作者:***
来源:《科技创新与应用》2014年第24期
摘 要:移动互联网广泛应用于个人的生活、学习、社交和娱乐的基础上,已逐渐成为政务办公、社会公共服务、社会公共管理和领导指挥决策以及企业生产经营和管理决策的紧迫需求,实现移动信息化已经成为各行业信息化的战略目标。该设计解决方案在不影响单个机关现有内部办公系统运行使用的基础上,基于无线网络建设移动应用平台,延伸和补充内部办公系统建设内容,实现了移动办公。
关键词:;移动;办公;安全;平台
1 设计方案背景
移动通信和互联网的结合催生并推动移动互联网的发展,高速移动通信、云计算、物联网及移动智能终端等新技术的持续创新发展,促使移动互联网正在成为信息产业中发展最快、竞争最激烈、创新最活跃的领域。移动互联网是一种新能力、新思想和新模式,改善了整个社会使用信息技术的基本方式。据统计, 2012年7月,移动互联网的人均上网时长首次超过PC,信息服务以PC为中心转向以移动智能终端为中心正在成为新的发展趋势。
移动互联网服务并广泛应用于个人的生活、学习、社交和娱乐的基础上,已逐渐成为政务办公、社会公共服务、社会公共管理和领导指挥决策以及企业生产经营和管理决策的紧迫需求,实现移动信息化已经成为各行业信息化的战略目标。移动办、市府办等多个部门已在OA内网上建设了政务办公自动化系统(简称“政务OA系统”),为进一步推动和提升政务信息化工作水平,迫切需要在现有部门内部OA系统基础上构建一套安全可信的移动应用平台,用于帮助解决领导外出或出差期间对办文、办会、办事等的处理需要。为此提出了建设“安全可信移动应用平台”。
2 总体设计
2.1 设计目标
在不影响单个机关现有内部办公系统的运行使用基础上,基于无线网络建设移动应用平台,作为内部办公系统建设内容延伸和补充内容,实现移动办公,即解决现有内部办公系统碰到问题和存在瓶颈,又能够有效地保护原有投资和充分利用现有资源,平台建设要做到便捷、简单、易用、安全、可推广。
2.2 总体架构
移动应用平台总体架构如图1:
基础应用层:在内网使用办公门户实现平台服务的接入和使用。使用移动应用门户为用户提供移动政务办公接入。
业务应用层:在内网办公门户基础上提供内部办公、电子邮件等系统作为可选应用服务,提供给办使用。
基础应用层和数据资源层:支撑业务应用层的基础部分,其中包括用户、公文、流程、邮件等在内的基础数据服务和即时通讯、电子邮件、工作流、表单、数据交换等在内的基础能力。
基础设施和基础网络层:电子政务平台现有的基础设施层,包括主机、存储、网络、安全等硬件设施和基础软件,以及可利用的、内网、无线网通讯网络设施。
2.3 网络结构设计
移动应用平台由内两部分组成,内网存储内部办公系统数据,搭建移动OA办公平台,内网与中间使用两套单项传输系统进行物理隔离,并在内服务器区外各搭建一台防火墙及应用防火墙(WAF)保障数据的安全,移动数据通过SSL安全通道访问应用区。
政务移动办公平台网络结构设计如图2:
图2
网络设计说明如下:(1)移动应用平台设计规划为内网区、数据交换区、区和移动终端接入区。(2)办OA服务器部署于内网区,在内网区与数据交换区网络连接处部署防火墙,首先,通过防火墙将内网与数据交换区进行隔离,将内网屏蔽起来,其次,通过访问策略控制进出防火墙的网络流量,严格规定何种数据可以从内网的何种途径到数据交换区;何种数据可以从数据交换区的何种途径到达内网等等,防止有害信息的传播。最后,通过防火墙可以对网络进出流量进行审计详细记录,发生安全事件时有据可查。(3)由于内息系统的重要性,数据交换区采用单向传输系统和前置机来实现,以保证网络的安全。单向传输系统(单向光闸)采用专用的硬件和模块化的工作组件设计,集成安全隔离、实时信息交换、单向传输、内容检测、访问控制、安全决策等多种安全功能为一体,适合部署于不同安全等级的网络间,在实现多个网络安全隔离的同时,实现高速的、安全的数据单向传输,提供可靠的信息交换服务。(4)分别在内核心服务器区部署应用防火墙(WAF)。网站防护系统通过实时监控、实时报警等功能为OA系统提供实时安全保护,并通过日志实现对网站文件访问的全程监控,防止黑客、恶意程序及网络病毒等对网站的网页、电子文档、图片等所有类型的文件进行任何形式的破坏或非法修改,从而为OA系统提供可靠的安全保障。(5)安全防火墙。防火墙是网络安全的基础构件,分别部署在内核心服务器区,对进出网络的流量进行访问控制,为内部局域网提供最基本的安全防护措施。通过访问策略控制进出防火墙的网络流量,严格规定何种数据以何种途径进出网络,有效防止有害信息的传播。通过防火墙可以对使用网络的人员进行审计,详细记录网络的使用情况,发生安全事件时有据可查。(6)在区部署一套SSLVPN系统,建立一个安全的VPN服务器系统。所有远端用户的访问都是经过标准Web浏览器内置的加密套件进行加密并经过服务器端认证许可的,即经过授权用户只要能上网,就可以通过浏览器接入远程的应用服务器,建立安全SSL VPN隧道,访问OA资源。(7)专用终端接入:为确保终端数据的安全性,本期建设拟采用专用终端接入的方式,为每个移动终端配备专用的平板电脑,再通过专用的VPN网络通道接入到办公系统中。
2.4 无线VPDN专线接入
无线VPDN(Virtual Private Dialup Network)即虚拟专用拨号网络无线数据,在高速移动通信网络的基础上,通过虚拟拨号技术建立虚拟数据专网,为移动用户提供数据传输服务,是解决无线数据传输服务的一种较完美的方案,以数据流量计费,覆盖范围广泛、数据传输速度快。与有线网络相比,具有费用低、可无线传输数据,不受地域制约等优点。
根据VPDN技术以及L2TP隧道技术,接入流程示意图如图3:
图3
如上图所示移动终端向单位建立安全数据通道,首先需要向VPDN接入平台请求认证,认证通过后会得到建立分组数据环境的授权,然后终端所在SGSN会向终端归属GGSN建立GTP隧道,GGSN向客户端的接入路由器建立L2TP隧道,所有的通道建立之后,数据会安全的在终端与企业网络间传输。
MS发起Activate PDP请求,在PDP报文中携带APN,用户名和密码等信息;SGSN向HLR鉴权后,从省DNS获得GGSN IP,发起创建GTP隧道请求;GGSN向AAA发起一次认证鉴权,下发隧道属性;GGSN向LNS发起建立L2TP隧道请求,隧道建立后,用户信息透传到LNS设备;LNS设备向AAA发起二次认证,认证通过后分配IP给终端用户;MS和客户侧服务器进行通信。
整个流程经过的通信通道有,移动网空中接口、无线接入网络(RAN)、SGSN、GGSN、VPDN接入平台、客户内网。
(1)第一段安全保障——移动网空中接口:是通过空中接口技术命名的,是宽带码分多址技术,码分多址技术由于其本身的安全性最早使用在军用通信。其主要安全机制有如下几方面:a.提供了双向认证。不但提供基站对MS的认证,也提供了MS对基站的认证,可有效防止伪基站攻击;b.提供了接入链路信令数据的完整性保护;c.密码长度增加为128bit,改进了算法;d.接入链路数据加密延伸至RNC;e.具有可拓展性,为将来引入新业务提供安全保护措施;f.向用户提供安全可视性操作,用户可随时查看自己所用的安全模式及安全级别。
(2)第二段安全保障——无线接入网络(RAN):无线接入网络(RAN)主要负责从无线信号中提取信息向分组域或电路域转发,本身就是安全的网络,数据在其中传输也会有加密,压缩等步骤。而且RAN都是底层设备,数据在上层的含义对这些设备来说是抽象的,RAN设备本身不会带来安全隐患。
(3)第三段安全保障——SGSN与GGSN:SGSN、GGSN以及客户端接入路由器都是上层设备,这些网元之间的通信承载于物理上于互联网、覆盖全国的IP专网上,再通过建立加密隧道来保证数据安全。SGSN与GGSN建立GTP隧道,GGSN与客户端接入路由器间建立L2TP隧道。隧道的建立保证了数据传输的安全。
(4)第四段安全保障——防火墙:在VPDN系统中在不同网络之间设置了防火墙,核心网(GGSN、SGSN)和VPDN接入平台网络间设置了防火墙,核心网和公众网之间设置了防火墙,只有合法的设备和通信消息才能通过防火墙访问网络。这样就避免了整个网络内部的潜在威胁。
(5)第五段安全保障——客户内网的AAA服务器与防火墙:为了进一步加强网络的安全性,客户可以再其内网部署第二台AAA服务器,对于申请接入内网的终端进行第二次的认证;同时,客户可以在其内网部署防火墙或网闸设备,对不同网络间的通信进行或隔离处理,将VPDN网络系统受外界影响的风险降到最低。
参考文献
[1]YD/T 1123-2001综合交换机技术规范[S].
[2]YD/T 1130-2001基于IP网的信息点播业务技术要求[S].
[3]YD/T 1141-2001千兆以太网交换机测试方法[S].
[4]YD/T 761-95词汇-维护术语和定义[S].
[5]YD/T 849-1996开放系统互连安全体系结构[S].
[6]YD 5036-97智能网工程设计暂行规定[S].
[7]YD/T 819-1996数据传输链路和系统的性能分配及限值[S].
[8]ISO/IEC11801-95信息技术互连国际标准[S].
[9]GB/T 17544-1998信息技术、软件包质量要求和测试[S].
[10]GB/T22239-2008信息系统安全等级保护基本要求[S].
[11]GB/T22240-2008信息系统安全等级保护定级指南[S].
[12]信安字[2007]10号信息系统安全等级保护实施指南[S].下载本文
