天融信移动办公可信接入解决方案

　　需求篇

　　移动办公是一种常见的应用，如何安全方便地在移动状态获取和交流信息，正成为越来越多用户的信息化建设需求, 移动办公的典型应用方式包括：

　　出差人员在酒店，利用酒店提供的宽带远程访问总部信息网络;

　　网络设备的维护人员，在家远程拨号到网络设备上，进行相关操作;

　　异地办公人员远程拨号，或者通过互联网访问总部信息网络;

　　外出人员利用携带笔记本电脑，远程拨号或通过互联网访问总部信息网络。

　　但这种移动办公往往存在很大的安全隐患，典型的安全威胁包括：

　　由于移动办公用户传输的口令或密码没有采取任何加密措施的情况下，很容易造成泄露，被攻击者获取后将伪造身份，对总部信息网络进行非授权的访问;

　　移动办公用户通过公用的电话网或互联网访问总部信息网络，进行业务访问的过程中，数据包以明文的方式在网络中传递，因此很容易被窃听，或篡改;

　　移动办公用户的IP地址不固定，因此很容易否认自己的访问行为;

　　对移动办公用户的认证手段往往比较简单，通常采用用户名或口令方式，因此很容易被伪造，伪造后将造成对总部信息网络的非授权访问;

　　移动办公用户在缺乏有效访问控制的情况下，会任意访问总部资源;

　　移动办公用户的主机安全性也会给总部信息网络带来很多安全威胁，主机自身如果感染了蠕虫、木马、病毒等，当远程接入时，病毒将传播到总部信息网络，造成更严重的威胁。

　　方案篇

　　因此，天融信公司针对移动办公中存在的安全隐患，综合采取以下针对性的安全解决方案，包括两种典型模式，分别为：

　　(1)防火墙+IPSEC VPN+Clean VPN+终端防护技术

　　通过终端防护系统在安全接入之前对移动办公终端进行安全加固，例如进行补丁升级。

　　利用VONE网关上的IPSEC VPN功能建立与移动办公终端的VPN通道，实现数据通信的机密性、完整性。

　　同时，IPSEC VPN利用数字签名，解决抵赖的问题。

　　利用VONE网关上的防火墙功能来实现对移动办公终端访问企业办公网的访问授权和身份认证。

　　VONE网关上的防火墙在进行身份认证的时候需要检查移动办公终端的本地安全状态，符合安全要求的移动终端才能运行访问企业内部办公网络。

　　在移动办公终端接入到企业办公网络后，通过VONE网关、终端防护系统实现远程接入的网络审计、移动办公终端的行为审计、移动办公终端的安全状态监控。

　　图1 天融信移动办公可信接入解决方案(模式一)示意图

　　(2)防火墙+SSL VPN+Clean VPN+终端防护技术

　　通过终端防护系统在安全接入之前对移动办公终端进行安全加固，例如进行补丁升级。

　　利用VONE网关上的SSL VPN功能建立与移动办公终端的VPN通道，实现数据通信的机密性、完整性。

　　利用VONE网关上的防火墙功能来实现对移动办公终端访问企业办公网的访问授权和身份认证。

　　VONE网关上的防火墙在进行身份认证的时候需要检查移动办公终端的本地安全状态，符合安全要求的移动终端才能运行访问企业内部办公网络。

　　同时，SSL VPN利用数字签名，解决抵赖的问题。

　　在移动办公终端接入到企业办公网络后，通过VONE网关、终端防护系统实现远程接入的网络审计、移动办公终端的行为审计、移动办公终端的安全状态监控。

　　图2 天融信移动办公可信接入解决方案(模式二)示意图

　　此外，通过对移动终端的采购、分发、维护及退役的整个生命周期来按照PDCA的方式进行管理，能够确保移动办公的安全开展。从而形成了综合技术+管理的安全解决方案。

　　效果篇

　　本方案针对移动办公的安全问题，通过引入硬件口令认证技术、VPN技术、终端安全管理平台技术、安全管理制度等手段，有效满足了需求，解决了移动办公过程中的泄密、身份仿冒、病毒传播等威胁，实现了多层可信的安全防护：

　　首先是移动访问用户的认证问题：在本方案中通过硬件认证手段，确保了远程移动终端的强身份鉴别，只有确认为合法的用户，方可与总部信息网络建立起通讯隧道;

　　解决抵赖的问题：认证成功后在移动办公人员进行远程访问的过程中，利用其数字证书(私钥)对其访问数据包进行加密，相当于把身份信息与访问信息整合，从而有效防范抵赖的现象;

　　远程通信过程中的泄密和数据篡改问题：利用VPN加密技术，保障了远程通讯过程中的机密性和完整性，防止泄密和篡改的攻击行为;

　　对于终端的自身安全性，则通过集中部署的终端管理平台，实现有效的监控与审查，同时终端管理平台与部署在总部信息网络边界的防火墙联动，对于不符合安全性要求的终端设备进行通知和阻断，防止那些存在安全隐患的终端直接接入到总部信息网络;

　　还有就是过滤了远程通信过程中的病毒等恶意代码传播的问题：方案部署的VPN系统支持CLEAN VPN功能，该功能综合运用了防火墙、VPN、防病毒和内容过滤等多种技术，能够对加密数据进行检查，拦截病毒、蠕虫、木马、恶意代码等有害数据，彻底保证了VPN通信的安全。

　　通过SSL VPN技术，以及认证和防火墙技术，对远程移动办公人员的访问资源进行有效控制，限制合法用户只能在自己权限范围内访问总部信息网络，防范了越权访问;

　　此外，除了技术上的防护措施，在管理上本方案也设计并规划了一些列的管理手段，重点加强移动办公终端的安全管理制度建设，管理制度的范围覆盖了移动终端的全生命周期，从而消除人为因素带来的安全隐患。