1. 方案背景

随着Internet技术和移动技术的不断发展，越来越多的政府机关已依托互联网组建了自己的网上办公系统与业务应用系统，多数单位也已应用了移动APP使移动办公成为可能。

在此过程中，如何解决基于开放系统互联下的移动办公数据及文件的安全性、个人身份认证、以及网络数据传输的安全性成为政府机关首要考虑的迫切问题。

2. 安全需求分析

根据政府机关对网络信息系统建设的需要，在实现移动办公安全接入的同时，结合国家政策对相关网络通讯协议和加密算法的要求，其安全接入需求主要如下所述：

（1）业务系统机密数据安全保密性需求

在移动办公或移动业务操作过程中，因终端的种类较多，有各种移动PC、移动平板和移动手机，对于办公系统或业务系统的敏感机密数据的安全保密性要求较高。要保障这些数据对移动终端是隔离的、安全的，并且不在移动终端设备上存储敏感机密信息（一旦存储即存在被窃取或主动/被动数据泄露的可能）。

（2）网络通讯协议及加密算法的合规性需求

网络传输通讯协议必须符合国家密码管理局颁布的相关国家技术标准，符合《SSL VPN技术规范》的要求。

加密算法必须使用国家密码管理局颁布的加密算法。对数据加密的对称算法应使用SM1或SM4算法；用于证书认证的非对称算法应使用SM2算法，摘要算法应使用SM3算法。

（3）移动设备、网关设备与用户的管理与安全性需求

对所有移动设备、网关设备和移动用户采用统一、严格的身份认证和集中管理；需实现实时监控网关设备及用户工作状态，并进行详细日志记录；对移动设备上的用户操作进行详细记录；整个系统安装方便、快捷，便于维护和管理。

3. 方案综述

3.1 移动办公安全解决方案说明

根据政府机关的移动办公及移动业务操作的实际需求，我们采用经国密局鉴定通过的VPN密码机、支持SM2证书的CA服务器，以及虚拟手机服务器的组合应用解决方案，解决政府机关在移动办公及移动业务操作过程中的数据及文件的安全保密、网络传输安全保密、人员身份认证、设备集中管理及访问控制等。具体的网络拓扑图及解决方案如下（本方案旨在表述“移动安全接入”，整体完备的信息安全解决方案不再此表述）：

图 3 1移动办公安全解决方案网络拓扑图

在政府机关内网的互联网出口处部署高端IPSEC/SSL VPN综合网关作为安全接入网关。VPN密码机内置硬件加密卡，支持SM1、SM2、SM3、SM4等国产密码算法，符合国密局VPN技术规范要求。同时，VPN综合安全网关集成的防火墙功能可进行网络访问控制及网络安全防护。VPN综合安全网关对移动用户提供统一的基于SM2证书的身份认证、访问授权及隧道通讯服务。当用户通过身份认证后，根据其角色确定相应的访问控制列表，并向终端推送授权的虚拟手机设备连接配置以访问不同的业务系统。

在政府机关内网部署CA服务器，为所有移动用户签发SM2算法的证书，使用证书方式对移动用户的远程接入进行身份认证。CA服务器需符合国密局《SM2数字证书规范》。

在政府机关内网部署虚拟手机服务器，提供虚拟手机池为移动用户接入使用。支持虚拟手机设备的统一管理，移动应用的统一管理，移动用户使用虚拟手机的行为安全策略管理。可根据策略让虚拟手机池中的虚拟手机设备安装不同的应用，根据角色分配虚拟手机设备的连接配置，虚拟手机服务器符合等保要求中对移动信息系统建设的要求。

移动用户在平板、手机上安装安全虚拟手机客户端，在使用SM1或SM4算法加密的隧道中连接虚拟手机池中的虚拟手机来进行远程安全接入访问，使用写入SM2证书的安全TF卡进行身份认证。移动用户在移动PC终端上安装SSL VPN客户端，在使用SM1或SM4算法加密的隧道中连接内网的RDP服务器的远程桌面或应用进行远程安全接入访问，使用写入SM2证书的USBKey进行身份认证。安全TF卡及USBKey均自带加密芯片，支持SM1、SM2、SM3、SM4国产加密算法。

部署方案设备清单：

天融信安全接入网关 SSL-VPN

天融信安全虚拟手机平台 Top-SVP

国密CA

国密USBKey、安全TF卡

3.2 移动办公安全解决方案优势及特点

（1）移动办公应用及业务的数据和文件与个人终端彻底分离，在个人终端数据0留存，个人终端上看见的仅是图像，而工作数据及文件集中在政府机关内部数据中心。

数据在内部网络存储，易于机关单位集中防护；

手机端只展示虚拟手机画面，0数据留存，手机丢失也不用担心数据流失；

工作场景数据在内网备份，更换手机后可快速恢复工作环境。

（2）政府机关相关的移动应用始终在内网运行，外网的移动终端上仅传输屏幕图像和触控操作。

无需担心网络安全攻击造成的数据泄露，即使被拦截获取，也是一些加密的图像数据，无意义；

对移动设备的网络攻击（恶意WIFI，ARP、DNS欺骗等），木马病毒等无法威胁到运行在企业内网的移动应用； 

拷屏操作将被系统审计机制记录并报警。

（3）运维简单：政府机关相关的移动应用在内网统一管理、部署、升级，无需对移动用户的移动设备进行复杂管理。

（4）移动设备兼容性好，安全虚拟手机客户端可在主流的Android手机、平板上运行。

4. 应用案例

某信息中心为实现移动办公及移动业务操作，提出需求，既要能方便地进行远程移动办公和移动业务操作，又希望工作数据在个人的移动终端上的安全性要得以保障。

根据某信息中心的需求，我们在信息中心网络的互联网出口处部署了高端SJJ1209 IPSEC/SSL VPN综合安全网关，用于移动用户的远程安全接入。在信息中心内网中部署了虚拟手机服务器，提供虚拟手机池，其中的虚拟手机为远程接入的移动用户提供办公APP和业务APP来进行远程办公和业务操作。在需要进行移动办公和移动业务操作的移动终端上安装安全虚拟手机客户端及写入了SM2证书的安全TF卡，移动终端使用安全TF卡内的SM2证书进行身份验证，并与VPN网关建立国密隧道，通过国密隧道访问虚拟手机池内的虚拟手机进行远程移动办公和移动业务操作。

对于信息中心而言，我们提供了一个集中化的易于维护和管理的高效工作平台，所有的虚拟手机都托管在信息中心内网数据中心服务器上由管理员统一维护管理，管理员对信息中心的移动办公应用进行统一的发布管理，对安全漏洞进行统一的处理应对。同时移动应用和数据均不离开数据中心，始终限制在内网，与外网完全隔离，移动终端设备零数据留存，只是展示操作画面，工作数据安全得以保障。

对于移动用户而言，通过安全虚拟手机客户端，可以随时随地通过安全的国密隧道访问信息中心分配给自己的虚拟手机，进行移动办公和移动业务操作，大大提升工作效率。并且安全虚拟手机客户端只是一个展示远程虚拟手机画面的瘦客户端软件，不会对移动用户手机进行强有力的管控，信息中心在确保移动办公信息安全的同时又很好的兼顾了移动用户个人隐私。

北京天融信网络安全技术有限公司

 联系人：罗元

 电  话：13810670323