王永起+李強(qiáng)

[摘 要]本文從辦公的移動(dòng)性、安全性出發(fā)，采用物理隔離雙硬盤、內(nèi)嵌安全芯片的安全移動(dòng)辦公終端作為前端設(shè)備，采用IPSec協(xié)議對(duì)終端設(shè)備網(wǎng)絡(luò)訪問數(shù)據(jù)進(jìn)行加密，同時(shí)采用云計(jì)算和虛擬化技術(shù)對(duì)后臺(tái)數(shù)據(jù)進(jìn)行存儲(chǔ)，從而保證前臺(tái)訪問、中間網(wǎng)絡(luò)和后臺(tái)存儲(chǔ)的有效結(jié)合和管控，既滿足了移動(dòng)辦公方便、快捷地接入企事業(yè)單位辦公網(wǎng)的互連需求，又防止辦公終端直接接入互聯(lián)網(wǎng)而導(dǎo)致的安全問題。

[關(guān)鍵詞]物理隔離；安全芯片；虛擬化技術(shù)

doi：10.3969/j.issn.1673 - 0194.2017.12.082

[中圖分類號(hào)]TN929.53；TP368.3 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194（2017）12-0-03

0 引 言

移動(dòng)互聯(lián)技術(shù)的飛速發(fā)展和通信基礎(chǔ)設(shè)施建設(shè)的日益成熟與普及，推動(dòng)了移動(dòng)終端的廣泛應(yīng)用。鑒于移動(dòng)終端使用的方便性，移動(dòng)終端正在大規(guī)模替代PC端進(jìn)入工作型應(yīng)用領(lǐng)域。在企事業(yè)單位辦公領(lǐng)域，移動(dòng)終端的應(yīng)用有助于工作人員擺脫工作位置的束縛，能夠更充分地利用時(shí)間，提高工作效率。另外，與PC終端比較，移動(dòng)終端的成本更低廉，使用更簡單，出現(xiàn)故障的概率更低，容易做到專業(yè)化和標(biāo)準(zhǔn)化，所以移動(dòng)辦公的普及已成必然趨勢(shì)。

雖然移動(dòng)辦公給工作帶來了諸多的便利，但由于普通的移動(dòng)終端缺乏相應(yīng)的安全措施，存在較高的安全風(fēng)險(xiǎn)，如攜帶病毒和木馬、無線通信的傳輸風(fēng)險(xiǎn)、數(shù)據(jù)泄露風(fēng)險(xiǎn)、設(shè)備丟失風(fēng)險(xiǎn)、身份識(shí)別風(fēng)險(xiǎn)等。另外，移動(dòng)辦公可能導(dǎo)致企事業(yè)單位內(nèi)網(wǎng)信息通過移動(dòng)終端泄露，病毒、木馬等可能通過移動(dòng)終端進(jìn)入企事業(yè)單位辦公內(nèi)網(wǎng)等，換言之，在企事業(yè)單位內(nèi)外網(wǎng)之間信息安全受到挑戰(zhàn)，保密性和可用性無法兼顧。因此，如何在安全的前提下實(shí)現(xiàn)企事業(yè)單位內(nèi)外網(wǎng)數(shù)據(jù)的交互和便捷的移動(dòng)辦公，成為移動(dòng)辦公平臺(tái)需要解決的核心問題。

為滿足移動(dòng)辦公方便、快捷地接入企事業(yè)單位辦公網(wǎng)的互連需求，同時(shí)防止辦公終端直接從互聯(lián)網(wǎng)接入而導(dǎo)致的安全問題，本文提出了架構(gòu)在IPSec協(xié)議基礎(chǔ)上，基于云計(jì)算和虛擬化技術(shù)的移動(dòng)辦公平臺(tái)安全接入方案，能夠有效避免移動(dòng)辦公應(yīng)用面臨的風(fēng)險(xiǎn)。

1 安全移動(dòng)辦公終端設(shè)計(jì)

1.1 物理隔離技術(shù)

物理隔離能消除潛在的網(wǎng)絡(luò)威脅，滿足網(wǎng)絡(luò)對(duì)安全的要求，物理隔離技術(shù)在維護(hù)高安全級(jí)別網(wǎng)絡(luò)的安全方面是首選的安全技術(shù)。

安全移動(dòng)辦公終端采用雙硬盤物理隔離技術(shù)，如圖1所示，使用雙硬盤，一個(gè)3是2 G標(biāo)準(zhǔn)EMMC閃存盤，存儲(chǔ)公網(wǎng)系統(tǒng)。公網(wǎng)系統(tǒng)同主流設(shè)備一樣可以瀏覽互聯(lián)網(wǎng)、可用于娛樂休閑。另一個(gè)是16 G加密硬盤，存儲(chǔ)辦公專網(wǎng)系統(tǒng)。專網(wǎng)系統(tǒng)無法打開Wifi、藍(lán)牙，無法連接互聯(lián)網(wǎng)，只能通過APN專線連接辦公專網(wǎng)。通過終端上的控制開關(guān)，實(shí)現(xiàn)工作站在內(nèi)外網(wǎng)下的雙重工作狀態(tài)，兩個(gè)狀態(tài)是完全物理隔離。當(dāng)一個(gè)硬盤工作時(shí)，另一個(gè)硬盤處于斷電不工作的狀態(tài)，內(nèi)網(wǎng)硬盤工作時(shí)，只有內(nèi)網(wǎng)網(wǎng)線接入；外網(wǎng)硬盤工作時(shí)，只有外網(wǎng)網(wǎng)線接入。這樣，內(nèi)網(wǎng)數(shù)據(jù)與外網(wǎng)數(shù)據(jù)不存在電氣通道，相互完全物理隔離。使用時(shí)，開機(jī)前通過一個(gè)選擇開關(guān)，選定進(jìn)入“內(nèi)”或“外”工作方式，開機(jī)后，將相應(yīng)啟動(dòng)“內(nèi)”或“外”硬盤，并接入對(duì)應(yīng)的“內(nèi)”或“外”網(wǎng)線。使用中需要切換“內(nèi)”或“外”工作方式時(shí)，則應(yīng)正常退出關(guān)閉電源，再行選定選擇開關(guān)，重新開機(jī)。這保證了同一臺(tái)移動(dòng)終端設(shè)備連入兩個(gè)完全物理隔離的網(wǎng)絡(luò)，同時(shí)又保證了兩個(gè)網(wǎng)絡(luò)不會(huì)因此產(chǎn)生任何連接，內(nèi)外網(wǎng)硬盤各自安裝獨(dú)立的操縱系統(tǒng)，分別與內(nèi)外網(wǎng)相對(duì)應(yīng)。在同一時(shí)間內(nèi)只有一個(gè)硬盤與相應(yīng)的網(wǎng)絡(luò)接通，另外一個(gè)硬盤關(guān)閉，其對(duì)應(yīng)的網(wǎng)絡(luò)也切斷，從而實(shí)現(xiàn)內(nèi)外網(wǎng)徹底的物理隔離。

由雙硬盤構(gòu)成的內(nèi)網(wǎng)和外網(wǎng)環(huán)境各自獨(dú)立，只能在相應(yīng)的網(wǎng)絡(luò)環(huán)境下工作，不能在一種網(wǎng)絡(luò)環(huán)境下使用另一個(gè)環(huán)境使用的設(shè)備，這使安全隔離移動(dòng)終端的集成度較高，使用起來更加方便、簡單，也更加安全。

1.2 采用雙網(wǎng)絡(luò)

移動(dòng)辦公終端使用雙SIM卡，公網(wǎng)使用Micro SIM卡及Nano卡，專網(wǎng)使用Nano SIM卡，通過在主板的BIOS中進(jìn)行一些定制修改，將內(nèi)外網(wǎng)絡(luò)轉(zhuǎn)化功能融入BIOS中。主板BIOS控制由雙網(wǎng)卡和雙硬盤構(gòu)成的內(nèi)網(wǎng)和外網(wǎng)環(huán)境各自獨(dú)立，并只能在相應(yīng)的網(wǎng)絡(luò)環(huán)境下工作，不能在同一種網(wǎng)絡(luò)環(huán)境下使用另一個(gè)環(huán)境使用的設(shè)備，這使安全隔離移動(dòng)終端的集成度較高，更加方便使用，也更安全。

1.3 內(nèi)置國密芯片

安全芯片是一款可以獨(dú)立進(jìn)行密鑰生成，提供多種加密算法，支持公鑰基礎(chǔ)設(shè)施及數(shù)字簽名等安全認(rèn)證及保障功能的產(chǎn)品。作為智能終端的最底層安全保障，安全芯片的應(yīng)用能有效防止黑客的攻擊與破解，提高智能終端的安全性，保障用戶個(gè)人信息和應(yīng)用數(shù)據(jù)的安全。安全移動(dòng)辦公終端內(nèi)置支持國密算法安全芯片，提供用戶身份認(rèn)證和數(shù)據(jù)加密功能，保證終端設(shè)備和用戶的身份安全以及數(shù)據(jù)傳輸安全，終端采用自主研發(fā)的cos系統(tǒng)，防止系統(tǒng)“后門”泄密，保證系統(tǒng)的安全。

（1）身份認(rèn)證。移動(dòng)終端與云端進(jìn)行通信，需要進(jìn)行身份認(rèn)證以完成登錄、傳輸?shù)炔僮?。?shí)現(xiàn)身份認(rèn)證一般利用公鑰簽名完成用戶的身份認(rèn)證。身份認(rèn)證包括身份識(shí)別與身份鑒定兩個(gè)階段，身份識(shí)別是指終端本地采集信息并與預(yù)存信息進(jìn)行驗(yàn)證，而身份鑒定是將身份信息與應(yīng)用及遠(yuǎn)端服務(wù)器進(jìn)行對(duì)接。當(dāng)身份識(shí)別通過時(shí)，移動(dòng)終端對(duì)需要認(rèn)證的信息進(jìn)行簽名，發(fā)送給服務(wù)器，服務(wù)器利用存儲(chǔ)的用戶公鑰對(duì)該信息進(jìn)行驗(yàn)簽操作，若通過，則完成身份認(rèn)證過程。如圖2所示。

（2）數(shù)據(jù)加密。在用戶身份認(rèn)證通過后，兩個(gè)客戶端之間建立連接，傳輸數(shù)據(jù)都會(huì)先交由安全芯片進(jìn)行加密，如圖3所示。發(fā)送用戶A發(fā)送的數(shù)據(jù)通過安全芯片進(jìn)行加密后，以密文的形式進(jìn)行發(fā)送，接收用戶B對(duì)收到的密文交由安全芯片進(jìn)行解密，從而獲悉傳輸?shù)臄?shù)據(jù)，保證數(shù)據(jù)的傳輸安全。

2 安全移動(dòng)辦公終端平臺(tái)

移動(dòng)辦公平臺(tái)的核心設(shè)計(jì)思想是采用虛擬應(yīng)用技術(shù)，分離應(yīng)用的使用平臺(tái)和運(yùn)行平臺(tái)。移動(dòng)辦公終端從應(yīng)用運(yùn)行設(shè)備變成純粹的輸入輸出設(shè)備，通過無線網(wǎng)絡(luò)遠(yuǎn)程操作企事業(yè)單位辦公系統(tǒng)的各種應(yīng)用和服務(wù)，從而實(shí)現(xiàn)用戶的移動(dòng)辦公需求。

平臺(tái)采用先進(jìn)的云計(jì)算技術(shù)，通過架構(gòu)在IPSec協(xié)議基礎(chǔ)上的安全接入網(wǎng)關(guān)以及虛擬化手段，采用安全、可靠的硬件平臺(tái)，無需改變現(xiàn)有企事業(yè)單位辦公網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用模式，將企事業(yè)單位辦公系統(tǒng)的本地應(yīng)用、C/S應(yīng)用、B/S應(yīng)用（如Office軟件、辦公系統(tǒng)、辦案系統(tǒng)等）平滑遷移到移動(dòng)辦公終端上，實(shí)現(xiàn)移動(dòng)端和固定辦公數(shù)據(jù)和文檔的統(tǒng)一與共享，達(dá)到任何時(shí)間、任何地點(diǎn)進(jìn)行辦公的目的，是企事業(yè)單位實(shí)現(xiàn)移動(dòng)辦公的最佳解決方案。

3 拓?fù)浣Y(jié)構(gòu)

安全移動(dòng)辦公平臺(tái)方案設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4所示，此網(wǎng)絡(luò)拓?fù)洳粌H能夠保證移動(dòng)辦公系統(tǒng)的數(shù)據(jù)安全性，同時(shí)也能快速將業(yè)務(wù)系統(tǒng)移植到移動(dòng)辦公終端系統(tǒng)上。

圖4 移動(dòng)辦公平臺(tái)網(wǎng)絡(luò)拓?fù)鋱D

根據(jù)圖4移動(dòng)辦公平臺(tái)網(wǎng)絡(luò)拓?fù)鋱D，在完全加密條件下，用戶可通過安全移動(dòng)辦公終端進(jìn)行辦公操作。數(shù)據(jù)從終端到企事業(yè)單位辦公網(wǎng)的處理過程如下：①數(shù)據(jù)在安全移動(dòng)辦公終端進(jìn)行三次加密（協(xié)議層加密、VPN層加密、VPDN加密）后，通過運(yùn)營商移動(dòng)網(wǎng)絡(luò)傳輸至安全接入?yún)^(qū)；②數(shù)據(jù)在離開運(yùn)營商專用通道前進(jìn)行一次解密（VPDN解密）后，進(jìn)入安全接入?yún)^(qū)；③數(shù)據(jù)在安全接入網(wǎng)關(guān)進(jìn)行一次解密（VPN解密）后，傳輸至安全隔離區(qū)；④數(shù)據(jù)在安全應(yīng)用服務(wù)器進(jìn)行最后一次解密（協(xié)議層解密）后，由安全隔離設(shè)備擺渡至企事業(yè)單位辦公內(nèi)網(wǎng)。

該部署架構(gòu)有以下優(yōu)點(diǎn)：①網(wǎng)絡(luò)邊界劃分明確，在每一個(gè)網(wǎng)絡(luò)邊界都提供良好的安全保障；②數(shù)據(jù)傳輸過程中經(jīng)過多層加密，傳輸安全有保障；③安全隔離區(qū)中的安全應(yīng)用服務(wù)器受到安全接入網(wǎng)關(guān)的接入保護(hù)，沒有經(jīng)過認(rèn)證的移動(dòng)終端即使能連接到接入網(wǎng)，也無法訪問相應(yīng)的應(yīng)用服務(wù)；④安全接入?yún)^(qū)和企事業(yè)單位辦公內(nèi)網(wǎng)通過安全隔離設(shè)備與安全應(yīng)用服務(wù)器實(shí)現(xiàn)物理隔離，保證企事業(yè)單位辦公網(wǎng)不受外部攻擊。

4 安全移動(dòng)辦公平臺(tái)的安全體系

4.1 數(shù)據(jù)安全

安全移動(dòng)辦公系統(tǒng)邏輯架構(gòu)，如圖5所示。

由圖5可以看到，對(duì)企事業(yè)單位移動(dòng)辦公安全接入設(shè)計(jì)了包括終端加固、通信加密、身份認(rèn)證、訪問控制、辦公安全、安全管理、日志審計(jì)等7大安全措施，共同構(gòu)成安全、高效的移動(dòng)辦公安全接入體系。

（1）終端加固是針對(duì)移動(dòng)辦公終端在接入安全移動(dòng)辦公平臺(tái)時(shí)存在多種安全風(fēng)險(xiǎn)提出的一系列防護(hù)措施，主要解決終端數(shù)據(jù)加密、操作系統(tǒng)可靠性、操作系統(tǒng)校驗(yàn)和驗(yàn)證、APP安裝防護(hù)、終端多用途時(shí)的數(shù)據(jù)安全。包括：硬件加密設(shè)備；數(shù)據(jù)加密存儲(chǔ)；使用開源操作系統(tǒng)；操作系統(tǒng)校驗(yàn)和驗(yàn)證；應(yīng)用安裝權(quán)限許可；通過操作系統(tǒng)強(qiáng)制自動(dòng)還原機(jī)制實(shí)現(xiàn)安全的“一本多用”。

（2）通信加密要解決安全移動(dòng)辦公終端和安全應(yīng)用服務(wù)器之間數(shù)據(jù)傳輸?shù)陌踩脚_(tái)通過對(duì)安全移動(dòng)辦公終端傳輸?shù)臄?shù)據(jù)進(jìn)行多次加密，保證數(shù)據(jù)傳輸過程的安全，通過多次加密，即使傳輸數(shù)據(jù)被截獲，也無法獲取數(shù)據(jù)的明文信息。

（3）身份認(rèn)證包括終端啟動(dòng)認(rèn)證、終端屏幕解鎖認(rèn)證、終端和安全接入網(wǎng)關(guān)身份認(rèn)證、終端和安全應(yīng)用服務(wù)器身份認(rèn)證等功能。

終端（用戶）和安全應(yīng)用服務(wù)器建立連接前需要先進(jìn)行身份認(rèn)證，只有身份認(rèn)證通過后，才能接入安全應(yīng)用服務(wù)器進(jìn)行移動(dòng)辦公，身份認(rèn)證支持用戶名+密碼認(rèn)證機(jī)制或者Windows AD域認(rèn)證機(jī)制等多種認(rèn)證機(jī)制。

（4）安全管理保證只有授權(quán)管理員可以對(duì)平臺(tái)進(jìn)行管理操作，包括用戶/角色管理、應(yīng)用管理、服務(wù)管理等管理功能。且管理員只能執(zhí)行被授權(quán)的管理功能。

（5）訪問控制使安全移動(dòng)辦公終端和用戶只能在授權(quán)時(shí)間內(nèi)訪問授權(quán)范圍內(nèi)的資源或者應(yīng)用，防止非授權(quán)訪問和越權(quán)訪問。

4.2 網(wǎng)絡(luò)安全

通信加密主要解決安全移動(dòng)辦公終端和安全應(yīng)用服務(wù)器之間數(shù)據(jù)傳輸?shù)陌踩谥С謬芩惴ǖ陌踩尤刖W(wǎng)關(guān)，實(shí)現(xiàn)安全移動(dòng)辦公終端到安全應(yīng)用服務(wù)器端的通信加密，保證辦公數(shù)據(jù)在傳輸過程中的機(jī)密性和完整性。多重加密如圖6所示。

除了移動(dòng)運(yùn)營商提供的專用通道（APN/VPDN）外，在該通道上重新建立支持國密算法的VPN通道，對(duì)通信數(shù)據(jù)進(jìn)行二次加密；另外，在協(xié)議上還可以進(jìn)行協(xié)議層加密，即為第三層加密。通過以上層層加密，最大限度保證端到端數(shù)據(jù)傳輸?shù)陌踩裕龅叫诺兰用懿灰蕾囘\(yùn)營商專用通道，在支持高強(qiáng)度國密算法的基礎(chǔ)上實(shí)現(xiàn)加密可控。

4.3 應(yīng)用安全

系統(tǒng)采用先進(jìn)的云技術(shù)，通過虛擬化技術(shù)把企事業(yè)單位現(xiàn)有的辦公系統(tǒng)應(yīng)用、Windows應(yīng)用等平移到辦公終端，把辦公應(yīng)用程序的人機(jī)交互邏輯（應(yīng)用程序界面、鍵盤及鼠標(biāo)的操作等）與辦公系統(tǒng)計(jì)算邏輯進(jìn)行隔離，移動(dòng)終端只是作為企事業(yè)單位辦公的輸入和展示端，具體的辦公處理邏輯還是在原來的辦公系統(tǒng)中進(jìn)行。另外，通過部署安全隔離設(shè)備可以實(shí)現(xiàn)企事業(yè)單位內(nèi)外網(wǎng)之間的數(shù)據(jù)隔離。

安全安全移動(dòng)辦公系統(tǒng)提供Web管理界面，安全移動(dòng)辦公平臺(tái)支持遠(yuǎn)端的主機(jī)通過Web頁面進(jìn)行日常管理工作，并對(duì)遠(yuǎn)端主機(jī)各平臺(tái)之間的管理報(bào)文進(jìn)行加密，保證管理操作安全有效。

安全移動(dòng)辦公平臺(tái)采用嚴(yán)格的訪問控制機(jī)制，保證終端用戶（辦公終端）對(duì)辦公資源的訪問安全可控，通過授權(quán)管理員對(duì)用戶的訪問控制策略進(jìn)行配置，終端用戶只能訪問授權(quán)的系統(tǒng)應(yīng)用，對(duì)受保護(hù)資源訪問內(nèi)容不能超出授權(quán)訪問，還可以配置用戶訪問系統(tǒng)時(shí)段以及訪問系統(tǒng)的次數(shù)。

5 結(jié) 語

安全移動(dòng)辦公終端滿足了許多保密單位對(duì)機(jī)密信息的安全需求，諸如軍事機(jī)構(gòu)、政府機(jī)關(guān)、大型企業(yè)、科研院校等。隨著網(wǎng)絡(luò)化、信息化的迅猛發(fā)展，移動(dòng)性、安全性的概念將不斷深入各行業(yè)、各部門。安全移動(dòng)辦公終端設(shè)計(jì)方案，既充分保證了網(wǎng)絡(luò)信息的安全性，又讓用戶實(shí)現(xiàn)了移動(dòng)辦公。

主要參考文獻(xiàn)

[1]楊雪微.物理隔離數(shù)據(jù)交換系統(tǒng)的設(shè)計(jì)[D].上海：同濟(jì)大學(xué)，2009.

[2]王宗岳.安全芯片在智能終端中的應(yīng)用與分析[J].互聯(lián)網(wǎng)天地，2016（8）.