【正文】 體系及 SSL VPN 加密隧道技術，可以為海事局在基礎網絡平臺之上構建一個能夠對客戶數據進行加密、客戶身份進行識別、控制手機、筆記本等進行非法外聯(lián)的安全體系。在企業(yè)側的邊界保護區(qū)部署 SSL VPN 認證網關。用戶使用手機、筆記本、3G 上網本等辦公設備，通過聯(lián)通 VPDN 專網認證，并采用內置在SDKey 中的 CA 證書與 SSL VPN 網關進行雙向身份認證后，用戶終端與 SSL VPN 網關之間建立 SSL 安全通道，才能進入應用服務區(qū)。所有數據還需通過移動應用代理服務器進行數據過濾和安全防護后，將數據通過安全隔離區(qū)的網閘進行數據交換，才能進入海事局內網，訪問授權的應用系統(tǒng)。在網絡中會通過聯(lián)通 VPDN、SSL VPN、邊界防火墻、IDS 入侵檢測、網閘、移動代理服務器等安全手段的有效組合，保證網絡層的安全。 中國海事局部局移動辦公系統(tǒng)解決方案3聯(lián)通 VPDN 網絡安全利用聯(lián)通 VPDN 平臺保證移動終端接入客戶網絡的安全，終端用戶可通過專有 VPDN 方式接入平臺，相當于無線專網，確保只有特定的手機號才能接入手機辦公應用，保證了用戶接入網絡的安全性。由客戶向聯(lián)通申請專門的客戶單位特有的手機專有接入點名稱，保證除了客戶單位所預先設定的手機號之外無法接入并取得其中的數據。由聯(lián)通網絡到客戶網絡，部署專線接入至客戶單位機房，避免客戶系統(tǒng)數據傳輸時經過 Inter 所造成的風險。、SSL VPN 認證網關用戶使用手機或電腦遠程接入客戶網絡時，通過在客戶網絡的邊界保護區(qū)部署 SSL VPN 網關設備，利用 PKI 技術，在移動終端與 SSL VPN 設備之間，建立端到端的 SSL 加密通道，保證了數據傳輸安全。并通過用戶終端側的 e 盾卡和 CA 數字證書作為用戶唯一合法標示，保證身份認證的安全性。SSL(Secure Socket Layer)技術是國際上公認并普遍采用的網絡通道加密技術，通過 PKI 技術保證系統(tǒng)的整體安全。需要在平臺上集成數字證書，實現標準的 SSL 通道加密。、邊界防火墻防火墻技術是目前用來實現網絡安全措施的一種主要手段，主要是用來拒絕未經授權用戶的訪問，阻止未經授權用戶存取敏感數據，同時允許合法用戶不受妨礙地訪問網絡資源。防火墻實際上是一種訪問控制技術，在某個機構的網絡和不安全的網絡之間設置障礙，阻止對信息資源的非法訪問, 也可以使用防火墻阻止保密信息從受保護網絡上被非法輸出。、IDS 入侵檢測通過 IDS 入侵檢測設備防范各種網絡攻擊，例如端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網絡蠕蟲攻擊等，當檢測到攻擊行為時，記錄攻擊源 IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。并可與防火墻進行聯(lián)動，當 中國海事局部局移動辦公系統(tǒng)解決方案35檢測到有非法入侵時，及時通知防火墻中斷非法連接。、網閘物理隔離網閘是一種由專用硬件在電路上切斷網絡之間的鏈路層連接，能夠在物理隔離的網絡之間進行適度的安全數據交換的網絡安全設備。是使用帶有多種控制功能的固態(tài)開關讀寫介質連接兩個獨立主機系統(tǒng)的信息安全設備。由于物理隔離網閘所連接的兩個獨立主機系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據協(xié)議的信息包轉發(fā)，只有數據文件的無協(xié)議“擺渡” ，且對固態(tài)存儲介質只有“讀”和“寫”兩個命令。所以，物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現了真正的安全。此方案中網閘主要用于海事局內網和外網的物理隔離，并與外網主機和內網主機結合實現數據交換。、移動應用代理服務器做為進入安全隔離區(qū)的前置機，用以對來自邊界保護區(qū)和安全隔離區(qū)的數據進行數據過濾和轉發(fā)，只允許通過移動辦公應用所需的協(xié)議和數據。總之，防火墻是網絡層邊界檢查工具，可以設置規(guī)則對內部網絡進行安全防護，而 IDS 一般是對已知攻擊行為進行檢測，這兩種產品的結合可以很好的保護用戶的網絡，但是從安全原理上來講，無法對內部網絡做更深入的安全防護。隔離網閘重點是保護內部網絡，如果用戶對內部網絡的安全非常在意，那么防火墻和 IDS 再加上隔離網閘將會形成一個很好的防御體系。、主機安全、身份鑒別只有通過身份認證的授權管理員才能登錄操作系統(tǒng)和數據庫系統(tǒng)。操作系統(tǒng)和數據庫系統(tǒng)管理員用戶名應至少 8 位以上，并不易被冒用，口令應盡量復雜，應由大小寫字母、數字，以及特殊字符混合組成，并定 中國海事局部局移動辦公系統(tǒng)解決方案36期更換。啟用登錄失敗處理機制，可采取結束會話、限制非法登錄次數和自動退出等措施。為操作系統(tǒng)和數據庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。、訪問控制主機系統(tǒng)的訪問控制主要包含兩方面：1) 主機操作系統(tǒng)的外圍加固，采用防火墻訪問控制功能和交換機的VLAN 功能對主要服務器進行網絡邏輯隔離保護。2) 主機操作系統(tǒng)本身加固，采用安全軟件對操作系統(tǒng)內核進行加固，保障主機操作系統(tǒng)不受非法訪問。、漏洞掃描在主機上部署漏洞掃描軟件，對計算機系統(tǒng)進行安全相關的檢測，以找出安全隱患和可被黑客利用的漏洞，可以有效的防范黑客入侵。因此，漏洞掃描是保證系統(tǒng)和網絡安全必不可少的手段。漏洞掃描通常采用兩種策略，第一種是被動式策略，第二種是主動式策略。所謂被動式策略就是基于主機之上，對系統(tǒng)中不合適的設置，脆弱的口令以及其他同安全規(guī)則抵觸的對象進行檢查；而主動式策略是基于網絡的，它通過執(zhí)行一些腳本文件模擬對系統(tǒng)進行攻擊的行為并記錄系統(tǒng)的反應，從而發(fā)現其中的漏洞。利用被動式策略掃描稱為系統(tǒng)安全掃描，利用主動式策略掃描稱為網絡安全掃描。 漏洞掃描軟件能夠對網絡設備、操作系統(tǒng)和數據庫三個方面進行掃描，指出有關網絡的安全漏洞及被測系統(tǒng)的薄弱環(huán)節(jié)，給出詳細的檢測報告，并針對檢測到的網絡安全隱患給出相應的修補措施和安全建議。、惡意代碼防范通過部署防病毒軟件實現。在網絡中辦公用計算機和服務器上配置網絡病毒查殺軟件，對這些計算機采取集中管理模式，統(tǒng)一由管理中心制定強制病毒查殺策略，統(tǒng)一由管理中心及時、強制為所有用戶 PC 進行病毒 中國海事局部局移動辦公系統(tǒng)解決方案37特征庫升級。、應用安全、多重校驗移動辦公產品可以實現用戶名密碼、用戶的終端號、終端設備號（IMEI） 、終端 SIM 卡編號（IMSI）等用戶信息的多重綁定、 。即使有人獲知了正確的用戶名密碼，也必須使用特定的唯一一個終端號、唯一一個終端卡和唯一一個終端才能登錄移動應用服務平臺。該功能需要終端 API 的支持，以便獲取到終端設備號及終端 SIM 卡編碼，同時，如果需要綁定用戶的終端號碼進行驗證，需要聯(lián)通向移動應用服務平臺提供用戶的終端號碼。、CA 證書認證可在用戶 e 盾卡上安裝數字證書，并與 SSL VPN 設備進行數字證書簽名認證，認證通過后再通過網閘與內網業(yè)務系統(tǒng)進行通信。如果在終端上安裝數字證書，可與移動應用接入代理服務器進行雙向 SSL 認證，建立SSL 加密通道，在終端用戶身份認證方面增加了一層保護機制，只是在終端端安裝證書流程比較復雜；或者不在終端安裝數字證書，只與移動應用接入代理服務器進行單向 SSL 認證，移動應用接入代理服務器不驗證終端客戶端證書，只建立 SSL 加密通道保證應用層通道安全。、數據加密終端與服務端的傳輸數據可以采用 MD5/RSA/DES 等主流的加密算法進行加密，數據加密的基本過程就是對原來為明文的文件或數據按某種算法進行處理，使其成為不可讀的一段代碼，通常稱為“密文” ，使其只能在輸入相應的密鑰之后才能顯示出本來內容，通過這樣的途徑來達到保護數據不被非法人竊取、閱讀，即使數據被竊取仍然無法訪問其中內容的目的。 中國海事局部局移動辦公系統(tǒng)解決方案3終端安全、終端安全機制目前針對不同類型的手機終端或上網本終端，采取的終端安全方案也有所不同，簡述如下：適合采用多重校驗（用戶名密碼、UDID 綁定） 、單向 SSL 認證機制保證安全。采用服務器單向認證機制，即終端側僅保存根證書，而平臺和服務器上加載 CA 簽發(fā)的服務器證書，使得終端連接時可以明確服務器的可信任性，在服務器證書得到用戶終端信任后，才開始建立 SSL 加密通道，進行數據加密傳輸。、用戶密碼安全移動應用服務器上不直接存儲用戶的密碼信息，而是存儲用戶的密碼的摘要信息，每次用戶登錄時進行摘要匹配，保證用戶的密碼不會被解密取得。軟硬件配置、硬件配置硬件系統(tǒng)平臺的建設是應用軟件平臺的基礎，合理的系統(tǒng)平臺可以為用戶提供高效、穩(wěn)定的服務，同時，也可以保護用戶的投資。在移動辦公系統(tǒng)建設中需要考慮系統(tǒng)的安全性、擴展性、應用的連續(xù)性。序號 項目名稱 單位 數量/平臺 備注1 應用服務器 臺 2四個雙核 CPU 或同等配置 CPU，至少8G 內存。每臺包括 2 個多模 FCHBA卡，提供 2 個 2Gb/s 光纖接口，與光纖交換機互連。雙電源，配置至少 2個 10/100/1000M 網卡。硬盤配置146G*4。其中應用服務器各 2 臺做負 中國海事局部局移動辦公系統(tǒng)解決方案39載均衡，工作流引擎服務器一臺。2 VPN 網關 臺 110/100/1000 自適應網卡2，TCP/IP 協(xié)議支持。3 無線上網卡 個 300支持 HSUPA／HSDPA／WCDMA 2100MHz網速：下行速度： Mbps，上行速度： 功率：睡眠狀態(tài) 2mA，最大 650mA 天線：內置雙天線支持 SD 卡嵌入、軟件環(huán)境本項目投產所需軟件清單見下表：名稱 詳情 數量 備注操作系統(tǒng) Windows 2022 Server R2（Enterprise） 2系統(tǒng)軟件 .Net Framework 1系統(tǒng)軟件 IIS + 1系統(tǒng)軟件 1數據庫軟件 SQLServer 2022 R2 Enterprise 2移動辦公應用系統(tǒng) 1應用軟件辦公自動化系統(tǒng) 1總體方案特點? 高速穩(wěn)定、安全可靠：采用國際最通行的 WCDMA 3G 網絡，上下行速度最高可達／ Mbps。? 終端豐富、全面支持：支持 Windows Mobile、Symbian、Android 等各種操作系統(tǒng)的智能手 中國海事局部局移動辦公系統(tǒng)解決方案40機作為移動辦公終端，以及平板電腦、筆記本、上網本等多種移動終端。? 安全認證、傳輸加密：采用 PKI/CA、SSL VPN、VPDN、APN 等安全技術，實現用戶身份認證、業(yè)務數據在網絡中的加密傳輸。? 多場景應用、使用面廣用戶通過 WCDMA、GPRS 等無線上網方式，使用各種智能手機或非智能手機訪問信息化系統(tǒng)，實現多種場景下的移動辦公。? 快速部署、無縫銜接無需對原有系統(tǒng)進行任何改造，只要通過標準化的軟硬件部署和對接，用戶就可以快速享受到便捷的移動辦公服務。