企業(yè)辦公網(wǎng)移動終端安全接入問題分析

李明駿,李民民

（酒泉鋼鐵（集團(tuán)）有限責(zé)任公司 信息中心，甘肅 嘉峪關(guān) 735100）

企業(yè)辦公網(wǎng)移動終端安全接入系統(tǒng)屬于企業(yè)安全保障的重點，采取移動終端安全接入模式、方法與技術(shù)，構(gòu)建安全接入系統(tǒng)，有效保障企業(yè)辦公的安全，抵御各種安全威脅[1]。終端設(shè)備借助4G移動通信網(wǎng)站訪問企業(yè)網(wǎng)絡(luò)時，需滿足安全策略、規(guī)則要求，全部接入設(shè)備安全接入點進(jìn)入網(wǎng)絡(luò)，第一時間發(fā)現(xiàn)及消除因移動終端設(shè)備所誘發(fā)的安全問題，避免病毒、木馬侵入企業(yè)網(wǎng)絡(luò)。

1 移動終端安全風(fēng)險分析

新經(jīng)濟(jì)常態(tài)下，企業(yè)大多數(shù)辦公已經(jīng)實現(xiàn)了自動化、信息化，然而安全形勢不容樂觀，竊取、破壞、泄密等現(xiàn)象頻繁出現(xiàn)，直接影響了企業(yè)的安全。雖然現(xiàn)行安全防護(hù)方法可安全防護(hù)企業(yè)內(nèi)部運(yùn)用系統(tǒng)及安全傳輸數(shù)據(jù)，然而隨著移動終端大范圍使用而造成網(wǎng)絡(luò)安全邊界不明，企業(yè)網(wǎng)絡(luò)安全形勢十分嚴(yán)峻。所以，在引進(jìn)新技術(shù)提高企業(yè)智能化、自動化的基礎(chǔ)上，怎樣確保企業(yè)核心信息的安全性，預(yù)防非法分值竊取、破壞、泄密企業(yè)重要信息，消除外部安全威脅，是企業(yè)移動終端接入需重點解決的問題。

企業(yè)移動終端接入的安全風(fēng)險主要體現(xiàn)在終端、傳輸通道、應(yīng)用系統(tǒng)等三方面。對終端風(fēng)險而言，主要包括終端物理完整性、數(shù)據(jù)存儲安全風(fēng)險、系統(tǒng)漏洞與非法軟件安裝風(fēng)險、設(shè)備非安全管理風(fēng)險和非法使用風(fēng)險等；傳輸通道風(fēng)險主要是GPRS/CDMA/3G等公網(wǎng)或WiFi等無線專網(wǎng)通道發(fā)生不合法獲取信息的情況和非法終端接入風(fēng)險等；而對應(yīng)用系統(tǒng)風(fēng)險來說，具體表現(xiàn)在非法授權(quán)訪問、非法攻擊系統(tǒng)和泄露重要數(shù)據(jù)等方面[2]。

2 企業(yè)移動辦公安全設(shè)計

就前文闡述的移動辦公安全需求而言，需將企業(yè)具體狀況與移動辦公運(yùn)用模式結(jié)合在一起，立足于總體信息安全架構(gòu)，安全規(guī)劃與設(shè)計移動辦公方面的內(nèi)容，進(jìn)而建立起移動辦公安全技術(shù)防護(hù)框架。根據(jù)多層技術(shù)防護(hù)措施構(gòu)建縱深安全防護(hù)機(jī)制，確保能夠?qū)σ苿愚k公的用戶身份予以安全的鑒別，同時需對移動辦公設(shè)備予以嚴(yán)格的管控，確保通信數(shù)據(jù)能夠安全的進(jìn)行傳輸，進(jìn)而消除移動辦公過程可能會出現(xiàn)的安全風(fēng)險與威脅。

2.1 安全技術(shù)防護(hù)框架

對于大多數(shù)企業(yè)而言，安全保密是信息化建設(shè)重點關(guān)注的問題，基于企業(yè)辦公特征，協(xié)同辦公系統(tǒng)關(guān)系到企業(yè)重要、敏感的信息，所以安全性尤為關(guān)鍵。系統(tǒng)應(yīng)該形成全面而完善的安全體系，并發(fā)揮出信息安全支撐平臺的作用，讓系統(tǒng)始終處于穩(wěn)定與安全的狀態(tài)。在訪問企業(yè)應(yīng)用系統(tǒng)的過程中，主要選擇手機(jī)、平板電腦等移動辦公設(shè)備，由于移動辦公存在各種安全威脅，應(yīng)結(jié)合企業(yè)業(yè)務(wù)特征及安全需求，設(shè)計相對應(yīng)的移動辦公安全技術(shù)防護(hù)框架，詳如圖1所示。

圖1 安全技術(shù)防護(hù)框架示意圖

（1）終端安全。采取桌面虛擬化、數(shù)字證書、VPN、移動設(shè)備管理等方式，可對移動辦公設(shè)備的安全進(jìn)行有效認(rèn)證、準(zhǔn)確鑒別用戶身份、控制訪問及隔離有關(guān)數(shù)據(jù)信息等；（2）傳輸安全。當(dāng)移動辦公設(shè)備訪問企業(yè)內(nèi)部網(wǎng)絡(luò)時，采取CA和VPN技術(shù)相聯(lián)合的方法對于授權(quán)用戶設(shè)立專門加密隧道，以此來思想安全、保密傳輸數(shù)據(jù)[3]；（3）接入安全。采取隔離交換數(shù)據(jù)、防御入侵等技術(shù)方法，將互聯(lián)網(wǎng)與企業(yè)內(nèi)網(wǎng)的邊界予以隔離，并控制訪問，確保安全交換數(shù)據(jù)。

2.2 多重安全防護(hù)技術(shù)

2.2.1 身份認(rèn)證控制模塊

以可信度判定規(guī)則，對終端的完整度、可信度進(jìn)行全面驗證，針對通過對接入的移動終端設(shè)備的身份進(jìn)行有效認(rèn)證，并基于事先編制的訪問策略控制列表（ACL）方法，確保合法的終端和移動終端設(shè)備能夠順利地進(jìn)入系統(tǒng)，并訪問所需數(shù)據(jù)。

2.2.2 可信安全接入控制技術(shù)

安全接入控制技術(shù)通常選擇可信端口安全接入機(jī)制[4]。結(jié)合接入點功能等情況，應(yīng)該在系統(tǒng)內(nèi)設(shè)置相應(yīng)的可信端口，包括網(wǎng)絡(luò)可信端口、網(wǎng)關(guān)可信端口和終端可信端口等。其中，網(wǎng)絡(luò)可信端口可安全傳輸數(shù)據(jù)；網(wǎng)關(guān)可信端口：定位設(shè)備，監(jiān)控終端設(shè)備，下發(fā)規(guī)則，與設(shè)備之間安全通信、安全應(yīng)用信息交互，同時實現(xiàn)端口最小化分配等；終端可信端口：移動終端設(shè)備方面，終端可信端口能夠采集終端設(shè)備的屬性語言，讓遠(yuǎn)程桌面協(xié)議(RDP)獲得證書。

2.2.3 可信判定技術(shù)

可信判定技術(shù)可判定接入系統(tǒng)移動終端設(shè)備，在訪問過程中，基于設(shè)備認(rèn)證信息、屬性信息，周期輪詢設(shè)備，重新分析移動終端可信度，以此來保證移動終端訪問的可行性、安全性。

2.2.4 公開密鑰（WPKI）系統(tǒng)模塊

公開密鑰（WPKI）為企業(yè)辦公網(wǎng)移動終端安全接入系統(tǒng)，可以發(fā)揮出加密訪問、頒發(fā)證書、管理證書等功能，形成移動終端證書管理體系，移動終端安全接入的可信證書將具備產(chǎn)生、管理、存儲、分發(fā)以及撤銷等功能。在企業(yè)辦公網(wǎng)移動終端安全接入服務(wù)方面，其中WPKI系統(tǒng)為核心部分，圖2為具體構(gòu)成情況。

圖2 公開密鑰（WPKI）組成

3 移動辦公安全接入應(yīng)用

從企業(yè)內(nèi)網(wǎng)基本情況出發(fā)，充分考慮到業(yè)務(wù)訪問與安全管理等需求，逐步形成以移動辦公安全技術(shù)為基礎(chǔ)的防護(hù)框架，讓企業(yè)內(nèi)網(wǎng)功能有關(guān)區(qū)域得到改善。同時，立足于區(qū)域特點及功能，科學(xué)設(shè)計，構(gòu)建縱深防御機(jī)制（如圖3所示）。對終端接入?yún)^(qū)來說，邏輯隔離與安全連接設(shè)備與產(chǎn)品，尤其是對鏈路負(fù)載均衡而言，能夠解決各運(yùn)營商互訪問延遲率高與速度慢等問題，而侵防御設(shè)備發(fā)揮出智能防御的作用，能夠進(jìn)行自學(xué)習(xí)，避免受到互聯(lián)網(wǎng)非法入侵與攻擊。在移動辦公設(shè)備和用戶身份認(rèn)證方面，借助安全網(wǎng)關(guān)，VPN網(wǎng)關(guān)同移動辦公設(shè)備設(shè)計加密隧道，讓連接更加可靠。防火墻能夠進(jìn)行隔離邏輯與劃分區(qū)域，安全監(jiān)管部署則能夠進(jìn)行移動設(shè)備和身份認(rèn)證，如在身份認(rèn)證平臺中，可以形成企業(yè)統(tǒng)一身份認(rèn)證體系，對接入用戶和設(shè)備作出授權(quán)與認(rèn)證。借助移動設(shè)備管理系統(tǒng)，將對所有移動辦公設(shè)備進(jìn)行集中管控。隔離區(qū)部署可確保數(shù)據(jù)順利地流入控制的設(shè)備與產(chǎn)品，通過網(wǎng)閘的設(shè)計確保業(yè)務(wù)數(shù)據(jù)信息安全交換與隔離[5]。

圖3 移動辦公系統(tǒng)部署示意圖

運(yùn)用以上策略與方式，除了可以確保企業(yè)在移動辦公業(yè)務(wù)方面的需求得到滿足之外，還能夠增強(qiáng)移動辦公所具備的安全性，并實現(xiàn)以下運(yùn)用效果。

3.1 終端安全機(jī)制

就移動辦公用戶而言，只需要在移動辦公設(shè)備之中將電子密鑰（USB-Key）、PIN碼插入，就能夠利用互聯(lián)網(wǎng)對企業(yè)內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用進(jìn)行訪問，并且系統(tǒng)后臺會自動完成VPN隧道加密、虛擬桌面分配以及權(quán)限分配等[6]。

3.2 良好的用戶體驗

針對運(yùn)用移動筆記本的用戶而言，在辦公的過程中利用個人虛擬桌面對業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行訪問，和其在企業(yè)內(nèi)網(wǎng)之中的工作方式相同，不對用戶習(xí)慣進(jìn)行改變。運(yùn)用手機(jī)、平板電腦的相關(guān)用戶，在辦公的過程中運(yùn)用專用APP對業(yè)務(wù)系統(tǒng)進(jìn)行訪問，能夠較好滿足用戶辦公需要。

4 結(jié)語

近年來無線網(wǎng)絡(luò)技術(shù)發(fā)展速度很快，企業(yè)辦公系統(tǒng)中移動網(wǎng)絡(luò)中斷安全接入問題受到了廣泛關(guān)注，企業(yè)應(yīng)采取有效的安全接入技術(shù)，在開放性網(wǎng)絡(luò)環(huán)境下確保移動辦公的安全性，從而有利于確保企業(yè)的信息安全和可持續(xù)健康發(fā)展。