移动电子政务

斐讯斐讯ICT解决方案与服务 版本1.36PagePage#of6移动电子政务安全解决方案11 服务目的如面对如此众多的移动终端，在多平台统一管理、资产管理、安全策略、应用管理、内容管理、进程协助等方面，亟需有效管理办法，来保障业务有效运营。同时越来越多的移动智能终端将承载生活、工作、交易的很多敏感信息，所以必须考虑随之而来的病毒、系统漏洞、设备遗失等安全风险，保证最大限度的保证移动终端在今后使用中的信息安全。服务内容总体解决方案移动电子政务安全解决方案是集移动设备数据安全、网络链路接入安全、移动设备安全管理功能于一体的系统，为移动设备上安装的移动政务业务系统提供全方位的安全保障服务。负责对网络接入、网络访问的用户、终端、业务、应用等的安全认证及网络访问控制；负责对移动终端上政务数据的安全防护；负责对保存政务信息的移动设备系统进行安全防护。系统提供所需安全管控接口、提供必要的移动设备安全管理功能及服务政务数据安全保护在移动终端上保存着大量的政务信息，如何建立有效的数据安全体系，保障移动数据的安全，成为移动电子政务建设面临的首要问题，在移动设备中如何去建立政务数据和个人数据的有效隔离，成为移动电子政务建设的重点，在BYOD模式下，移动终端混乱的保存着大量的个人数据及政务数据，开发的设备环境为政务数据带来的前所未有的安全威胁。针对以上情况，建立政务数据隔离区，与个人数据进行隔离，是移动电子政务的强烈安全需求。对隔离区数据进行安全加密，禁止隔离区外的应用程序、系统程序进行非法越权访问，隔离区负责边界保护，防止入侵行为的进行，并对所有入侵行为进行有效的记录。并且对保存在移动终端上的数据进行加密保护等其他安全措施，通过多维度多层次的安全体系，保障政务数据的安全。网络链路安全保护在网络链路层，使用专属移动设备接入网关，在接入VPN的承载网络上，建立应用层VPN通道，实现双重安全保障。即使用Per-AppVPN技术，使每个应用的VPN通道互相独立，减少应用VPN通道被监听或攻击后对应用系统造成的威胁范围。并且通过VPN使移动设备安全接入到政务内网，通过链路保护，将传输于网路中数据进行SSL通道的传输，对数据进行链路层及数据层的安全保护。防止数据的恶意外泄。并且政府机关可以与运营商建立专属的APN专线，用于传输政务数据。建设移动电子政务专网，移动终端通过移动数据专用网络访问部署在政务网上的业务应用，具有很高的数据安全性和传输速率。移动设备安全管理在移动电子政务建设的过程中，需要设备安全管理系统提供强大的应用层管理，对移动设备、使用移动设备的用户、移动设备上安全的应用程序等进行全面管控。对设备的配置实施空中推送，可远程操作设备及推送政府消息，获取设备的多种设备详细信息等；可对设备的功能性权限、应用程序权限、安全性和隐私权限进行配置、可与政府原有的Exchange、LDAP等信息进行无缝连接，支持配置政府WiFi、APN、VPN等数据；阻止未经授权、未受保护以及存在安全隐患的设备渗入系统，采用公钥基础设施及双重身份认证，阻止恶意程序的破坏，规范设备行为，保护政府信息系统安全；对设备的可疑操作进行报警信息上传，可获取设备的违规操作行为。对安装在移动设备中的应用程序进行严密监控，支持应用程序黑/白名单策略，支持对系统自带的应用商店进行权限的设置，阻断恶意程序的来源，保证应用程序的合法与可控；支持对移动终端内的应用程序的远程安全、远程移除、远程更新；搭建政府内部应用程序商店，应用程序不需经过操作系统商（苹果、谷歌）进行审核，可直接推送给政府员工。数据安全隔离技术系统部署应用VFS技术方案，可以实现较高级别的加密保护，有效抵抗数据分析与破解，同时对上层应用接口又能提供透明的文件访问协议，提高开发效率。

图表3：数据安全隔离技术部署方式1.2.6. 移动接入网关L*知户入SaaS1.2.6. 移动接入网关L*知户入SaaSWebMobileDataMSASVPN 后台应用系统的.<1100101SSL3nan'L-JiSSL3'JU图表4：移动接入网关凭借跨平台内核的二次代理技术，移动安全接入网关通过部署在移动终端的移动安全客户端组件可为移动应用提供多种安全接入模式。iOS和Android终端采用基于终端网络权限限制而特别设计的二次代理安全接入模式，保障任何现有应用和针对移动终端定制的客户端类应用只需修改访问地址即可实现安全接入；针对因使用了Windows控件技术而无法在iOS和Android终端访问的特殊应用，可使用应用虚拟化发布的模式进行移动应用的安全接入。Windows平台可使用反向代理和全网接入模式，保障不同业务环境和应用的安全接入需求。移动安全接入网关作为移动互联网与政府移动应用平台的桥梁和纽带，通过单一端口进行安全访问，在最小网络暴露前提下实现了移动应用的安全接入，通过使用国产密码算法建立国密加密通道，保障数据传输的安全，避免传统安全接入使用通用算法（DES、3DES、AES等）因易于破解而带来的数据丢失、篡改隐患。移动客户端安全组件可结合USBKEY密码机、TF卡密码机、Dock密码机（苹果专用KEY）等多种硬件密码设备为移动终端建立应用安全访问环境，并使用密码设备中的国产密码算法以及PKI技术为终端以及应用提供链路加密、数据加密、数字签名等一系列密码安全服务，保障了终端、应用、数据、通信的整体安全。图表8：移动安全管理系统技术架构移动安全管理系统由全面的技术核心模块组成，为上层应用系统提供全方位的功能支持，这些模块包括：系统安全模块为服务器提供系统级安全监控、扫描、修复和加固，确保系统本身安全接入安全模块针对VPN、WiFi、APN、LDAP、Email等接入系统提供安全的接入配置和管理功能身份认证模块针对所有网络应用系统以及系统本身提供统一的身份认证功能，支持外部AD认证接口权限控制模块对用户设备的各项权限如硬件功能、应用类型、网络功能、资源权限等进行统一管理＞文件安全模块系统关键文件数据采用高强度加密算法保护，并进行访问控制管理，避免非授权应用访问＞证书安全模块对用户证书、设备证书和系统根证书进行全面管理，包括密钥生成、证书签发、证书推送、证书注销更新等＞应用管理模块全面管理应用的上架、信息管理、更新、推送安装、卸载、设备应用监控、黑白名单控制等＞应用行为监控模块针对用户设备中部署的应用行为建立监控和报警机制，防止未授权应用和恶意应用对系统安全造成影响和破坏＞用户行为监控模块针对用户和设备的登记、连接、数据访问等行为建立监控和报警机制＞病毒查杀模块在用户移动终端系统提供实时、全面和有效的恶意代码扫描和查杀功能，保护终端系统安全＞防盗安全模块确保移动终端不因丢失、损坏等原因造成身份冒用、数据泄露、权限失控，并对失窃设备进行跟踪和找回＞统一配置模块系统对以上所有技术模块进行统一的配置与管理，同时提供对指定用户和设备进行精细化配置建设收益通过集成部署系统，政府可以快速完成对政务数据、政务设备、政务应用全面综合管理，实现：全面管控政务移动设备为政务数据提供安全保障，防止数据外泄与政务现有信息系统无缝连接，降低成本可视化日志审计功能，快速了解整个文档系统的信息身份认证与接入认证，防止恶意用户入侵高效自动化统一管理，提高IT部门效率1.3. 服务提供商总承包单位：PHICOMMICT解决方案中心；合作单位：联信摩贝软件（北京）有限公司成立于2008年，是国内领先的移动安全产品和服务提供商，公司致