移动政务办公模式下等级保护基本要求探讨.pdfVIP

无线通信与移动互联网安全 移动政务办公模式下等级保护基本要求探讨 ◆朱凯华王和平 (内蒙古自治区人民检察院 内蒙古010000) 摘要：移动政务办公是政府职能转变的一种方式，显著提高了工作效率、服务$t-。安全技术为其更好的发展提供了保障基础，但传 统等级保护对移动政务办公在移动终端、通信网络、服务器(虚拟化)及数据等方面缺失或缺少安全技术方面的防护措施，本论文在 等级保护基础上，对上述四方面在新的工作模式下所受威胁，进行分析并提出了应对技术措施，以达到等级保护的适用性。 关键词：移动政务办公；等级保护；虚拟化 O引畜 络等。该区域介于终端域与业务应用域之间，并与业务应用域逻 移动互联技术及BYOD的出现发展，使生活、娱乐移动化 辑隔离。 变为常态，政府部门在业务模式、公众需求驱动下正由固定式政 (3)业务应用域：用于完成移动政务办公业务，是移动平 务办公向移动式政务办公转变。 台的核心，主要包括服务前置、数据交换平台及应用处理环境。 移动政务办公在带来业务高效、服务便捷及资源利用同时， 通过对移动政务办公架构模型分析，基于对《基本要求》的 在安全技术、管理方面面临着严峻挑战。等级保护系列标准是针 理解，应更关注移动终端所受的安全威胁及采取应对措施，对网 对边界明晰、物理实体及有线通信的传统政务系统，从计算环境 络安全、主机安全等进行威胁分析及措施防范。 安全、网络通信安全、区域边界安全三部分提供安全防护的，而 ‘盔墨叠—盈圈■叠盈互● 对于移动政务的移动性、虚拟性及多终端性没有实质性的安全定 义，所以完全套用等级保护不能保障移动政务的安全，对等级保 护也是一种挑战。 1移动政务办公概述 1．1 移动政务办公与传统政务办公比对 移动政务办公与传统政务办公从业务模式、安全威胁、安全 皇=菌。星 防护及安全参考标准等四个方面进行对比。 (1)业务模式 移动化政务可实现高效、多业务应用的实时办公。传统化政 图l 移动政务办公架构模型 务办公在多业务应用的情况下时效性较低。 2移动政务办公模式下等级保护基本要求安全需求 (2)安全威胁 国务院147号令明确指出“对信息系统实行等级保护是国家 移动化政务的安全威胁可从三方面概述： 法定制度和基本国策；是信息安全保护工作的发展方向”。移动 ①虚拟化环境引入新的风险：虚拟化平台／VMM自身的安全 政务办公属于信息系统，但基于移动政务办公的特性及其用到的 漏洞、虚机隔离(由于共享硬件，可能以虚机为跳板进行攻击， 新技术，等级保护安全措施并不完全适用于移动政务办公，需在 造成虚机全部瘫痪)、资源分配问题等。 现有安全基础上结合移动办公受到威胁对等保进行相应的完善 ②传统信息安全威胁：非法接入／外联、恶意代码、木马、 改进。 DDos攻击、钓鱼攻击、网络攻击、漏洞扫描、缓冲区溢出等。 基于等级保护中的技术安全，增加了技术类“终端安全”，并对 ③信息安全效应影响(间接威胁)：数据泄露或损失更严重、 “网络安全、主机安全及数据安全”中的控制点／要求项依据所受威 恶意传播更迅速、社会影响更大等。 胁进行了安全防护措施的部署，对物理安全、应用安全暂不考虑。 传统化政务的安全威胁主要来自传统安全威胁：移动化政务 2．1终端安全 中的②所有。 终端是移动政务信息来源，其安全性直接关系到政务的成 (3)安全防护 败，移动终端受到的威胁主要表现在以下几个方面： 传统化政务的安全防护主要是传统安全手段：防火墙、 (1)终端准入机制不健全：由于移动终端设备的多样性， IDS／IPS、安全网关、安全审计、PKI／CA、应用交付、防病毒等。有些终端在未经过合法身份认证随意接入网络，访问