SIM 卡在网络安全管理中的应用

编者按： 本文结合笔者单位的SIM 卡身份认证业务需求及方案设计，介绍了如何通过以强身份认证为入口，不断丰富应用场景，如敏感数据操作及权限金库审批，敏感文件下载签名或水印、办公系统审批及签名等，实现SIM卡为IT 系统安全管理赋能。

随着现代企业数字化转型的推进，企业IT 环境发生了巨大改变，如何实现更灵活、更安全的企业用户身份认证和管理，更精细化和更安全高效的授权、审批及访问控制，是当下各企业在安全管理方面亟需解决的难题。

基于SIM 卡的安全芯片，结合PKI 非对称加密技术，可为用户提供高安全性的认证、审批和数字签名服务，通过与企业IT 系统结合，可助力企业提升账号管理、身份鉴权与准入、自动化安全运维运营、敏感文件防泄漏及互联网暴露面资产防护等方面的安全管控能力，实现安全、高效的管理目标。

本文通过SIM 卡与企业安全应用的集成，致力于实现便捷的基于数字证书的主账号强认证，提升IT 支撑系统认证强度，并探索无密码认证机制，防范密码泄露风险；基于统一认证取号和SIM 卡证书校验能力构建“统一安全网关”，杜绝未授权访问，实现互联网暴露面的安全防护和移动办公的统一接入管理；基于SIM 卡手机端的便利，实现安全快速的各类流程审批，减少人力成本，提高数据安全管控能力。

当前网络安全防护的不足

目前，大部分企业都还是采用传统的网络分区和隔离的安全模型，用边界防护设备划分出企业内网和外网，并以此构建企业安全体系。这些系统或设备在企业的信息化安全管理中发挥着重要的作用，但依然存在不少安全问题。

1.认证的安全性及效率问题。目前大部分企业用户采用口令、短信或UKey 认证的方式进行平台登录，其中口令认证存在弱密码、撞库及爆力破解等安全风险，短信认证方式存在诸如短信劫持攻击以及短信网关不稳定性问题；Ukey 认证使用过程复杂，影响平台的登录效率。

2.自动化管理过程缺乏及时性。目前多数企业的自动化管理基本依托流程和工单系统实现，但在实际安全生产中存在诸如工单审批过程滞后，无法实现金库审批等流程化管控需求。

3.互联网暴露面资产缺乏统一防护。随着公司IT系统逐步实现移动化办公，形成了大量暴露面，给安全防护带来困难。

SIM 卡登录认证

SIM 卡登录认证利用SIM卡快捷认证的能力，通过整合SIM 卡与原有系统的认证模块，实现手机号码的一键登录，可有效解决前文所述认证方式的不足，提升系统身份鉴别与登录认证能力。

本文以企业IAM（身份识别与访问管理）系统举例进行集成方案说明，SIM 卡认证与IAM 集成逻辑架构图如图1 所示。

1.内网区域

保持IAM 系统与各类支撑系统原有结构不变。

2.DMZ 区域

部署IAM 系统前置机，主要用来与SIM 卡平台进行数据交互，包括身份认证、数字签名和各类审批等信息，IAM前置部署的方式不影响IAM系统及管控的各系统部署结构及安全防护。

3.Internet 区域

SIM 卡平台和SIM 卡 手机端通过互联网连接，IAM 系统前置机与SIM 卡平台对接，通过防火墙控制，仅开放与SIM 卡平台连接，同时采用传输加密，确保数据传输过程的安全性。

SIM 卡快捷认证解决了用户难以记忆账号和复杂密码以及密码易泄露的痛点，带来更好的用户体验。同时，由于其对下发验证码信息加密，加密信息到达终端后由SIM 卡卡应用解密并通过STK 界面将短验展示给用户，通过提供“传输过程信息加密”和“防止手机病毒截获”双重保障，可有效防范伪基站2.0 等短信嗅探风险，有效避免木马拦截和篡改，从而带来更好的安全性。并且，因为用户随身携带手机，方便接收信息，体验更好。

图1 SIM 卡认证逻辑架构图

暴露面安全防护

移动化办公为企业带来大量的互联网暴露面资产，这些IT 资产存储大量的企业机密和用户敏感数据，极易遭受黑客攻击。该技术通过在系统前置部署安全网关，提供基于SIM 卡的网络鉴权准入和集中安全防护，可实现系统和未授权用户的网络隔离，从而极大地降低安全风险。

借助网关取号、SIM 卡认证能力构建统一安全网关，在各IT 系统、App 后台系统前置部署集中接入，统一安全网关通过反向代理统一出口，大量IT 系统可以取消原本为移动端访问而打开的互联网暴露面，从而尽可能地避免被搜索引擎或端口扫描工具发现及渗透测试。

通过应用系统改造与安全网关单点登录对接，安全网关基于网关取号及SIM 认证进行身份鉴权和网络访问控制，既实现非授权用户与系统网络隔离，又消除原系统的账号密码机制，规避账号口令安全问题。

同时，在安全网关前置IPS 和WAF 等安全防护系统或设备，进行统一安全防护，集中建设，集中运维，避免木桶效应，低成本提高多个系统的网络安全防护能力。

自动化运维安全管控

为提升生产效率，现代企业都在大力推行自动化运维。自动化运维在给企业生产带来便捷，提升产能的同时，也存在不少安全隐患。

例如，缺少安全管控机制，存在未授权的非法操作，导致文件删除，敏感数据泄露，服务器宕机等生产安全事故；自动化批量操作场景中的高风险，比如操作对象、操作步骤及操作指令等在未经确认和审批情况下被执行，导致故障率增加；企业及用户敏感数据访问方面缺少严格的控制措施，诸如权限划分不清晰，操作与授权不分离等，导致非法高危操作被执行，从而引发数据安全问题。

利用SIM 卡的安全认证、审批及数字签名能力，可解决企业上述安全问题。

在安全管控方面，通过操作与审核分离，双岗操作，一人操作，一人检查（SIM 卡审核）结果，验证通过才产生实际有效的系统操作，确保操作的准确性和规范性；在批量操作方面，通过对操作时间、操作对象、操作步骤和操作指令进行明确提醒并审批，防止出现大量设备故障不可用的情况；在用户敏感信息及数据管控方面，通过SIM 卡数字签名授权，谁签名谁负责，防止非法高危操作，确保所有敏感操作都有严格的控制，多人完成，各司其职，分权制衡，实现操作与授权分离，保障数据安全。如图2 所示。

图2 SIM 卡操作审批演示

结语

基于SIM 卡实现IT 系统安全管理，在便捷性、安全性和示范性等方面带来良好的收益。

1.提高系统的认证及审批便捷性。以SIM 卡替代U盘，升级了硬介质，实现传统U 盾的线上化、个人化和移动化。SIM 卡与IAM 结合，提高了认证介质携带和使用的便捷性，简化IAM 系统流程审批的操作，提升工作效率。

2.提升系统的安全管控能力。将SIM 卡的数字签名等技术融入IAM 系统等安全管控业务，实现流程审批责任到人，加强对敏感文件管控及审计溯源。

3.降低安全建设投入成本。SIM 卡是中国移动基于NFC USIM 卡的安全芯片，结合PKI 非对称加密技术，提供安全防护的认证服务。其成本较动态令牌和UKey 等认证方式更低，基于SIM 卡的流程审批也将减少人力成本。

4.为其他业务结合SIM卡应用提供示范性参考。通过SIM 卡与安全业务的结合建设，可以为其他业务系统采用SIM 卡实现业务过程涉及的审批及签名等场景提供参考。