时长江 张柏青 赵 谦 郑 雯

（山东检验检疫局 山东 266001）

0 引言

随着移动互联和云计算技术的迅猛发展，3G/4GLTE/WiFi网络日臻成熟和稳定，智能终端广泛使用，任何人、在任何地点、使用任何终端、任何方式实现没有边界的协同办公环境已成为一种趋势，以数据、音频和视频为主要载体的移动办公系统具备移动终端（3G移动办公上网卡、笔记本、平板电脑及智能手机等）与应用数据分离，移动办公终端与应用有机融合，实现远程移动办公、检验检疫结果登记、下达放行指令，视频交流与业务协同互动。

1 移动办公系统面临的信息安全风险分析

由于移动办公要经过 3G无线网络与内部网连接，内网的信息和数据完整性、一致性，交互应用的可靠性和安全性是一个重要问题。移动办公系统面临的信息安全风险主要包括VPDN接入安全风险：VPDN AAA认证服务器存在操作系统平台的系统漏洞、应用漏洞和安全配置等问题。智能终端的安全风险：根据IBM《2011年安全趋势和风险报告》提供的数据，移动设备被漏洞攻击在2011年增加了19%，手机病毒和后门程序可以窃取用户敏感信息时有发生。云计算的主要安全威胁：云计算服务推动了Internet的Web化趋势，多客户、虚拟化、动态、业务逻辑服务复杂、用户参与等Web2.0广泛应用，Web安全漏洞和云服务的特点面临着网络安全新挑战。内部的数据泄漏和滥用：单位内部的重要数据和业务应用处于云服务的IT系统中，如何避免云计算环境中多客户共存带来的潜在风险，成为云计算环境下用户的面临着的安全挑战。虚拟化服务的安全威胁：传统的 IDS、安全审计产品不可识别虚拟化环境下的各种安全漏洞。虚拟桌面和虚拟应用的安全威胁：虚拟机被恶意访问和修改的风险依然存在。

因此，必须建立一套以网络通信、区域边界、云计算环境、安全管控中心为基础的信息安全平台，在此平台上建成一个稳定、可靠的移动办公系统，兼容各种应用系统和终端，智慧质检提供一个安全的可信可控可管移动应用环境。

2 移动办公系统的设计与实现

按照 GB/17859要求，移动办公系统是在安全管理中心支持下由通信网络、区域边界和云计算环境组成的可信、可控、可管安全平台。基于可信计算的移动办公系统技术架构如图 1所示。可信：针对移动办公系统计算资源（软硬件）构建保护环境，对计算资源进行保护。可控：针对移动办公系统信息资源（数据及应用）以访问控制为核心，实行用户按策略规则访问信息资源。可管：保证资源安全强调最小权限管理，不许设超级用户。

图1 移动办公系统技术架构

移动终端用户设置APN信息请求接入3G VPDN专网，内部三A认证服务器对其手机号、手机卡信息、用户名和密码进行强身份认证+复合身份认证方式，即通过机器指纹、指纹等生物特征和CA key等认证方式接入云计算平台，实现安全认证、网络可用。利用虚拟化技术对服务器等硬件资源进行整合，组建基于A/S架构的跨平台跨终端的计算模式，实现了基于云计算，统一部署、集中管理、可控可管、安全可用的移动办公系统。在云计算平台上发布电脑桌面和应用软件，部署业务系统的资源，认证通过后获得访问安全专区的权限，安全专区边界防火墙通过端口映射将CITRIX认证服务器发布出去。使用人员通过各种终端设备在通过CITRIX认证服务器的认证后，获得CITRIX提供的虚拟桌面资源。利用面向应用层面的身份认证、业务系统使用过程快照记录和应用安全审计体系，实现了信息安全的过程控制和事后的可追溯。

2.1 网络通信系统

通信网络子系统通过对通信数据包的保密性和完整性进行保护，确保其在传输过程中不会被非授权窃听和篡改，使得数据在传输过程中的安全得到了保障。移动办公系统采用如图 2所示的多运营商3G VPDN接入方式，采用3G虚拟拨号专网（VPDN）线路，实现移动办公3G网络与互联网的有效隔离。在移动终端上，可以通过APN设置来选择VPDN线路。电信运营商3G VPDN专网通过专用的APN域名接入并进行3A认证，包括3G SIM卡信息认证和帐号用户名等多项身份认证，根据手机号码和移动终端的 IP地址区分不同的电信运营商的VPDN专线，经过区域边界接入到内部云计算数据中心。

图2 多运营商3GVPDN接入示意图

VPDN采用的安全技术措施主要包括：（1）独立 APN：在基站接入层面通过给每个用户部门设立独立的APN，实现不同用户部门通过无限数据通讯接入。（2）L2TP/GRE链路加密：提供L2TP/GRE两种方式的链路加密协议，保障链路的安全性。（3）AAA认证：通过专门的AAA认证中心，对智能终端进行鉴权和认证。（4）帐号和USIM卡绑定：将远端用户拨号的帐号和USIM卡绑定，实现特定帐号只能在特定卡上进行拨号，实现特定卡号分配特定IP地址。

2.2 云计算系统

移动办公系统采用应用交付设计理念，应用服务器虚拟化、应用、网络虚拟化和桌面虚拟化等组成云计算平台，如图3所示。发布的应用系统部署在云计算中心，实现数据应用与终端分离，用户按需获得内部移动办公虚拟化资源，满足应用系统和桌面等办公资源跨平台迁移。

图3 云计算部署环境

云计算环境包括三个部分：（1）利用一体化交换技术（Fcoe）整合多种网络资源，实现跨平台资源调度的虚拟化网络。（2）利用服务器虚拟化（Vmware）技术实现服务器和存储端的虚拟化，底层硬件服务器为CISCO UCS刀片式服务器，利用虚拟化技术VMWARE将物理服务器虚拟成多个逻辑服务器，提供高性能的网络、存储和计算资源。（3）利用桌面虚拟化技术（CTRIX）实现桌面虚拟化，具有用户虚拟桌面发布和用户操作软件的虚拟发布功能。由于移动用户最终得到的是个远程桌面的镜像，移动终端与虚拟桌面之间的 3G专网上并无真实数据传输，用户端的病毒、木马不会被传播到安全区域的虚拟桌面，移动终端不会保留真实数据，从网络层面和数据层面都保证了系统的安全性。

2.3 区域边界系统

通过部署在区域边界上安全网关、防火墙、网闸等全方位地对网络实行安全保护，控制移动办公系统对内部局域网的访问，保证共享资源的可信连接，如图4所示。在内网与移动办公系统之间设置专门网闸对网络进行隔离，只有符合TCP80端口的流量才会穿越网闸，实现数据单向摆渡，传到内网，其它流量一律不允许从移动办公系统穿越到内网。

图4 区域边界安全策略

将移动办公系统按不同功能划分 3G网络通信区和内网的云计算数据中心，这两个区域通过物理隔离网闸进行单向数据摆渡，保证内部资源不被暴露。采用SSL VPN设备，在移动终端和业务应用服务间进行数据再加密。用户使用CITRIX移动终端客户端请求接入，虚拟化服务器根据用户密码对客户端进行验证，验证通过分配给客户端一个虚拟桌面。用户将通过虚拟桌面从网闸获取内部业务系统资源。

在虚拟化平台上部署防病毒系统Deep Security，与VMware vSphere无缝集成。通过VMware提供的vShield API，无需在虚拟机上安装防病毒客户端程序，即可实现虚拟环境下防病毒、防火墙、虚拟补丁功能。VMware平台由5台物理服务器构成，在5台ESX Server上安装部署DS，如图5所示。每台虚拟机上安装防病毒软件，更新病毒码和启用预设扫描资源占有率大约在60%-70%左右，部署DS其占有率仅为20%左右。

图5 服务器虚拟化安装DS

2.4 安全管理中心系统

通过认证、授权、审计、实施访问控制策略，实现对区域边界系统、对通信网络和云计算环境的集中管理和信息系统的行为审计。在3G无线接入和安全认证的基础上，使用VPDN专线接入方式+SSL VPN加密和接入网关，将移动办公终端的唯一的机器特征与使用人员的生物特征、CA认证相结合，形成 3G增强型的身份鉴别和认证接入平台。实现人机合一，专人、专机专网、专用，通过桌面虚拟化软件，建立应用发布服务器的虚拟桌面和应用逻辑，提供安全可靠移动办公应用平台。

SSL VPN支持与生物识别指纹认证，接入认证方式为用户名+口令+生物识别指纹识别.支持双因素认证，可以通过用户名+口令+生物识别指纹识别+数字证书（或USBkey）实现更高级别的认证。认证方式如图6所示。

将指纹识别技术、数字证书等技术通过虚拟化技术实现，增强系统的不可抵赖性。根据不同的应用场景，提供不同组合方式的身份验证模式。模式 1（访问终端不固定，在办公室或家中，使用PC、平板电脑或手机），认证方式：用户名+密码+机器指纹。模式2（访问终端固定），认证方式：数字证书Ukey+机器指纹。模式3（访问终端固定），认证方式：用户名+密码+指纹认证+绑定硬件特征码。

审计功能可以监控移动办公系统敏感数据的操作，对重要应用系统的变更操作、鼠标移动和击键信息进行屏幕录像，特定用户、应用和服务器进行监控，对录像文件进行数字签名保证安全。

3 总结

本文提出的移动办公系统技术架构满足了可信可控可管的技术要求，由管理中心、网络通信、区域边界和云计算环境等组成的信息安全平台保证了移动办公系统的稳定可靠运行。随着移动终端性能不断提升，私有云、公有云逐步建设，基于WEB2.0技术的在线应用的发展，应用交付的范围和内容都将快速增大和丰富，移动办公也将从辅助办公手段发展成常规甚至主要办公方式。

[1]张应福.黄鹏.陈超.云计算技术及其在下一代数据中心建设中的应用.《通信与信息技术》2011年第1期

[2]许志敏.白克壮.服务器虚拟化技术在数据中心的应用探索.《2010年第二十四界全国计算机信息管理学术研讨会》（会议论文）

[3]范君.应用交付网络架构设计与研究.《计算机与数字工程》2010年第12期

[4]严丽云，钟伟彬，李蓉蓉，张凌. 基于应用虚拟化的智能终端关键技术研究. 电信科学，2012，（5）：9-13.