【正文】 進(jìn)行連接的網(wǎng)絡(luò)環(huán)境，需采取手動下載升級包的方式進(jìn)行手動升級。為使得達(dá)到最佳防毒效果，AV防病毒網(wǎng)關(guān)設(shè)備和終端防病毒軟件應(yīng)為不同的廠家產(chǎn)品，兩類病毒防護(hù)產(chǎn)品共同組成移動應(yīng)用安全管理系統(tǒng)的立體病毒防護(hù)體系。阻止病毒通過網(wǎng)絡(luò)的快速擴(kuò)散，將經(jīng)網(wǎng)絡(luò)傳播的病毒阻擋在外，可以有效防止病毒從其他區(qū)域傳播到內(nèi)部其他功能域中。l 用戶行為審計，即用戶信息、訪問的資源、訪問的時間等；l 業(yè)務(wù)對象訪問審計，即應(yīng)用系統(tǒng)信息，數(shù)據(jù)傳輸流量、傳輸時間、傳輸單位等；l 異常行為審計等；按時間段、應(yīng)用系統(tǒng)、用戶單位分析統(tǒng)計用戶行為、業(yè)務(wù)應(yīng)用系統(tǒng)的異常行為。同時審計信息要通過安全管理中心進(jìn)行統(tǒng)一集中管理，為安全管理中心提供必要的邊界安全審計數(shù)據(jù)，利于管理中心進(jìn)行全局管控。對于流經(jīng)各主要邊界（重要服務(wù)器區(qū)域、外部連接邊界）需要設(shè)置必要的審計機(jī)制，進(jìn)行數(shù)據(jù)監(jiān)視并記錄各類操作，通過審計分析能夠發(fā)現(xiàn)跨區(qū)域的安全威脅，實(shí)時地綜合分析出網(wǎng)絡(luò)中發(fā)生的安全事件。由于IPS對訪問進(jìn)行深度的檢測，因此，IPS產(chǎn)品需要通過先進(jìn)的硬件架構(gòu)、軟件架構(gòu)和處理引擎對處理能力進(jìn)行充分保證。將IPS串接在防火墻后面，核心服務(wù)器區(qū)的前面，在防火墻進(jìn)行訪問控制，保證了訪問的合法性之后，IPS動態(tài)的進(jìn)行入侵行為的保護(hù)，對訪問狀態(tài)進(jìn)行檢測、對通信協(xié)議和應(yīng)用協(xié)議進(jìn)行檢測、對內(nèi)容進(jìn)行深度的檢測。它監(jiān)視計算機(jī)系統(tǒng)或網(wǎng)絡(luò)中發(fā)生的事件，并對它們進(jìn)行分析，以尋找危及信息的機(jī)密性、完整性、可用性或試圖繞過安全機(jī)制的入侵行為并進(jìn)行有效攔截。入侵防護(hù)系統(tǒng)（IPS）就是安全防護(hù)體系中重要的一環(huán)，它能夠及時識別網(wǎng)絡(luò)中發(fā)生的入侵行為并實(shí)時報警并且進(jìn)行有效攔截防護(hù)。在移動應(yīng)用安全管理系統(tǒng)網(wǎng)絡(luò)邊界區(qū)域均已經(jīng)設(shè)計部署了防火墻，對每個功能域進(jìn)行嚴(yán)格的訪問控制。（3）邊界入侵防御在各區(qū)域邊界，防火墻起到了協(xié)議過濾的主要作用，根據(jù)安全策略偏重在網(wǎng)絡(luò)層判斷數(shù)據(jù)包的合法流動。權(quán)限控制：對于制定的訪問控制規(guī)則要能清楚的覆蓋資源訪問相關(guān)的主體、客體及它們之間的操作。此次設(shè)計采用無線認(rèn)證網(wǎng)關(guān)、邊界接入網(wǎng)關(guān)，對用戶訪問的資源進(jìn)行訪問控制，對違規(guī)行為進(jìn)行報警和阻斷，訪問控制采用基于角色的配置策略，遵循業(yè)務(wù)相關(guān)和屬地化的白名單原則，對于B/S應(yīng)用基于URL過濾形式進(jìn)行訪問控制，對于B/S和C/S相結(jié)合的應(yīng)用，基于URL和IP/端口相結(jié)合的形式進(jìn)行訪問控制。對各級節(jié)點(diǎn)功能域?qū)崿F(xiàn)全面的邊界防護(hù)，嚴(yán)格控制節(jié)點(diǎn)之間的網(wǎng)絡(luò)數(shù)據(jù)流。與將網(wǎng)絡(luò)安全問題分散到各個終端上相比，防火墻的集中安全管理更經(jīng)濟(jì)。防火墻可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。（2）邊界訪問控制l 網(wǎng)絡(luò)資源訪問控制邊界接入域與業(yè)務(wù)域間、邊界接入域與互聯(lián)網(wǎng)區(qū)域間，在網(wǎng)絡(luò)層部署防火墻產(chǎn)品進(jìn)行訪問控制，通過對所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴(yán)格的安全規(guī)則進(jìn)行過濾，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，杜絕越權(quán)訪問，防止各類非法攻擊行為。此次設(shè)計，采用無線接入網(wǎng)關(guān)設(shè)備，通過專用終端客戶端，采用SSL方式，基于移動身份證書實(shí)現(xiàn)邊界與移動終端之間的雙向認(rèn)證，結(jié)合通訊網(wǎng)絡(luò)自身的安全措施，保證使用移動公網(wǎng)傳輸信息的機(jī)密性、完整性和不可抵賴性。（7）數(shù)據(jù)加密為了保證業(yè)務(wù)數(shù)據(jù)流及緩存數(shù)據(jù)的安全性，提供對于敏感數(shù)據(jù)的保護(hù)措施：所有專用程序涉及的數(shù)據(jù)均存儲在TF卡內(nèi)，確保敏感資源的統(tǒng)一存儲；采用非對稱密鑰體系，使用數(shù)字證書對需要進(jìn)行保護(hù)的數(shù)據(jù)進(jìn)行算法加密。所以，在所有終端上部署基于系統(tǒng)防病毒系統(tǒng)，加強(qiáng)終端的病毒防護(hù)能力并及時升級惡意代碼軟件版本以及惡意代碼庫。主要途徑：所有專用程序均集成在TF卡內(nèi)，確保敏感資源的統(tǒng)一管理；對訪問TF卡內(nèi)的資源進(jìn)行口令認(rèn)證，確保所有訪問敏感資源可控；（5）入侵防范針對終端的入侵防范，基于現(xiàn)有移動終端技術(shù)，可以部署終端系統(tǒng)安全性掃描軟件進(jìn)行系統(tǒng)安全性檢測。（3）身份鑒別為提高系統(tǒng)安全性，保障各種應(yīng)用的正常運(yùn)行，對終端需要進(jìn)行一系列的加固措施，包括：對登錄終端操作系統(tǒng)的用戶進(jìn)行可信識別；按照系統(tǒng)的特性，采用混合模式，結(jié)合圖形及數(shù)字口令的混合模式并定期更換；對登錄TF卡用戶采取使用基于數(shù)字簽名+口令的可信憑證認(rèn)證；啟用登陸失敗處理功能，登陸失敗后，必須基于自身安全特性配置結(jié)束會話、限制非法登錄次數(shù)等措施。（1）系統(tǒng)加固操作系統(tǒng)安全：對移動終端自身的操作系統(tǒng)進(jìn)行安全加固措施；一致性校驗(yàn)：系統(tǒng)啟動后對操作系統(tǒng)裝載器、內(nèi)核、硬件配置、關(guān)鍵應(yīng)用和配置信息等進(jìn)行驗(yàn)證，確保引導(dǎo)過程中各部件的完整性，一致性，使終端按照經(jīng)過嚴(yán)格驗(yàn)證的方式進(jìn)行引導(dǎo)；接口監(jiān)控：實(shí)現(xiàn)對移動終端輸入、輸出接口進(jìn)行分類，對各個物理接口進(jìn)行接入安全控制，如數(shù)據(jù)口等；移動終端應(yīng)能夠與智能卡安全的進(jìn)行信息交互。在建設(shè)邊界接入平臺的同時，建立系統(tǒng)平臺的日常運(yùn)行維護(hù)和管理工作機(jī)制，通過規(guī)范接入配置、規(guī)范安全監(jiān)控、規(guī)范運(yùn)行處置等工作，保障系統(tǒng)平臺正常運(yùn)行。接入平臺的監(jiān)控和管理系統(tǒng)主要功能分為兩部分：接入平臺自身的安全監(jiān)控管理功能和接入平臺級聯(lián)服務(wù)功能。按照統(tǒng)一接入管理、統(tǒng)一應(yīng)用審計、統(tǒng)一運(yùn)行監(jiān)控、統(tǒng)一策略部署的策略，建設(shè)邊界接入平臺的集中監(jiān)控和審計系統(tǒng)，以加強(qiáng)對外部接入及數(shù)據(jù)交換情況進(jìn)行審計，并對平臺的運(yùn)維提供服務(wù)。按照邊界安全接入的規(guī)范要求，采取區(qū)分鏈路安全防御的方法，構(gòu)建集邊界保護(hù)、身份認(rèn)證、應(yīng)用安全、安全隔離等功能的邊界接入平臺，在確保邊界接入安全的前提下，建立政務(wù)網(wǎng)與外網(wǎng)的網(wǎng)絡(luò)安全通道，為有關(guān)機(jī)關(guān)及部門提供安全的網(wǎng)絡(luò)接入服務(wù)。安全監(jiān)測與管理基礎(chǔ)設(shè)施設(shè)計：實(shí)現(xiàn)整個平臺的安全監(jiān)測、管理與運(yùn)行維護(hù)。兩個基礎(chǔ)設(shè)施設(shè)計：即PKI/PMI基礎(chǔ)設(shè)施，安全監(jiān)測與管理基礎(chǔ)設(shè)施。接入?yún)^(qū)域邊界安全設(shè)計：主要涉及網(wǎng)絡(luò)及應(yīng)用系統(tǒng)邊界安全方面，通過身份認(rèn)證、訪問控制技術(shù)，確保對應(yīng)用系統(tǒng)的訪問是通過細(xì)粒度控制下的合法訪問者。三重防護(hù)體系設(shè)計：即應(yīng)用環(huán)境安全設(shè)計、應(yīng)用區(qū)域邊界安全設(shè)計和網(wǎng)絡(luò)通信安全設(shè)計。通過從終端安全、網(wǎng)絡(luò)安全、接入邊界安全、傳輸數(shù)據(jù)安全等方面進(jìn)行安全建設(shè)以構(gòu)建整體安全結(jié)構(gòu)；并以安全管理制度、安全管理機(jī)構(gòu)、人員安全管理等方面入手進(jìn)行管理體系建設(shè)，把安全技術(shù)和安全管理相結(jié)合，使得移動應(yīng)用安全系統(tǒng)安全建設(shè)方案能夠全方面為移動采集業(yè)務(wù)提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護(hù)能力，實(shí)現(xiàn)電子政務(wù)移動辦公的實(shí)用性、先進(jìn)性、經(jīng)濟(jì)性和可擴(kuò)展性。主要包括：l 安全管理制度l 安全管理機(jī)構(gòu)l 人員安全管理根據(jù)等級保護(hù)的要求在上述方面建立一系列的管理制度與操作規(guī)范，并明確執(zhí)行。除了技術(shù)管理措施外，安全管理是保障安全技術(shù)手段發(fā)揮具體作用的最有效手段，建立健全安全管理體系不但是合規(guī)性要求，也是作為一個安全體系來講，不可或缺的重要組成部分。而數(shù)據(jù)在傳輸過程中，為能夠抵御不良企圖者采取的各種攻擊，防止遭到竊取，應(yīng)采用加密措施保證數(shù)據(jù)的機(jī)密性。通信完整性與保密性由于網(wǎng)絡(luò)協(xié)議及文件格式均具有標(biāo)準(zhǔn)、開發(fā)、公開的特征，因此數(shù)據(jù)在網(wǎng)上存儲和傳輸過程中，不僅僅面臨信息丟失、信息重復(fù)或信息傳送的自身錯誤，而且會遭遇信息攻擊或欺詐行為，導(dǎo)致最終信息收發(fā)的差異性。更加嚴(yán)重情況是設(shè)備設(shè)置被篡改，不法分子輕松獲得網(wǎng)絡(luò)設(shè)備的控制權(quán)，通過網(wǎng)絡(luò)設(shè)備作為跳板攻擊服務(wù)器，將會造成無法想象的后果。網(wǎng)絡(luò)設(shè)備防護(hù)由于傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)將會使用大量的網(wǎng)絡(luò)設(shè)備和安全設(shè)備，如交換機(jī)、防火墻、入侵檢測設(shè)備等，這些設(shè)備的自身安全性也會直接關(guān)系到內(nèi)部網(wǎng)絡(luò)及各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)行。鏈路安全由于采用通過移動公網(wǎng)的方式接入，所以對于公網(wǎng)的鏈路提出了比較高的要求，由于目前公用移動網(wǎng)上存在著眾多不可知及不可控的監(jiān)聽、攻擊手段，所以要選擇一條相對封閉或有安全保障的移動鏈路成為通訊安全的首要基礎(chǔ)。邊界惡意代碼防范現(xiàn)今，病毒的發(fā)展呈現(xiàn)出以下趨勢:病毒與黑客程序相結(jié)合、蠕蟲病毒更加泛濫，目前計算機(jī)病毒的傳播途徑與過去相比已經(jīng)發(fā)生了很大的變化，更多的以網(wǎng)絡(luò)（包括 Internet、廣域網(wǎng)、局域網(wǎng)）形態(tài)進(jìn)行傳播，因此為了安全的防護(hù)手段也需以變應(yīng)變，迫切需要網(wǎng)關(guān)型產(chǎn)品在網(wǎng)絡(luò)層面對病毒予以查殺。通過安全措施，要實(shí)現(xiàn)主動阻斷針對信息系統(tǒng)的各種攻擊，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等，實(shí)現(xiàn)對網(wǎng)絡(luò)層以及業(yè)務(wù)系統(tǒng)的安全防護(hù)，保護(hù)核心信息資產(chǎn)的免受攻擊危害。因此需要對非法客戶端實(shí)現(xiàn)禁入，能監(jiān)控網(wǎng)絡(luò)，對于沒有合法認(rèn)證的外來機(jī)器，能夠阻斷其網(wǎng)絡(luò)訪問，保護(hù)好已經(jīng)建立起來的安全環(huán)境。邊界訪問控制對于接入域邊界最基本的安全需求就是訪問控制，對進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán)及越權(quán)訪問。應(yīng)采取措施保證數(shù)據(jù)在傳輸過程中的完整性以及保密性，保護(hù)鑒別信息的保密性。數(shù)據(jù)安全主要指數(shù)據(jù)的完整性與保密性。大量占據(jù)正常業(yè)務(wù)十分有限的帶寬，造成網(wǎng)絡(luò)性能嚴(yán)重下降、服務(wù)器崩潰甚至網(wǎng)絡(luò)通信中斷，信息損壞或泄漏，嚴(yán)重影響正常業(yè)務(wù)開展。入侵防范終端操作系統(tǒng)面臨著各類具有針對性的入侵威脅，常見操作系統(tǒng)存在著各種安全漏洞，并且現(xiàn)在漏洞被發(fā)現(xiàn)與漏洞被利用之間的時間差變得越來越短，這就使得操作系統(tǒng)本身的安全性給整個系統(tǒng)帶來巨大的安全風(fēng)險，因此對于終端操作系統(tǒng)的使用、維護(hù)等提出了需求，防范針對系統(tǒng)的入侵行為。非法用戶可能企圖假冒合法用戶的身份進(jìn)入系統(tǒng)，低權(quán)限的合法用戶也可能企圖執(zhí)行高權(quán)限用戶的操作，這些行為將給終端系統(tǒng)和應(yīng)用系統(tǒng)帶來了很大的安全風(fēng)險。終端可信終端為通過移動應(yīng)用安