【正文】 體系及 SSL VPN 加密隧道技術(shù)，可以為海事局在基礎(chǔ)網(wǎng)絡(luò)平臺之上構(gòu)建一個能夠?qū)蛻魯?shù)據(jù)進(jìn)行加密、客戶身份進(jìn)行識別、控制手機、筆記本等進(jìn)行非法外聯(lián)的安全體系。在企業(yè)側(cè)的邊界保護(hù)區(qū)部署 SSL VPN 認(rèn)證網(wǎng)關(guān)。用戶使用手機、筆記本、3G 上網(wǎng)本等辦公設(shè)備，通過聯(lián)通 VPDN 專網(wǎng)認(rèn)證，并采用內(nèi)置在SDKey 中的 CA 證書與 SSL VPN 網(wǎng)關(guān)進(jìn)行雙向身份認(rèn)證后，用戶終端與 SSL VPN 網(wǎng)關(guān)之間建立 SSL 安全通道，才能進(jìn)入應(yīng)用服務(wù)區(qū)。所有數(shù)據(jù)還需通過移動應(yīng)用代理服務(wù)器進(jìn)行數(shù)據(jù)過濾和安全防護(hù)后，將數(shù)據(jù)通過安全隔離區(qū)的網(wǎng)閘進(jìn)行數(shù)據(jù)交換，才能進(jìn)入海事局內(nèi)網(wǎng)，訪問授權(quán)的應(yīng)用系統(tǒng)。在網(wǎng)絡(luò)中會通過聯(lián)通 VPDN、SSL VPN、邊界防火墻、IDS 入侵檢測、網(wǎng)閘、移動代理服務(wù)器等安全手段的有效組合，保證網(wǎng)絡(luò)層的安全。 中國海事局部局移動辦公系統(tǒng)解決方案3聯(lián)通 VPDN 網(wǎng)絡(luò)安全利用聯(lián)通 VPDN 平臺保證移動終端接入客戶網(wǎng)絡(luò)的安全，終端用戶可通過專有 VPDN 方式接入平臺，相當(dāng)于無線專網(wǎng)，確保只有特定的手機號才能接入手機辦公應(yīng)用，保證了用戶接入網(wǎng)絡(luò)的安全性。由客戶向聯(lián)通申請專門的客戶單位特有的手機專有接入點名稱，保證除了客戶單位所預(yù)先設(shè)定的手機號之外無法接入并取得其中的數(shù)據(jù)。由聯(lián)通網(wǎng)絡(luò)到客戶網(wǎng)絡(luò)，部署專線接入至客戶單位機房，避免客戶系統(tǒng)數(shù)據(jù)傳輸時經(jīng)過 Inter 所造成的風(fēng)險。、SSL VPN 認(rèn)證網(wǎng)關(guān)用戶使用手機或電腦遠(yuǎn)程接入客戶網(wǎng)絡(luò)時，通過在客戶網(wǎng)絡(luò)的邊界保護(hù)區(qū)部署 SSL VPN 網(wǎng)關(guān)設(shè)備，利用 PKI 技術(shù)，在移動終端與 SSL VPN 設(shè)備之間，建立端到端的 SSL 加密通道，保證了數(shù)據(jù)傳輸安全。并通過用戶終端側(cè)的 e 盾卡和 CA 數(shù)字證書作為用戶唯一合法標(biāo)示，保證身份認(rèn)證的安全性。SSL(Secure Socket Layer)技術(shù)是國際上公認(rèn)并普遍采用的網(wǎng)絡(luò)通道加密技術(shù)，通過 PKI 技術(shù)保證系統(tǒng)的整體安全。需要在平臺上集成數(shù)字證書，實現(xiàn)標(biāo)準(zhǔn)的 SSL 通道加密。、邊界防火墻防火墻技術(shù)是目前用來實現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，主要是用來拒絕未經(jīng)授權(quán)用戶的訪問，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源。防火墻實際上是一種訪問控制技術(shù)，在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問, 也可以使用防火墻阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。、IDS 入侵檢測通過 IDS 入侵檢測設(shè)備防范各種網(wǎng)絡(luò)攻擊，例如端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等，當(dāng)檢測到攻擊行為時，記錄攻擊源 IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警。并可與防火墻進(jìn)行聯(lián)動，當(dāng) 中國海事局部局移動辦公系統(tǒng)解決方案35檢測到有非法入侵時，及時通知防火墻中斷非法連接。、網(wǎng)閘物理隔離網(wǎng)閘是一種由專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，能夠在物理隔離的網(wǎng)絡(luò)之間進(jìn)行適度的安全數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個獨立主機系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡” ，且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現(xiàn)了真正的安全。此方案中網(wǎng)閘主要用于海事局內(nèi)網(wǎng)和外網(wǎng)的物理隔離，并與外網(wǎng)主機和內(nèi)網(wǎng)主機結(jié)合實現(xiàn)數(shù)據(jù)交換。、移動應(yīng)用代理服務(wù)器做為進(jìn)入安全隔離區(qū)的前置機，用以對來自邊界保護(hù)區(qū)和安全隔離區(qū)的數(shù)據(jù)進(jìn)行數(shù)據(jù)過濾和轉(zhuǎn)發(fā)，只允許通過移動辦公應(yīng)用所需的協(xié)議和數(shù)據(jù)?？傊?，防火墻是網(wǎng)絡(luò)層邊界檢查工具，可以設(shè)置規(guī)則對內(nèi)部網(wǎng)絡(luò)進(jìn)行安全防護(hù)，而 IDS 一般是對已知攻擊行為進(jìn)行檢測，這兩種產(chǎn)品的結(jié)合可以很好的保護(hù)用戶的網(wǎng)絡(luò)，但是從安全原理上來講，無法對內(nèi)部網(wǎng)絡(luò)做更深入的安全防護(hù)。隔離網(wǎng)閘重點是保護(hù)內(nèi)部網(wǎng)絡(luò)，如果用戶對內(nèi)部網(wǎng)絡(luò)的安全非常在意，那么防火墻和 IDS 再加上隔離網(wǎng)閘將會形成一個很好的防御體系。、主機安全、身份鑒別只有通過身份認(rèn)證的授權(quán)管理員才能登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)。操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理員用戶名應(yīng)至少 8 位以上，并不易被冒用，口令應(yīng)盡量復(fù)雜，應(yīng)由大小寫字母、數(shù)字，以及特殊字符混合組成，并定 中國海事局部局移動辦公系統(tǒng)解決方案36期更換。啟用登錄失敗處理機制，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。、訪問控制主機系統(tǒng)的訪問控制主要包含兩方面：1) 主機操作系統(tǒng)的外圍加固，采用防火墻訪問控制功能和交換機的VLAN 功能對主要服務(wù)器進(jìn)行網(wǎng)絡(luò)邏輯隔離保護(hù)。2) 主機操作系統(tǒng)本身加固，采用安全軟件對操作系統(tǒng)內(nèi)核進(jìn)行加固，保障主機操作系統(tǒng)不受非法訪問。、漏洞掃描在主機上部署漏洞掃描軟件，對計算機系統(tǒng)進(jìn)行安全相關(guān)的檢測，以找出安全隱患和可被黑客利用的漏洞，可以有效的防范黑客入侵。因此，漏洞掃描是保證系統(tǒng)和網(wǎng)絡(luò)安全必不可少的手段。漏洞掃描通常采用兩種策略，第一種是被動式策略，第二種是主動式策略。所謂被動式策略就是基于主機之上，對系統(tǒng)中不合適的設(shè)置，脆弱的口令以及其他同安全規(guī)則抵觸的對象進(jìn)行檢查；而主動式策略是基于網(wǎng)絡(luò)的，它通過執(zhí)行一些腳本文件模擬對系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。利用被動式策略掃描稱為系統(tǒng)安全掃描，利用主動式策略掃描稱為網(wǎng)絡(luò)安全掃描。 漏洞掃描軟件能夠?qū)W(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫三個方面進(jìn)行掃描，指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測系統(tǒng)的薄弱環(huán)節(jié)，給出詳細(xì)的檢測報告，并針對檢測到的網(wǎng)絡(luò)安全隱患給出相應(yīng)的修補措施和安全建議。、惡意代碼防范通過部署防病毒軟件實現(xiàn)。在網(wǎng)絡(luò)中辦公用計算機和服務(wù)器上配置網(wǎng)絡(luò)病毒查殺軟件，對這些計算機采取集中管理模式，統(tǒng)一由管理中心制定強制病毒查殺策略，統(tǒng)一由管理中心及時、強制為所有用戶 PC 進(jìn)行病毒 中國海事局部局移動辦公系統(tǒng)解決方案37特征庫升級。、應(yīng)用安全、多重校驗移動辦公產(chǎn)品可以實現(xiàn)用戶名密碼、用戶的終端號、終端設(shè)備號（IMEI） 、終端 SIM 卡編號（IMSI）等用戶信息的多重綁定、 。即使有人獲知了正確的用戶名密碼，也必須使用特定的唯一一個終端號、唯一一個終端卡和唯一一個終端才能登錄移動應(yīng)用服務(wù)平臺。該功能需要終端 API 的支持，以便獲取到終端設(shè)備號及終端 SIM 卡編碼，同時，如果需要綁定用戶的終端號碼進(jìn)行驗證，需要聯(lián)通向移動應(yīng)用服務(wù)平臺提供用戶的終端號碼。、CA 證書認(rèn)證可在用戶 e 盾卡上安裝數(shù)字證書，并與 SSL VPN 設(shè)備進(jìn)行數(shù)字證書簽名認(rèn)證，認(rèn)證通過后再通過網(wǎng)閘與內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)進(jìn)行通信。如果在終端上安裝數(shù)字證書，可與移動應(yīng)用接入代理服務(wù)器進(jìn)行雙向 SSL 認(rèn)證，建立SSL 加密通道，在終端用戶身份認(rèn)證方面增加了一層保護(hù)機制，只是在終端端安裝證書流程比較復(fù)雜；或者不在終端安裝數(shù)字證書，只與移動應(yīng)用接入代理服務(wù)器進(jìn)行單向 SSL 認(rèn)證，移動應(yīng)用接入代理服務(wù)器不驗證終端客戶端證書，只建立 SSL 加密通道保證應(yīng)用層通道安全。、數(shù)據(jù)加密終端與服務(wù)端的傳輸數(shù)據(jù)可以采用 MD5/RSA/DES 等主流的加密算法進(jìn)行加密，數(shù)據(jù)加密的基本過程就是對原來為明文的文件或數(shù)據(jù)按某種算法進(jìn)行處理，使其成為不可讀的一段代碼，通常稱為“密文” ，使其只能在輸入相應(yīng)的密鑰之后才能顯示出本來內(nèi)容，通過這樣的途徑來達(dá)到保護(hù)數(shù)據(jù)不被非法人竊取、閱讀，即使數(shù)據(jù)被竊取仍然無法訪問其中內(nèi)容的目的。 中國海事局部局移動辦公系統(tǒng)解決方案3終端安全、終端安全機制目前針對不同類型的手機終端或上網(wǎng)本終端，采取的終端安全方案也有所不同，簡述如下：適合采用多重校驗（用戶名密碼、UDID 綁定） 、單向 SSL 認(rèn)證機制保證安全。采用服務(wù)器單向認(rèn)證機制，即終端側(cè)僅保存根證書，而平臺和服務(wù)器上加載 CA 簽發(fā)的服務(wù)器證書，使得終端連接時可以明確服務(wù)器的可信任性，在服務(wù)器證書得到用戶終端信任后，才開始建立 SSL 加密通道，進(jìn)行數(shù)據(jù)加密傳輸。、用戶密碼安全移動應(yīng)用服務(wù)器上不直接存儲用戶的密碼信息，而是存儲用戶的密碼的摘要信息，每次用戶登錄時進(jìn)行摘要匹配，保證用戶的密碼不會被解密取得。軟硬件配置、硬件配置硬件系統(tǒng)平臺的建設(shè)是應(yīng)用軟件平臺的基礎(chǔ)，合理的系統(tǒng)平臺可以為用戶提供高效、穩(wěn)定的服務(wù)，同時，也可以保護(hù)用戶的投資。在移動辦公系統(tǒng)建設(shè)中需要考慮系統(tǒng)的安全性、擴展性、應(yīng)用的連續(xù)性。序號 項目名稱 單位 數(shù)量/平臺 備注1 應(yīng)用服務(wù)器 臺 2四個雙核 CPU 或同等配置 CPU，至少8G 內(nèi)存。每臺包括 2 個多模 FCHBA卡，提供 2 個 2Gb/s 光纖接口，與光纖交換機互連。雙電源，配置至少 2個 10/100/1000M 網(wǎng)卡。硬盤配置146G*4。其中應(yīng)用服務(wù)器各 2 臺做負(fù) 中國海事局部局移動辦公系統(tǒng)解決方案39載均衡，工作流引擎服務(wù)器一臺。2 VPN 網(wǎng)關(guān) 臺 110/100/1000 自適應(yīng)網(wǎng)卡2，TCP/IP 協(xié)議支持。3 無線上網(wǎng)卡 個 300支持 HSUPA／HSDPA／WCDMA 2100MHz網(wǎng)速：下行速度： Mbps，上行速度： 功率：睡眠狀態(tài) 2mA，最大 650mA 天線：內(nèi)置雙天線支持 SD 卡嵌入、軟件環(huán)境本項目投產(chǎn)所需軟件清單見下表：名稱 詳情 數(shù)量 備注操作系統(tǒng) Windows 2022 Server R2（Enterprise） 2系統(tǒng)軟件 .Net Framework 1系統(tǒng)軟件 IIS + 1系統(tǒng)軟件 1數(shù)據(jù)庫軟件 SQLServer 2022 R2 Enterprise 2移動辦公應(yīng)用系統(tǒng) 1應(yīng)用軟件辦公自動化系統(tǒng) 1總體方案特點? 高速穩(wěn)定、安全可靠：采用國際最通行的 WCDMA 3G 網(wǎng)絡(luò)，上下行速度最高可達(dá)／ Mbps。? 終端豐富、全面支持：支持 Windows Mobile、Symbian、Android 等各種操作系統(tǒng)的智能手 中國海事局部局移動辦公系統(tǒng)解決方案40機作為移動辦公終端，以及平板電腦、筆記本、上網(wǎng)本等多種移動終端。? 安全認(rèn)證、傳輸加密：采用 PKI/CA、SSL VPN、VPDN、APN 等安全技術(shù)，實現(xiàn)用戶身份認(rèn)證、業(yè)務(wù)數(shù)據(jù)在網(wǎng)絡(luò)中的加密傳輸。? 多場景應(yīng)用、使用面廣用戶通過 WCDMA、GPRS 等無線上網(wǎng)方式，使用各種智能手機或非智能手機訪問信息化系統(tǒng)，實現(xiàn)多種場景下的移動辦公。? 快速部署、無縫銜接無需對原有系統(tǒng)進(jìn)行任何改造，只要通過標(biāo)準(zhǔn)化的軟硬件部署和對接，用戶就可以快速享受到便捷的移動辦公服務(wù)。