【正文】 體系及 SSL VPN 加密隧道技術(shù)，可以為海事局在基礎(chǔ)網(wǎng)絡(luò)平臺(tái)之上構(gòu)建一個(gè)能夠?qū)蛻魯?shù)據(jù)進(jìn)行加密、客戶身份進(jìn)行識(shí)別、控制手機(jī)、筆記本等進(jìn)行非法外聯(lián)的安全體系。在企業(yè)側(cè)的邊界保護(hù)區(qū)部署 SSL VPN 認(rèn)證網(wǎng)關(guān)。用戶使用手機(jī)、筆記本、3G 上網(wǎng)本等辦公設(shè)備，通過聯(lián)通 VPDN 專網(wǎng)認(rèn)證，并采用內(nèi)置在SDKey 中的 CA 證書與 SSL VPN 網(wǎng)關(guān)進(jìn)行雙向身份認(rèn)證后，用戶終端與 SSL VPN 網(wǎng)關(guān)之間建立 SSL 安全通道，才能進(jìn)入應(yīng)用服務(wù)區(qū)。所有數(shù)據(jù)還需通過移動(dòng)應(yīng)用代理服務(wù)器進(jìn)行數(shù)據(jù)過濾和安全防護(hù)后，將數(shù)據(jù)通過安全隔離區(qū)的網(wǎng)閘進(jìn)行數(shù)據(jù)交換，才能進(jìn)入海事局內(nèi)網(wǎng)，訪問授權(quán)的應(yīng)用系統(tǒng)。在網(wǎng)絡(luò)中會(huì)通過聯(lián)通 VPDN、SSL VPN、邊界防火墻、IDS 入侵檢測(cè)、網(wǎng)閘、移動(dòng)代理服務(wù)器等安全手段的有效組合，保證網(wǎng)絡(luò)層的安全。 中國(guó)海事局部局移動(dòng)辦公系統(tǒng)解決方案3聯(lián)通 VPDN 網(wǎng)絡(luò)安全利用聯(lián)通 VPDN 平臺(tái)保證移動(dòng)終端接入客戶網(wǎng)絡(luò)的安全，終端用戶可通過專有 VPDN 方式接入平臺(tái)，相當(dāng)于無線專網(wǎng)，確保只有特定的手機(jī)號(hào)才能接入手機(jī)辦公應(yīng)用，保證了用戶接入網(wǎng)絡(luò)的安全性。由客戶向聯(lián)通申請(qǐng)專門的客戶單位特有的手機(jī)專有接入點(diǎn)名稱，保證除了客戶單位所預(yù)先設(shè)定的手機(jī)號(hào)之外無法接入并取得其中的數(shù)據(jù)。由聯(lián)通網(wǎng)絡(luò)到客戶網(wǎng)絡(luò)，部署專線接入至客戶單位機(jī)房，避免客戶系統(tǒng)數(shù)據(jù)傳輸時(shí)經(jīng)過 Inter 所造成的風(fēng)險(xiǎn)。、SSL VPN 認(rèn)證網(wǎng)關(guān)用戶使用手機(jī)或電腦遠(yuǎn)程接入客戶網(wǎng)絡(luò)時(shí)，通過在客戶網(wǎng)絡(luò)的邊界保護(hù)區(qū)部署 SSL VPN 網(wǎng)關(guān)設(shè)備，利用 PKI 技術(shù)，在移動(dòng)終端與 SSL VPN 設(shè)備之間，建立端到端的 SSL 加密通道，保證了數(shù)據(jù)傳輸安全。并通過用戶終端側(cè)的 e 盾卡和 CA 數(shù)字證書作為用戶唯一合法標(biāo)示，保證身份認(rèn)證的安全性。SSL(Secure Socket Layer)技術(shù)是國(guó)際上公認(rèn)并普遍采用的網(wǎng)絡(luò)通道加密技術(shù)，通過 PKI 技術(shù)保證系統(tǒng)的整體安全。需要在平臺(tái)上集成數(shù)字證書，實(shí)現(xiàn)標(biāo)準(zhǔn)的 SSL 通道加密。、邊界防火墻防火墻技術(shù)是目前用來實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，主要是用來拒絕未經(jīng)授權(quán)用戶的訪問，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源。防火墻實(shí)際上是一種訪問控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪問, 也可以使用防火墻阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。、IDS 入侵檢測(cè)通過 IDS 入侵檢測(cè)設(shè)備防范各種網(wǎng)絡(luò)攻擊，例如端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等，當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源 IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。并可與防火墻進(jìn)行聯(lián)動(dòng)，當(dāng) 中國(guó)海事局部局移動(dòng)辦公系統(tǒng)解決方案35檢測(cè)到有非法入侵時(shí)，及時(shí)通知防火墻中斷非法連接。、網(wǎng)閘物理隔離網(wǎng)閘是一種由專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，能夠在物理隔離的網(wǎng)絡(luò)之間進(jìn)行適度的安全數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡” ，且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有“讀”和“寫”兩個(gè)命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實(shí)現(xiàn)了真正的安全。此方案中網(wǎng)閘主要用于海事局內(nèi)網(wǎng)和外網(wǎng)的物理隔離，并與外網(wǎng)主機(jī)和內(nèi)網(wǎng)主機(jī)結(jié)合實(shí)現(xiàn)數(shù)據(jù)交換。、移動(dòng)應(yīng)用代理服務(wù)器做為進(jìn)入安全隔離區(qū)的前置機(jī)，用以對(duì)來自邊界保護(hù)區(qū)和安全隔離區(qū)的數(shù)據(jù)進(jìn)行數(shù)據(jù)過濾和轉(zhuǎn)發(fā)，只允許通過移動(dòng)辦公應(yīng)用所需的協(xié)議和數(shù)據(jù)。總之，防火墻是網(wǎng)絡(luò)層邊界檢查工具，可以設(shè)置規(guī)則對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行安全防護(hù)，而 IDS 一般是對(duì)已知攻擊行為進(jìn)行檢測(cè)，這兩種產(chǎn)品的結(jié)合可以很好的保護(hù)用戶的網(wǎng)絡(luò)，但是從安全原理上來講，無法對(duì)內(nèi)部網(wǎng)絡(luò)做更深入的安全防護(hù)。隔離網(wǎng)閘重點(diǎn)是保護(hù)內(nèi)部網(wǎng)絡(luò)，如果用戶對(duì)內(nèi)部網(wǎng)絡(luò)的安全非常在意，那么防火墻和 IDS 再加上隔離網(wǎng)閘將會(huì)形成一個(gè)很好的防御體系。、主機(jī)安全、身份鑒別只有通過身份認(rèn)證的授權(quán)管理員才能登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)。操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理員用戶名應(yīng)至少 8 位以上，并不易被冒用，口令應(yīng)盡量復(fù)雜，應(yīng)由大小寫字母、數(shù)字，以及特殊字符混合組成，并定 中國(guó)海事局部局移動(dòng)辦公系統(tǒng)解決方案36期更換。啟用登錄失敗處理機(jī)制，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施。為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。、訪問控制主機(jī)系統(tǒng)的訪問控制主要包含兩方面：1) 主機(jī)操作系統(tǒng)的外圍加固，采用防火墻訪問控制功能和交換機(jī)的VLAN 功能對(duì)主要服務(wù)器進(jìn)行網(wǎng)絡(luò)邏輯隔離保護(hù)。2) 主機(jī)操作系統(tǒng)本身加固，采用安全軟件對(duì)操作系統(tǒng)內(nèi)核進(jìn)行加固，保障主機(jī)操作系統(tǒng)不受非法訪問。、漏洞掃描在主機(jī)上部署漏洞掃描軟件，對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行安全相關(guān)的檢測(cè)，以找出安全隱患和可被黑客利用的漏洞，可以有效的防范黑客入侵。因此，漏洞掃描是保證系統(tǒng)和網(wǎng)絡(luò)安全必不可少的手段。漏洞掃描通常采用兩種策略，第一種是被動(dòng)式策略，第二種是主動(dòng)式策略。所謂被動(dòng)式策略就是基于主機(jī)之上，對(duì)系統(tǒng)中不合適的設(shè)置，脆弱的口令以及其他同安全規(guī)則抵觸的對(duì)象進(jìn)行檢查；而主動(dòng)式策略是基于網(wǎng)絡(luò)的，它通過執(zhí)行一些腳本文件模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。利用被動(dòng)式策略掃描稱為系統(tǒng)安全掃描，利用主動(dòng)式策略掃描稱為網(wǎng)絡(luò)安全掃描。 漏洞掃描軟件能夠?qū)W(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫三個(gè)方面進(jìn)行掃描，指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測(cè)系統(tǒng)的薄弱環(huán)節(jié)，給出詳細(xì)的檢測(cè)報(bào)告，并針對(duì)檢測(cè)到的網(wǎng)絡(luò)安全隱患給出相應(yīng)的修補(bǔ)措施和安全建議。、惡意代碼防范通過部署防病毒軟件實(shí)現(xiàn)。在網(wǎng)絡(luò)中辦公用計(jì)算機(jī)和服務(wù)器上配置網(wǎng)絡(luò)病毒查殺軟件，對(duì)這些計(jì)算機(jī)采取集中管理模式，統(tǒng)一由管理中心制定強(qiáng)制病毒查殺策略，統(tǒng)一由管理中心及時(shí)、強(qiáng)制為所有用戶 PC 進(jìn)行病毒 中國(guó)海事局部局移動(dòng)辦公系統(tǒng)解決方案37特征庫升級(jí)。、應(yīng)用安全、多重校驗(yàn)移動(dòng)辦公產(chǎn)品可以實(shí)現(xiàn)用戶名密碼、用戶的終端號(hào)、終端設(shè)備號(hào)（IMEI） 、終端 SIM 卡編號(hào)（IMSI）等用戶信息的多重綁定、 。即使有人獲知了正確的用戶名密碼，也必須使用特定的唯一一個(gè)終端號(hào)、唯一一個(gè)終端卡和唯一一個(gè)終端才能登錄移動(dòng)應(yīng)用服務(wù)平臺(tái)。該功能需要終端 API 的支持，以便獲取到終端設(shè)備號(hào)及終端 SIM 卡編碼，同時(shí)，如果需要綁定用戶的終端號(hào)碼進(jìn)行驗(yàn)證，需要聯(lián)通向移動(dòng)應(yīng)用服務(wù)平臺(tái)提供用戶的終端號(hào)碼。、CA 證書認(rèn)證可在用戶 e 盾卡上安裝數(shù)字證書，并與 SSL VPN 設(shè)備進(jìn)行數(shù)字證書簽名認(rèn)證，認(rèn)證通過后再通過網(wǎng)閘與內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)進(jìn)行通信。如果在終端上安裝數(shù)字證書，可與移動(dòng)應(yīng)用接入代理服務(wù)器進(jìn)行雙向 SSL 認(rèn)證，建立SSL 加密通道，在終端用戶身份認(rèn)證方面增加了一層保護(hù)機(jī)制，只是在終端端安裝證書流程比較復(fù)雜；或者不在終端安裝數(shù)字證書，只與移動(dòng)應(yīng)用接入代理服務(wù)器進(jìn)行單向 SSL 認(rèn)證，移動(dòng)應(yīng)用接入代理服務(wù)器不驗(yàn)證終端客戶端證書，只建立 SSL 加密通道保證應(yīng)用層通道安全。、數(shù)據(jù)加密終端與服務(wù)端的傳輸數(shù)據(jù)可以采用 MD5/RSA/DES 等主流的加密算法進(jìn)行加密，數(shù)據(jù)加密的基本過程就是對(duì)原來為明文的文件或數(shù)據(jù)按某種算法進(jìn)行處理，使其成為不可讀的一段代碼，通常稱為“密文” ，使其只能在輸入相應(yīng)的密鑰之后才能顯示出本來內(nèi)容，通過這樣的途徑來達(dá)到保護(hù)數(shù)據(jù)不被非法人竊取、閱讀，即使數(shù)據(jù)被竊取仍然無法訪問其中內(nèi)容的目的。 中國(guó)海事局部局移動(dòng)辦公系統(tǒng)解決方案3終端安全、終端安全機(jī)制目前針對(duì)不同類型的手機(jī)終端或上網(wǎng)本終端，采取的終端安全方案也有所不同，簡(jiǎn)述如下：適合采用多重校驗(yàn)（用戶名密碼、UDID 綁定） 、單向 SSL 認(rèn)證機(jī)制保證安全。采用服務(wù)器單向認(rèn)證機(jī)制，即終端側(cè)僅保存根證書，而平臺(tái)和服務(wù)器上加載 CA 簽發(fā)的服務(wù)器證書，使得終端連接時(shí)可以明確服務(wù)器的可信任性，在服務(wù)器證書得到用戶終端信任后，才開始建立 SSL 加密通道，進(jìn)行數(shù)據(jù)加密傳輸。、用戶密碼安全移動(dòng)應(yīng)用服務(wù)器上不直接存儲(chǔ)用戶的密碼信息，而是存儲(chǔ)用戶的密碼的摘要信息，每次用戶登錄時(shí)進(jìn)行摘要匹配，保證用戶的密碼不會(huì)被解密取得。軟硬件配置、硬件配置硬件系統(tǒng)平臺(tái)的建設(shè)是應(yīng)用軟件平臺(tái)的基礎(chǔ)，合理的系統(tǒng)平臺(tái)可以為用戶提供高效、穩(wěn)定的服務(wù)，同時(shí)，也可以保護(hù)用戶的投資。在移動(dòng)辦公系統(tǒng)建設(shè)中需要考慮系統(tǒng)的安全性、擴(kuò)展性、應(yīng)用的連續(xù)性。序號(hào) 項(xiàng)目名稱 單位 數(shù)量/平臺(tái) 備注1 應(yīng)用服務(wù)器 臺(tái) 2四個(gè)雙核 CPU 或同等配置 CPU，至少8G 內(nèi)存。每臺(tái)包括 2 個(gè)多模 FCHBA卡，提供 2 個(gè) 2Gb/s 光纖接口，與光纖交換機(jī)互連。雙電源，配置至少 2個(gè) 10/100/1000M 網(wǎng)卡。硬盤配置146G*4。其中應(yīng)用服務(wù)器各 2 臺(tái)做負(fù) 中國(guó)海事局部局移動(dòng)辦公系統(tǒng)解決方案39載均衡，工作流引擎服務(wù)器一臺(tái)。2 VPN 網(wǎng)關(guān) 臺(tái) 110/100/1000 自適應(yīng)網(wǎng)卡2，TCP/IP 協(xié)議支持。3 無線上網(wǎng)卡 個(gè) 300支持 HSUPA／HSDPA／WCDMA 2100MHz網(wǎng)速：下行速度： Mbps，上行速度： 功率：睡眠狀態(tài) 2mA，最大 650mA 天線：內(nèi)置雙天線支持 SD 卡嵌入、軟件環(huán)境本項(xiàng)目投產(chǎn)所需軟件清單見下表：名稱 詳情 數(shù)量 備注操作系統(tǒng) Windows 2022 Server R2（Enterprise） 2系統(tǒng)軟件 .Net Framework 1系統(tǒng)軟件 IIS + 1系統(tǒng)軟件 1數(shù)據(jù)庫軟件 SQLServer 2022 R2 Enterprise 2移動(dòng)辦公應(yīng)用系統(tǒng) 1應(yīng)用軟件辦公自動(dòng)化系統(tǒng) 1總體方案特點(diǎn)? 高速穩(wěn)定、安全可靠：采用國(guó)際最通行的 WCDMA 3G 網(wǎng)絡(luò)，上下行速度最高可達(dá)／ Mbps。? 終端豐富、全面支持：支持 Windows Mobile、Symbian、Android 等各種操作系統(tǒng)的智能手 中國(guó)海事局部局移動(dòng)辦公系統(tǒng)解決方案40機(jī)作為移動(dòng)辦公終端，以及平板電腦、筆記本、上網(wǎng)本等多種移動(dòng)終端。? 安全認(rèn)證、傳輸加密：采用 PKI/CA、SSL VPN、VPDN、APN 等安全技術(shù)，實(shí)現(xiàn)用戶身份認(rèn)證、業(yè)務(wù)數(shù)據(jù)在網(wǎng)絡(luò)中的加密傳輸。? 多場(chǎng)景應(yīng)用、使用面廣用戶通過 WCDMA、GPRS 等無線上網(wǎng)方式，使用各種智能手機(jī)或非智能手機(jī)訪問信息化系統(tǒng)，實(shí)現(xiàn)多種場(chǎng)景下的移動(dòng)辦公。? 快速部署、無縫銜接無需對(duì)原有系統(tǒng)進(jìn)行任何改造，只要通過標(biāo)準(zhǔn)化的軟硬件部署和對(duì)接，用戶就可以快速享受到便捷的移動(dòng)辦公服務(wù)。