移动应用安全管理系统设计方案.docx

1、移动应用安全管理系统设计方案1 概述安徽省电子认证管理中心（简称“安徽CA”）移动应用安全管理系统是从用户的应用安全和安全管理需求出发，基于PKI技术构建可信身份体系、鉴权体系及行为追溯体系，实现信息系统可信、可控、可管理，满足用户自身信息化建设发展要求和相关法规政策要求的网络信任体系支撑平台。由于历史的原因，也是计算机技术日新月异发展的结果，信息化要求较高的行业现有的多套应用系统从当时的设计和建设看来可以说是非常科学和满足业务需求的，但以现在的标准来看，由于不同的应用系统建立在不同的硬件和操作平台上，不同的应用系统是由不同的系统集成商使用不同的语言和开发工具开发出来的，将不可避免的导致不同业

2、务系统之间的用户无法统一管理，资源无法统一授权，审计系统也分别独立，且基于数字证书的强身份认证也可能没有实现。由于用户角色以及资源的改变使得业务运作不够顺畅，导致业务流程被割裂，需要过多的人工介入，效率下降，数据精确度降低，使的信息系统失去了其应有的作用。从信息化建设的长远发展来看，要形成相互一致的业务基础信息系统和有效运行的信息层次化可信安全体系，必然需要将原来已分别建设的各个业务应用系统平滑地整合在一起，在一个可信的安全基础平台上实现统一用户管理、统一安全审计以及基于数字证书的集中身份认证，以统一Web管理界面方式让各个业务系统间形成一个有机的整体，在整个可信网络体系范围内实现系统信息的高

3、度共享，针对快速变化的外部环境和客户需求，做出及时的调整和反应，真正提升政府机关行政能力或企事业单位核心竞争力。安徽CA积累多年信息安全建设经验，致力于帮助用户安全便捷的运用PKI技术建立可信安全体系架构，整合已有或未来业务系统，实现在一个网络信任体系下，用户登录任何一个业务系统之后不必再次登录就可进入其它有权限系统的单点登录；各种用户信息根据不同业务系统在用户管理系统进行跨平台、跨应用有效管理，资源信息根据不同的业务范围和需求在资源授权管理系统进行有效管理；各业务系统各类日志在统一安全审计系统可追溯；采用开放、插件式的集成技术，满足不断发展的业务系统与门户的集成。2 系统设计原则安徽CA依据

4、上述的需求分析和相关的安全技术，设计了如下基于数字证书的移动应用安全系统的设计原则。2.1 安全性原则安全保护机制必须简单、一致并建立到系统底层。系统的安全性和系统的正确性一样，不应当是一种附加特性，而必须建立到系统底层而成为系统固有的属性。所有购置的密码产品都已通过国家安全主管部门的认证，符合有关标准和协议，满足财政部门实际使用过程中的安全要求。应用安全平台的规划、设计、开发都要基于安全体系的有关标准、技术。2.2 标准性原则整个方案设计中采用的技术都是符合国际标准的，对于国际上没有通用标准的技术采用国内的技术标准。2.3 规划先进性原则移动政务业务覆盖面广泛，所以其安全保障体系建设规模庞大

5、，意义深远。对所需的各类安全产品提出了很高的要求。必须认真考虑各安全产品的技术水平、合理性、先进性、安全性和稳定性等特点，共同打好工程的技术基础。在设计时，参考目前国内成熟的公安及政务相关体系的移动应用安全管理系统设计。参考文件如下：关于印发的通知(公信通2007191号)关于稳步开展公安信息资源共享服务工作的通知(公信通2007189号)关于做好社区和农村警务室接入公安信息网安全工作的通知(公信通200715号)关于进一步加强公安信息通信网日常安全管理工作机制建设的通知(公信通传发2008109号)关于公安信息通信网边界接入平台建设有关问题的通知(公信通传发2008296号)移动政务信息安全

6、建设实施指南 粤经信电政2012551号)北京市移动电子政务平台总体技术要求北京市经济和信息化委员会移动政务办公系统通用规范 湖北省质量技术监督局2.4 安全服务细致化原则要使得安全保障体系发挥最大的功效，除安全产品的部署外还应提供有效的安全服务，根据移动应用安全管理的网络系统具体现状及承载的重要业务，全面而细致的安全服务会提升日常运维及应急处理风险的能力。安全服务就需要把安全服务商的专业技术经验与行业经验相结合，结合移动应用安全管理的实际信息系统量身定做才可以保障其信息系统安全稳定的运行。3 建设思路移动应用安全管理系统以合规要求为基础，根据自身的业务诉求、业务特性及应用重点，采用等级化与体

7、系化相结合的安全体系设计方法，帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。（1）功能域设计：通过分析系统业务流程，根据域划分原则设计功能域架构。通过功能域设计将系统分解为多个层次，为下一步安全保障体系框架设计提供基础框架。（2）安全保障体系框架设计：根据功能域框架，设计系统各个层次的安全保障体系框架（包括策略、组织、技术和运作），各层次的安全保障体系框架形成系统整体的安全保障体系框架。（3）安全技术解决方案设计：针对安全要求，建立安全技术措施库。通过等级风险评估结果，设计系统安全技术解决方案。（4）安全管理建设：针对安全要求，建立安全管理措施库。通过等级风险评估结果，进行

8、安全管理建设。通过如上步骤，移动应用安全管理系统的网络信息系统可以形成整体的等级化的安全保障体系，同时根据安全技术建设和安全管理建设，保障系统整体的安全。4 整体分析4.1 业务需求4.1.1移动采集此次移动应用安全管理系统的建设具有以下特点：操作方式为接入终端的访问控制；不可直接访问内部业务网，但上报数据需要汇总至内部业务网；数据进行单向交换，以由外到内为主；终端对象作为可信凭证，需防止或规避合法入侵行为；用户量大；业务实时性要求高。4.1.2移动办公另一种业务场景，为出差或外出办公人员，进行远程无线办公业务，该类业务具有以下特点：操作方式为接入终端的访问控制；可直接访问内部业务网，但需要进

9、行严格的访问控制；终端对象作为可信凭证，需防止或规避合法入侵行为；用户访问数据量大；业务实时性要求高；数据采用双向交换。4.2业务类型4.2.1数据交换数据采集数据采集要实现将采集相关信息通过安全的接入方式由外部网络流转至内部缓存区域。需实现如下功能：需支持各类B/S应用的无线数据采集；需支持各类C/S应用的无线数据采集。数据传递数据传递分为两个层面，其一是将采集到缓存区域的数据安全、稳定、可靠地交换到内部业务区域，以支撑业务的开展；其二是将外部的数据信息直接流转至内部业务区域，同时接受内部业务区域对外发布的信息。需实现如下功能：文件及数据的直接传递；文件及数据的交换传递。4.2.2授权访问授

10、权访问功能主要是指对于外部授权访问类终端（PDA）及内部数据交换类系统通过安全接入链路访问资源时，对于不同的接入终端可实现基于资源、数字证书、IP地址等多种类型访问权限的控制，保证资源不被越权访问，进而保护内部业务网的安全。4.3 功能域划分平台建设的关键在于功能域的划分，依照上文的分析，借鉴其他行业成熟的标准及规范，移动应用安全管理系统从采集过程分析，可划分为四大功能域，用于进行移动政务的内部业务域、连接Internet获取报送数据的接入域、提供交互源数据的移动终端用户域，进行统一管理、集中监控的监管域。其中，内部业务域是整个政务业务开展的重要平台，承载着核心业务；而接入域是移动采集业务的核

11、心承载平台，提供专用终端基于Internet网络的无线接入服务，然后终端用户域则是整个平台的基础支撑，提供政务业务的源数据，最后监管域从管理维度出发，从全局统一可控管理的视角切入，对全网无线资源进行集中管理。通过对这四类安全区域的划分，对移动政务各层面的访问操作、运行管理、开发设计进行有效的控制和规范，保证和维护各个层次安全、正常有序地工作。4.3.1业务域业务域是指位于逻辑隔离区内包括移动数据同步模块、标准接口、应用程序、应用中间件等在内的大环境。它包括各类服务或者数据接口、政务应用支撑平台、系统运行环境。这一区域主要承担着涉及平台的专用网路，在业务专用中运行着各业务数据交换平台的存储平台，

12、为平台的核心业务网。该区域主要安全功能为：作为外部终端网络连接的终点，实现应用级身份认证、访问控制、应用代理、数据暂存等功能，防止对政务网的非法访问和信息泄露。对此区域，应加强对服务器等设备的安全保护，应具有病毒、木马防护功能，防止病毒传播与非法控制。此次建设不涉及该部分的内部建设，只对其网络边界进行安全设计。4.3.2接入域指移动通信网络的大环境。它包括各类移动网络运营商、电信 网络运营商在内的提供各种移动公网，如 GSM、CDMA、3G 网络以及传统固网服务的网络 基础运营平台。这一区域负责对移动政务物理层安全传输、信号转换、安全专线的管理。接入域为移动应用安全管理系统的专用承载平台，它包

13、括各类移动网络运营商、电信网络运营商在内的提供各种移动公网，如 GSM、CDMA、3G 网络以及传统固网服务的网络基础运营平台，位于业务域与用户域之间，与业务域逻辑隔离，主要基于移动终端进行无线的数据传送的缓存区域。该区域主要安全功能为：实现网络级身份认证、访问控制和权限管理，数据机密性和完整性保护，防御网络攻击和嗅探。4.3.3监管域监管域指移动政务准入安全控制的大环境。它包括各类提供权威性第三方身份认证以及安全访问控制服务的提供，如 CA 证书、动态密码等。同时将移动终端的各种业务请求传递到政务外网应用服务的大环境。它包括移动网络、固网的数据经过安全审计、防病毒、入侵检测等安全接入并通过移

14、动政务服务平台数据接口、统一移动终端验证、用户身份认证、数据包封装/解析、会话管理、安全审计、服务接口、系统管理等功能模块处理来自移动终端用户的请求。该区域负责对移动政务进行身份验证、安全审计以及移动政务中来自移动接入网络的移动应用请求的转递、应答、安全转换。4.3.4用户域用户域包括移动终端用户及外部接入终端环境，是整个平台的基础支撑，为用户群体在使用移动政务相关业务时所使用移动设备的大环境，它提供业务交换的源数据，处于移动公网（专线）中，实现外部链路与接入平台间连接。该区域主要安全功能为：实现终端接入访问控制，将来自不同接入终端及不同外部链路的数据流按照接入平台的安全策略进行准入控制并加以

15、区分，同时实现对移动终端自身的安全保护。4.4安全需求分析从平台整体安全建设角度出发，目前已经按照等级保护要求对内部网进行了一些合规建设工作，所以在移动应用安全管理系统项目的建设内容中，业务域部分的安全建设基于现有的建设基础，可以不予考虑，整个项目的重点在于接入域部分的合规性、业务性建设。需要说明的是，接入域作为承载整个移动应用安全管理系统的核心部分，是整个安全建设的目标，其次是终端安全；即在接入安全与终端防护上具备和业务内网同一级别的安全要求，又因边界的不同属性需要采取不同的个性化解决方案。下文将按照合规思路，从两大项（技术与管理）进行建设的分析；4.4.1安全技术需求分析（1）物理安全风险

16、与需求分析物理安全风险主要是指网络周边的环境和物理特性引起的网络设备和线路的不可使用，从而会造成网络系统的不可使用，甚至导致整个网络的瘫痪。因此，在通盘考虑安全风险时，应优先考虑物理安全风险。此次，移动应用安全管理系统基于现有的物理基础设施，在物理安全方面可以不进行建设考虑。（2）终端环境安全风险与需求分析计算环境的安全主要指终端以及应用层面的安全风险与需求分析，具体到本项目，其安全建设对象则应对为专用移动终端，整体的安全需求包括：身份鉴别、访问控制、入侵防范、恶意代码防范、数据完整性与保密性、抗抵赖等方面。终端可信终端为通过移动应用安全管理系统唯一的访问主体，最重要的前提即应确保该主体客观存

17、在性及行为可信性。访问控制访问控制主要为了保证非法用户对终端资源的合法使用。非法用户可能企图假冒合法用户的身份进入系统，低权限的合法用户也可能企图执行高权限用户的操作，这些行为将给终端系统和应用系统带来了很大的安全风险。用户在拥有合法的用户标识符情况下，在制定好的访问控制策略下进行操作，杜绝越权非法操作。入侵防范终端操作系统面临着各类具有针对性的入侵威胁，常见操作系统存在着各种安全漏洞，并且现在漏洞被发现与漏洞被利用之间的时间差变得越来越短，这就使得操作系统本身的安全性给整个系统带来巨大的安全风险，因此对于终端操作系统的使用、维护等提出了需求，防范针对系统的入侵行为。恶意代码防范病毒、蠕虫等恶

18、意代码是对计算环境造成危害最大的隐患，当前病毒威胁非常严峻，特别是蠕虫病毒的爆发，会立刻向其他子网迅速蔓延，发动网络攻击和数据窃密。大量占据正常业务十分有限的带宽，造成网络性能严重下降、服务器崩溃甚至网络通信中断，信息损坏或泄漏，严重影响正常业务开展。因此必须部署恶意代码防范软件进行防御，同时保持恶意代码库的及时更新。数据安全主要指数据的完整性与保密性。数据是信息资产的直接体现，所有的措施最终无不是为了业务数据的安全。应采取措施保证数据在传输过程中的完整性以及保密性，保护鉴别信息的保密性。（3）接入域边界安全风险与需求分析区域边界的安全主要包括：边界可信接入、边界完整性检测、边界入侵防范以及边

19、界安全审计等方面。边界访问控制对于接入域边界最基本的安全需求就是访问控制，对进出安全区域边界的数据信息进行控制，阻止非授权及越权访问。边界可信接入对于接入域而言，其主要目的是提供外网设备随时随地快速接入到业务内网络进行数据报送，这就引伸出安全风险，一旦外来用户不加阻拦的接入到网络中来，就有可能破坏网络的安全边界，使得外来用户具备对网络进行破坏的条件，由此而引入诸如蠕虫扩散、文件泄密等安全问题。因此需要对非法客户端实现禁入，能监控网络，对于没有合法认证的外来机器，能够阻断其网络访问，保护好已经建立起来的安全环境。边界入侵防范各类网络攻击行为既可能来自于大家公认的互联网等外部网络，在内部也同样存在

20、。通过安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，实现对网络层以及业务系统的安全防护，保护核心信息资产的免受攻击危害。边界安全审计在安全区域边界需要建立必要的审计机制，对进出边界的各类网络行为进行记录与审计分析，可以和终端审计、应用审计以及网络审计形成多层次的审计系统，并可通过安全管理中心集中管理。边界恶意代码防范现今，病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加泛滥，目前计算机病毒的传播途径与过去相比已经发生了很大的变化，更多的以网络（包括 Internet、广域网、局域网）形态进行传播，因此为了安全的防护手

21、段也需以变应变，迫切需要网关型产品在网络层面对病毒予以查杀。（4）通信网络安全风险与需求分析移动应用安全系统通信网络的安全主要包括：链路设计、网络安全审计、网络设备防护、通信完整性与保密性、准入可信等方面。链路安全由于采用通过移动公网的方式接入，所以对于公网的链路提出了比较高的要求，由于目前公用移动网上存在着众多不可知及不可控的监听、攻击手段，所以要选择一条相对封闭或有安全保障的移动链路成为通讯安全的首要基础。网络安全审计由于用户的计算机相关的知识水平参差不齐，一旦某些安全意识薄弱的管理用户误操作，将给信息系统带来致命的破坏，没有相应的审计记录将给事后追查带来困难，有必要进行基于网络行为的审计

22、，从而威慑那些心存侥幸、有恶意企图的少部分用户，以利于规范正常的网络应用行为。网络设备防护由于传统网络系统将会使用大量的网络设备和安全设备，如交换机、防火墙、入侵检测设备等，这些设备的自身安全性也会直接关系到内部网络及各种网络应用的正常运行。如果发生网络设备被不法分子攻击，将导致设备不能正常运行。更加严重情况是设备设置被篡改，不法分子轻松获得网络设备的控制权，通过网络设备作为跳板攻击服务器，将会造成无法想象的后果。例如，交换机口令泄漏、防火墙规则被篡改、入侵检测设备失灵等都将成为威胁网络系统正常运行的风险因素。通信完整性与保密性由于网络协议及文件格式均具有标准、开发、公开的特征，因此数据在网上

23、存储和传输过程中，不仅仅面临信息丢失、信息重复或信息传送的自身错误，而且会遭遇信息攻击或欺诈行为，导致最终信息收发的差异性。因此，在信息传输过程中，必须要确保信息内容在发送、接收及保存的一致性；并在信息遭受篡改攻击的情况下，应提供有效的察觉与发现机制，实现通信的完整性。而数据在传输过程中，为能够抵御不良企图者采取的各种攻击，防止遭到窃取，应采用加密措施保证数据的机密性。4.4.2安全管理需求分析“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除了技术管理措施外，安全管理是保障安全技术手段发挥具体作用的最有效手段，建立健全安全管理体系不但是合规性要求，也是作为一个安全体系来讲，不

24、可或缺的重要组成部分。安全管理体系依赖于国家相关标准、行业规范、国际安全标准等规范和标准来指导，形成可操作的体系。主要包括：安全管理制度安全管理机构人员安全管理根据等级保护的要求在上述方面建立一系列的管理制度与操作规范，并明确执行。5 平台设计5.1 设计目标移动应用安全系统设计目标是建立移动政务信息安全立体防护保障体系，防止来自外部和内部的各种入侵和攻击，防止非授权的访问，防止各种冒充、篡改和抵赖等行为，防止信息泄密和被破坏。通过从终端安全、网络安全、接入边界安全、传输数据安全等方面进行安全建设以构建整体安全结构；并以安全管理制度、安全管理机构、人员安全管理等方面入手进行管理体系建设，把安全

25、技术和安全管理相结合，使得移动应用安全系统安全建设方案能够全方面为移动采集业务提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力，实现电子政务移动办公的实用性、先进性、经济性和可扩展性。5.2 设计思路移动应用安全系统的安全体系设计主要由三重防护体系设计、两个基础设施设计构成，如下图。三重防护体系设计：即应用环境安全设计、应用区域边界安全设计和网络通信安全设计。无线终端安全设计：即确保终端和用户来源可信、可监控设计，无线终端系统自身安全加固设计以及核心业务程序安全设计。接入区域边界安全设计：主要涉及网络及应用系统边界安全方面，通过身份认证、访问控制技术，确保对应用系统的访问是通过

26、细粒度控制下的合法访问者。链路与网络通信安全设计：主要涉及链路及网络安全方面，采用数据机密性与完整性保护技术，建立端到端传输的安全机制。两个基础设施设计：即PKI/PMI基础设施，安全监测与管理基础设施。PKI/PMI基础设施设计：实施网上数字证书的产生、管理、存储、分发和撤销等功能，是实现接入平台身份认证、授权管理、访问控制策略等安全机制的基础。安全监测与管理基础设施设计：实现整个平台的安全监测、管理与运行维护。5.3 设计内容一是构建边界接入平台。按照边界安全接入的规范要求，采取区分链路安全防御的方法，构建集边界保护、身份认证、应用安全、安全隔离等功能的边界接入平台，在确保边界接入安全的前

27、提下，建立政务网与外网的网络安全通道，为有关机关及部门提供安全的网络接入服务。二是建设边界接入平台监控和管理系统。按照统一接入管理、统一应用审计、统一运行监控、统一策略部署的策略，建设边界接入平台的集中监控和审计系统，以加强对外部接入及数据交换情况进行审计，并对平台的运维提供服务。监控和管理系统支持总局/省局结构的上下层接入平台。接入平台的监控和管理系统主要功能分为两部分：接入平台自身的安全监控管理功能和接入平台级联服务功能。 三是建立相应的运行维护和管理工作机制。在建设边界接入平台的同时，建立系统平台的日常运行维护和管理工作机制，通过规范接入配置、规范安全监控、规范运行处置等工作，保障系统平

28、台正常运行。5.4 安全技术体系设计整体安全技术体系分为终端环境、通讯网络、边界接入三个大部分，下文按照整体设计框架，对三大部分进行详细阐述。5.4.1终端环境安全设计（1）系统加固操作系统安全：对移动终端自身的操作系统进行安全加固措施；一致性校验：系统启动后对操作系统装载器、内核、硬件配置、关键应用和配置信息等进行验证，确保引导过程中各部件的完整性，一致性，使终端按照经过严格验证的方式进行引导；接口监控：实现对移动终端输入、输出接口进行分类，对各个物理接口进行接入安全控制，如数据口等；移动终端应能够与智能卡安全的进行信息交互。 （2）身份标识为了保证信息源的真实性，对终端设备进行标识，具体为

29、以下几种措施：采用由权威中心为终端集成数字证书方式；采用安全介质（TF卡）作为数字证书的存储介质；通过对安全介质及数字证书的全生命周期管理，实现对该设备的可控管理；实现TF卡号+SIM卡+终端设备号的三号绑定实现对该设备全网身份唯一标识，确保接入终端的可信性。（3）身份鉴别为提高系统安全性，保障各种应用的正常运行，对终端需要进行一系列的加固措施，包括：对登录终端操作系统的用户进行可信识别；按照系统的特性，采用混合模式，结合图形及数字口令的混合模式并定期更换；对登录TF卡用户采取使用基于数字签名+口令的可信凭证认证；启用登陆失败处理功能，登陆失败后，必须基于自身安全特性配置结束会话、限制非法登录

30、次数等措施。（4）访问控制访问控制主要是通过基于系统的程序锁机制，对移动接入资源的授权访问，避免越权非法使用。主要途径：所有专用程序均集成在TF卡内，确保敏感资源的统一管理；对访问TF卡内的资源进行口令认证，确保所有访问敏感资源可控；（5）入侵防范针对终端的入侵防范，基于现有移动终端技术，可以部署终端系统安全性扫描软件进行系统安全性检测。（6）终端恶意代码防范各类恶意代码尤其是病毒、木马等是对移动应用安全管理系统的重大危害，针对病毒的风险，我们建议重点是将病毒消灭或封堵在终端这个源头上。所以，在所有终端上部署基于系统防病毒系统，加强终端的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。同

31、时，防毒系统可以为终端提供关于病毒威胁和事件的监控、审计日志，为终端的病毒防护管理提供必要的信息。（7）数据加密为了保证业务数据流及缓存数据的安全性，提供对于敏感数据的保护措施：所有专用程序涉及的数据均存储在TF卡内，确保敏感资源的统一存储；采用非对称密钥体系，使用数字证书对需要进行保护的数据进行算法加密。（8）数据完整性与保密性目前，移动应用安全管理系统中传输的信息主要是重要的数据，对信息完整性校验提出了一定的需求，特别是通过互联网远程接入业务内网传递数据的私密性有很高的要求。此次设计，采用无线接入网关设备，通过专用终端客户端，采用SSL方式，基于移动身份证书实现边界与移动终端之间的双向认证，结合通讯网络自身的安全措施，保证使用移动公网传输信息的机密性、完整性和不可抵赖性。5.4.2接入域边界安全设计（1）边界可信接入为提高移动终端接入业务内网的可信力，需要对接入边界的所有用户及终端进行统一有效的唯一性校验：采用终端植入数字证书的方式，对登录用户进行身份标识，且保证终端设备与用户的绑定关系；采用无线接入网关设备对接入请求进行基于TF卡+数字证书+设备号的三维身份鉴别；基于全网统一的策略对接入终端进行可信识别；启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。（