1、移動應用安全管理系統(tǒng)設計方案2014年目 錄2 系統(tǒng)設計原則42.1 安全性原則42.2 標準性原則52.3 規(guī)劃先進性原則52.4 安全服務細致化原則63 建設思路64 整體分析74.1 業(yè)務需求74.1.1 移動采集74.1.2 移動辦公74.2 業(yè)務類型84.2.1 數(shù)據(jù)交換和數(shù)據(jù)采集84.2.2 授權訪問84.3 功能域劃分84.3.1 業(yè)務域94.3.2 接入域104.3.3 監(jiān)管域104.3.4 用戶域114.4 安全需求分析114.4.1 安全技術需求分析124.4.2 安全管理需求分析165 平臺設計165.1 設計目標165.2 設計思路175.3 設計內(nèi)容185.4 安全技

2、術體系設計185.4.1 終端環(huán)境安全設計185.4.2 接入域邊界安全設計215.4.3 通信網(wǎng)絡安全設計245.4.4 集中監(jiān)測與管理設計275.5 性能設計305.5.1 鏈路帶寬305.5.2 業(yè)務并發(fā)數(shù)315.5.3 吞吐量325.7.2 安全管理機構345.7.3 人員安全管理346 方案特點347 移動安全管理平臺關鍵技術358 建設效果371 概述安徽省電子認證管理中心（簡稱“安徽 CA”）移動應用安全管理系統(tǒng)是從用戶的應用安全和安全管理需求出發(fā)，基于PKI技術構建可信身份體系、鑒權體系及行為追溯體系，實現(xiàn)信息系統(tǒng)可信、可控、可管理，滿足用戶自身信息化建設發(fā)展要求和相關法規(guī)政策

3、要求的網(wǎng)絡信任體系支撐平臺。由于歷史的原因，也是計算機技術日新月異發(fā)展的結果，信息化要求較高的行業(yè)現(xiàn)有的多套應用系統(tǒng)從當時的設計和建設看來可以說是非?？茖W和滿足業(yè)務需求的，但以現(xiàn)在的標準來看，由于不同的應用系統(tǒng)建立在不同的硬件和操作平臺上，不同的應用系統(tǒng)是由不同的系統(tǒng)集成商使用不同的語言和開發(fā)工具開發(fā)出來的，將不可避免的導致不同業(yè)務系統(tǒng)之間的用戶無法統(tǒng)一管理，資源無法統(tǒng)一授權，審計系統(tǒng)也分別獨立，且基于數(shù)字證書的強身份認證也可能沒有實現(xiàn)。由于用戶角色以及資源的改變使得業(yè)務運作不夠順暢，導致業(yè)務流程被割裂，需要過多的人工介入，效率下降，數(shù)據(jù)精確度降低，使的信息系統(tǒng)失去了其應有的作用。從信息化建設

4、的長遠發(fā)展來看，要形成相互一致的業(yè)務基礎信息系統(tǒng)和有效運行的信息層次化可信安全體系，必然需要將原來已分別建設的各個業(yè)務應用系統(tǒng)平滑地整合在一起，在一個可信的安全基礎平臺上實現(xiàn)統(tǒng)一用戶管理、統(tǒng)一安全審計以及基于數(shù)字證書的集中身份認證，統(tǒng)一Web管理界面方式讓各個業(yè)務系統(tǒng)間形成一個有機的整體，在整個可信網(wǎng)絡體系范圍內(nèi)實現(xiàn)系統(tǒng)信息的高度共享，針對快速變化的外部環(huán)境和客戶需求，做出及時的調(diào)整和反應，真正提升政府機關行政能力或企事業(yè)單位核心競爭力。安徽CA積累多年信息安全建設經(jīng)驗，致力于幫助用戶安全便捷的運用 PKI 技術建立可信安全體系架構，整合已有或未來業(yè)務系統(tǒng)，實現(xiàn)在一個網(wǎng)絡信任體系下，用戶登錄任

5、何一個業(yè)務系統(tǒng)之后不必再次登錄就可進入其它有權限系統(tǒng)的單點登錄；各種用戶信息根據(jù)不同業(yè)務系統(tǒng)在用戶管理系統(tǒng)進行跨平臺、跨應用有效管理，資源信息根據(jù)不同的業(yè)務范圍和需求在資源授權管理系統(tǒng)進行有效管理；各業(yè)務系統(tǒng)各類日志在統(tǒng)一安全審計系統(tǒng)可追溯；采用開放、插件式的集成技術，滿足不斷發(fā)展的業(yè)務系統(tǒng)與門戶的集成。2 系統(tǒng)設計原則安徽CA依據(jù)上述的需求分析和相關的安全技術，設計了如下基于數(shù)字證書的移動應用安全系統(tǒng)的設計原則。2.1 安全性原則安全保護機制必須簡單、一致并建立到系統(tǒng)底層。系統(tǒng)的安全性和系統(tǒng)的正確性一樣，不應當是一種附加特性，而必須建立到系統(tǒng)底層而成為系統(tǒng)固有的屬性。所有購置的密碼產(chǎn)品都已通

6、過國家安全主管部門的認證，符合有關標準和協(xié)議，滿足財政部門實際使用過程中的安全要求。應用安全平臺的規(guī)劃、設計、開發(fā)都要基于安全體系的有關標準、技術。2.2 標準性原則整個方案設計中采用的技術都是符合國際標準的，對于國際上沒有通用標準的技術采用國內(nèi)的技術標準。2.3 規(guī)劃先進性原則移動政務業(yè)務覆蓋面廣泛，所以其安全保障體系建設規(guī)模龐大，意義深遠。對所需的各類安全產(chǎn)品提出了很高的要求。必須認真考慮各安全產(chǎn)品的技術水平、合理性、先進性、安全性和穩(wěn)定性等特點，共同打好工程的技術基礎。在設計時，參考目前國內(nèi)成熟的公安及政務相關體系的移動應用安全管理系統(tǒng)設計。 參考文件如下： ·關于印發(fā)<

7、公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）>的通知(公信 通2007191 號) ·關于穩(wěn)步開展公安信息資源共享服務工作的通知(公信通2007189 號) 關于做好社區(qū)和農(nóng)村警務室接入公安信息網(wǎng)安全工作的通知 ( 公信通 200715 號) ·關于進一步加強公安信息通信網(wǎng)日常安全管理工作機制建設的通知 (公信 通傳發(fā)2008109 號) ·關于公安信息通信網(wǎng)邊界接入平臺建設有關問題的通知 ( 公信通傳發(fā) 2008296 號)·移動政務信息安全建設實施指南 粵經(jīng)信電政2012551號) ·北京市移動電子政務平臺總體技術要求北京市經(jīng)濟和信息化

8、委員會 ·移動政務辦公系統(tǒng)通用規(guī)范 湖北省質量技術監(jiān)督局2.4 安全服務細致化原則要使得安全保障體系發(fā)揮最大的功效，除安全產(chǎn)品的部署外還應提供有效的安全服務，根據(jù)移動應用安全管理的網(wǎng)絡系統(tǒng)具體現(xiàn)狀及承載的重要業(yè)務，全面而細致的安全服務會提升日常運維及應急處理風險的能力。安全服務就需要把安全服務商的專業(yè)技術經(jīng)驗與行業(yè)經(jīng)驗相結合，結合移動應用安全管理的實際信息系統(tǒng)量身定做才可以保障其信息系統(tǒng)安全穩(wěn)定的運行。3 建設思路移動應用安全管理系統(tǒng)以合規(guī)要求為基礎，根據(jù)自身的業(yè)務訴求、業(yè)務特性及應用重點，采用等級化與體系化相結合的安全體系設計方法，幫助構建一套覆蓋全面、重點突出、節(jié)約成本、持續(xù)運行

9、的安全防御體系。（1） 功能域設計：通過分析系統(tǒng)業(yè)務流程，根據(jù)域劃分原則設計功能域架構。通過功能域設計將系統(tǒng)分解為多個層次，為下一步安全保障體系框架設計提供基礎框架。 （2） 安全保障體系框架設計：根據(jù)功能域框架，設計系統(tǒng)各個層次的安全保障體系框架（包括策略、組織、技術和運作），各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架。（3） 安全技術解決方案設計：針對安全要求，建立安全技術措施庫。通過等級風險評估結果，設計系統(tǒng)安全技術解決方案。 （4） 安全管理建設：針對安全要求，建立安全管理措施庫。通過等級風險評估結果，進行安全管理建設。通過如上步驟，移動應用安全管理系統(tǒng)的網(wǎng)絡信息系統(tǒng)可以形

10、成整體的等級化的安全保障體系，同時根據(jù)安全技術建設和安全管理建設，保障系統(tǒng)整體的安全。4 整體分析4.1 業(yè)務需求 4.1.1 移動采集此次移動應用安全管理系統(tǒng)的建設具有以下特點：操作方式為接入終端的訪問控制；不可直接訪問內(nèi)部業(yè)務網(wǎng)，但上報數(shù)據(jù)需要匯總至內(nèi)部業(yè)務網(wǎng)；數(shù)據(jù)進行單向交換，以由外到內(nèi)為主；終端對象作為可信憑證，需防止或規(guī)避合法入侵行為；用戶量大；業(yè)務實時性要求高。4.1.2 移動辦公另一種業(yè)務場景，為出差或外出辦公人員，進行遠程無線辦公業(yè)務，該類業(yè)務具有以下特點：操作方式為接入終端的訪問控制；可直接訪問內(nèi)部業(yè)務網(wǎng)，但需要進行嚴格的訪問控制；終端對象作為可信憑證，需防止或規(guī)避合法入侵行

11、為；用戶訪問數(shù)據(jù)量大；業(yè)務實時性要求高；數(shù)據(jù)采用雙向交換。4.2 業(yè)務類型4.2.1 數(shù)據(jù)交換和數(shù)據(jù)采集數(shù)據(jù)采集要實現(xiàn)將采集相關信息通過安全的接入方式由外部網(wǎng)絡流轉至內(nèi)部緩存區(qū)域。需實現(xiàn)如下功能：需支持各類B/S應用的無線數(shù)據(jù)采集；需支持各類C/S應用的無線數(shù)據(jù)采集。數(shù)據(jù)傳遞數(shù)據(jù)傳遞分為兩個層面，其一是將采集到緩存區(qū)域的數(shù)據(jù)安全、穩(wěn)定、可靠 地交換到內(nèi)部業(yè)務區(qū)域，以支撐業(yè)務的開展；其二是將外部的數(shù)據(jù)信息直接流轉 至內(nèi)部業(yè)務區(qū)域，同時接受內(nèi)部業(yè)務區(qū)域對外發(fā)布的信息。需實現(xiàn)如下功能：文件及數(shù)據(jù)的直接傳遞；文件及數(shù)據(jù)的交換傳遞。4.2.2 授權訪問授權訪問功能主要是指對于外部授權訪問類終端（PDA）

12、及內(nèi)部數(shù)據(jù)交換類系統(tǒng)通過安全接入鏈路訪問資源時，對于不同的接入終端可實現(xiàn)基于資源、數(shù)字證書、IP地址等多種類型訪問權限的控制，保證資源不被越權訪問，進而保護內(nèi)部業(yè)務網(wǎng)的安全。4.3 功能域劃分平臺建設的關鍵在于功能域的劃分，依照上文的分析，借鑒其他行業(yè)成熟的標準及規(guī)范，移動應用安全管理系統(tǒng)從采集過程分析，可劃分為四大功能域，用于進行移動政務的內(nèi)部業(yè)務域、連接Internet 獲取報送數(shù)據(jù)的接入域、提供交互 源數(shù)據(jù)的移動終端用戶域，進行統(tǒng)一管理、集中監(jiān)控的監(jiān)管域。其中，內(nèi)部業(yè)務域是整個政務業(yè)務開展的重要平臺，承載著核心業(yè)務；而接入域是移動采集業(yè)務的核心承載平臺，提供專用終端基于Internet網(wǎng)

13、絡的無線接入服務，然后終端用戶域則是整個平臺的基礎支撐，提供政務業(yè)務的源數(shù)據(jù)，最后監(jiān)管域從管理維度出發(fā)，從全局統(tǒng)一可控管理的視角切入，對全網(wǎng)無線資源進行集中管理。通過對這四類安全區(qū)域的劃分，對移動政務各層面的訪問操作、 運行管理、開發(fā)設計進行有效的控制和規(guī)范，保證和維護各個層次安全、正常有序地工作。4.3.1 業(yè)務域業(yè)務域是指位于邏輯隔離區(qū)內(nèi)包括移動數(shù)據(jù)同步模塊、標準接口、應用程序、應用中間件等在內(nèi)的大環(huán)境。它包括各類服務或者數(shù)據(jù)接口、政務應用支撐平臺、系統(tǒng)運行環(huán)境。這一區(qū)域主要承擔著涉及平臺的專用網(wǎng)路，在業(yè)務專用中運行著各業(yè)務數(shù)據(jù)交換平臺的存儲平臺，為平臺的核心業(yè)務網(wǎng)。該區(qū)域主要安全功能為：

14、作為外部終端網(wǎng)絡連接的終點，實現(xiàn)應用級身份認證、訪問控制、應用代理、數(shù)據(jù)暫存等功能，防止對政務網(wǎng)的非法訪問和信息泄露。對此區(qū)域，應加強對服務器等設備的安全保護，應具有病毒、木馬防護功能，防止病毒傳播與非法控制。此次建設不涉及該部分的內(nèi)部建設，只對其網(wǎng)絡邊界進行安全設計。4.3.2 接入域指移動通信網(wǎng)絡的大環(huán)境。它包括各類移動網(wǎng)絡運營商、電信 網(wǎng)絡運營商 在內(nèi)的提供各種移動公網(wǎng)，如GSM、CDMA、3G網(wǎng)絡以及傳統(tǒng)固網(wǎng)服務的網(wǎng)絡基礎運營平臺。這一區(qū)域負責對移動政務物理層安全傳輸、信號轉換、安全專線的管理。接入域為移動應用安全管理系統(tǒng)的專用承載平臺，它包括各類移動網(wǎng)絡運營商、電信網(wǎng)絡運營商在內(nèi)的提

15、供各種移動公網(wǎng)，如GSM、CDMA、3G 網(wǎng)絡以及傳統(tǒng)固網(wǎng)服務的網(wǎng)絡基礎運營平臺，位于業(yè)務域與用戶域之間，與業(yè)務域邏輯隔 離，主要基于移動終端進行無線的數(shù)據(jù)傳送的緩存區(qū)域。該區(qū)域主要安全功能為：實現(xiàn)網(wǎng)絡級身份認證、訪問控制和權限管理，數(shù)據(jù)機密性和完整性保護，防御網(wǎng)絡攻擊和嗅探。4.3.3 監(jiān)管域監(jiān)管域指移動政務準入安全控制的大環(huán)境。它包括各類提供權威性第三方身份認證以及安全訪問控制服務的提供，如CA證書、動態(tài)密碼等。同時將移動終端的各種業(yè)務請求傳遞到政務外網(wǎng)應用服務的大環(huán)境。它包括移動網(wǎng)絡、固網(wǎng)的數(shù)據(jù)經(jīng)過安全審計、防病毒、入侵檢測等安全接入并通過移動政務服務平臺數(shù)據(jù)接口、統(tǒng)一移動終端驗證、用戶

16、身份認證、數(shù)據(jù)包封裝/解析、會話管理、安全審計、服務接口、系統(tǒng)管理等功能模塊處理來自移動終端用戶的請求。該區(qū)域負責對移動政務進行身份驗證、安全審計以及移動政務中來自移動接入網(wǎng)絡的移動應用請求的轉遞、應答、安全轉換。4.3.4 用戶域用戶域包括移動終端用戶及外部接入終端環(huán)境，是整個平臺的基礎支撐，為用戶群體在使用移動政務相關業(yè)務時所使用移動設備的大環(huán)境，它提供業(yè)務交換 的源數(shù)據(jù)，處于移動公網(wǎng)（專線）中，實現(xiàn)外部鏈路與接入平臺間連接。該區(qū)域主要安全功能為：實現(xiàn)終端接入訪問控制，將來自不同接入終端及不同外部鏈路的數(shù)據(jù)流按照接入平臺的安全策略進行準入控制并加以區(qū)分，同時實現(xiàn)對移動終端自身的安全保護。4

17、.4 安全需求分析從平臺整體安全建設角度出發(fā)，目前已經(jīng)按照等級保護要求對內(nèi)部網(wǎng)進行了一些合規(guī)建設工作，所以在移動應用安全管理系統(tǒng)項目的建設內(nèi)容中，業(yè)務域部分的安全建設基于現(xiàn)有的建設基礎，可以不予考慮，整個項目的重點在于接入域部分的合規(guī)性、業(yè)務性建設。需要說明的是，接入域作為承載整個移動應用安全管理系統(tǒng)的核心部分，是 整個安全建設的目標，其次是終端安全；即在接入安全與終端防護上具備和業(yè)務內(nèi)網(wǎng)同一級別的安全要求，又因邊界的不同屬性需要采取不同的個性化解決方案。下文將按照合規(guī)思路，從兩大項（技術與管理）進行建設的分析；4.4.1 安全技術需求分析（1） 物理安全風險與需求分析 物理安全風險主要是指網(wǎng)

18、絡周邊的環(huán)境和物理特性引起的網(wǎng)絡設備和線路的不可使用，從而會造成網(wǎng)絡系統(tǒng)的不可使用，甚至導致整個網(wǎng)絡的癱瘓。因此，在通盤考慮安全風險時，應優(yōu)先考慮物理安全風險。此次，移動應用安全管理系統(tǒng)基于現(xiàn)有的物理基礎設施，在物理安全方面可以不進行建設考慮。 （2） 終端環(huán)境安全風險與需求分析 計算環(huán)境的安全主要指終端以及應用層面的安全風險與需求分析，具體到本項目，其安全建設對象則應對為專用移動終端，整體的安全需求包括：身份鑒別、訪問控制、入侵防范、惡意代碼防范、數(shù)據(jù)完整性與保密性、抗抵賴等方面。終端可信終端為通過移動應用安全管理系統(tǒng)唯一的訪問主體，最重要的前提即應確保 該主體客觀存在性及行為可信性。訪問控

19、制訪問控制主要為了保證非法用戶對終端資源的合法使用。非法用戶可能企圖假冒合法用戶的身份進入系統(tǒng)，低權限的合法用戶也可能企圖執(zhí)行高權限用戶的操作，這些行為將給終端系統(tǒng)和應用系統(tǒng)帶來了很大的安全風險。用戶在擁有合法的用戶標識符情況下，在制定好的訪問控制策略下進行操作，杜絕越權非法操 作。入侵防范終端操作系統(tǒng)面臨著各類具有針對性的入侵威脅，常見操作系統(tǒng)存在著各種安全漏洞，并且現(xiàn)在漏洞被發(fā)現(xiàn)與漏洞被利用之間的時間差變得越來越短，這就使得操作系統(tǒng)本身的安全性給整個系統(tǒng)帶來巨大的安全風險，因此對于終端操作系統(tǒng)的使用、維護等提出了需求，防范針對系統(tǒng)的入侵行為。惡意代碼防范 病毒、蠕蟲等惡意代碼是對計算環(huán)境造

20、成危害最大的隱患，當前病毒威脅非常嚴峻，特別是蠕蟲病毒的爆發(fā)，會立刻向其他子網(wǎng)迅速蔓延，發(fā)動網(wǎng)絡攻擊和數(shù)據(jù)竊密。大量占據(jù)正常業(yè)務十分有限的帶寬，造成網(wǎng)絡性能嚴重下降、服務器崩潰甚至網(wǎng)絡通信中斷，信息損壞或泄漏，嚴重影響正常業(yè)務開展。因此必須部署惡意代碼防范軟件進行防御，同時保持惡意代碼庫的及時更新。數(shù)據(jù)安全主要指數(shù)據(jù)的完整性與保密性。數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)，所有的措施最終無不是為了業(yè)務數(shù)據(jù)的安全。應采取措施保證數(shù)據(jù)在傳輸過程中的完整性以及保密性，保護鑒別信息的保密性。（3） 接入域邊界安全風險與需求分析 區(qū)域邊界的安全主要包括：邊界可信接入、邊界完整性檢測、邊界入侵防范以及邊界安全審計等方面

21、。邊界訪問控制 對于接入域邊界最基本的安全需求就是訪問控制，對進出安全區(qū)域邊界的數(shù)據(jù)信息進行控制，阻止非授權及越權訪問。邊界可信接入 對于接入域而言，其主要目的是提供外網(wǎng)設備隨時隨地快速接入到業(yè)務內(nèi)網(wǎng)絡進 行數(shù)據(jù)報送，這就引伸出安全風險，一旦外來用戶不加阻攔的接入到網(wǎng)絡中來，就有可能破壞網(wǎng)絡的安全邊界，使得外來用戶具備對網(wǎng)絡進行破壞的條件，由此而引入諸如蠕蟲擴散、文件泄密等安全問題。因此需要對非法客戶端實現(xiàn)禁入，能監(jiān)控網(wǎng)絡，對于沒有合法認證的外來機器，能夠阻斷其網(wǎng)絡訪問，保護好已經(jīng)建立起來的安全環(huán)境。邊界入侵防范各類網(wǎng)絡攻擊行為既可能來自于大家公認的互聯(lián)網(wǎng)等外部網(wǎng)絡，在內(nèi)部也同樣存在。通過安全

22、措施，要實現(xiàn)主動阻斷針對信息系統(tǒng)的各種攻擊，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等，實現(xiàn)對網(wǎng)絡層以及業(yè)務系統(tǒng)的安全防護，保護核心信息資產(chǎn)的免受攻擊危害。邊界安全審計在安全區(qū)域邊界需要建立必要的審計機制，對進出邊界的各類網(wǎng)絡行為進行 記錄與審計分析，可以和終端審計、應用審計以及網(wǎng)絡審計形成多層次的審計系統(tǒng)，并可通過安全管理中心集中管理。邊界惡意代碼防范現(xiàn)今，病毒的發(fā)展呈現(xiàn)出以下趨勢:病毒與黑客程序相結合、蠕蟲病毒更加 泛濫，目前計算機病毒的傳播途徑與過去相比已經(jīng)發(fā)生了很大的變化，更多的以網(wǎng)絡（包括Internet、廣域網(wǎng)、局域網(wǎng)）形態(tài)進行傳播，因此為了安全的防護手段也需以

23、變應變，迫切需要網(wǎng)關型產(chǎn)品在網(wǎng)絡層面對病毒予以查殺。 （4）通信網(wǎng)絡安全風險與需求分析 移動應用安全系統(tǒng)通信網(wǎng)絡的安全主要包括：鏈路設計、網(wǎng)絡安全審計、網(wǎng)絡設備防護、通信完整性與保密性、準入可信等方面。鏈路安全由于采用通過移動公網(wǎng)的方式接入，所以對于公網(wǎng)的鏈路提出了比較高的要求，由于目前公用移動網(wǎng)上存在著眾多不可知及不可控的監(jiān)聽、攻擊手段，所以要選擇一條相對封閉或有安全保障的移動鏈路成為通訊安全的首要基礎。網(wǎng)絡安全審計由于用戶的計算機相關的知識水平參差不齊，一旦某些安全意識薄弱的管理用戶誤操作，將給信息系統(tǒng)帶來致命的破壞，沒有相應的審計記錄將給事后追查帶來困難，有必要進行基于網(wǎng)絡行為的審計，從

24、而威懾那些心存僥幸、有惡意企圖的少部分用戶，以利于規(guī)范正常的網(wǎng)絡應用行為。網(wǎng)絡設備防護由于傳統(tǒng)網(wǎng)絡系統(tǒng)將會使用大量的網(wǎng)絡設備和安全設備，如交換機、防火墻、入侵檢測設備等，這些設備的自身安全性也會直接關系到內(nèi)部網(wǎng)絡及各種網(wǎng)絡應 用的正常運行。如果發(fā)生網(wǎng)絡設備被不法分子攻擊，將導致設備不能正常運行。更加嚴重情況是設備設臵被篡改，不法分子輕松獲得網(wǎng)絡設備的控制權，通過網(wǎng) 絡設備作為跳板攻擊服務器， 將會造成無法想象的后果。例如，交換機口令泄漏、防火墻規(guī)則被篡改、入侵檢測設備失靈等都將成為威脅網(wǎng)絡系統(tǒng)正常運行的風險因素。通信完整性與保密性由于網(wǎng)絡協(xié)議及文件格式均具有標準、開發(fā)、公開的特征，因此數(shù)據(jù)在網(wǎng)

25、上存儲和傳輸過程中，不僅僅面臨信息丟失、信息重復或信息傳送的自身錯誤，而且會遭遇信息攻擊或欺詐行為，導致最終信息收發(fā)的差異性。因此，在信息傳輸過程中，必須要確保信息內(nèi)容在發(fā)送、接收及保存的一致性；并在信息遭受篡改 攻擊的情況下，應提供有效的察覺與發(fā)現(xiàn)機制，實現(xiàn)通信的完整性。 而數(shù)據(jù)在傳輸過程中，為能夠抵御不良企圖者采取的各種攻擊，防止遭到竊取，應采用加密措施保證數(shù)據(jù)的機密性。4.4.2 安全管理需求分析“三分技術、七分管理”更加突出的是管理層面在安全體系中的重要性。除了技術管理措施外，安全管理是保障安全技術手段發(fā)揮具體作用的最有效手段，建立健全安全管理體系不但是合規(guī)性要求，也是作為一個安全體系

26、來講，不可或缺的重要組成部分。安全管理體系依賴于國家相關標準、行業(yè)規(guī)范、國際安全標準等規(guī)范和標準來指導，形成可操作的體系。主要包括：安全管理制度、安全管理機構、人員安全管理，根據(jù)等級保護的要求在上述方面建立一系列的管理制度與操作規(guī)范，并明確執(zhí)行。5 平臺設計5.1 設計目標移動應用安全系統(tǒng)設計目標是建立移動政務信息安全立體防護保障體系，防止來自外部和內(nèi)部的各種入侵和攻擊，防止非授權的訪問，防止各種冒充、篡改和抵賴等行為，防止信息泄密和被破壞。通過從終端安全、網(wǎng)絡安全、接入邊界安全、傳輸數(shù)據(jù)安全等方面進行安全建設以構建整體安全結構；并以安全管理制度、安全管理機構、人員安全管理等方面入手進行管理體

27、系建設，把安全技術和 安全管理相結合，使得移動應用安全系統(tǒng)安全建設方案能夠全方面為移動采集業(yè)務提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護能力，實 現(xiàn)電子政務移動辦公的實用性、先進性、經(jīng)濟性和可擴展性。5.2 設計思路移動應用安全系統(tǒng)的安全體系設計主要由三重防護體系設計、 兩個基礎設施設計構成，如下圖。接入?yún)^(qū)域邊界安全 鏈路與網(wǎng)絡通信安全無線終端安全 PKI/PMI 基礎設施 安全監(jiān)測與管理基礎設施三重防護體系設計：即應用環(huán)境安全設計、應用區(qū)域邊界安全設計和網(wǎng)絡通信安全設計。無線終端安全設計：即確保終端和用戶來源可信、可監(jiān)控設計，無線終端系 統(tǒng)自身安全加固設計以及核心業(yè)務程序安

28、全設計。接入?yún)^(qū)域邊界安全設計：主要涉及網(wǎng)絡及應用系統(tǒng)邊界安全方面，通過身份認證、訪問控制技術，確保對應用系統(tǒng)的訪問是通過細粒度控制下的合法訪問者。鏈路與網(wǎng)絡通信安全設計：主要涉及鏈路及網(wǎng)絡安全方面，采用數(shù)據(jù)機密性與完整性保護技術，建立端到端傳輸?shù)陌踩珯C制。兩個基礎設施設計：即PKI/PMI基礎設施，安全監(jiān)測與管理基礎設施。PKI/PMI基礎設施設計：實施網(wǎng)上數(shù)字證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能，是實現(xiàn)接入平臺身份認證、授權管理、訪問控制策略等安全機制的基礎。安全監(jiān)測與管理基礎設施設計：實現(xiàn)整個平臺的安全監(jiān)測、管理與運行維護。5.3 設計內(nèi)容一是構建邊界接入平臺。按照邊界安全接入的規(guī)范要

29、求，采取區(qū)分鏈路安全防御的方法，構建集邊界保護、身份認證、應用安全、安全隔離等功能的邊界接入平臺，在確保邊界接入安全的前提下，建立政務網(wǎng)與外網(wǎng)的網(wǎng)絡安全通道，為有關機關及部門提供安全的網(wǎng)絡接入服務。二是建設邊界接入平臺監(jiān)控和管理系統(tǒng)。按照統(tǒng)一接入管理、 統(tǒng)一應用審計、統(tǒng)一運行監(jiān)控、統(tǒng)一策略部署的策略，建設邊界接入平臺的集中監(jiān)控和審計系統(tǒng)，以加強對外部接入及數(shù)據(jù)交換情況進行審計，并對平臺的運維提供服務。監(jiān)控和管理系統(tǒng)支持總局/省局結構的上下層接入平臺。接入平臺的監(jiān)控和管理系統(tǒng)主要功能分為兩部分：接入平臺自身的安全監(jiān)控管理功能和接入平臺級聯(lián)服務功能。三是建立相應的運行維護和管理工作機制。在建設邊界

30、接入平臺的同時，建立系統(tǒng)平臺的日常運行維護和管理工作機制，通過規(guī)范接入配臵、規(guī)范安全監(jiān)控、規(guī)范運行處臵等工作，保障系統(tǒng)平臺正常運行。5.4 安全技術體系設計整體安全技術體系分為終端環(huán)境、通訊網(wǎng)絡、邊界接入三個大部分，下文按照整體設計框架，對三大部分進行詳細闡述。5.4.1 終端環(huán)境安全設計（1） 系統(tǒng)加固操作系統(tǒng)安全：對移動終端自身的操作系統(tǒng)進行安全加固措施；一致性校驗：系統(tǒng)啟動后對操作系統(tǒng)裝載器、內(nèi)核、硬件配臵、關鍵應用和配臵信息等進行驗證，確保引導過程中各部件的完整性，一致性，使終端按照經(jīng)過嚴格驗證的方式進行引導；接口監(jiān)控：實現(xiàn)對移動終端輸入、輸出接口進行分類，對各個物理接口進行接入安全控

31、制，如數(shù)據(jù)口等；移動終端應能夠與智能卡安全的進行信息交互。（2） 身份標識 為了保證信息源的真實性，對終端設備進行標識，具體為以下幾種措施：采用由權威中心為終端集成數(shù)字證書方式； 采用安全介質（TF 卡）作為數(shù)字證書的存儲介質；通過對安全介質及數(shù)字證書的全生命周期管理，實現(xiàn)對該設備的可控管理；實現(xiàn)TF 卡號+SIM卡+終端設備號的三號綁定實現(xiàn)對該設備全網(wǎng)身份唯一標識，確保接入終端的可信性。 （3） 身份鑒別 為提高系統(tǒng)安全性， 保障各種應用的正常運行，對終端需要進行一系列的加固措施，包括：對登錄終端操作系統(tǒng)的用戶進行可信識別；按照系統(tǒng)的特性，采用混合模式，結合圖形及數(shù)字口令的混合模式并定期更換

32、；對登錄TF卡用戶采取使用基于數(shù)字簽名+口令的可信憑證認證；啟用登陸失敗處理功能，登陸失敗后，必須基于自身安全特性配臵結束會話、限制非法登錄次數(shù)等措施。 （4） 訪問控制 訪問控制主要是通過基于系統(tǒng)的程序鎖機制，對移動接入資源的授權訪問，避免越權非法使用。主要途徑：所有專用程序均集成在TF 內(nèi)，確保敏感資源的統(tǒng)一管理；對訪問TF卡內(nèi)的資源進行口令認證，確保所有訪問敏感資源可控； （5） 入侵防范 針對終端的入侵防范，基于現(xiàn)有移動終端技術，可以部署終端系統(tǒng)安全性掃描軟件進行系統(tǒng)安全性檢測。 （6） 終端惡意代碼防范 各類惡意代碼尤其是病毒、木馬等是對移動應用安全管理系統(tǒng)的重大危害，針對病毒的風險

33、，我們建議重點是將病毒消滅或封堵在終端這個源頭上。所以，在所有終端上部署基于系統(tǒng)防病毒系統(tǒng)，加強終端的病毒防護能力并及時升級惡意代碼軟件版本以及惡意代碼庫。同時，防毒系統(tǒng)可以為終端提供關于病毒威脅和事件的監(jiān)控、審計日志，為終端的病毒防護管理提供必要的信息。 （7） 數(shù)據(jù)加密 為了保證業(yè)務數(shù)據(jù)流及緩存數(shù)據(jù)的安全性，提供對于敏感數(shù)據(jù)的保護措施：所有專用程序涉及的數(shù)據(jù)均存儲在TF卡內(nèi)，確保敏感資源的統(tǒng)一存儲；采用非對稱密鑰體系，使用數(shù)字證書對需要進行保護的數(shù)據(jù)進行算法加密。 （8） 數(shù)據(jù)完整性與保密性 目前，移動應用安全管理系統(tǒng)中傳輸?shù)男畔⒅饕侵匾臄?shù)據(jù)，對信息完整性校驗提出了一定的需求，特別是通

34、過互聯(lián)網(wǎng)遠程接入業(yè)務內(nèi)網(wǎng)傳遞數(shù)據(jù)的私密性有很高的要求。 此次設計，采用無線接入網(wǎng)關設備，通過專用終端客戶端，采用SSL 方式，基于移動身份證書實現(xiàn)邊界與移動終端之間的雙向認證，結合通訊網(wǎng)絡自身的安全措施，保證使用移動公網(wǎng)傳輸信息的機密性、完整性和不可抵賴性。5.4.2 接入域邊界安全設計（1） 邊界可信接入 為提高移動終端接入業(yè)務內(nèi)網(wǎng)的可信力， 需要對接入邊界的所有用戶及終端進行統(tǒng)一有效的唯一性校驗：采用終端植入數(shù)字證書的方式，對登錄用戶進行身份標識，且保證終端設備與用戶的綁定關系；采用無線接入網(wǎng)關設備對接入請求進行基于TF卡+數(shù)字證書+設備號的三維身份鑒別；基于全網(wǎng)統(tǒng)一的策略對接入終端進行可

35、信識別；啟用登陸失敗處理功能，登陸失敗后采取結束會話、限制非法登錄次數(shù)和自動退出等措施。 （2） 邊界訪問控制 網(wǎng)絡資源訪問控制邊界接入域與業(yè)務域間、 邊界接入域與互聯(lián)網(wǎng)區(qū)域間，在網(wǎng)絡層部署防火墻產(chǎn)品進行訪問控制，通過對所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴格的安全規(guī)則進行過濾，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，杜絕越權訪問，防止各類非法攻擊行為。設臵只有經(jīng)過適配的應用協(xié)議才能通過防火墻，同時可以保護網(wǎng)絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。通過以防火墻為中心的安全方案配臵，能將所有安全軟件（如口令、

36、加密、身份認證、審計等）配臵在防火墻上。與將網(wǎng)絡安全問題分散到各個終端上相比，防火墻的集中安全管理更經(jīng)濟。在實現(xiàn)精準訪問控制與邊界隔離防護基礎上，實現(xiàn)阻止由于病毒或者P2P軟件引起的異常流量、進行精確的流量控制等。對各級節(jié)點功能域實現(xiàn)全面的邊界 防護，嚴格控制節(jié)點之間的網(wǎng)絡數(shù)據(jù)流。應用資源訪問控制終端訪問控制主要控制終端客體對業(yè)務內(nèi)網(wǎng)中的網(wǎng)絡域、應用系統(tǒng)等資源的訪問，避免越權非法用。此次設計采用無線認證網(wǎng)關、邊界接入網(wǎng)關，對用戶訪問的資源進行訪問控制，對違規(guī)行為進行報警和阻斷，訪問控制采用基于角色的配臵策略，遵循業(yè)務相關和屬地化的白名單原則，對于B/S應用基于URL過濾形式進行訪問控制，對于B

37、/S和C/S相結合的應用，基于URL和 IP/端口相結合的形式進行訪問控制。啟用訪問控制功能：制定嚴格的訪問控制安全策略，根據(jù)策略控制用戶對應用系統(tǒng)的訪問，特別是應用對象、URL，控制粒度主體為用戶級、客體為訪問路徑。權限控制：對于制定的訪問控制規(guī)則要能清楚的覆蓋資源訪問相關的主體、客體及它們之間的操作。對于不同的用戶授權原則是進行能夠完成工作的最小化授權，避免授權范圍過大，并在它們之間形成相互制約的關系。 （3） 邊界入侵防御在各區(qū)域邊界，防火墻起到了協(xié)議過濾的主要作用，根據(jù)安全策略偏重在網(wǎng) 絡層判斷數(shù)據(jù)包的合法流動。但面對越來越廣泛的基于應用層內(nèi)容的攻擊行為，防火墻并不擅長處理應用層數(shù)據(jù)。

38、在移動應用安全管理系統(tǒng)網(wǎng)絡邊界區(qū)域均已經(jīng)設計部署了防火墻，對每個功 能域進行嚴格的訪問控制。鑒于以上對防火墻核心作用的分析，需要其他具備檢測新型的混合攻擊和防護的能力的設備和防火墻配合，共同防御來自應用層到網(wǎng)絡層的多種攻擊類型，建立一整套的安全防護體系，進行多層次、多手段的檢測和防護。入侵防護系統(tǒng)（IPS）就是安全防護體系中重要的一環(huán)，它能夠及時識別網(wǎng)絡中發(fā)生的入侵行為并實時報警并且進行有效攔截防護。IPS是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護方法之后的新一代安全保 障技術。它監(jiān)視計算機系統(tǒng)或網(wǎng)絡中發(fā)生的事件，并對它們進行分析，以尋找危及信息的機密性、完整性、可用性或試圖繞過安全機制的入侵

39、行為并進行有效攔截。IPS 就是自動執(zhí)行這種監(jiān)視和分析過程，并且執(zhí)行阻斷的硬件產(chǎn)品。將IPS串接在防火墻后面，核心服務器區(qū)的前面，在防火墻進行訪問控制，保證了訪問的合法性之后，IPS動態(tài)的進行入侵行為的保護，對訪問狀態(tài)進行檢 測、對通信協(xié)議和應用協(xié)議進行檢測、對內(nèi)容進行深度的檢測。阻斷來自內(nèi)部的數(shù)據(jù)攻擊以及垃圾數(shù)據(jù)流的泛濫。由于IPS對訪問進行深度的檢測，因此，IPS 產(chǎn)品需要通過先進的硬件架構、軟件架構和處理引擎對處理能力進行充分保證。（4） 邊界安全審計 各安全區(qū)域邊界已經(jīng)部署了相應的安全設備負責進行區(qū)域邊界的安全。對于流經(jīng)各主要邊界（重要服務器區(qū)域、外部連接邊界）需要設臵必要的審計機制，

40、進行數(shù)據(jù)監(jiān)視并記錄各類操作，通過審計分析能夠發(fā)現(xiàn)跨區(qū)域的安全威脅，實時地綜合分析出網(wǎng)絡中發(fā)生的安全事件。一般可采取開啟邊界安全設備的審計功能 模塊，根據(jù)審計策略進行數(shù)據(jù)的日志記錄與審計。同時審計信息要通過安全管理中心進行統(tǒng)一集中管理，為安全管理中心提供必要的邊界安全審計數(shù)據(jù)，利于管理中心進行全局管控。以終端、用戶、業(yè)務應用系統(tǒng)為對象的安全審計，以及對異常事件的追蹤。用戶行為審計，即用戶信息、訪問的資源、訪問的時間等；業(yè)務對象訪問審計，即應用系統(tǒng)信息，數(shù)據(jù)傳輸流量、傳輸時間、傳輸單位 等；異常行為審計等；按時間段、應用系統(tǒng)、用戶單位分析統(tǒng)計用戶行為、業(yè)務應用系統(tǒng)的異常行為。（5） 邊界惡意代碼防

41、范 在移動應用安全管理系統(tǒng)接入邊界部署防病毒網(wǎng)關，采用透明接入方式，在最接近病毒發(fā)生源安全邊界處進行集中防護，對夾雜在網(wǎng)絡交換數(shù)據(jù)中的各類網(wǎng)絡病毒進行過濾，可以對網(wǎng)絡病毒、蠕蟲、混合攻擊、端口掃描、間諜軟件、P2P軟件帶寬濫用等各種廣義病毒進行全面的攔截。阻止病毒通過網(wǎng)絡的快速擴散，將經(jīng)網(wǎng)絡傳播的病毒阻擋在外，可以有效防止病毒從其他區(qū)域傳播到內(nèi)部其他功 能域中。通過部署 AV 防病毒網(wǎng)關（防毒墻） ，截斷了病毒通過網(wǎng)絡傳播的途徑，凈化了網(wǎng)絡流量。為使得達到最佳防毒效果，AV 防病毒網(wǎng)關設備和終端防病毒 軟件應為不同的廠家產(chǎn)品， 兩類病毒防護產(chǎn)品共同組成移動應用安全管理系統(tǒng)的 立體病毒防護體系。

42、 為能達到最好的防護效果，病毒庫的及時升級至最新版本至 關重要。對于能夠與互聯(lián)網(wǎng)實現(xiàn)連接的網(wǎng)絡，應對自動升級進行準確配臵；對與 不能與互聯(lián)網(wǎng)進行連接的網(wǎng)絡環(huán)境，需采取手動下載升級包的方式進行手動升 級。5.4.3 通信網(wǎng)絡安全設計（1） 鏈路設計 移動應用安全管理系統(tǒng)作為專網(wǎng)邊界接入統(tǒng)一的出入口，是通信的重要通道。 針對該平臺政務外網(wǎng)邊界接入業(yè)務狀況，為了保障移動應用安全管理系統(tǒng)本身、 業(yè)務信息及內(nèi)部業(yè)務網(wǎng)等的安全，采用適度安全原則，對接入用戶終端到移動應 用安全管理系統(tǒng)（外部鏈路）和移動應用安全管理系統(tǒng)內(nèi)部（內(nèi)部鏈路）的物理 鏈路進行分別設計。 ? 外部鏈路 外部鏈路指的是外部接入終端/用戶

43、到移動應用安全管理系統(tǒng)邊界的物理鏈 路。 為了保障接入終端本身的安全、信息在外部鏈路上傳輸?shù)陌踩捌脚_本身的 安全，外部接入鏈路采用安全專線方式和 VPDN 方式。 專線方式： 專線方式指的是平臺租用公共通信網(wǎng)運營商提供的專用通信線路 /帶寬，其特點為接入點位臵固定電路專用。例如專用接入點。 VPDN 方式：VPDN（Virtual Private Dail-up Network 虛擬撥號專用網(wǎng)） ，是基 于撥號接入(PSTN、ISDN)的虛擬專用網(wǎng)，采用專用的網(wǎng)絡安全和通信協(xié)議，在公共網(wǎng)絡上建立相對安全的虛擬專網(wǎng)。VPDN 用戶可以經(jīng)過公共網(wǎng)絡，通過虛擬的 安全通道和用戶內(nèi)部的用戶網(wǎng)絡進行連

44、接， 而公共網(wǎng)絡上的用戶則無法穿過虛擬 通道訪問用戶網(wǎng)絡內(nèi)部的資源。 對于 VPDN 方式這種接入方式，外部接入鏈路方式不僅僅只局限于 VPDN。 還可采用其它類似的安全接入方式，如專用 MPLS VPN 等。這些接入方式主要需 滿足如下要求即可： 客戶端在未使用賬號/密碼（或其它方式）登錄到公共通信網(wǎng)運營商提供的 網(wǎng)絡接入（此時物理上是鏈接的）之前，不能訪問其它網(wǎng)絡； 客戶端通過賬號/密碼（或其它方式）登錄到公共通信網(wǎng)運營商提供的網(wǎng)絡 后，其不能訪問其它網(wǎng)絡，只能訪問指定的移動應用安全管理系統(tǒng)邊界； 客戶端在鏈接的過程中（即登錄的過程中）不能訪問其它網(wǎng)絡。 在此，需要說明的是 ADSL +

45、VPN 這種接入方式不符合外部接入安全要求。 ADSL+VPN 在 ADSL 拔通后，始終存在公網(wǎng)地址,設備始終在公網(wǎng)可見，會造成嚴 重的安全問題。 ? 內(nèi)部鏈路目前移動應用安全管理系統(tǒng)處于規(guī)劃階段，內(nèi)部業(yè)務來源單一、終端用戶統(tǒng)一， 但是考慮到訪問量的巨大壓力， 在內(nèi)部物理鏈路上采用多安全級別鏈路的方式進 行規(guī)劃。（2） 網(wǎng)絡安全審計 網(wǎng)絡安全審計系統(tǒng)主要用于監(jiān)視并記錄網(wǎng)絡中的各類操作， 偵察系統(tǒng)中存在 的現(xiàn)有和潛在的威脅， 實時地綜合分析出網(wǎng)絡中發(fā)生的安全事件，包括各種外部 事件和內(nèi)部事件。 在接入域核心路由處并聯(lián)部署網(wǎng)絡行為監(jiān)控與審計系統(tǒng)， 形成對全網(wǎng)網(wǎng)絡數(shù) 據(jù)的流量監(jiān)測并進行相應安全審計

46、， 同時和其它網(wǎng)絡安全設備共同為集中安全管 理提供監(jiān)控數(shù)據(jù)用于分析及檢測。 網(wǎng)絡行為監(jiān)控和審計系統(tǒng)將獨立的網(wǎng)絡傳感器硬件組件連接到網(wǎng)絡中的數(shù) 據(jù)會聚點設備上，對網(wǎng)絡中的數(shù)據(jù)包進行分析、匹配、統(tǒng)計，通過特定的協(xié)議算 法，從而實現(xiàn)入侵檢測、信息還原等網(wǎng)絡審計功能，根據(jù)記錄生成詳細的審計報 表。網(wǎng)絡行為監(jiān)控和審計系統(tǒng)采用旁路技術，不用在目標終端中安裝任何組件。 同時網(wǎng)絡審計系統(tǒng)可以與其它網(wǎng)絡安全設備進行聯(lián)動， 將各自的監(jiān)控記錄送往集 中監(jiān)測與管理域中的安全管理服務器，集中對網(wǎng)絡異常、攻擊和病毒進行分析和 檢測。 （3） 網(wǎng)絡設備防護 為提高網(wǎng)絡設備的自身安全性，保障各種網(wǎng)絡應用的正常運行，對網(wǎng)絡設備

47、 需要進行一系列的加固措施，包括： 對登錄網(wǎng)絡設備的用戶進行身份鑒別，用戶名必須唯一； 對網(wǎng)絡設備的管理員登錄地址進行限制； 身份鑒別信息具有不易被冒用的特點，口令設臵需 3 種以上字符、長度不少 于 8 位，并定期更換； 具有登錄失敗處理功能，失敗后采取結束會話、限制非法登錄次數(shù)和當網(wǎng)絡 登錄連接超時自動退出等措施； 啟用 SSH 等管理方式，加密管理數(shù)據(jù)，防止被網(wǎng)絡竊聽。 （4） 通信完整性 信息的完整性設計包括信息傳輸?shù)耐暾孕ｒ炓约靶畔⒋鎯Φ耐暾孕ｒ灐?對于信息傳輸和存儲的完整性校驗可以采用的技術包括校驗碼技術、 消息鑒 別碼、密碼校驗函數(shù)、散列函數(shù)、數(shù)字簽名等。 對于信息傳輸?shù)耐暾?/p>

48、性校驗應由傳輸加密系統(tǒng)完成。部署無線接入網(wǎng)關設 備，采用 SSL 協(xié)議保證遠程數(shù)據(jù)傳輸?shù)臄?shù)據(jù)完整性。 對于信息存儲的完整性校驗應由業(yè)務域內(nèi)的業(yè)務系統(tǒng)和數(shù)據(jù)庫系統(tǒng)完成。（5） 通信保密性 應用層的通信保密性主要由應用系統(tǒng)完成。在通信雙方建立連接之前，應用 系統(tǒng)應利用密碼技術進行會話初始化驗證； 并對通信過程中的敏感信息字段進行 加密。 對于信息傳輸?shù)耐ㄐ疟Ｃ苄詰蓚鬏敿用芟到y(tǒng)完成。 部署無線接入網(wǎng)關設備 采用 SSL 協(xié)議，保證終端數(shù)據(jù)傳輸?shù)臄?shù)據(jù)機密性。5.4.4 集中監(jiān)測與管理設計由于所有終端覆蓋面廣，用戶眾多，技術人員水平不一。為了能準確了解終端的運行狀態(tài)、設備的運行情況，統(tǒng)一部署安全策略，

49、應進行安全管理中心的設 計，根據(jù)要求，應在終端管理、審計管理和安全管理幾個大方面進行建設。 在集中監(jiān)測與管理域中建立安全管理中心， 是有效幫助管理人員實施好安全 措施的重要保障，是實現(xiàn)業(yè)務穩(wěn)定運行、長治久安的基礎。通過安全管理中心的 建設， 真正實現(xiàn)安全技術層面和管理層面的結合，全面提升用戶網(wǎng)絡的信息安全 保障能力。 （1） 終端證書管理 系統(tǒng)管理員對于終端進行數(shù)字證書的發(fā)放工作。 （2） 移動終端管理 通過系統(tǒng)管理員對終端及安全設備資源和運行進行配臵、 控制和管理， 包括： 終端入網(wǎng)許可：終端設備入網(wǎng)許可，實現(xiàn) TF 卡+SIM 卡+設備號的三號綁定； 安全介質管理：統(tǒng)一對所有對外發(fā)放的 T

50、F 卡進行序列號、初始化等管理； 終端合規(guī)性初始化：對每臺為終端服務的 TF 卡進行合規(guī)性初始化工作，包 括安裝防毒、漏掃等安全程序； 終端合規(guī)性檢測：檢測每臺終端的合規(guī)性執(zhí)行情況（訪問控制、防毒、掃描 等） ； 終端資產(chǎn)管理：對終端及所屬機構進行綜合管理，內(nèi)容包括組織機構管理、 終端設備序列號、對應責任關系等； 終端凍結：由于業(yè)務或者其他原因，停止該終端的接入行為； 終端解凍：開通該終端的業(yè)務接入行為許可。 （3） 授權策略管理 鑒別策略管理：提供終端鑒別策略，驗證策略包括驗證證書名、驗證內(nèi)部編 號、驗證手機號、驗證 TF 卡號、驗證 SIM 卡號、驗證 IMEI 號、驗證組織機構等 信息

51、監(jiān)控策略管理：提供終端監(jiān)控策略，包括是否監(jiān)控、監(jiān)控對象、監(jiān)控內(nèi)容等。 終端訪問權限策略：提供終端數(shù)據(jù)采集報送策略，包括可信名單、可信訪問 時間、可信訪問資源等； 應用訪問權限策略： 提供終端用戶訪問業(yè)務網(wǎng)、 前臵訪問業(yè)務網(wǎng)的權限策略， 包括可信路徑、可信資源等。（4） 統(tǒng)一審計監(jiān)控 統(tǒng)一審計監(jiān)控系統(tǒng)主要根據(jù)接入平臺以及業(yè)務注冊過程中配臵的安全策略 提供安全管理功能。主要包括實時監(jiān)控接入終端的安全狀況、網(wǎng)絡連接情況、系 統(tǒng)和業(yè)務應用的運行情況；實時監(jiān)控接入平臺的運行狀況，并實現(xiàn)對監(jiān)測信息、 報警信息、 安全事件信息等數(shù)據(jù)的查詢和統(tǒng)計， 監(jiān)控接入平臺當前運行總體情況； 用戶監(jiān)控，即登錄狀態(tài)、操作行

52、為、訪問資源等；異常監(jiān)控，包括異常用戶、流 量、設備等信息；按時間段、應用系統(tǒng)、用戶單位分析統(tǒng)計用戶信息、流量信息、 異常信息；及時生成網(wǎng)絡流量信息的報表。 具體集中審計內(nèi)容包括： 日志監(jiān)視 實時監(jiān)視接收到的事件的狀況，如最近日志列表、系統(tǒng)風險狀況等；監(jiān)控事 件狀況的同時也可以監(jiān)控設備運行參數(shù)，以配合確定設備及網(wǎng)絡的狀態(tài)；日志監(jiān) 視支持以圖形化方式實時監(jiān)控日志流量、系統(tǒng)風險等變化趨勢。 日志管理 日志管理實現(xiàn)對多種日志格式的統(tǒng)一管理。 通過 SNMP、 SYSLOG 或者其它的 日志接口采集管理對象的日志信息， 轉換為統(tǒng)一的日志格式， 再統(tǒng)一管理、 分析、 報警； 自動完成日志數(shù)據(jù)的格式解析和

53、分類； 提供日志數(shù)據(jù)的存儲、 備份、 恢復、 刪除、導入和導出操作等功能。日志管理支持分布式日志級聯(lián)管理，下級管理中 心的日志數(shù)據(jù)可以發(fā)送到上級管理中心進行集中管理。 審計分析 集中審計可綜合各種安全設備的安全事件， 以統(tǒng)一的審計結果向用戶提供可 定制的報表，全面反映網(wǎng)絡安全總體狀況，重點突出，簡單易懂。 可以生成多種形式的審計報表，報表支持表格和多種圖形表現(xiàn)形式；用戶可 以通過 IE 瀏覽器訪問，導出審計結果?？稍O定定時生成日志統(tǒng)計報表，并自動 保存以備審閱或自動通過郵件發(fā)送給指定收件人，實現(xiàn)對安全審計的流程化處 理。 終端資源配臵與監(jiān)控 進行終端資源配臵管理與監(jiān)控，包括終端狀態(tài)、證書狀態(tài)等

54、。 運行異常監(jiān)控安全設備遇到攻擊， 或未授權終端非法訪問資源等情況，會以告警等信息方 式，通知管理員。統(tǒng)一監(jiān)控可提供多種自動處理機制，協(xié)助用戶監(jiān)控最新告警， 全方位掌控終端及安全設備異常和攻擊。 遠程鎖定 基于定制終端操作系統(tǒng)， 實現(xiàn)對遠程遺失或非法用戶使用的合法終端進行整 機鎖定或資源保護控制。5.5 性能設計移動應用安全管理系統(tǒng)在性能上需滿足目前的業(yè)務需求外， 還需對將來的業(yè) 務擴展留下充足的空間。在性能設計上主要體現(xiàn)在平臺鏈路帶寬、在線 /并發(fā)用 戶數(shù)和網(wǎng)絡吞吐量等方面。5.5.1 鏈路帶寬對于移動應用安全管理系統(tǒng)，鏈路帶寬分為外部鏈路和內(nèi)部鏈路兩個部分。 （1） 外部鏈路 由于外部所有

55、的信息傳輸都經(jīng)過加密， 因此對終端接入的帶寬要求比普通的 無線網(wǎng)絡接入要高。 目前最高端的鏈路為聯(lián)通的 WCDMA-HSDPA， 該 3G 網(wǎng)支持 14.4Mbps 的帶寬， 將來規(guī)劃在一線主流城市升級至 WCDMA-HSPA+，該 3G 網(wǎng)為 21Mbps。 電信主流的鏈路為 CDMA2000 EV-DO A 版本(Rev.A)速率為 3.1Mbps，將來規(guī) 劃升級為 CDMA2000 EV-DO B 版本(Rev.B)速率為 9.3Mbps。 中國移動目前主流的為 TD-HSDPA 速率為 2.8Mbps。 （2） 內(nèi)部鏈路 移動應用安全管理系統(tǒng)的邊界接入域是政務外網(wǎng)與其它網(wǎng)唯一通道， 將

56、來接 入業(yè)務會逐漸增加，因此在內(nèi)部鏈路上皆采用千兆鏈路，如用戶有特殊情況 /要 求， 也可建設百兆鏈路。 在平臺內(nèi)部鏈路上的通用網(wǎng)絡設備及網(wǎng)絡環(huán)境皆采用千 兆的設備架設。以滿足將來的業(yè)務擴展和升級，保護投資。（3） 帶寬估算方式 以下給出帶寬的初步的估算方式。 接入的應用可分為面向長連接的和不面向長連接的。如 B/S 方式的應用，由 于采用的是 HTTP 協(xié)議，不是長連接的，對資源要求少；而對于 C/S 應用，由于其是長連接的，因此其占用帶寬資源較多。一般采用 B/S 方式估算，如果同時在 線用戶數(shù)為 10*n，對于 B/S 類應用實際的并發(fā)在線用戶數(shù)可以總用戶數(shù)的 1/10 計。則同時并發(fā)在

57、線用戶數(shù)為 n，假設各個用戶業(yè)務要求的帶寬為 200Kb，則總 帶寬要求為：200Kb * n = 0.2*n Mb。因此，一個真千兆的接入鏈路，可承載 5000 個用戶的并發(fā)，相當于可同時支撐 50000 個用戶。 若總用戶數(shù)超過 50000 個， 則由于目前架設高于千兆鏈路環(huán)境成本較高， 則 可通過分流用戶或增加鏈路節(jié)點來實現(xiàn)大用戶量的業(yè)務接入。5.5.2 業(yè)務并發(fā)數(shù)從鏈路帶寬的分析中可知，真千兆的同時并發(fā)業(yè)務數(shù)極限為 5000。因此，在實 際使用中需少于這個數(shù)目。 在進行設備選型時，設備的性能參數(shù)的最高值必須在 這個值左右或以上， 這是因為設備的性能參數(shù)是在實驗室環(huán)境下測出來的，在實 際

58、工作環(huán)境中不可能達到。5.5.3 吞吐量從上述分析中可知，內(nèi)部鏈路帶寬采用千兆鏈路。 對于授權訪問類應用， 其吞吐量性能與業(yè)務情況實時掛鉤。而對數(shù)據(jù)交換類 業(yè)務，如果業(yè)務總需求高于鏈路的吞吐量設計，則可通過以下方式進行解決： 負載均衡技術 最容易想到方法就時采用負載均衡技術來實現(xiàn)，這是一個最容易想到的方 案，也是最行之有效的。然而，從目前的實際情況來看并不存在這樣的必要性： 所有業(yè)務不是馬上就可以一步實施到位的；不是所有的業(yè)務都需要準實時交換 的，通過人為的規(guī)劃，可以將各種業(yè)務按要求進行劃分，錯開時間高峰以滿足應 用要求。 綜上所述，為了更好地支撐將來業(yè)務的接入，整個平臺采用千兆設備架設。5.6 業(yè)務流程設計移動終端在線接入安全方案如下圖所示：移動終端首先與移動運營商建立無線接入通道，再通過此通道與信息網(wǎng)連 接。 連接通道建成后，移動終端與信息網(wǎng)內(nèi)的安全設備相互進行身份認證，通過 證書的認證，確認雙方都是可信任的。 然后雙方利用密鑰協(xié)商機制，采用國家密碼管理局批準的專用加密算法，建 立安全的數(shù)據(jù)加密傳輸通道。 利用雙方的身份認證， 確保移動終端安全可靠的接入信息網(wǎng)， 通過加密傳輸， 保障業(yè)務數(shù)據(jù)的傳輸安全，