編者按： 本文結(jié)合筆者單位的SIM 卡身份認(rèn)證業(yè)務(wù)需求及方案設(shè)計(jì)，介紹了如何通過以強(qiáng)身份認(rèn)證為入口，不斷豐富應(yīng)用場(chǎng)景，如敏感數(shù)據(jù)操作及權(quán)限金庫審批，敏感文件下載簽名或水印、辦公系統(tǒng)審批及簽名等，實(shí)現(xiàn)SIM卡為IT 系統(tǒng)安全管理賦能。

隨著現(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型的推進(jìn)，企業(yè)IT 環(huán)境發(fā)生了巨大改變，如何實(shí)現(xiàn)更靈活、更安全的企業(yè)用戶身份認(rèn)證和管理，更精細(xì)化和更安全高效的授權(quán)、審批及訪問控制，是當(dāng)下各企業(yè)在安全管理方面亟需解決的難題。

基于SIM 卡的安全芯片，結(jié)合PKI 非對(duì)稱加密技術(shù)，可為用戶提供高安全性的認(rèn)證、審批和數(shù)字簽名服務(wù)，通過與企業(yè)IT 系統(tǒng)結(jié)合，可助力企業(yè)提升賬號(hào)管理、身份鑒權(quán)與準(zhǔn)入、自動(dòng)化安全運(yùn)維運(yùn)營、敏感文件防泄漏及互聯(lián)網(wǎng)暴露面資產(chǎn)防護(hù)等方面的安全管控能力，實(shí)現(xiàn)安全、高效的管理目標(biāo)。

本文通過SIM 卡與企業(yè)安全應(yīng)用的集成，致力于實(shí)現(xiàn)便捷的基于數(shù)字證書的主賬號(hào)強(qiáng)認(rèn)證，提升IT 支撐系統(tǒng)認(rèn)證強(qiáng)度，并探索無密碼認(rèn)證機(jī)制，防范密碼泄露風(fēng)險(xiǎn)；基于統(tǒng)一認(rèn)證取號(hào)和SIM 卡證書校驗(yàn)?zāi)芰?gòu)建“統(tǒng)一安全網(wǎng)關(guān)”，杜絕未授權(quán)訪問，實(shí)現(xiàn)互聯(lián)網(wǎng)暴露面的安全防護(hù)和移動(dòng)辦公的統(tǒng)一接入管理；基于SIM 卡手機(jī)端的便利，實(shí)現(xiàn)安全快速的各類流程審批，減少人力成本，提高數(shù)據(jù)安全管控能力。

當(dāng)前網(wǎng)絡(luò)安全防護(hù)的不足

目前，大部分企業(yè)都還是采用傳統(tǒng)的網(wǎng)絡(luò)分區(qū)和隔離的安全模型，用邊界防護(hù)設(shè)備劃分出企業(yè)內(nèi)網(wǎng)和外網(wǎng)，并以此構(gòu)建企業(yè)安全體系。這些系統(tǒng)或設(shè)備在企業(yè)的信息化安全管理中發(fā)揮著重要的作用，但依然存在不少安全問題。

1.認(rèn)證的安全性及效率問題。目前大部分企業(yè)用戶采用口令、短信或UKey 認(rèn)證的方式進(jìn)行平臺(tái)登錄，其中口令認(rèn)證存在弱密碼、撞庫及爆力破解等安全風(fēng)險(xiǎn)，短信認(rèn)證方式存在諸如短信劫持攻擊以及短信網(wǎng)關(guān)不穩(wěn)定性問題；Ukey 認(rèn)證使用過程復(fù)雜，影響平臺(tái)的登錄效率。

2.自動(dòng)化管理過程缺乏及時(shí)性。目前多數(shù)企業(yè)的自動(dòng)化管理基本依托流程和工單系統(tǒng)實(shí)現(xiàn)，但在實(shí)際安全生產(chǎn)中存在諸如工單審批過程滯后，無法實(shí)現(xiàn)金庫審批等流程化管控需求。

3.互聯(lián)網(wǎng)暴露面資產(chǎn)缺乏統(tǒng)一防護(hù)。隨著公司IT系統(tǒng)逐步實(shí)現(xiàn)移動(dòng)化辦公，形成了大量暴露面，給安全防護(hù)帶來困難。

SIM 卡登錄認(rèn)證

SIM 卡登錄認(rèn)證利用SIM卡快捷認(rèn)證的能力，通過整合SIM 卡與原有系統(tǒng)的認(rèn)證模塊，實(shí)現(xiàn)手機(jī)號(hào)碼的一鍵登錄，可有效解決前文所述認(rèn)證方式的不足，提升系統(tǒng)身份鑒別與登錄認(rèn)證能力。

本文以企業(yè)IAM（身份識(shí)別與訪問管理）系統(tǒng)舉例進(jìn)行集成方案說明，SIM 卡認(rèn)證與IAM 集成邏輯架構(gòu)圖如圖1 所示。

1.內(nèi)網(wǎng)區(qū)域

保持IAM 系統(tǒng)與各類支撐系統(tǒng)原有結(jié)構(gòu)不變。

2.DMZ 區(qū)域

部署IAM 系統(tǒng)前置機(jī)，主要用來與SIM 卡平臺(tái)進(jìn)行數(shù)據(jù)交互，包括身份認(rèn)證、數(shù)字簽名和各類審批等信息，IAM前置部署的方式不影響IAM系統(tǒng)及管控的各系統(tǒng)部署結(jié)構(gòu)及安全防護(hù)。

3.Internet 區(qū)域

SIM 卡平臺(tái)和SIM 卡 手機(jī)端通過互聯(lián)網(wǎng)連接，IAM 系統(tǒng)前置機(jī)與SIM 卡平臺(tái)對(duì)接，通過防火墻控制，僅開放與SIM 卡平臺(tái)連接，同時(shí)采用傳輸加密，確保數(shù)據(jù)傳輸過程的安全性。

SIM 卡快捷認(rèn)證解決了用戶難以記憶賬號(hào)和復(fù)雜密碼以及密碼易泄露的痛點(diǎn)，帶來更好的用戶體驗(yàn)。同時(shí)，由于其對(duì)下發(fā)驗(yàn)證碼信息加密，加密信息到達(dá)終端后由SIM 卡卡應(yīng)用解密并通過STK 界面將短驗(yàn)展示給用戶，通過提供“傳輸過程信息加密”和“防止手機(jī)病毒截獲”雙重保障，可有效防范偽基站2.0 等短信嗅探風(fēng)險(xiǎn)，有效避免木馬攔截和篡改，從而帶來更好的安全性。并且，因?yàn)橛脩綦S身攜帶手機(jī)，方便接收信息，體驗(yàn)更好。

圖1 SIM 卡認(rèn)證邏輯架構(gòu)圖

暴露面安全防護(hù)

移動(dòng)化辦公為企業(yè)帶來大量的互聯(lián)網(wǎng)暴露面資產(chǎn)，這些IT 資產(chǎn)存儲(chǔ)大量的企業(yè)機(jī)密和用戶敏感數(shù)據(jù)，極易遭受黑客攻擊。該技術(shù)通過在系統(tǒng)前置部署安全網(wǎng)關(guān)，提供基于SIM 卡的網(wǎng)絡(luò)鑒權(quán)準(zhǔn)入和集中安全防護(hù)，可實(shí)現(xiàn)系統(tǒng)和未授權(quán)用戶的網(wǎng)絡(luò)隔離，從而極大地降低安全風(fēng)險(xiǎn)。

借助網(wǎng)關(guān)取號(hào)、SIM 卡認(rèn)證能力構(gòu)建統(tǒng)一安全網(wǎng)關(guān)，在各IT 系統(tǒng)、App 后臺(tái)系統(tǒng)前置部署集中接入，統(tǒng)一安全網(wǎng)關(guān)通過反向代理統(tǒng)一出口，大量IT 系統(tǒng)可以取消原本為移動(dòng)端訪問而打開的互聯(lián)網(wǎng)暴露面，從而盡可能地避免被搜索引擎或端口掃描工具發(fā)現(xiàn)及滲透測(cè)試。

通過應(yīng)用系統(tǒng)改造與安全網(wǎng)關(guān)單點(diǎn)登錄對(duì)接，安全網(wǎng)關(guān)基于網(wǎng)關(guān)取號(hào)及SIM 認(rèn)證進(jìn)行身份鑒權(quán)和網(wǎng)絡(luò)訪問控制，既實(shí)現(xiàn)非授權(quán)用戶與系統(tǒng)網(wǎng)絡(luò)隔離，又消除原系統(tǒng)的賬號(hào)密碼機(jī)制，規(guī)避賬號(hào)口令安全問題。

同時(shí)，在安全網(wǎng)關(guān)前置IPS 和WAF 等安全防護(hù)系統(tǒng)或設(shè)備，進(jìn)行統(tǒng)一安全防護(hù)，集中建設(shè)，集中運(yùn)維，避免木桶效應(yīng)，低成本提高多個(gè)系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力。

自動(dòng)化運(yùn)維安全管控

為提升生產(chǎn)效率，現(xiàn)代企業(yè)都在大力推行自動(dòng)化運(yùn)維。自動(dòng)化運(yùn)維在給企業(yè)生產(chǎn)帶來便捷，提升產(chǎn)能的同時(shí)，也存在不少安全隱患。

例如，缺少安全管控機(jī)制，存在未授權(quán)的非法操作，導(dǎo)致文件刪除，敏感數(shù)據(jù)泄露，服務(wù)器宕機(jī)等生產(chǎn)安全事故；自動(dòng)化批量操作場(chǎng)景中的高風(fēng)險(xiǎn)，比如操作對(duì)象、操作步驟及操作指令等在未經(jīng)確認(rèn)和審批情況下被執(zhí)行，導(dǎo)致故障率增加；企業(yè)及用戶敏感數(shù)據(jù)訪問方面缺少嚴(yán)格的控制措施，諸如權(quán)限劃分不清晰，操作與授權(quán)不分離等，導(dǎo)致非法高危操作被執(zhí)行，從而引發(fā)數(shù)據(jù)安全問題。

利用SIM 卡的安全認(rèn)證、審批及數(shù)字簽名能力，可解決企業(yè)上述安全問題。

在安全管控方面，通過操作與審核分離，雙崗操作，一人操作，一人檢查（SIM 卡審核）結(jié)果，驗(yàn)證通過才產(chǎn)生實(shí)際有效的系統(tǒng)操作，確保操作的準(zhǔn)確性和規(guī)范性；在批量操作方面，通過對(duì)操作時(shí)間、操作對(duì)象、操作步驟和操作指令進(jìn)行明確提醒并審批，防止出現(xiàn)大量設(shè)備故障不可用的情況；在用戶敏感信息及數(shù)據(jù)管控方面，通過SIM 卡數(shù)字簽名授權(quán)，誰簽名誰負(fù)責(zé)，防止非法高危操作，確保所有敏感操作都有嚴(yán)格的控制，多人完成，各司其職，分權(quán)制衡，實(shí)現(xiàn)操作與授權(quán)分離，保障數(shù)據(jù)安全。如圖2 所示。

圖2 SIM 卡操作審批演示

結(jié)語

基于SIM 卡實(shí)現(xiàn)IT 系統(tǒng)安全管理，在便捷性、安全性和示范性等方面帶來良好的收益。

1.提高系統(tǒng)的認(rèn)證及審批便捷性。以SIM 卡替代U盤，升級(jí)了硬介質(zhì)，實(shí)現(xiàn)傳統(tǒng)U 盾的線上化、個(gè)人化和移動(dòng)化。SIM 卡與IAM 結(jié)合，提高了認(rèn)證介質(zhì)攜帶和使用的便捷性，簡(jiǎn)化IAM 系統(tǒng)流程審批的操作，提升工作效率。

2.提升系統(tǒng)的安全管控能力。將SIM 卡的數(shù)字簽名等技術(shù)融入IAM 系統(tǒng)等安全管控業(yè)務(wù)，實(shí)現(xiàn)流程審批責(zé)任到人，加強(qiáng)對(duì)敏感文件管控及審計(jì)溯源。

3.降低安全建設(shè)投入成本。SIM 卡是中國移動(dòng)基于NFC USIM 卡的安全芯片，結(jié)合PKI 非對(duì)稱加密技術(shù)，提供安全防護(hù)的認(rèn)證服務(wù)。其成本較動(dòng)態(tài)令牌和UKey 等認(rèn)證方式更低，基于SIM 卡的流程審批也將減少人力成本。

4.為其他業(yè)務(wù)結(jié)合SIM卡應(yīng)用提供示范性參考。通過SIM 卡與安全業(yè)務(wù)的結(jié)合建設(shè)，可以為其他業(yè)務(wù)系統(tǒng)采用SIM 卡實(shí)現(xiàn)業(yè)務(wù)過程涉及的審批及簽名等場(chǎng)景提供參考。