【51CTO.com综合报道】
1.海关简介
中华人民共和国海关是国家进出境监督管理机关,实行垂直领导体制。基本任务是出入境监管、征税、打私、统计,对外承担税收征管、通关监管、保税监管、进出口统计、海关稽查、知识产权海关保护、打击走私、口岸管理等主要职责。海关总署是中华人民共和国国务院下属的正部级直属机构,统一管理全国海关。
2.海关总署信息化现状
在 "十二五"发展规划和电子政务发展规划的指导下,海关总署机构的电子政务发展取得了长足的进步,各级政府部门的主要业务系统数字化、网络化的应用起到了重要作用。如何能够更好的利用现代化的电子政务平台提高政府工作效率、提高管理决策的质量、提高网络资源的覆盖面以及快速事务处理的能力等问题,是目前电子政务发展的趋势;而在该发展趋势下解决移动终端安全接入的问题是最首要和迫切的问题!
3.面临风险
海关总署早期的信息安全工作把防护的重点放在内网终端计算机和网络边界防护方面,而忽视了移动智能终端接入后的政务办公而带来的安全风险;并且由于无线通讯传输的开放性及灵活接入性,使得敏感信息在移动终端接入的身份认证、数据传输、安全访问控制等环节都存在不同程度的安全隐患。
4.海关总署移动办公安全需求
1)能通过手机访问内部应用
随着手持终端与电脑的融合化,海关总署越来越多的领导和员工希望通过智能手机终端实现实时办公,能随时随地接入内部资源,有效安全的访问OA协同办公平台等内部核心应用系统,了解实时各关口信息,以提高决策效率和迅速进入决策流程。
2)移动接入终端身份安全
基于运营商公用基础通讯网络的接入,如何确保海关总署移动终端接入身份合法、安全和有效性?
3)移动终端接入后的数据传输安全
海关总署内网应用系统承载国家重要秘密信息数据,如何确保和规避移动手机终端基于运营商基础通讯网络接入后的网络传输风险?
5.Chinasec移动安全接入方案在海关总署中的应用
Chinasec移动安全接入方案为海关总署移动终端用户的接入、传输、通信和应用提供了一条安全通道,利用中国电信VPDN的基础通信网络资源,实现对海关总署各移动手机等智能终端,随时随地的安全接入海关总署内部OA、CRM等系统。根据海关总署移动办公的业务系统现状,Chinasec移动安全接入方案系统架构图如下:
< 海关>-Chinasec移动安全接入平台系统架构图
Chinasec移动安全接入方案由移动客户端、移动安全接入网关两部分组成,移动客户端由加密卡和客户端软件组成;方案具体实现功能如下:
5.1 身份认证安全
海关总署智能手机终端使用安全TF卡(存放个人数字证书和签名私钥)作为身份识别载体,移动安全接入网关和安全TF卡进行双向的证书认证之后,才能建立安全连接,从而保证用户身份的合法性,否则根本无法接入网关,无法使用移动终端功能。
5.2 数据传输安全
海关总署移动办公用户使用移动终端通过上网(TCP/IP)方式获取海关总署内网信息网资源(如OA等)需经过移动安全接入网关验证访问者的身份,阻止非法用户的进入(防止入侵和攻击),并为合法移动用户建立安全通信隧道,保证移动终端与后台网络之间的数据在公网路段上传输的安全。
海关总署移动安全接入方案中的数据链路通信安全通过采用安全的密钥管理方案,并采用SM1加密算法实现数据加密封装传输实现了通信过程的机密性和完整性。该密钥管理方案通过了国家密码管理局专家的安全性审查,认定为可靠、安全的密码管理方案。
5.3 应用访问安全
应用安全通过两层实现,第一层是基于Chinasec移动接入网关在网络接入层的终端接入的安全身份认证,第二层是接入终端对应用系统的访问,应用系统提供的应用安全措施,能够实现应用层次的用户认证和授权管理;并且通过对应用层用户的识别和权限管理,两层安全认证和控制确保海关总署移动终端接入的安全访问和可靠性。
6.Chinasec方案特点和优势
本方案针对移动终端安全接入需求,通过引入安全加密卡技术、IP隧道加密技术等手段,有效满足了需求,解决了移动终端接入过程中的泄密、身份仿冒等威胁,实现了多层可信的安全防护;
1)首先是移动访问用户的认证问题:在本方案中通过硬件认证手段,确保了移动终端的强身份鉴别,只有确认为合法的用户,方可与海关总署内部信息网络建立起通讯隧道;
2)解决抵赖的问题:认证成功后在移动办公人员进行远程访问的过程中,利用其数字证书(私钥)对其访问数据包进行加密,相当于把身份信息与访问信息整合,从而有效防范抵赖的现象;
3)远程通信过程中的泄密和数据篡改问题:利用IP隧道加密技术,保障了远程通讯过程中的机密性和完整性,防止泄密和篡改的攻击行为。
4)Chinasec移动安全接入方案采用高可靠度的电信级硬件平台,支持手机、PDA、无线笔记本等多种移动终端接入 ,尤其是针对手机和PDA设备的安全接入管理,在国内移动安全领域具有绝对的技术先进性;支持SM1/SM2/SM4等国密算法,安全性高。
5)支持 Windows Mobile 、Symbian、Android、Win CE、IOS等智能手机和平板电脑的操作系统的,跨平台性强 ;