浅谈移动办公平台安全架构设计

王真虎

（山东省农村信用社联合社，山东 济南 250013）

1 IT 基础设施安全

IT 基础设施是移动办公平台构建安全架构体系的重要环节，它通过物理的方法和技术，保障机房、主机、网络和存储等基础设施的安全。

IT 基础设施安全主要防范各种自然灾害（防火、防水、防雷击、抗震等），防止非法操作、人为入侵以及信息的丢失、泄露和破坏等。因此需要从IT 基础设施方面为移动办公平台提供安全可靠的运行环境和条件。

考虑到移动办公平台安全的特殊性以及影响力，同步建设同城容灾，确保当移动办公平台生产中心发生灾难或故障，可以利用同城容灾中心来保证应用系统的安全，在移动办公平台发生灾难时，可以通过同城容灾中心恢复生产，保证业务的连续性。

（1）完整性：灾备系统的数据必须与移动办公平台生产中心的数据保持高度的一致性，该系统是对移动办公平台的完全备份。灾难发生后，原有生产中心与灾备中心之间的相互切换应尽量避免造成数据的丢失及损毁。

（2）准确性：灾备系统存储的数据必须能够完全替代移动办公平台生产中心数据进行后台支撑，确保客户端数据核查的正确性。

（3）及时性：灾备系统作为移动办公平台处理连续性的有效保证，必须确保数据的快速恢复达到恢复点要求，在最短的时间内接管并替代原生产系统，恢复正常业务处理。

（4）扩展性：灾备系统建设应该提供可扩展的数据备份功能，以适应移动办公平台的不断发展。

2 网络层安全

2.1 硬件互备及均衡

网络中的关键设备，如各层交换机、路由器等设备要采取负载均衡方式防止单机故障。同时，为了保证系统通信的畅通，防止因通信线路异常而引起的传输错误、业务中断等，采用多家运营商接入，同时申请移动、电信和联通各1条互联网线路，保证移动办公平台数据传输不间断。

2.2 访问控

访问控制用于限制移动办公平台按事先确定的规则实施访问权的控制，防止未经授权而利用网络访问系统资源。

2.3 防火墙

移动办公平台安全架构设计的每层防火墙设备采用双机热备模式，同时具备流量清洗和防DDoS 攻击功能。为提高系统安全性，需要对外部非法用户非授权访问限制以及内部对外部的非授权访问限制，同时还需要对接系统之间特别是低安全级别系统对高安全级别系统的非授权访问限制。

2.4 入侵检测

在移动办公平台安全架构设计采用一级监控的方式，在互联网区部署第三方IPS（入侵检测）系统，配置相关策略，增加安全监测事件，对移动办公平台涉及网络以及服务端口之外操作进行实时检查、监控、报警和阻断，同时接受报警事件报告，有效全面的对平台的安全隐患、黑客入侵、安全事故进行很好的监测控制。

2.5 防DoS/DDoS 攻击

防火墙的DoS 防御能力应能够有效地低挡syn flood，udp flood 等DoS 攻击，能够在高攻击的背景下，保持正常的对系统服务器的访问，具有流量清洗功能。对于DDoS 攻击，还需要和移动通信运营商配合处理。在运营商提供的网络接口上，配置两台高性能带安全性模块的路由器，可以通过配置限制半开链接数、超时时间，ping 包大小、数量等措施在接入端阻断大部分DoS/DDoS 攻击。

3 系统层安全

3.1 服务器证书

目前高端智能手机（iPhone，Android），一般都内置有Verisign公司的CLASS3根证书。为了和手机相匹配，移动办公平台客户端系统的服务器必须安装Verisign 公司签发的服务器证书，由手机对服务器进行验证。

3.2 通信安全

移动办公平台采用国际公认的SSL3.0及TLS1.0安全协议，此安全协议是国际公认的高度安全和实用的网络安全协议，目前广泛应用于网上银行、电子商务等领域，所有网上银行的安全均以此标准协议为基础。

TLS1.0（SSL3.0）协议采用以非对称密钥算法为基础，采用动态的密钥来保护传输数据。传输密钥是在RSA 算法的保护下，由服务器和客户端协商生成传输密钥，利用传输密钥加密所要传递的数据。同时由于采用的是动态密钥，动态密钥的生存周期仅为一次会话过程。在TLS1.0协议中有完整的关于会话管理、数据完整性、防篡改的控制。

客户端身份验证可通过在手机端存储由服务器签名的个人证书（个人信息包括：手机号码，IMSI 号码等，该证书核心信息需服务器加密），然后在手机登录服务器时，由服务器验证该证书。

移动办公平台用户在首次登录进行设备绑定以后，客户端包含个人私有的RSA 密钥对，对关键交易如资金交易，密码修改交易数据进行签名，以防交易数据被伪造或篡改，同时对客户端用户进行身份鉴别。

3.3 数据存储安全

（1）数据库数据：定期备份，流水数据定时清理，机密数据如登录密码等进行不可逆加密存储。

（2）文件日志：日志文件定时备份清理，文件日志不打印敏感的数据信息；日志文件属于机密内容，必须要建立完整的安保机制，严禁随意获取。

（3）加密密钥：存储于加密机中，在加密机内部完成加密操作。而且转化后的数据可以在应用程序和加密机之间进行互换。

（4）移动办公平台客户端数据：程序运行时缓存的用户数据，退出后立即清除缓存。

4 业务与交易安全

4.1 设备绑定

客户在初次使用移动办公平台业务时，需绑定手机硬件设备信息才可以进行业务操作。同时为保障设备安全性，只能通过绑定的惟一设备进行操作，其他人无法通过其他手机登录。

4.2 用户密码认证

移动办公平台客户端通过设置登录密码，保证移动办公平台客户的登录安全。移动办公平台在对手机进行认证后，还需要客户输入移动办公平台登录密码，对客户的身份进行认证，当客户的密码错误时，系统拒绝客户使用。

使用登录密码是移动办公平台进行客户身份验证的一个重要环节，系统先进行客户密码的验证，若密码错误，登录终止。为防止暴力破解用户密码，登录首页需要通过用户名、登录验证码校验以及密码，同时系统对密码错误次数进行参数化配置，当达到设定限制时，将置该用户移动办公平台状态为暂停状态。

4.3 预留信息

客户可通过系统设置个人的预留信息，比如“我最喜欢的歌”，此信息只有客户本人知道。在客户登录系统后，会展示预留信息，使客户能够及时发现仿冒的钓鱼网站（钓鱼网站不知道客户的预留信息，也就不会显示“我最喜欢的歌”，客户非常容易分辨）。

4.4 操作超时保护

登录移动办公平台后，参数化设定session 超时时间，在超出设定时间内没有任何操作，将强制用户退出登录，再次使用需要重新登录，同时为提到用户体验度以及安全可控，用户可登录系统自主设定手势密码或者指纹认证登录。

5 系统监控

除采用安全技术确保系统安全外，借助配套的软件监控系统和网络流量监控系统，通过两个监控系统对移动办公平台网络状况、操作系统、中间件、数据库的基础环境监控以及应用层监控的主要监控目标是交易成功率、交易处理状态和结果、系统队列的使用情况、通信链路、进程、线程等主要监控指标进行重点监控，并提供迅速、准确、可靠的故障报警功能，以便系统维护人员及时分析问题并准确定位、快速解决问题，及早发现、排除安全隐患，提高系统的整体安全性。

6 安全管理

安全体系实现不能完全依赖是技术手段，同时还采取其他管理办法、制度以及审计等辅助手段来加强系统整体安全。明确移动办公平台主管部门、工作岗位以及相关职责，建立移动办公平台相关管理办法、各项管理制度。

安全管理不仅在事先防范、事中管理控制，更重要的环节是事后审计，审计作为安全管理事后重要手段，审计机制对交易操作、日志等安全重点审查范围进行审计，并针对存在的安全问题进行整改和完善。