协同办公系统的安全防护关键技术研究

2021-12-09卢荣平薛涵宁傅春林邓冬叶

铁路计算机应用 2021年11期

康剑，卢荣平，薛涵宁，傅春林，邓冬叶

（中国铁路西安局集团有限公司信息技术所，西安 710054）

随着铁路在运输行业中的不断发展，铁路企业规模不断增大。铁路行业面临着人员紧缺、工作场所分散、频繁出差的现状，导致诸如公文签收、事务审批、日常工作不能及时处理等问题。协同办公系统可通过远程办公、移动办公的形式，改善此类问题，显著提升员工的工作效率。

随着铁路行业对网络安全重视程度的逐渐增加，大量学者对基于协同办公的防护技术进行了相关研究。巢江波[1]在视频监控领域，利用网络改造、专有平台和网络平台双方案消减安全风险；魏斌等人[2]对4G网络环境中移动终端面临的安全威胁及防护技术进行了分析；况书梅[3]对局域网计算机网络防入侵准入监测系统及重要数据备份等技术的应用进行了研究；郭翰科[4]对网络信息数据库的安全防护技术进行了探讨。

当前通用的协同办公系统均在内外网交互、网络链路建立、移动终端安全防护等方面存在网络安全问题，不能有效确保铁路系统内部数据安全。尚没有能直接应用于铁路局集团公司的铁路协同办公安全防护关键技术解决方案。为保证协同办公系统的安全性，本文着力研究在遵循铁路网络安全要求的前提下[5-6]，符合铁路局集团公司实际情况[7]的安全防护关键技术，用以提高铁路职工工作满意度、降低企业成本、提升业务效率。

1 协同办公风险分析

1.1 互联网上公文传输，存在泄密风险

办公系统的文件在互联网上传输，若是没有进行高安全级别的加密防护，易被黑客监听或篡改。部署在互联网上的办公系统服务器，IP地址暴露，也易被黑客通过扫描等攻击和入侵手段，发现操作系统、中间件、数据库、应用服务的脆弱点，窃取敏感数据，造成不可估量的损失。除去恶意攻击可能造成的泄密风险，在企业应用移动办公的使用中，也存在着诸多泄密风险，如设备丢失、USB 拷贝、社交平台分享等。

1.2 移动办公设备繁杂，兼容性问题突出

当前，协同办公系统的移动办公终端设备型号繁多、版本不齐，管控不当易降低运营效率和移动应用体验。若使用传统的安全封装方式，如Root提权保护，技术复杂，实施困难。若使用集成安全软件开发工具包（SDK，Software Development Kit）方法，则需要额外的适配开发测试，影响业务的迭代更新。

1.3 办公终端公私分离困难，难以管控

要实现协同办公系统的移动办公功能，需要使用移动终端。若使用配发的专用移动终端，虽有利于设备统一管控，但投资巨大，性价比低；若使用私人手机作为办公终端，办公应用与私人应用分离困难，企业核心数据存储在职工手机上，难以实现统一管控，在职工离职或手机丢失时面临信息泄露的风险。此外，部分职工在工作中会有意或无意地将办公系统中需要流转的公文传播在互联网上。移动数据的安全保护，挑战巨大。

1.4 企业应用分发管理工作繁杂，用户体验差

为确保应用下载渠道的安全性，企业一般采用自建页面的方式。但该方式存在应用下载权限缺失、发布上线慢、手工链接烦琐等问题，并且，该情况下应用更新无实时推送，导致应用在线版本多样，维护工作量增加。很多增加了安全管控的应用，由于额外认证增多，响应速度相对变慢，造成应用分发不畅，用户体验较差，影响移动业务的全员推广。

2 协同办公系统安全防护关键技术

协同办公系统安全防护不仅需要具备高度的数据安全性、全面的系统兼容性、一致的移动化体验、良好的分发易用性，还需要具备以下特性：

（1）保障系统安全可靠运行，满足国家信息安全保护要求；

（2）确保系统数据安全可靠接入信息网络，保证系统数据不被篡改；

（3）保障系统与其它系统间数据交互和存储的机密性、完整性和安全性，对数据访问进行严格的控制，防止越权或滥用；

（4）保障系统应用安全，杜绝仿冒用户、敏感信息泄漏、非授权访问、病毒攻击等。

本文结合铁路局集团公司现有安全平台设备、安全防护设备情况，提出适宜的安全防护关键技术。

2.1 服务器防护及安全准入认证

通过安全设备和主机安全策略协调工作，保障用户接入及接入后操作的的合法性和合规性。

2.1.1 服务器防护

分别在链路负载均衡、防火墙、IP地址上进行策略限制，使用白名单放行机制，采取最小化原则对登录设备的IP地址进行限制，仅开放与平台的连接端口，有效减少在互联网上的暴露面，降低安全风险。

在服务器访问方面，采用细粒度应用访问授权、传输数据加密技术，从数据安全的角度提供了隔离保护。移动应用采用安全套接字层（SSL，Security Socket Layer）加密协议，通过轻量级SDK集成或自动封装，支持虚拟专用网（VPN，Virtual Private Network）安全接入，保护数据传输安全。移动应用服务器部署在内网，系统信息和漏洞得以被隐藏，有效降低恶意攻击和入侵的安全风险。

2.1.2 身份认证

（1）本地数据库认证技术：创建用户组和用户账号、口令，制定对应的移动应用下载权限和应用服务器访问权限及规则，将用户口令加密存储在数据库中，完成本地数据库认证。

（2）硬件特征码认证技术：通过获取客户端不可改变的硬件信息作为唯一标识，生成数字证书，与用户或用户组进行绑定，确保对用户身份的唯一控制。

2.2 冗余结构防范单点隐患

利用企业既有设备，采用冗余结构的网络设计，防范单点隐患。具体措施包括：

（1）采用双机集群部署，实现设备接入安全及移动终端安全防护，单台设备故障不会影响整个系统使用；

（2）应用负载均衡技术，实现多台服务器冗余；

（3）利用内容分发网络（CDN，Content DeliveryNetwork）技术实现互联网出口链路的冗余，利用链路负载均衡设备将源地址翻译为两路地址，同时，CDN技术还可隐藏源地址，从而减少被攻击的可能性。

2.3 设备兼容性

采用底层技术进行安全代码的自动封装，支持iOS和Android的主流版本，覆盖员工使用的移动设备的全部机型和版本，避免因版本不兼容造成的运维成本增加。管理员在后台上传Android安装包（APK，Andriod Package）、iPhone程序应用（IPA，iPhone Application）文件后，填写应用信息，选择需要封装的安全特性，获取iOS或Android企业应用，上传到平台，即可提交封装。

2.4 专机专用和一机两用

协同办公系统的终端包括企业专用移动终端和支持一机两用的个人终端。对于企业的核心生产系统，职工必须使用企业专用的移动终端进行操作，由企业统一进行全生命周期管理。

2.4.1 专机专用

专机专用终端设备具备完整的数据安全和设备管控能力。设备开机后强制进入工作域，用户仅能安装和使用企业管理员配置的移动应用。企业对专用设备进行严格管控，包括信息注册、设备状态监控等。若设备存在下线、违规等情况，管理员可在移动终端管理界面对设备进行远程信息推送、锁定、数据擦除等操作，避免企业信息泄露，实现对移动化核心业务的强管控。

2.4.2 一机两用

一机两用采用文件加密隔离技术，通过创建仅能被工作域中的应用和服务访问的完整虚拟文件系统，对企业数据进行强加密和分片存储管理，保证文件的安全性。同时，安全工作域还支持剪贴板隔离技术、文件分享隔离技术、防截屏技术，将处于安全域中的应用和个人域进行隔离，有效防止职工有意或无意地存储或泄露企业敏感信息和重要数据，实现在保障企业信息安全的前提下，提升移动办公便捷性的目的。

2.5 应用商城统一管理

为确保应用下载安全，便于统一管理，可利用应用商城对应用分发进行统一管控。企业应用在进行安全封装之后，可直接发布至企业应用商城中。应用商城支持应用权限管理，每个职工拥有自己的应用商店账号，不同部门、不同角色的职工账号下载权限不同，通过权限管理可预防越权下载，减少数据泄露风险。应用商城应在应用发布后支持应用的更新推送，并提供信息统计功能，支持应用查询、应用版本查询、应用下载数查询、账号管理、账号权限管理等方面的信息导出，方便管理员查询、统计、分析应用商城中的应用使用情况。

2.6 日志审计追溯记录

根据《中华人民共和国网络安全法》条例，信息系统日志留存时长应不小于6个月。协同办公系统相关安全防护核心设备应开启日志功能，用于产生记录日志，并推送给日志审计设备完成日志存储、日志分析、归一化处理等功能，实现溯源审计，确保系统日常巡检维护的可追溯。在系统遭到内部违规、入侵攻击等安全事件时，能够进行辅助判断，为追溯分析、调查取证提供必要线索。