《移动电子政务》由会员分享,可在线阅读,更多相关《移动电子政务(6页珍藏版)》请在金锄头文库上搜索。
1、移动电子政务安全解决方案1.1 服务目的如面对如此众多的移动终端,在多平台统一管理、资产管理、安全策略、应用管理、内容管 理、进程协助等方面,亟需有效管理办法,来保障业务有效运营。同时越来越多的移动智能终 端将承载生活、工作、交易的很多敏感信息,所以必须考虑随之而来的病毒、系统漏洞、设备 遗失等安全风险,保证最大限度的保证移动终端在今后使用中的信息安全。1.2 服务内容1.2.1.总体解决方案蓉动终端设备移丽妄全政务乘统政务应用移动传输刚移动设备瓷全管理平台政势应用设备安全管埋安全管控模块移动应用菅理网络接入模块个人应用安全加密逋道移功内容営理移动信息管理政务外网/专网业勢应甲系纸安全隔离理动
2、业务 应用丟统委办帛2业务应用務动业务 应用系统移动电子政务安全解决方案是集移动设备数据安全、网络链路接入安全、移动设备安全管理功 能于一体的系统,为移动设备上安装的移动政务业务系统提供全方位的安全保障服务。负责对网络接入、网络访问的用户、终端、业务、应用等的安全认证及网络访问控制;负责对移动终 端上政务数据的安全防护;负责对保存政务信息的移动设备系统进行安全防护。系统提供所需安全管控接口、提供必要的移动设备安全管理功能及服务1.2.2.政务数据安全保护在移动终端上保存着大量的政务信息,如何建立有效的数据安全体系,保障移动数据的安全, 成为移动电子政务建设面临的首要问题,在移动设备中如何去建立
3、政务数据和个人数据的有效 隔离,成为移动电子政务建设的重点,在BYOD模式下,移动终端混乱的保存着大量的个人数 据及政务数据,开发的设备环境为政务数据带来的前所未有的安全威胁。针对以上情况,建立政务数据隔离区,与个人数据进行隔离,是移动电子政务的强烈安全需求 对隔离区数据进行安全加密,禁止隔离区外的应用程序、系统程序进行非法越权访问,隔离区 负责边界保护,防止入侵行为的进行,并对所有入侵行为进行有效的记录。并且对保存在移动 终端上的数据进行加密保护等其他安全措施,通过多维度多层次的安全体系,保障政务数据的 安全。1.2.3. 网络链路安全保护在网络链路层,使用专属移动设备接入网关,在接入VPN
4、的承载网络上,建立应用层VPN通 道,实现双重安全保障。即使用Per-App VPN技术,使每个应用的VPN通道互相独立,减少应 用 VPN 通道被监听或攻击后对应用系统造成的威胁范围。并且通过VPN使移动设备安全接入到政务内网,通过链路保护,将传输于网路中数据进行SSL 通道的传输,对数据进行链路层及数据层的安全保护。防止数据的恶意外泄。并且政府机关可以与运营商建立专属的APN专线,用于传输政务数据。建设移动电子政务专网, 移动终端通过移动数据专用网络访问部署在政务网上的业务应用,具有很高的数据安全性和传 输速率。1.2.4. 移动设备安全管理 在移动电子政务建设的过程中,需要设备安全管理系
5、统提供强大的应用层管理,对移动设备、 使用移动设备的用户、移动设备上安全的应用程序等进行全面管控。对设备的配置实施空中推送,可远程操作设备及推送政府消息,获取设备的多种设备详细信息 等;可对设备的功能性权限、应用程序权限、安全性和隐私权限进行配置、可与政府原有的Exchange、LDAP等信息进行无缝连接,支持配置政府WiFi、APN、VPN等数据;阻止未经授 权、未受保护以及存在安全隐患的设备渗入系统,采用公钥基础设施及双重身份认证,阻止恶 意程序的破坏,规范设备行为,保护政府信息系统安全;对设备的可疑操作进行报警信息上传 可获取设备的违规操作行为。对安装在移动设备中的应用程序进行严密监控,
6、支持应用程序黑/白名单策略,支持对系统自带 的应用商店进行权限的设置,阻断恶意程序的来源,保证应用程序的合法与可控;支持对移动 终端内的应用程序的远程安全、远程移除、远程更新;搭建政府内部应用程序商店,应用程序 不需经过操作系统商(苹果、谷歌)进行审核,可直接推送给政府员工。1.2.5.数据安全隔离技术系统部署应用 VFS 技术方案,可以实现较高级别的加密保护,有效抵抗数据分析与破解 同时对上层应用接口又能提供透明的文件访问协议,提高开发效率。VI安全I安全 年腿$碍ta旦文件系统1沙盒企业App企业App企业App企业App图表 3:数据安全隔离技术部署方式Q01OT011mfloini 3
7、&lj nonSaaSWeb MobileData移动接入网关MSASVPN后台应用系统L hip 士_图表 4:移动接入网关 凭借跨平台内核的二次代理技术,移动安全接入网关通过部署在移动终端的移动安全客户端组 件可为移动应用提供多种安全接入模式。iOS和Android终端采用基于终端网络权限限制而特别设计的二次代理安全接入模式,保障任何 现有应用和针对移动终端定制的客户端类应用只需修改访问地址即可实现安全接入;针对因使 用了 Windows控件技术而无法在iOS和Android终端访问的特殊应用,可使用应用虚拟化发布 的模式进行移动应用的安全接入。Windows平台可使用反向代理和全网接入模
8、式,保障不同业 务环境和应用的安全接入需求。移动安全接入网关作为移动互联网与政府移动应用平台的桥梁和纽带,通过单一端口进行安全 访问,在最小网络暴露前提下实现了移动应用的安全接入,通过使用国产密码算法建立国密加 密通道,保障数据传输的安全,避免传统安全接入使用通用算法(DES、3DES、AES等)因易 于破解而带来的数据丢失、篡改隐患。移动客户端安全组件可结合USBKEY密码机、TF卡密 码机、Dock密码机(苹果专用KEY)等多种硬件密码设备为移动终端建立应用安全访问环境, 并使用密码设备中的国产密码算法以及PKI技术为终端以及应用提供链路加密、数据加密、数 字签名等一系列密码安全服务,保障
9、了终端、应用、数据、通信的整体安全。移动安全管理系统由全面的技术核心模块组成,为上层应用系统提供全方位的功能支持,这些 模块包括: 系统安全模块为服务器提供系统级安全监控、扫描、修复和加固,确保系统本身安全接入安全模块针对 VPN、 WiFi、 APN、 LDAP、 Email 等接入系统提供安全的接入配置和管理功能 身份认证模块针对所有网络应用系统以及系统本身提供统一的身份认证功能,支持外部AD认证接口 权限控制模块对用户设备的各项权限如硬件功能、应用类型、网络功能、资源权限等进行统一管理 文件安全模块 系统关键文件数据采用高强度加密算法保护,并进行访问控制管理,避免非授权应用访问 证书安全
10、模块对用户证书、设备证书和系统根证书进行全面管理,包括密钥生成、证书签发、证书推送、证 书注销更新等 应用管理模块 全面管理应用的上架、信息管理、更新、推送安装、卸载、设备应用监控、黑白名单控制等应用行为监控模块针对用户设备中部署的应用行为建立监控和报警机制,防止未授权应用和恶意应用对系统安全 造成影响和破坏用户行为监控模块 针对用户和设备的登记、连接、数据访问等行为建立监控和报警机制病毒查杀模块 在用户移动终端系统提供实时、全面和有效的恶意代码扫描和查杀功能,保护终端系统安全 防盗安全模块确保移动终端不因丢失、损坏等原因造成身份冒用、数据泄露、权限失控,并对失窃设备进行 跟踪和找回 统一配置
11、模块 系统对以上所有技术模块进行统一的配置与管理,同时提供对指定用户和设备进行精细化配置1.2.8.建设收益通过集成部署系统,政府可以快速完成对政务数据、政务设备、政务应用全面综合管理,实现:全面管控政务移动设备为政务数据提供安全保障,防止数据外泄 与政务现有信息系统无缝连接,降低成本 可视化日志审计功能,快速了解整个文档系统的信息 身份认证与接入认证,防止恶意用户入侵高效自动化统一管理,提高IT部门效率1.3.服务提供商总承包单位:PHICOMM ICT 解决方案中心;合作单位:联信摩贝软件(北京)有限公司成立于2008 年,是国内领先的移动安全产品和服务提供商, 公司致力于为政府、企业提供全方位的移动安全产品与服务,帮助用户增强对移动业务安全状 况的监控,同时有效保护移动设备和敏感数据安全,让用户尽享安全无忧的移动业务。公司拥有一支具有10 年以上信息安全产品研发经验的研发团队,并已拥有多项具有自主知 识产权的核心技术。凭借创新的安全设计理念、领先的技术架构,联信摩贝已成为移动安全行 业的领跑者。
