政企客户移动互联网立体通道安全防护构建.docVIP

政企客户移动互联网立体通道安全防护构建 　　摘要：日益凸显的移动安全问题为政企客户带来了不得不直面的问题，因此将从连接通道、传输通道、身份通道等三方面提出相应的移动安全解决方法，并结合案例将这三方面结合起来形成一个政企客户立体通道安全防护解决方案。 　　关键词：立体通道安全 个人信息安全 安全防护体系 　　1 政企客户在移动互联网所面临的管道 　　安全挑战 　　当今世界，信息技术创新日新月异，以数字化、网络化、智能化为特征的信息化浪潮蓬勃兴起。国家也发布了《国家信息化发展战略纲要》，将信息化发展以战略的高度要求各地区各部门结合实际认真贯彻落实。而随着移动网络的技术和设施的快速发展和部署，移动互联网下的信息化也得到了快速发展和应用。越来越多的政企客户将原来只能在内网中使用和共享的信息，通过移动信息化应用置放于外部网络环境中，因此如何保障信息的机密性和信息安全，被越来越多的政企客户摆上了议事日程。信息安全建设作为政企客户信息化发展过程中必然需要面临和解决的问题，成为当前政企客户移动信息化发展中的一个焦点。 　　据有关资料统计，当前我国企业的信息安全管理才刚刚起步，而80%以上的的安全威胁来自于内部，如木马、内部人员有意、无意攻击、泄密、病毒传播、内部资源滥用等。国内信息产业长期桎梏：“重硬轻软”，始终制约着信息系统监管体系的建立与完善。在防火墙、入侵检测等传统网络安全产品占据信息安全市场半壁江山的同时，内部审计、信息安全监管类技术只是处于起步阶段，企业信息安全还有许多问题需要解决。 　　如图1所示，政企客户通过移动互联网实施移动办公时，都会面临链接通道安全、身份通道安全和数据通道安全等三个方面的安全问题： 　　（1）链接通道安全：很多客户的办公网一般都是内部的局域网，政府、金融、公检法等保密要求比较高的客户，内网是不允许有互联网出口的。为了实现移动办公，又需要使用运营商的移动网络进行接入，因此如何做到既能让手机、Pad这些终端通过移动网络安全地接入内网，又不会让内网暴露在Internet上遭受DDos攻击、病毒、木马等的入侵成为重点。 　　（2）身份通道安全：政企客户在实施内部应用移动化的过程中，如何确定使用者的身份、如何防止身份被盗用或者冒用，这是身份通道安全需要关心和认真解决的问题。 　　（3）数据通道安全：客户的数据在链接通道上以明文的方式传输，万一被截取了就会有信息被窃取和盗用的风险。因此，如何保证数据在?接通道上安全的传输，做到可管可控也是需要通过添加一些加密方法和设施才能得到保障的。 　　本文将就这3方面的通道安全进行阐述，提出针对这3方面的解决办法，并通过实际的案例分析，将这3方面的通道安全结合起来形成一套完整的通道立体安全防护解决方案。 　　2 通道安全的解决方法 　　通过上文对链路通道、身份通道、数据通道所碰到的风险的阐述，接下来将针对每种通道上的解决办法进行讨论。 　　（1）链路通道安全 　　链路通道安全主要要解决好两个问题，一个是组网问题，即如何通过运营商的移动网络接入到内网；一个是安全问题，即如何避免将内网暴露在Internet上而遭受各种攻击和入侵。 　　为了能解决好以上两个问题，可以使用无线VPDN接入方案。无线VPDN业务的承载在运营商的高速分组数据（3G/4G）网络之上，利用L2TP隧道技术搭建虚拟专用网络，结合运营商内部的多业务承载网络连通客户内部办公网络，为客户提供与Internet完全隔离的端到端的安全通道和组网方案。无线VPDN网络架构如图2所示： 　　这个方案既能使用移动终端通过运营商的移动网络接入到客户内网，而且Internet上的用户无法感知到这条虚拟通道的存在，也无法穿过虚拟通道访问客户内网，从而避免了大量的Internet攻击和入侵。 　　（2）身份通道安全 　　传统的帐号密码体系由于容易被盗用或冒用，已不能满足高安全性行业的应用。目前，业界比较流行的是使用电子签名的方案来实现客户应用、数据访问的使用者身份确认和防止冒用。但传统的USB key、蓝牙key因携带不方便，与移动终端接口不对应，近几年启用的TF卡key也因为谷歌在Android4.0后收紧了第三方应用对TF卡实时读写的权限，也无法正常使用。 　　为了能解决电子证书的秘钥存储和加解密，可以使用UIM卡盾方案。UIM卡盾是在UIM卡中加载合法CA数字证书的硬件级安全产品，采用非对称密钥算法对敏感交易信息加密及签名，提供身份认证、安全加解密、电子签名等服务。UIM卡盾功能如图3所示： 　　该方案符合《中华人民共和国电子签名法》，身份经第三方CA机构严格审核并授权使用数字证书，关键步骤采用电子认证技术可追溯是谁操作，具有不可抵赖性，并且由于UIM卡是直接插在移动终端上的，很好地解决了