并發(fā)用 戶數(shù)和網(wǎng)絡(luò)吞吐量等方面。5.5.1 鏈路帶寬對(duì)于移動(dòng)應(yīng)用安全管理系統(tǒng)，鏈路帶寬分為外部鏈路和內(nèi)部鏈路兩個(gè)部分。 （1） 外部鏈路 由于外部所有的信息傳輸都經(jīng)過加密， 因此對(duì)終端接入的帶寬要求比普通的 無線網(wǎng)絡(luò)接入要高。 目前最高端的鏈路為聯(lián)通的 WCDMA-HSDPA， 該 3G 網(wǎng)

55、支持 14.4Mbps 的帶寬， 將來規(guī)劃在一線主流城市升級(jí)至 WCDMA-HSPA+，該 3G 網(wǎng)為 21Mbps。 電信主流的鏈路為 CDMA2000 EV-DO A 版本(Rev.A)速率為 3.1Mbps，將來規(guī) 劃升級(jí)為 CDMA2000 EV-DO B 版本(Rev.B)速率為 9.3Mbps。 中國移動(dòng)目前主流的為 TD-HSDPA 速率為 2.8Mbps。 （2） 內(nèi)部鏈路 移動(dòng)應(yīng)用安全管理系統(tǒng)的邊界接入域是政務(wù)外網(wǎng)與其它網(wǎng)唯一通道， 將來接 入業(yè)務(wù)會(huì)逐漸增加，因此在內(nèi)部鏈路上皆采用千兆鏈路，如用戶有特殊情況 /要 求， 也可建設(shè)百兆鏈路。 在平臺(tái)內(nèi)部鏈路上的通用網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)

56、環(huán)境皆采用千 兆的設(shè)備架設(shè)。以滿足將來的業(yè)務(wù)擴(kuò)展和升級(jí)，保護(hù)投資。（3） 帶寬估算方式 以下給出帶寬的初步的估算方式。 接入的應(yīng)用可分為面向長(zhǎng)連接的和不面向長(zhǎng)連接的。如 B/S 方式的應(yīng)用，由 于采用的是 HTTP 協(xié)議，不是長(zhǎng)連接的，對(duì)資源要求少；而對(duì)于 C/S 應(yīng)用，由于其是長(zhǎng)連接的，因此其占用帶寬資源較多。一般采用 B/S 方式估算，如果同時(shí)在 線用戶數(shù)為 10*n，對(duì)于 B/S 類應(yīng)用實(shí)際的并發(fā)在線用戶數(shù)可以總用戶數(shù)的 1/10 計(jì)。則同時(shí)并發(fā)在線用戶數(shù)為 n，假設(shè)各個(gè)用戶業(yè)務(wù)要求的帶寬為 200Kb，則總 帶寬要求為：200Kb * n = 0.2*n Mb。因此，一個(gè)真千兆的接入鏈

57、路，可承載 5000 個(gè)用戶的并發(fā)，相當(dāng)于可同時(shí)支撐 50000 個(gè)用戶。 若總用戶數(shù)超過 50000 個(gè)， 則由于目前架設(shè)高于千兆鏈路環(huán)境成本較高， 則 可通過分流用戶或增加鏈路節(jié)點(diǎn)來實(shí)現(xiàn)大用戶量的業(yè)務(wù)接入。5.5.2 業(yè)務(wù)并發(fā)數(shù)從鏈路帶寬的分析中可知，真千兆的同時(shí)并發(fā)業(yè)務(wù)數(shù)極限為 5000。因此，在實(shí) 際使用中需少于這個(gè)數(shù)目。 在進(jìn)行設(shè)備選型時(shí)，設(shè)備的性能參數(shù)的最高值必須在 這個(gè)值左右或以上， 這是因?yàn)樵O(shè)備的性能參數(shù)是在實(shí)驗(yàn)室環(huán)境下測(cè)出來的，在實(shí) 際工作環(huán)境中不可能達(dá)到。5.5.3 吞吐量從上述分析中可知，內(nèi)部鏈路帶寬采用千兆鏈路。 對(duì)于授權(quán)訪問類應(yīng)用， 其吞吐量性能與業(yè)務(wù)情況實(shí)時(shí)掛鉤。而

58、對(duì)數(shù)據(jù)交換類 業(yè)務(wù)，如果業(yè)務(wù)總需求高于鏈路的吞吐量設(shè)計(jì)，則可通過以下方式進(jìn)行解決： 負(fù)載均衡技術(shù) 最容易想到方法就時(shí)采用負(fù)載均衡技術(shù)來實(shí)現(xiàn)，這是一個(gè)最容易想到的方 案，也是最行之有效的。然而，從目前的實(shí)際情況來看并不存在這樣的必要性： 所有業(yè)務(wù)不是馬上就可以一步實(shí)施到位的；不是所有的業(yè)務(wù)都需要準(zhǔn)實(shí)時(shí)交換 的，通過人為的規(guī)劃，可以將各種業(yè)務(wù)按要求進(jìn)行劃分，錯(cuò)開時(shí)間高峰以滿足應(yīng) 用要求。 綜上所述，為了更好地支撐將來業(yè)務(wù)的接入，整個(gè)平臺(tái)采用千兆設(shè)備架設(shè)。5.6 業(yè)務(wù)流程設(shè)計(jì)移動(dòng)終端在線接入安全方案如下圖所示：移動(dòng)終端首先與移動(dòng)運(yùn)營(yíng)商建立無線接入通道，再通過此通道與信息網(wǎng)連 接。 連接通道建成后，移動(dòng)終端與信息網(wǎng)內(nèi)的安全設(shè)備相互進(jìn)行身份認(rèn)證，通過 證書的認(rèn)證，確認(rèn)雙方都是可信任的。 然后雙方利用密鑰協(xié)商機(jī)制，采用國家密碼管理局批準(zhǔn)的專用加密算法，建 立安全的數(shù)據(jù)加密傳輸通道。 利用雙方的身份認(rèn)證， 確保移動(dòng)終端安全可靠的接入信息網(wǎng)， 通過加密傳輸， 保障業(yè)務(wù)數(shù)據(jù)的傳