SIM 卡在網絡安全管理中的應用

編者按： 本文結合筆者單位的SIM 卡身份認證業(yè)務需求及方案設計，介紹了如何通過以強身份認證為入口，不斷豐富應用場景，如敏感數據操作及權限金庫審批，敏感文件下載簽名或水印、辦公系統審批及簽名等，實現SIM卡為IT 系統安全管理賦能。

隨著現代企業(yè)數字化轉型的推進，企業(yè)IT 環(huán)境發(fā)生了巨大改變，如何實現更靈活、更安全的企業(yè)用戶身份認證和管理，更精細化和更安全高效的授權、審批及訪問控制，是當下各企業(yè)在安全管理方面亟需解決的難題。

基于SIM 卡的安全芯片，結合PKI 非對稱加密技術，可為用戶提供高安全性的認證、審批和數字簽名服務，通過與企業(yè)IT 系統結合，可助力企業(yè)提升賬號管理、身份鑒權與準入、自動化安全運維運營、敏感文件防泄漏及互聯網暴露面資產防護等方面的安全管控能力，實現安全、高效的管理目標。

本文通過SIM 卡與企業(yè)安全應用的集成，致力于實現便捷的基于數字證書的主賬號強認證，提升IT 支撐系統認證強度，并探索無密碼認證機制，防范密碼泄露風險；基于統一認證取號和SIM 卡證書校驗能力構建“統一安全網關”，杜絕未授權訪問，實現互聯網暴露面的安全防護和移動辦公的統一接入管理；基于SIM 卡手機端的便利，實現安全快速的各類流程審批，減少人力成本，提高數據安全管控能力。

當前網絡安全防護的不足

目前，大部分企業(yè)都還是采用傳統的網絡分區(qū)和隔離的安全模型，用邊界防護設備劃分出企業(yè)內網和外網，并以此構建企業(yè)安全體系。這些系統或設備在企業(yè)的信息化安全管理中發(fā)揮著重要的作用，但依然存在不少安全問題。

1.認證的安全性及效率問題。目前大部分企業(yè)用戶采用口令、短信或UKey 認證的方式進行平臺登錄，其中口令認證存在弱密碼、撞庫及爆力破解等安全風險，短信認證方式存在諸如短信劫持攻擊以及短信網關不穩(wěn)定性問題；Ukey 認證使用過程復雜，影響平臺的登錄效率。

2.自動化管理過程缺乏及時性。目前多數企業(yè)的自動化管理基本依托流程和工單系統實現，但在實際安全生產中存在諸如工單審批過程滯后，無法實現金庫審批等流程化管控需求。

3.互聯網暴露面資產缺乏統一防護。隨著公司IT系統逐步實現移動化辦公，形成了大量暴露面，給安全防護帶來困難。

SIM 卡登錄認證

SIM 卡登錄認證利用SIM卡快捷認證的能力，通過整合SIM 卡與原有系統的認證模塊，實現手機號碼的一鍵登錄，可有效解決前文所述認證方式的不足，提升系統身份鑒別與登錄認證能力。

本文以企業(yè)IAM（身份識別與訪問管理）系統舉例進行集成方案說明，SIM 卡認證與IAM 集成邏輯架構圖如圖1 所示。

1.內網區(qū)域

保持IAM 系統與各類支撐系統原有結構不變。

2.DMZ 區(qū)域

部署IAM 系統前置機，主要用來與SIM 卡平臺進行數據交互，包括身份認證、數字簽名和各類審批等信息，IAM前置部署的方式不影響IAM系統及管控的各系統部署結構及安全防護。

3.Internet 區(qū)域

SIM 卡平臺和SIM 卡 手機端通過互聯網連接，IAM 系統前置機與SIM 卡平臺對接，通過防火墻控制，僅開放與SIM 卡平臺連接，同時采用傳輸加密，確保數據傳輸過程的安全性。

SIM 卡快捷認證解決了用戶難以記憶賬號和復雜密碼以及密碼易泄露的痛點，帶來更好的用戶體驗。同時，由于其對下發(fā)驗證碼信息加密，加密信息到達終端后由SIM 卡卡應用解密并通過STK 界面將短驗展示給用戶，通過提供“傳輸過程信息加密”和“防止手機病毒截獲”雙重保障，可有效防范偽基站2.0 等短信嗅探風險，有效避免木馬攔截和篡改，從而帶來更好的安全性。并且，因為用戶隨身攜帶手機，方便接收信息，體驗更好。

圖1 SIM 卡認證邏輯架構圖

暴露面安全防護

移動化辦公為企業(yè)帶來大量的互聯網暴露面資產，這些IT 資產存儲大量的企業(yè)機密和用戶敏感數據，極易遭受黑客攻擊。該技術通過在系統前置部署安全網關，提供基于SIM 卡的網絡鑒權準入和集中安全防護，可實現系統和未授權用戶的網絡隔離，從而極大地降低安全風險。

借助網關取號、SIM 卡認證能力構建統一安全網關，在各IT 系統、App 后臺系統前置部署集中接入，統一安全網關通過反向代理統一出口，大量IT 系統可以取消原本為移動端訪問而打開的互聯網暴露面，從而盡可能地避免被搜索引擎或端口掃描工具發(fā)現及滲透測試。

通過應用系統改造與安全網關單點登錄對接，安全網關基于網關取號及SIM 認證進行身份鑒權和網絡訪問控制，既實現非授權用戶與系統網絡隔離，又消除原系統的賬號密碼機制，規(guī)避賬號口令安全問題。

同時，在安全網關前置IPS 和WAF 等安全防護系統或設備，進行統一安全防護，集中建設，集中運維，避免木桶效應，低成本提高多個系統的網絡安全防護能力。

自動化運維安全管控

為提升生產效率，現代企業(yè)都在大力推行自動化運維。自動化運維在給企業(yè)生產帶來便捷，提升產能的同時，也存在不少安全隱患。

例如，缺少安全管控機制，存在未授權的非法操作，導致文件刪除，敏感數據泄露，服務器宕機等生產安全事故；自動化批量操作場景中的高風險，比如操作對象、操作步驟及操作指令等在未經確認和審批情況下被執(zhí)行，導致故障率增加；企業(yè)及用戶敏感數據訪問方面缺少嚴格的控制措施，諸如權限劃分不清晰，操作與授權不分離等，導致非法高危操作被執(zhí)行，從而引發(fā)數據安全問題。

利用SIM 卡的安全認證、審批及數字簽名能力，可解決企業(yè)上述安全問題。

在安全管控方面，通過操作與審核分離，雙崗操作，一人操作，一人檢查（SIM 卡審核）結果，驗證通過才產生實際有效的系統操作，確保操作的準確性和規(guī)范性；在批量操作方面，通過對操作時間、操作對象、操作步驟和操作指令進行明確提醒并審批，防止出現大量設備故障不可用的情況；在用戶敏感信息及數據管控方面，通過SIM 卡數字簽名授權，誰簽名誰負責，防止非法高危操作，確保所有敏感操作都有嚴格的控制，多人完成，各司其職，分權制衡，實現操作與授權分離，保障數據安全。如圖2 所示。

圖2 SIM 卡操作審批演示

結語

基于SIM 卡實現IT 系統安全管理，在便捷性、安全性和示范性等方面帶來良好的收益。

1.提高系統的認證及審批便捷性。以SIM 卡替代U盤，升級了硬介質，實現傳統U 盾的線上化、個人化和移動化。SIM 卡與IAM 結合，提高了認證介質攜帶和使用的便捷性，簡化IAM 系統流程審批的操作，提升工作效率。

2.提升系統的安全管控能力。將SIM 卡的數字簽名等技術融入IAM 系統等安全管控業(yè)務，實現流程審批責任到人，加強對敏感文件管控及審計溯源。

3.降低安全建設投入成本。SIM 卡是中國移動基于NFC USIM 卡的安全芯片，結合PKI 非對稱加密技術，提供安全防護的認證服務。其成本較動態(tài)令牌和UKey 等認證方式更低，基于SIM 卡的流程審批也將減少人力成本。

4.為其他業(yè)務結合SIM卡應用提供示范性參考。通過SIM 卡與安全業(yè)務的結合建設，可以為其他業(yè)務系統采用SIM 卡實現業(yè)務過程涉及的審批及簽名等場景提供參考。