欢迎光临第一论文网,权威的论文发表,我们将竭诚为您服务!
您的位置: 第一论文网 -> 计算机网络论文 -> 文章内容

军工企业移动办公安全接入研究与应用

作者:第一论文网 更新时间:2015年10月26日 21:11:14

 随着移动办公应用技术、部署条件等日趋成熟,移动办公在各行业中得到了广泛推广和深入应用,其价值也日益凸显。军工企业结合自身的业务发展需要,尤其在企业内外部业务对信息交互的及时性、时效性要求越来越高,也促使军工企业对移动办公需求也越来越迫切。但是,面临日益严峻的网络安全威胁,对信息安全要求较高的军工企业,必须充分考虑移动办公在接入和使用过程中面临的各种安全威胁和问题,保障企业数据信息的安全。 
  2 移动办公安全接入需求 
  移动办公是利用手机、笔记本电脑等移动设备通过国际互联网或运营商通信网(4G等)接入企业内部网络,实现访问内网信息、处理各类业务的功能应用。通过移动办公使企业员工可以随时随地接入企业内部网络,在线处理事务,在方便企业员工日常办公的同时,提高了企业管理效率。 
  虽然移动办公的灵活性、易用性给企业日常办公带来诸多好处,与此同时,由于移动办公网络接入的开放性和灵活性、设备的多样化以及依赖国际互联网进行数据传输等特点,使企业内部网络更多的暴露在国际互联网中,带来了更多的安全风险隐患,尤其对军工企业的信息安全提出了严峻的考验。 
  主要威胁表现在几个方面。 
  (1)移动用户的身份识别。移动办公用户通过互联网登录企业内部网络办公系统时,基于传统的用户名与密码的方式进行身份认证与访问授权,容易造成用户身份信息的泄露,存在非法用户获取用户授权而造成数据信息泄露的风险。 
  (2)移动用户设备的管理。移动办公需借助手机、笔记本电脑等设备进行网络接入,未经授权的移动设备接入企业内部网络,直接访问企业内部的业务应用系统,如不能有效识别并管控移动接入设备,容易造成网络非法入侵,非授权访问或数据信息外泄的风险。 
  (3)信息传输的安全性。移动办公需借助互联网访问企业内部信息并处理业务,开放的网络线路容易发生传输数据的被监听或窃取等,如果数据信息在网络传输过程中没有受到一定的保护,会存在被监听窃取数据信息的风险。 
  (4)企业内部信息的保护。企业内部信息涉及到企业内部经营决策、规划发展等重要数据信息,移动办公需要企业内部网络与互联网或无线通信网络进行联接,不采取有效的网络安全防护,将可能被非法用户网络入侵,窃取内部数据信息。 
  基于对移动办公接入所带来的安全风险分析,提出几方面的移动办公安全接入需求:1)移动用户的身份鉴别和访问控制;2)移动终端设备可管可控;3)线路通信的加密传输;4)企业内部网络与互联网的边界控制。 
  3 移动办公安全设计 
  针对上述提出的移动办公安全需求,结合该军工企业的现状和移动办公应用模式,基于其的总体信息安全架构,对移动办公部分进行安全规划和设计,形成移动办公安全技术防护框架。通过利用多层技术防护措施和手段建立一套纵深安全防护机制,以保障移动办公过程中用户的身份鉴别安全,移动办公设备的安全管控,通信数据的安全传输等,以有效的解决移动办公所面临的安全风险和威胁。 
  3.1 安全技术防护框架 
  安全保密是军工企业进行信息化建设的关键问题之一,根据军工企业办公特点,协同办公系统涉及到企业的重要信息,因此安全性需要放在首位进行考虑。系统要有完善、周密的安全体系和信息安全支撑平台紧密配合,从多方面采用多层次的安全保障措施。 
  军工企业的移动办公用户将通过笔记本电脑、平板电脑、手机等移动办公设备访问企业内部的业务应用系统,考虑到移动办公的安全风险和威胁,本次结合该单位的业务特点和安全需求,有针对性地设计了移动办公安全技术防护框架,具体如图1所示。  (1)终端安全。综合运用VPN、数字证书、桌面虚拟化、移动设备管理等技术手段,实现了对于移动办公设备的安全认证、用户身份鉴别、访问控制、数据隔离等。 
  (2)传输安全。在移动办公设备访问企业内网的过程中,采用CA和VPN技术相结合的方式针对指定的授权用户建立专有加密隧道,保障了数据在传输时的安全性和保密性。 
  (3)接入安全。利用入侵防御、数据隔离交换等技术手段,实现企业内网与互联网的边界隔离、访问控制以及数据安全交换。 
  3.2 多重安全防护技术 
  基于上述安全技术防护框架,将在链路层、设备层和数据层等不同层次中借助通信加密、移动设备安全管控、数据安全交换等多种安全防护技术进行全方位地防护,从而保障了该企业数据和信息的安全。 
  (1)通信加密。移动办公通信信道是通过SSL VPN网关设备构建安全连接,利用USB KEY+PIN码的方式建立VPN加密隧道,对数据进行SSL加密封装,使得工作信息的安全得到更好的保护,防止被网络截包程序拦截而导致企业数据外泄。 
  (2)移动设备安全管控。通过移动设备管理系统和SSL VPN网关设备对移动办公终端设备进行管控,实现对设备的硬件、软件、数据的统一管理和控制。所有移动设备必须注册并绑定硬件特征码,经过设备认证获得授权后,才能接入企业内网访问指定的系统资源。 
  (3)数据安全交换。利用防火墙、网闸、入侵防御等技术手段,对企业内网的安全区域、访问控制策略、边界隔离措施和入侵防御策略等进行规划和设计,严格控制互联网与企业内网之间的数据流向,以保证在安全可控的前提下进行安全数据交换。 
  (4)数据安全隔离。通过桌面虚拟化、沙箱技术实现所处理的数据信息均不在移动办公设备上落地,其中使用移动笔记本的用户通过虚拟桌面访问企业内网中的业务应用系统,所有数据均保存在虚拟桌面中。使用手机和PAD的用户通过APP访问企业内网中的业务应用系统,APP运行在手机和PAD的沙箱环境中,以确保用户数据安全。 
  (5)身份认证与授权控制。利用身份认证平台中的CA系统和应用安全网关,对用户、设备和应用进行细粒度的授权和访问控制。为用户和设备颁发用户证书和设备证书,数字证书加密存储在USB KEY或TF卡中,实现用户身份认证和设备接入认证。用户在访问应用系统时,由应用安全网关对其进行统一的认证和授权。 
  4 移动办公安全接入应用 
  根据该军工企业的企业内网现状,结合业务访问需求和安全防护需要,基于本次提出的移动办公安全技术防护框架,对企业内网的功能区域进行了调整和优化,并根据区域的功能和特点进行了有针对性的设计,以构建纵深防御机制,具体如图2所示。 
  终端接入区用于部署实现逻辑隔离与安全连接的产品和设备,其中链路负载均衡用于解决不同运营商互访延迟较高和速度较慢的问题,入侵防御设备利用其智能防御和自学习功能,以阻止来自互联网的攻击、入侵。应用安全网关用于实现移动办公设备和用户的身份认证。VPN网关用于与移动办公设备构建加密隧道,建立安全连接。防火墙用于与互联网进行逻辑隔离和区域划分。 
  安全监管区部署实现身份认证和移动设备管理的产品和设备,其中身份认证平台用于构建企业统一的身份认证体系,并对接入设备和用户进行认证和授权。移动设备管理系统用于对所有的移动办公设备进行集中管理和控制。 
  隔离区部署实现数据流向控制的产品和设备,通过部署网闸用于实现业务数据信息的安全隔离与交换。 
  通过上述措施和手段,不仅满足了该军工企业的移动办公业务需要,提升了移动办公的安全性,并达到了以下应用效果。 
  (1)单点登录 
  移动办公用户仅需在移动办公设备上插入USB-KEY或TF卡并输入一次PIN码,即可通过互联网访问企业内网业务应用,系统在后台将自动完成VPN隧道加密、用户身份认证、虚拟桌面分配、设备认证、权限分配等。
  (2)良好的用户体验 
  使用移动笔记本的用户在办公时将通过个人虚拟桌面访问业务应用系统,与其在企业内网中的工作方式相同,不改变用户习惯。使用手机、平板电脑的用户在办公时通过专用APP访问业务系统,可满足用户的办公需要。 
  5 结束语 
  本文基于对某军工企业移动办公的安全风险和威胁分析,提出了相应的安全技术防护框架和措施并进行实际应用,保证了移动办公用户的安全接入和业务访问,解决了用户通过互联网访问企业内网所面临的信息安全问题,有效地提高了本单位移动办公系统的安全性。 
  参考文献 
  [1] 陈军,欧书琴.移动OA系统的安全设计[J].电脑知识与技术,2014年12期. 
  [2] 赵波.安全移动办公解决方案简析[J].电信科学,2012年第10期. 
  [3] 王炳辉,黄春.移动办公的安全解决方案[J].移动通信,2013(18)96-98. 
  [4] 刘道群,孙庆和.信息敏感行业3G移动办公安全解决方案[A].中国通信学会信息通信网络技术委员会2011年年会论文集(上册),2011年. 
  [5] 刘海英.计算机安全技术在企业移动办公中的应用[J].科技创新,2013,20:33-3. 
  [6] 陈玮.企业无线网络移动办公的安全接入问题分析[J].信息通信,2013. 
  [7] http://www.chinabwips.Org. 
  [8] Olivier,Nora D,Laurent G.Mobile Terminal Security[EB/OL]. 
  作者简介: 
  曾红霞(1980-),女,汉族,河北人,毕业于北京工业大学,硕士,核工业计算机应用研究所协调保障中心副主任,工程师;主要研究方向和关注领域:移动办公系统安全技术。 
  朱泉(1977-),男,汉族,湖北人,毕业于南华理工大学,硕士,核工业计算机应用研究所战略与安全中心主任,高级工程师;主要研究方向和关注领域:网络及应用安全技术。