移动应用:随时随地的应用:
背景:
随着PDA(手持终端)和智能手机的应用普及,人们迫切需要开发各种基于移动手持设备的新型移动业务应用模式,支持远程和移动过程中随时随地的业务操作要求,比如移动办公、移动业务、移动巡检等。移动应用灵活方便、能够有效地提高工作效率和质量,降低业务和服务运行成本,但是要让移动应用成熟推广,必须要解决好其中存在的信息安全问题。
首先是移动手持设备的安全认证问题,移动应用必须要保证远程访问设备和使用人员的合法性。简单的用户名/口令字认证模式在安全强度上不能满足绝大多数应用的安全要求,系统应该支持基于数字证书的多因子认证方式,保证在互联网等复杂环境下终端设备的可信,防止网络假冒。
其次是移动手持设备到企业或单位信息系统之间的通信安全问题,移动应用通过无线方式实现远程访问,中间会经过多个安全薄弱的通信信道环节;为了防止信息截获或窃听,应该对移动手持设备的业务通信进行加密保护,防止网络信息失密和篡改。
再次是数据安全问题,传统的基于移动手持设备的应用可能会带来数据留在本地的可能,即传说中的“本地留密”,移动手持设备一旦丢失将使得“本地留密”问题更为严重。为了保护内网数据安全,应该尽量避免应用数据在移动手持设备处理。
基于云纵深防御的企业内网安全结构:
传统的业务信息系统是一个由客户终端、应用服务器和数据库服务器组成的三级逻辑结构。业务操作人员通过客户终端访问业务应用数据、开展业务流程。
在这种三级应用系统逻辑结构下,客户终端是应用系统的最重要组成部分,同时也是应用系统安全保障体系中最薄弱的环节。客户终端数量多、分布范围广,每一台客户终端都是应用系统与外部环境之间的一个接口,在安全管理和安全技术措施难于有效作用的情况下,每一台客户终端都可能是应用系统的一个安全风险来源:任何一次未经允许的程序安装和运行、任何一次非法的网络连接、甚至任何一次安全维护的不到位都可能给系统带来病毒或木马,都可能为恶意攻击埋下潜在通道和隐患;任何一个接近客户终端的人员都可能通过I/O设备和网络接口非法窃取敏感业务数据,甚至将未经允许的终端设备接入应用系统从事非法访问活动。
但是目前针对上述安全威胁,目前并没有根本有效的管理方案和技术产品。用户投入巨大,部署各种安全产品,比如杀毒软件、终端安全软件、DLP软件、非法网络连接系统、网络行为审计系统、终端接入控制系统、IDS/IPS、防火墙等等,但是这些产品在技术原理上的缺陷决定了它们在安全效果上的不确定性,用户不可能依靠它们来保护企业重要数据的安全。
在安全管理难度大成本高、安全产品效果差的现实局面下,通过对应用系统结构进行改进,从而克服安全管理和安全技术的局限性就成为保护企业重要数据安全的一种可行选择。
我们提出的企业内网安全结构主要思想是通过云纵深防御思想,将应用的客户终端与用户的操作平台在物理上实现分离,并将客户终端都集中部署在“云端”,即传统的数据中心或服务器机房,从而在“云端”可是实现对整个应用系统的集中安全管理。如图所示:
安全移动应用解决方案如下图所示:

上图中的远程移动手持设备可以通过3G、WiFi或GPRS等通信方式连接互联网,访问用户内部网络系统。
安全移动应用解决方案:
北京朋创天地科技有限公司适应移动应用的发展趋势,通过朋创安全云桌面系统有效解决移动手持设备在移动应用中的认证、加密通信和本地留密问题,为拓展移动办公、移动业务、移动巡检等新型移动业务模式提供坚实的安全基础。
在朋创安全移动应用方案中,朋创安全云桌面网关与远程移动手持设备之间采用SSL VPN安全加密通信机制,同时朋创安全云桌面网关要求远程移动手持设备提供数字证书并对其进行认证;为了避免应用数据在移动手持设备处理和保存,防止数据失泄密,朋创安全移动应用方案采用安全虚拟桌面工作方式,使得真正的业务应用运行和数据处理都在企业和单位的内部网络系统中,移动手持设备只起到显示和输入作用。采用安全虚拟桌面的另一个好处是用户无需为移动手持设备开发相应的应用客户端软件,有效降低系统开发和运维成本。
应用一. 移动办公:
朋创安全移动办公方案支持基于Android移动平台的Pad或手机办公应用,用户无需针对Pad或手机等移动手持设备开发或采购办公客户端软件;移动办公用户工作界面与其办公室中的PC环境完全一致,减少了用户培训成本;用户随时随地处理公文、开展业务协同,保证工作效率和时效性,提高工作质量。
朋创安全移动办公方案中,移动手持设备并不实际处理办公业务、保存办公数据,因此即使Pad或手机丢失或被盗,也不会导致用户办公系统敏感信息丢失。
朋创安全移动办公方案支持基于Ukey的多因子远程移动办公用户身份认证。用户在使用Pad或手机等设备开展远程办公时,需要将Ukey连接到Pad或手机上;部署在用户内部网络系统端的朋创安全云桌面网关基于Ukey证书对远程Pad或手机进行认证,没有有效Ukey证书的Pad或手机不能接入用户内部网络。
朋创安全移动办公方案还支持一key多用功能。连接在Pad或手机等设备上的Ukey除了可以作为Pad或手机本身接入用户内部网络的认证手段外,还可以映射到内部虚拟办公桌面,作为办公应用的身份认证凭证,进一步支持办公业务的安全性。
远程Pad或手机通过WiFi、3G或GRPS等通信手段接入到用户内部办公网络。
远程Pad或手机到朋创安全云桌面网关之间采用安全加密技术保护其通信安全性,防止办公敏感信息被非法截获或篡改。
朋创安全移动办公方案让用户移动办公方便、放心。
应用二. 移动业务:
移动业务可以帮助银行、税务等部门开展便民服务,扩大营业范围,提高服务水平、服务效率和服务质量,并有效减少系统运维成本。
朋创安全移动业务方案支持基于Android移动平台的Pad或手机移动业务办理,用户无需针对Pad或手机等移动手持设备专门开发或采购移动业务客户端软件;移动业务用户工作界面与其营业厅中的终端业务处理环境完全一致,减少了业务培训成本;业务人员随时随地可以开展业务,保证工作效率和时效性,提高服务水平、能力和质量。
朋创安全移动业务方案中,移动手持设备并不实际处理业务、保存业务数据,因此即使Pad或手机丢失或被盗,也不会导致业务信息丢失。
朋创安全移动业务方案支持基于Ukey的多因子远程移动办公用户身份认证。用户在使用Pad或手机等设备办理业务时,需要将Ukey连接到Pad或手机上;部署在用户内部业务网络系统端的朋创安全云桌面网关基于Ukey证书对远程Pad或手机进行认证,没有有效Ukey证书的Pad或手机不能接入用户内部业务网络;同一个Ukey在远程Pad或手机完后,还可以被映射到内部虚拟业务桌面,作为业务应用的身份认证凭证。
为保证业务通信安全性,远程业务Pad或手机到朋创安全云桌面网关之间采用安全加密技术。
移动业务还经常需要将客户信息传输到用户内部业务系统中,并在移动业务办理现场打印票据或凭证。朋创安全移动业务方案支持移动业务现场的各种USB外设的输入或输出,保证移动业务处理过程和方式与传统营业厅完全兼容。
朋创安全移动业务方案支持最大程度地节电工作方式,尽可能减少相关设备的能耗。这一能力对车载移动业务方案尤为重要。
朋创安全移动业务方案让移动服务更加便捷、高效。

应用二. 移动业务:
移动巡检可以帮助电力、铁路、水利、数据中心等行业开展快速高效的移动巡检工作,巡检人员可以实时录入、查询设备状态和故障处理信息,提高检修效率和工作质量,保证设施安全性。
朋创安全移动巡检方案支持快速、准确地上报故障现象、故障地点,实施查询设备情况、修复方案,避免二次录入带来的繁琐工作,最大程度控制故障范围。
朋创安全移动业务方案支持基于Android移动平台的Pad或手机移动巡检操作。它支持基于数字证书的Pad或手机接入多因子认证,保证Pad或手机到部门信息网络之间的通信加密。
移动巡检用Pad或手机可以通过WiFi、3G或GRPS等通信手段接入到部门内部巡检维修相关内部网络。
朋创安全移动业务方案支持巡检人员通过Pad或手机将故障现场图片、坐标等信息传送到部门内部巡检维修相关系统中。
