信息敏感行业3G移动办公安全解决方案

刘道群，孙庆和

（1.重庆理工大学 重庆 400054；2.中国联合网络通信有限公司重庆市分公司 重庆 400042）

1 引言

随着3G行业的不断发展以及人们对随时随地办公需求的日益强烈，基于3G的移动办公业务日益受到重视，3G移动办公已经进入政府、公安、金融以及连锁等行业。

移动办公是以“简单、实用、使用不受地点限制”为设计理念开发的办公自动化系统，可以在移动条件下使用手持设备通过移动网络访问单位内部的信息系统[1]，完成以前必须在桌面PC上处理的工作，如公文审批、收发邮件等。

3G移动办公网络部署方案是基于运营商提供的3G移动通信网络，在移动状态下，通过笔记本电脑、智能移动终端等实现查询、审批、回复、确认等办公操作，使办公信息可以随时随地地进行交流互动，整体运作更加协调。这种最新的办公模式通过在手机等移动终端设备上安装企业信息化软件，使手机具备和电脑一样的办公功能，为企业和政府信息化建设提供了全新的思路。

由于移动办公以有线和移动网络为承载网络，所以面临着有线和移动网络通信中的双重安全风险[2]；同时，移动办公运行着大量需要保护的数据和信息，特别是公安、金融等信息敏感行业中的移动办公系统，数据和信息的安全性显得特别重要，如果敏感信息泄漏，必将导致严重的后果，因此安全性是信息敏感行业大规模应用3G移动办公的最大障碍。

2 3G移动办公面临的安全威胁

IP网络面临的安全隐患，如病毒传播、主机遭受攻击、网络通信数据被非法劫持甚至篡改，3G移动办公同样存在；同时由于3G移动办公网络架构的开放性，用户身份认证、内网数据泄密等安全性问题显的尤为突出。在信息敏感行业中，3G移动办公面临的安全威胁潜伏在数据安全、数据完整性、信息传输、身份认证和事后追踪等各个环节，主要表现在以下几个方面。

（1）信息机密性和完整性

移动办公人员系统环境复杂，信息流转频繁，经常会通过公网与内网的应用系统进行敏感信息的交互，这些数据在开放的网络环境中传输时有可能被截取，被非法用户恶意篡改，导致信息发送与接收不一致，从而用户和系统之间产生信息的差异，严重的会影响到双方的正确判断。

（2）信息传输的安全性

基于3G的移动办公系统的数据传输过程包括无线传输和有线传输。无线传输采用3G网络，虽然有加密标准和规范，但手机号码、SIM卡有被克隆的可能，存在数据泄露的安全隐患；在有线网络中，互联网的开放、公众性使得极易发生监听传输数据、入侵数据库等事件，若敏感信息在网络传输中没有受到有效保护，一旦被窃取或篡改，将造成很大的危害。

（3）身份认证

移动办公人员在登录系统时，系统应该能够依据其身份授予不同的访问操作权限，使其能够进行相应授权内的操作，以避免假冒身份进行越权操作，但基于传统的用户名/密码方式的身份认证安全强度不高，易被破解或截获，从而增加了非法访问系统的可能性。短信动态密码与静态用户名/口令结合的身份认证方式，无法解决SIM卡克隆和手机丢失后造成的身份泄露问题。因此必须通过有效方式，保证对系统用户的身份强鉴别。

（4）信息抗抵赖

在电子化的网络环境中，如果没有有效的手段保证电子数据共享和传输的抗抵赖，谁都可以否认自己共享或传输过的电子数据。一旦出现问题，将没有任何有效的证据，对肇事者进行追究。目前大多数通过用户名/密码、手机号、IP地址等信息确认用户行为，这些信息容易泄漏，大多不是实名信息，且没有签名机制，很难追查到人[3]。

3 安全体系架构

由于终端的移动性、使用场景的开放性和不可监督性、无线传输安全的脆弱性、网络环境的复杂性，基于3G的移动办公安全问题无处不在。为解决以上安全问题，本文采用终端加固、信道加密、认证接入、访问控制和网闸隔离5大安全措施共同构成独立完整的安全接入体系，如图1所示。

终端加固：基于硬件密码对终端进行安全加固，保证终端计算环境、资源和网络访问的安全和控制。

信道加密：采用密码算法实现移动终端到移动接入区端到端的通信加密，保证内网信息在传输过程中的机密性和完整性。加密信道建立在通信运营商提供的APN专线之上。

认证接入：实现移动终端和移动接入区接入设备之间的双向身份认证，保证持有合法身份证书的移动终端能接入移动接入区。

访问控制：保证内网信息资源只能被授权的终端访问，并对异常的访问进行阻断。

网闸隔离：实现移动接入区和内网之间的网络隔离，对出入内网的数据进行协议剥离和内容过滤。

图1 移动办公接入安全体系架构

4 安全解决方案

以某政府单位移动办公应用为例，介绍一个端到端、安全可靠的移动办公解决方案，采用图1所示的安全体系架构，将移动办公网络分成5个不同的区域（移动终端、移动通信网、移动接入区、安全隔离区和内网），如图2所示。

对不同的区域采用不同的安全措施，通过3G网络访问内部的办公系统、业务系统以及内部核心资源时，采取适当的信息安全策略，在为合法的访问提供方便的同时，又能防止内网信息资源被非法窃取，具体安全措施介绍如下。

4.1 移动终端加固

客户端的安全通过运营商USIM卡或TF卡配合VPN客户端软件安全功能实现。运营商USIM卡本身并不只作单纯的接入功能，在安全性方面采用了改进的加密算法，密钥长度增加至128 bit；同时增加了对网络的认证功能，这种双向认证可以有效防止黑客对卡片的攻击；另外，USIM卡支持二次开发，在USIM卡中配置安全信息，从网络访问、用户身份认证、信息加密等方面实现了接入客户端系统公网路段的数据保密传输功能。

安全USIM卡或TF卡与移动VPN客户端软件配合，接入VPN安全网关对用户采用口令的方式进行验证，只有口令验证通过后才能进行内网查询操作，查看存储在客户端的内网信息。

安全USIM卡或TF卡的安全存储功能，确保了密钥和敏感信息的安全存储。遗失的安全USIM卡或TF卡通过管理员在VPN安全网关发送远程遥毁指令将其内网功能销毁，并且将存储的密钥和加密短信等内容擦除。

4.2 专用APN及隧道加密

在移动接入区，采用专用APN，类似行业专用的3G无线局域网，由运营商分配独立的接入点，并部署一条专线连接运营商GGSN与该单位内网，运营商GGSN和客户端路由器之间采用私有IP进行通信。在专用APN白名单中的用户，可以高速地通过APN专线接入内网。采用专用APN，限制非法用户加入该APN，关闭合法用户访问公网权限，从而使内网信息与Internet完全隔离，保障了内网信息的机密性。

为了保证专用APN的数据业务在运营商IP核心网中传输的的私有性，在专用APN专线上启用虚拟拨号网（VPDN）业务，利用安全的L2TP隧道传输协议，在现有的拨号网络上构建一条虚拟、不受外界干扰的专用通道，从而能够安全地访问内部网资源。

4.3 网络隔离

安全隔离区采用网络隔离技术和设备，进一步保证高安全性网络环境。网络隔离设备在理论和实践上均要比防火墙高一个安全级别，它把外网接口和内网接口从一套操作系统中分离出来[4]，然后在两套主机系统之间通过不可路由的协议进行数据交换，即便黑客攻破了外网系统，仍然无法控制内网系统，从而达到了更高的安全级别。

网络隔离采用专用通信硬件、专有安全协议、加密验证机制及应用层数据提取和鉴别认证技术，进行不同安全级别网络之间的数据交换，彻底阻断了网络间的直接TCP/IP连接，同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制，从而保证了网间数据交换的安全、可控，杜绝了操作系统和网络协议自身漏洞带来的安全风险。

图2 移动办公网络组网方案

4.4 身份认证

为了解决信息抵赖及身份认证安全隐患，在移动接入区和内部网络分别安装了认证服务器，采取用户名/密码与USIM卡卡号绑定以及数字证书等多重认证措施。

首先，在移动接入区配置VPN安全网关，该网关与移动终端使用的USIM卡或TF卡共同保证合法终端的接入，实现移动终端的认证接入、端到端信道加密、应用访问控制等安全接入和控制功能，同时提供终端和接入设备身份注册与管理服务等功能。

其次，配置系统的CA体系，完成数字证书的签发、管理及整个安全系统的配置及管理；在安全认证管理系统的支持下，对移动终端进行基于公钥证书的身份认证，保证非授权的用户不能接入某政府单位内网。数字证书存储个人身份信息及签名私钥，为移动终端提供数字签名、签名验证和数据加解密等密码服务。

5 结束语

随着3G网络覆盖范围的扩大，基于3G的移动办公在各行业得到了广泛的应用，3G移动办公的安全性迫切需要系统的解决方案。本文基于安全USIM卡、专用APN、数字证书认证、网络隔离等技术，提出了3G移动办公安全解决方案，通过终端加固、信道加密、认证接入、访问控制和网闸隔离等5大安全措施解决了移动办公安全问题，实现了移动终端通过运营商公用移动网络与单位内网的信息交换。该方案解决了移动终端、公网传输、内网保护等方面的安全需求，将移动接入作为一个系统整体的安全需求，建立一个全方位、多层次的安全服务体系，确保系统的身份认证、访问控制、信息安全、网络隔离、日志审计、病毒防范以及系统管理的安全。

1 唐宁,蒋红源,杨恒.基于3G运营商的移动办公系统应用和分析.电信科学,2009,25(10A):35～38

2 邓霄博,杜勇,朱伟光.基于3G网络的企业数据通信安全方案.电信科学,2010,26(8):102～106

3 赵波.安全移动办公解决方案简析.电信科学,2010,26(10):167～174

4 厉京运,赵卓.基于WPKI的移动OA安全平台的研究与设计.计算机工程与设计,2010,31(3):472～479

5 陈强,付强,张勇.浅谈网络隔离技术.北方交通,2010(4):195～197

6 “网络隔离”安全技术发展方向概述.http://www.huacolor.com/article/737.html