郑健　杨广龙

摘要：日益凸显的移动安全问题为政企客户带来了不得不直面的问题，因此将从连接通道、传输通道、身份通道等三方面提出相应的移动安全解决方法，并结合案例将这三方面结合起来形成一个政企客户立体通道安全防护解决方案。

关键词：立体通道安全 个人信息安全 安全防护体系

1 政企客户在移动互联网所面临的管道

安全挑战

当今世界，信息技术创新日新月异，以数字化、网络化、智能化为特征的信息化浪潮蓬勃兴起。国家也发布了《国家信息化发展战略纲要》，将信息化发展以战略的高度要求各地区各部门结合实际认真贯彻落实。而随着移动网络的技术和设施的快速发展和部署，移动互联网下的信息化也得到了快速发展和应用。越来越多的政企客户将原来只能在内网中使用和共享的信息，通过移动信息化应用置放于外部网络环境中，因此如何保障信息的机密性和信息安全，被越来越多的政企客户摆上了议事日程。信息安全建设作为政企客户信息化发展过程中必然需要面临和解决的问题，成为当前政企客户移动信息化发展中的一个焦点。

据有关资料统计，当前我国企业的信息安全管理才刚刚起步，而80%以上的的安全威胁来自于内部，如木马、内部人员有意、无意攻击、泄密、病毒传播、内部资源滥用等。国内信息产业长期桎梏：“重硬轻软”，始终制约着信息系统监管体系的建立与完善。在防火墙、入侵检测等传统网络安全产品占据信息安全市场半壁江山的同时，内部审计、信息安全监管类技术只是处于起步阶段，企业信息安全还有许多问题需要解决。

如图1所示，政企客户通过移动互联网实施移动办公时，都会面临链接通道安全、身份通道安全和数据通道安全等三个方面的安全问题：

（1）链接通道安全：很多客户的办公网一般都是内部的局域网，政府、金融、公检法等保密要求比较高的客户，内网是不允许有互联网出口的。为了实现移动办公，又需要使用运营商的移动网络进行接入，因此如何做到既能让手机、Pad这些终端通过移动网络安全地接入内网，又不会让内网暴露在Internet上遭受DDos攻击、病毒、木马等的入侵成为重点。

（2）身份通道安全：政企客户在实施内部应用移动化的过程中，如何确定使用者的身份、如何防止身份被盗用或者冒用，这是身份通道安全需要关心和认真解决的问题。

（3）数据通道安全：客户的数据在链接通道上以明文的方式传输，万一被截取了就会有信息被窃取和盗用的风险。因此，如何保证数据在鏈接通道上安全的传输，做到可管可控也是需要通过添加一些加密方法和设施才能得到保障的。

本文将就这3方面的通道安全进行阐述，提出针对这3方面的解决办法，并通过实际的案例分析，将这3方面的通道安全结合起来形成一套完整的通道立体安全防护解决方案。

2 通道安全的解决方法

通过上文对链路通道、身份通道、数据通道所碰到的风险的阐述，接下来将针对每种通道上的解决办法进行讨论。

（1）链路通道安全

链路通道安全主要要解决好两个问题，一个是组网问题，即如何通过运营商的移动网络接入到内网；一个是安全问题，即如何避免将内网暴露在Internet上而遭受各种攻击和入侵。

为了能解决好以上两个问题，可以使用无线VPDN接入方案。无线VPDN业务的承载在运营商的高速分组数据（3G/4G）网络之上，利用L2TP隧道技术搭建虚拟专用网络，结合运营商内部的多业务承载网络连通客户内部办公网络，为客户提供与Internet完全隔离的端到端的安全通道和组网方案。无线VPDN网络架构如图2所示：

这个方案既能使用移动终端通过运营商的移动网络接入到客户内网，而且Internet上的用户无法感知到这条虚拟通道的存在，也无法穿过虚拟通道访问客户内网，从而避免了大量的Internet攻击和入侵。

（2）身份通道安全

传统的帐号密码体系由于容易被盗用或冒用，已不能满足高安全性行业的应用。目前，业界比较流行的是使用电子签名的方案来实现客户应用、数据访问的使用者身份确认和防止冒用。但传统的USB key、蓝牙key因携带不方便，与移动终端接口不对应，近几年启用的TF卡key也因为谷歌在Android4.0后收紧了第三方应用对TF卡实时读写的权限，也无法正常使用。

为了能解决电子证书的秘钥存储和加解密，可以使用UIM卡盾方案。UIM卡盾是在UIM卡中加载合法CA数字证书的硬件级安全产品，采用非对称密钥算法对敏感交易信息加密及签名，提供身份认证、安全加解密、电子签名等服务。UIM卡盾功能如图3所示：

该方案符合《中华人民共和国电子签名法》，身份经第三方CA机构严格审核并授权使用数字证书，关键步骤采用电子认证技术可追溯是谁操作，具有不可抵赖性，并且由于UIM卡是直接插在移动终端上的，很好地解决了携带问题。

（3）数据通道安全

在移动终端与客户内网建立了虚拟通道后，为了防止数据在某些节点意外泄露，需要对传输的数据进行移动终端与客户内网之间的双向加密，以确保即使传输数据遭到意外泄密后，盗取者也无法获取到正确的数据。SSL VPN网络架构如图4所示：

目前业界较为常用的方法是使用VPN技术，而以SSL VPN的使用较为常见。SSL协议位于TCP/IP 协议与各种应用层协议之间，为数据通讯提供安全支持。SSL VPN可提供数据封装、压缩、加密等基本功能的支持，可用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

3 移动互联网立体通道安全防护解决方案

以上的通道安全解决方法从技术和实现上都是相对独立的，但是，客户通常要同时面对这3个问题。如果只是将3个安全解决的方法单独实施和使用，在用户看来防护和使用的效果不会那么突出。但如果将这3个方法融合成一套立体安全防护解决方案，将会有效提升3种解决方法的联动效应。举一个较为形象的例子，如图5所示，如何将银行的现金安全地运抵金库，首先需要一条安全的路径，这就如无线VPDN虚拟通道，其次需要一辆有防爆措施的运钞车，这就好比SSL VPN，最后押运的人员也需要合格的资质，这就是数字证书。只有这3个条件都具备并且联动配合着发挥了作用，才能把现金安全地送达金库。

如所举的例子，各种防护措施需要互相配合才能达到整体的安全要求，而目前很多信息安全项目在实施过程中，由于各种防护措施没有整合和联动，用户使用起来非常麻烦，达到的效果也不佳。下面就某市信息办的安全办公项目对立体通道安全防护解决方案进行介绍。该市信息办要求同时具备这3种防护能力，在移动终端上的使用要尽量简单最好做到免配置。针对这样的要求，在客户搭建好链路、网关、电子证书认证系统等设施后，方案实施时在移动终端的拨号客户端和各个安全系统间进行了整合和联动。在终端上的拨号应用改造主要是3种防护方法的调用机制的联动，如在移动终端上使用同一个客户端启动并切换至无线VPDN后，客户端自动触发SSL VPN与安全网关的连接，在SSL VPN建立后客户端自动发起用户电子身份认证，在用户点击使用客户应用前就已经一次性地启动了所有防护机制，用户无需干预和频繁地操作。而且拨号时所需的用户名密码、电子证书所需的公秘钥等参数会通过系统推送到达终端并进行自动配置，减免了用户配置的过程。而在安全系统间的联动，主要改造了SSL VPN，不再采帐号密码的认证方式，而是采信无线VPDN的在线记录以判断是否允许SSL VPN的接入。具体的做法是无线VPDN拨号成功后，移动终端的拨号客户端会向安全网关发起SSL VPN的拨号请求，安全网关收到请求后会通过接口向无线VPDN系统查询该用户号码是否已在线来判断是否允许该用户接入。实施了这套解决方案后，用户配置和使用操作简化了，系统對用户的管理内容减少了，系统间的联动加强也增强了整体安全性。该方案得到了该市信息办的认可并下文要求下属委办参照执行。

4 结束语

如前文所述，随着移动互联网和移动信息化的逐步深入，政企客户的安全边界由内网扩展至移动终端，信息安全的风险正日渐增长，如何从承载身份信息、应用数据的通道上有效地防范安全漏洞，依靠单一的防护措施是很难达到整体防范的效果的。通过本文对移动互联网立体通道安全防护解决方案的介绍，可以了解在链路通道、身份通道和数据通道上采取立体安全防护措施，保证数据在管道中安全地传送，再结合其他移动终端的安全管理应用，如MDM、MAM、安全沙箱等保障数据在终端上存储和使用安全，最终达到移动信息化的整体安全防护。

参考文献：

[1] 王占京，张丽诺，雷波. VPN网络技术与业务应用[M]. 北京： 国防工业出版社， 2012.

[2] 蒋文新. VPN中的隧道技术详解[EB/OL]. （2011-01-30）. http：//www.chinabaike.com/z/xinxihua/253195.html.

[3] 熊小明，周民立. 电信技术数据网络的现状及发展分析[J]. 信息网络， 2005（10）： 42-45.

[4] 陈涛，彭劲. 二层MPLS VPN技术与部署[J]. 广播电视信息， 2010（7）： 52-54.

[5] 李洪，渠凯. SSL VPN安全方案与发展趋势分析[J]. 电信技术， 2011（1）： 72-74.

[6] 易观智库. 中国企业级移动管理市场专题研究报告[R]. 2014.

[7] 易观智库. 中国手机安全市场现状研究报告[R]. 2014.

[8] 陈静. 移动办公与管理[M]. 北京： 对外经济贸易大学出版社， 2012.

[9] 中国电信集团公司. UIM卡级安全认证[EB/OL]. （2015-10-01）. https：//www.189office.com/productsUD.

[10] 中国电信集团公司. 安全认证产品技术规范[R]. 2014. ★