【51CTO.com綜合報(bào)道】

1.海關(guān)簡介

中華人民共和國海關(guān)是國家進(jìn)出境監(jiān)督管理機(jī)關(guān)，實(shí)行垂直領(lǐng)導(dǎo)體制。基本任務(wù)是出入境監(jiān)管、征稅、打私、統(tǒng)計(jì)，對外承擔(dān)稅收征管、通關(guān)監(jiān)管、保稅監(jiān)管、進(jìn)出口統(tǒng)計(jì)、海關(guān)稽查、知識產(chǎn)權(quán)海關(guān)保護(hù)、打擊走私、口岸管理等主要職責(zé)。海關(guān)總署是中華人民共和國國務(wù)院下屬的正部級直屬機(jī)構(gòu)，統(tǒng)一管理全國海關(guān)。

2.海關(guān)總署信息化現(xiàn)狀

在 "十二五"發(fā)展規(guī)劃和電子政務(wù)發(fā)展規(guī)劃的指導(dǎo)下，海關(guān)總署機(jī)構(gòu)的電子政務(wù)發(fā)展取得了長足的進(jìn)步，各級政府部門的主要業(yè)務(wù)系統(tǒng)數(shù)字化、網(wǎng)絡(luò)化的應(yīng)用起到了重要作用。如何能夠更好的利用現(xiàn)代化的電子政務(wù)平臺提高政府工作效率、提高管理決策的質(zhì)量、提高網(wǎng)絡(luò)資源的覆蓋面以及快速事務(wù)處理的能力等問題，是目前電子政務(wù)發(fā)展的趨勢；而在該發(fā)展趨勢下解決移動終端安全接入的問題是最首要和迫切的問題！

3.面臨風(fēng)險(xiǎn)

海關(guān)總署早期的信息安全工作把防護(hù)的重點(diǎn)放在內(nèi)網(wǎng)終端計(jì)算機(jī)和網(wǎng)絡(luò)邊界防護(hù)方面，而忽視了移動智能終端接入后的政務(wù)辦公而帶來的安全風(fēng)險(xiǎn)；并且由于無線通訊傳輸?shù)拈_放性及靈活接入性，使得敏感信息在移動終端接入的身份認(rèn)證、數(shù)據(jù)傳輸、安全訪問控制等環(huán)節(jié)都存在不同程度的安全隱患。

4.海關(guān)總署移動辦公安全需求

1)能通過手機(jī)訪問內(nèi)部應(yīng)用

隨著手持終端與電腦的融合化，海關(guān)總署越來越多的領(lǐng)導(dǎo)和員工希望通過智能手機(jī)終端實(shí)現(xiàn)實(shí)時(shí)辦公，能隨時(shí)隨地接入內(nèi)部資源，有效安全的訪問OA協(xié)同辦公平臺等內(nèi)部核心應(yīng)用系統(tǒng)，了解實(shí)時(shí)各關(guān)口信息，以提高決策效率和迅速進(jìn)入決策流程。

2)移動接入終端身份安全

基于運(yùn)營商公用基礎(chǔ)通訊網(wǎng)絡(luò)的接入，如何確保海關(guān)總署移動終端接入身份合法、安全和有效性？

3)移動終端接入后的數(shù)據(jù)傳輸安全

海關(guān)總署內(nèi)網(wǎng)應(yīng)用系統(tǒng)承載國家重要秘密信息數(shù)據(jù)，如何確保和規(guī)避移動手機(jī)終端基于運(yùn)營商基礎(chǔ)通訊網(wǎng)絡(luò)接入后的網(wǎng)絡(luò)傳輸風(fēng)險(xiǎn)？

5.Chinasec移動安全接入方案在海關(guān)總署中的應(yīng)用

Chinasec移動安全接入方案為海關(guān)總署移動終端用戶的接入、傳輸、通信和應(yīng)用提供了一條安全通道，利用中國電信VPDN的基礎(chǔ)通信網(wǎng)絡(luò)資源，實(shí)現(xiàn)對海關(guān)總署各移動手機(jī)等智能終端，隨時(shí)隨地的安全接入海關(guān)總署內(nèi)部OA、CRM等系統(tǒng)。根據(jù)海關(guān)總署移動辦公的業(yè)務(wù)系統(tǒng)現(xiàn)狀，Chinasec移動安全接入方案系統(tǒng)架構(gòu)圖如下：

< 海關(guān)>－Chinasec移動安全接入平臺系統(tǒng)架構(gòu)圖

Chinasec移動安全接入方案由移動客戶端、移動安全接入網(wǎng)關(guān)兩部分組成，移動客戶端由加密卡和客戶端軟件組成；方案具體實(shí)現(xiàn)功能如下：

5.1 身份認(rèn)證安全

海關(guān)總署智能手機(jī)終端使用安全TF卡（存放個(gè)人數(shù)字證書和簽名私鑰）作為身份識別載體，移動安全接入網(wǎng)關(guān)和安全TF卡進(jìn)行雙向的證書認(rèn)證之后，才能建立安全連接，從而保證用戶身份的合法性，否則根本無法接入網(wǎng)關(guān)，無法使用移動終端功能。

5.2 數(shù)據(jù)傳輸安全

海關(guān)總署移動辦公用戶使用移動終端通過上網(wǎng)（TCP/IP）方式獲取海關(guān)總署內(nèi)網(wǎng)信息網(wǎng)資源（如OA等）需經(jīng)過移動安全接入網(wǎng)關(guān)驗(yàn)證訪問者的身份，阻止非法用戶的進(jìn)入（防止入侵和攻擊），并為合法移動用戶建立安全通信隧道，保證移動終端與后臺網(wǎng)絡(luò)之間的數(shù)據(jù)在公網(wǎng)路段上傳輸?shù)陌踩?/p>

海關(guān)總署移動安全接入方案中的數(shù)據(jù)鏈路通信安全通過采用安全的密鑰管理方案，并采用SM1加密算法實(shí)現(xiàn)數(shù)據(jù)加密封裝傳輸實(shí)現(xiàn)了通信過程的機(jī)密性和完整性。該密鑰管理方案通過了國家密碼管理局專家的安全性審查，認(rèn)定為可靠、安全的密碼管理方案。

5.3 應(yīng)用訪問安全

應(yīng)用安全通過兩層實(shí)現(xiàn)，第一層是基于Chinasec移動接入網(wǎng)關(guān)在網(wǎng)絡(luò)接入層的終端接入的安全身份認(rèn)證，第二層是接入終端對應(yīng)用系統(tǒng)的訪問，應(yīng)用系統(tǒng)提供的應(yīng)用安全措施，能夠?qū)崿F(xiàn)應(yīng)用層次的用戶認(rèn)證和授權(quán)管理；并且通過對應(yīng)用層用戶的識別和權(quán)限管理，兩層安全認(rèn)證和控制確保海關(guān)總署移動終端接入的安全訪問和可靠性。

6.Chinasec方案特點(diǎn)和優(yōu)勢

本方案針對移動終端安全接入需求，通過引入安全加密卡技術(shù)、IP隧道加密技術(shù)等手段，有效滿足了需求，解決了移動終端接入過程中的泄密、身份仿冒等威脅，實(shí)現(xiàn)了多層可信的安全防護(hù)；

1)首先是移動訪問用戶的認(rèn)證問題：在本方案中通過硬件認(rèn)證手段，確保了移動終端的強(qiáng)身份鑒別，只有確認(rèn)為合法的用戶，方可與海關(guān)總署內(nèi)部信息網(wǎng)絡(luò)建立起通訊隧道；

2)解決抵賴的問題：認(rèn)證成功后在移動辦公人員進(jìn)行遠(yuǎn)程訪問的過程中，利用其數(shù)字證書(私鑰)對其訪問數(shù)據(jù)包進(jìn)行加密，相當(dāng)于把身份信息與訪問信息整合，從而有效防范抵賴的現(xiàn)象；

3)遠(yuǎn)程通信過程中的泄密和數(shù)據(jù)篡改問題：利用IP隧道加密技術(shù)，保障了遠(yuǎn)程通訊過程中的機(jī)密性和完整性，防止泄密和篡改的攻擊行為。

4)Chinasec移動安全接入方案采用高可靠度的電信級硬件平臺，支持手機(jī)、PDA、無線筆記本等多種移動終端接入 ,尤其是針對手機(jī)和PDA設(shè)備的安全接入管理，在國內(nèi)移動安全領(lǐng)域具有絕對的技術(shù)先進(jìn)性；支持SM1/SM2/SM4等國密算法，安全性高。

5)支持 Windows Mobile 、Symbian、Android、Win CE、IOS等智能手機(jī)和平板電腦的操作系統(tǒng)的，跨平臺性強(qiáng) ；