随着现代网络与信息技术的飞速发展,企业信息化建设均得到长足的进展,在硬件、软件方面都进行了巨额投资。硬件方面基本建成骨干网络万兆、桌面千兆的企业内部以太网络;应用系统建设方面绝大多数企业都进行了办公自动化系统、企业资产管理系统、实时监测系统、人力资源管理系统、财务系统、档案管理系统等的建设,应用系统日臻完善,在企业的生产经营管理中发挥着越来越重要的作用,对企业的现代化、规范化管理起到重要的促进作用,为企业上网打下了坚实的信息化基础。
然而,企业普遍存在人员编制有限,工作日益繁重,经常参加各种会议和出差,经常造成大量工作“积压”在信息系统中等待处理,紧急重要的工作常常被审批流程“催着”走;而且,许多待办工作又不得不进入企业内网处理,离开企业办公室则无法处理,让企业各级员工,特别是企业高层管理人员无法适从,同时也给信息专业工作人员带来极大的挑战。
在此背景下,为了实现企业对日常办公、生产、管理的及时响应,实现随时随地的办公支持,实施移动办公解决方案就非常有必要了。本次安全移动办公平台根据工作实践,对企业移动办公解决方案实现进行了详细分析。
泰然神州安全移动办公平台设计目标是落实GB 17859-1999对二级和三级系统的安全保护要求,满足二级和三级系统在自主访问控制、身份鉴别、客体重用、审计、数据完整性五个基本属性的安全需求。安全移动办公平台以系统安全审计和数据安全为核心,通过增强的身份鉴别、更细粒度的自主访问控制以及客体重用等安全机制,使系统具有核查安全事件等基本安全保护能力。
通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设;为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。使得搭建安全移动办公平台建设方案最终既可以满足等级保护的相关要求,又能够全方面为信息资源共享提供立体、纵深的安全保障防御体系,保证信息系统整体的安全保护能力。安全移动办公平台设计目标如下:
满足等级保护标准,实现双网隔离;
外网访问需求,在安全、符合等保要求的前提下实现便捷访问;
双网不会失效,仍然要实现强安全隔离的状态;
防止数据泄露、数据贯通、病毒木马入侵。
泰然神州的安全移动办公平台方案核心设计思想采用虚拟应用技术,分离了应用的使用平台和运行平台,因此手机和移动终端从应用运行设备变成纯粹的输入输出设备,通过无线网络远程运行和操作Windows或Unix平台的各种应用和服务,从而实现了用户的移动办公需求。核心设计思想如下:
`基于协议跳转的跨网访问模式,实现安全模式下,便捷的移动办公访问;
`应用虚拟化技术解决应用数据不落地,保证内网信息不会泄密到移动客户端;
`解决移动办公人员能够访问正常访问授权的系统,并对移动办公人员客户端和整体的系统安全策略进行技术优化,保证接入点安全、高效、稳定的使用公司各种业务系统。
方案拓扑图
安全移动办公平台安全思路及策略:
` 经公安部、国家信息安全评测中心、国家信息中心、国家电监会专家共同论证;
`符合国家信息安全等级保护相应等级的防护要求;
`完整的安全技术架构:双因素CA认证、防火墙、VPN通道、应用虚拟化、安全网闸、全程录屏审计。
综合考虑安全移动办公平台网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,参照等级保护二级和三级的要求进行安全建设和管理规划。坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。