机关单位移动办公安全接入与实现研究.docVIP

精品论文 参考文献 机关单位移动办公安全接入与实现研究 河北省铁矿产品批发市场服务中心运行监测处 赵建铭 　　摘要：网络技术快速发展，移动办公模式将成为未来工作的主流。然而，由于无线公共网络本身就缺乏足够的加密条件，这使得移动办公的安全性问题也受到极大的挑战。本文主要是针对机关单位移动办公安全接入与实现进行研究，研究的意义在于在现有的无线网络系统的基础上，通过固定通信标准和通信协议，只仅仅改变相应的安全接入系统，从而实现机关单位移动办公安全的接入。 　　关键词：移动办公模式；无线公共网络；机关单位；移动办公安全接入技术 　　一、前言移动办公安全方面的发展趋势必须满足等级保护的基本规范要求，必须符合我国密码管理规范。现今由我国沈昌祥院士为代表的著名信息安全专家提出的三部件安全体系架构已得到国内外专家学者的认同。 　　传输安全是机关单位移动办公安全接入的需求主要体现，同时还存在网络边界划分要明显和网络边界相对应的安全保障措施以及适合我国密码管理策略的密码算法配置，支持多种安全接入方式，支持主流通信手段，支持的终端形式包括，安全特性可配置管理。 　　二、移动办公安全接入移动办公安全接入技术属于自防御网络架构的最重要组成部分。其中最具有代表性的移动办公安全接入技术有：VPND技术、APN 技术以及NAC 技术，NAP 技术以及TNC 技术等。 　　VPND 技术和APN 技术均是VPN（虚拟私有网络）技术。 　　均是利用隧道技术，对网络层实行加密以及采用口令保护身份验证等实行网络的安全接入。但VPND 技术是在PDSN 和机关单位之间建立二层链路隧道，它仅考虑了传输的安全，对终端安全基本没考虑。APN 和VPND 类似，但APN 技术是由GGSN和企业网关设备建立第三层安全隧道。 　　NAC 是网络接入控制，它是通过网络的基础设施强制那些希望获得网络计算资源的设备在安全策略上的保持一致性。 　　NAC 存在技术上的缺陷，在使用过程中有可能遭受终端计算机传播的恶意病毒，从而使得整个网络安全体系受到危害。网络接入保护NAP 和NAC 一样，也在技术上存在无法克服的缺陷，使用过程中也会受到终端计算机传播的恶意病毒，危害整个网络安全体系。 　　虽然可信网络连接TNC，克服了NAC、NAP 未关注的关于终端可信的缺点的问题，但TNC 仅仅关注的是对接入终端的机关单位信息的完整性的验证，并没有考虑假如策略执行点遭受到攻击以及破坏时的一些安全性的问题。 　　综上所述，本文采用VPN 技术与移动办公终端安全加固相结合的安全接入策略，这样，既能够保证安全的传输通道，也可保证安全的移动办公终端。 　　三、机关单位的移动办公安全机关单位是通过无线移动网络进行延伸信息的应用，安全需求主要表现在：安全的应用域和用户域以及安全的可配置管理。 　　1、三重防护的安全体系结构三重防护安全体系架构包括：安全接入网关、移动代理服务平台和安全认证管理平台以及：移动安全终端四个部分。 　　各部分功能如下：移动安全终端可以实现对现有的操作系统进行安全增强，强制访问控制等，也可以实现操作系统的机密性和完整性的安全；安全接入网关能确保信息不会被恶意的窃听和篡改；移动代理服务平台（安全交换平台），能实现流入与流出的机关单位信息的安全监测，可增强系统的强制访问功能，保证机关单位移动办公安全接入的环境安全；认证管理服务平台可实现对移动代理服务平台、安全接入网关的安全机制以及移动安全终端实施集中管理，最终保证机关单位移动办公环境的安全。 　　2、机关单位移动办公安全的接入VPN 技术的系统支撑平台是在安全操作系统上，并在此基础上实现：对操作系统实现最小化的裁减工作；将机关单位移动办公安全接入技术用不到的系统关闭，将其有限化，进而剔除一些潜在的安全隐患；修改核心模块，并严格的控制IP 包流向以及与网卡的所对应关系；增强内核，实现安全协议无缝的接入到内核中。 　　机关单位移动办公安全接入的VPN 网关的主要功能模块时：应用部分的策略管理和密钥交换、核心态的加密库模块、数据报文封装模块和加密卡驱动，图1 为机关单位移动帮安全接入VPN 网关的组成框图： 　 　　策略管理首先是从安全管理中心下载相应的安全策略，然后确定IPSec 的算法、设定密钥协商以及设定存储位置。密钥交换是一个服务运行，它的目的是实现用户的管理配置命名的处理以及对对方设备进行密码协商、同时还有对密钥载荷的加密处理。 　　密钥库模块可以实现如下的功能：可以实现完整安全协议、维护策略库和安全联盟。报文封装模块实现安全协议处理。由维护安全联盟得到加密算法和密钥，进而对数据包实行组织，并把要进行加密的报文和加密密钥等传送到加密卡进行驱动，有加密卡完成加密的报文的解密操作。 　　加密卡驱动，首先需要初始化，然后加密卡负责解释和执行机