发布时间 : 星期一 文章移动办公安全白皮书V2更新完毕开始阅读21340f00cc175527072208d5
移动办公系统 安全白皮书
目 录
1. 2.
概述........................................................................................................................................... 3 终端接入安全 ........................................................................................................................... 4 2.1. 安全组网方案 ............................................................................................................... 4 2.2. 移动专线与边界防火墙 ............................................................................................... 4 2.3. 多重ACL校验 ............................................................................................................. 5 传输安全 ................................................................................................................................... 6 3.1. RSA-AES内容加密方式 ............................................................................................. 6 3.2. SSL加密信道传输 ....................................................................................................... 7 3.3. SD-Key ......................................................................................................................... 8 存储安全 ................................................................................................................................... 9 4.1. 用户密码安全 ............................................................................................................... 9 4.2. 缓存策略 ....................................................................................................................... 9 4.3. 持久数据存储安全 ..................................................................................................... 10 机制安全 ................................................................................................................................. 10 5.1. 用户名、密码、手机号、SIM卡与手机终端的多重校验 ..................................... 10 5.2. 权限委派与特权升级防范 ......................................................................................... 11 5.3. 炸弹短信 ..................................................................................................................... 11 5.4. 防止密码穷举攻击 ..................................................................................................... 12 5.5. 停用锁止 ..................................................................................................................... 12 5.6. 安全记录 ..................................................................................................................... 12 其他领域成功案例 ................................................................................................................. 12
3.
4.
5.
6.
1. 概述
移动办公系统充分考虑到移动办公项目实施和运行时的各个节点的攻击可能性,移动办公系统从接入,传输,存储,机制等四个方面组织了十数种安全策略,客户根据安全级别要求可以自由的选取相关的安全策略以保证客户实施移动办公的安全性。
下图展示了移动办公系统对系统接入各节点的主要安全策略。
移动侧SSL通道加密Secure-TFAES数据加密服务器存储安全防护炸弹短信客户侧SSL或VPN接入GGSN网元【GPRS网关】停用锁止独立物理专线手机终端SD-KeyBASE【基站】GPRS专线防火墙移动办公服务器接入防护防穷举攻击HTTP连接一般业务系统(或数据暂存池)SOCKET连接【POP3/SMTP】Mail Server防火墙网闸手机号访问控制手机存储安全防护接入防护物理隔离移动设备访问控制安全审计专网系统
2. 终端接入安全
2.1. 安全组网方案
移动侧CA企业/政府侧HTTP连接一般业务系统(或数据暂存池)SOCKET连接【POP3/SMTP】Mail ServerMIP防火墙网闸GGSN网元【GPRS网关】物理专线手机终端BASE【基站】GPRS专线防火墙开放移动办公手机端端口 SMC【短信网关】可发出激活短信Radius身份认证【APN白名单】专网系统
上图是移动办公系统处于含专网的客户化网络的可能性组网
方案。我们有如下假设:
A.客户的Internet出口安全性不在本组网体系的讨论范围之内。客户网络系统与外界的唯一出口为GPRS专线。 B.移动侧的内网安全性不在讨论范围之内。
C.病毒防护,IDS等基础网络控制要素不再讨论范围内。 网络组网遵从如下原则:
A.网络边界做到逻辑隔离,防火墙均仅开放有限端口。 B.专网与移动办公服务器所在区必须物理隔离。
2.2. 移动专线与边界防火墙
由移动运营商直接将物理线路(例如光纤)从移动机房接入点接