移动办公信息安全保障技术.doc

_1 移动办公信息安全保障技术的建设需求移动办公是指以安全访问为前提，利用手机、PDA或笔记本电脑等移动终端通过互联网或无线网络访问院各个单位办公系统，实现访问内网信息、处理公务的功能应用。与传统办公系统相比，移动办公摆脱了时间和场所的局限，随时随地处理公务，管理效率明显提高。 鉴于移动办公的使用方式，院内各个单位涉密信息系统内的信息将在服务于全社会、开放、公众性的互联网或无线通信网络上传输与使用，信息安全保障就至关重要。建设需求主要是以下几个方面：1） 内网信息的安全保护 移动办公系统是涉密信息系统，涉及院各个单位的整体概况、发展战略、财务状况、经营现状等众多涉及国家秘密和商业秘密信息，如不能有效保护，裸露于开放、公众性的互联网及无线通信网络上，会被非法用户或竞争对手侵入，危害极大。 如何保证移动办公系统的信息至关重要。2） 信息传输的安全性 移动办公系统借助公用通信网络访问内网信息，处理公务，开放、公众性的网络极易发生监听传输数据、入侵数据库、窃取有关资料等事件，如信息在网络传输过程中没有受到有效保护，一旦被窃取或篡改，危害同样是巨大的。3） 员工身份识别与安全登录 移动办公系统根据使用单位内部管理职能和管理权限的不同，针对不同员工授予不同使用权限。由于移动办公人员在登录移动办公系统时,其使用的网络环境和终端比较复杂,基于传统用户名/密码方式的身份认证与授权,极有可能造成身份信息的泄露,增加他人非法访问移动办公系统的可能。如何保证移动办公人员在授权范围内使用移动办公系统，准确鉴别身份信息，防止他人或被木马软件伤害是安全移动办公系统的关键。 4） 信息的不可抵赖性 移动办公系统承载着院各个单位众多关键和私密信息。日常工作中，各部门确认、会签信息不断，各系统间信息交互频繁，而在此种环境下，又不可能像传统纸质文件一样有签字、盖章的痕迹，一旦出现问题，无法跟踪，更无法追究责任。安全移动办公系统需建立信息使用与传输的抗抵赖机制。2 移动办公信息安全保障技术的建设思路1） 虚拟专网移动办公 运用VPN（virtualprivatenetwork，虚拟网)技术,在公众通信网络上建立专用网络实现移动办公的应用。之所以称之为虚拟网，是因为VPN网络中任意两用户间的数据传输不是通过传统通信网络中端到端的物理链路实现，而是通过架构在公用通信网络（如Internet等）之上的逻辑链路与逻辑网络实现。其主要功能是通过隧道 (tunnel)或虚电路(virtualcircuit)实现网络互联，支持用户安 全管理，对网络实施监控、故障诊断等。由于企、事业单位的私密信息是在专用通信网络上传输与使用的，VPN防御能力强、安全性高，适用于各个单位总部与分支机构内部联网以及商业合作伙伴之间的网络互联。2） 无线接入移动办公 移动办公无线接入分为两种： 笔记本无线网卡”方式，这种方式的移动办公是利用VPN防火墙技术，将各个单位的内网与无线通信网络隔离，用户通过账号/密码、“笔记本电脑+无线网卡（GPRS、CDMA、WCDMA）”终端，借助客户端软件，穿过VPN防火墙访问企业内网，实现公文办理、库存查询、客户资料查询等一般性功能。其主要特点是软件开发工作量少，客户端界面友好、信息量大，接入简单、易行手机智能客户端程序方式，这种方式是基于推送(push)技术依靠GPRS、CDMA、 WCDMA移动通信网络传输数据，通过安全链接将客户应 用服务器上的内容（数据）请求推送到客户手机端，实现随时随地移动办公应用。其主要特点是支持推送办公、安全性高、速度快、功能强大、界面友好。3） SSLVPN网关+数字证书 通过SSLVPN（securitysocketlayervirtualprivate network，安全套接字层虚拟私有网）安全认证网关设备与 数字证书技术相结合，透过互联网、无线通信网络实现移动办公应用。 SSLVPN安全认证网关是基于数字证书和SSL技术 实现的独立安全系统，该系统可有效解决数据访问与传输中的身份认证、安全传输和访问内网信息的合法性问题。该设备布置在企、事业单位的内网，是内网与公用通信网络互联的惟一的通信接口设备。 移动办公人员通过数字证书，透过互联网或无线通信网络远程登录移动办公系统，完成移动办公终端与SSLVPN安全网关的双向认证，根据用户身份给予相应授权，实施访问控制，建立安全通道，访问内网信息。同时,为防止事后信息抵赖，移动办公人员在向系统提交敏感数据及行