企業信息安全架構的策劃與實行范文

本站小編為你精心準備了企業信息安全架構的策劃與實行參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

1HTTPS協議簡介

HTTPS（HypertextTransferProtocoloversecuresocketlayer）是加入了SSL層的HTTP協議。HTTPS協議需要使用經SSL加密傳輸的數據信息，所以HTTPS協議的安全基礎是SSL。HTTPS協議在使用過程中需要向CA申請證書，在數據傳輸過程中需要身份認證。使用HTTPS協議進行身份認證時，有單向認證和雙向認證兩種方式。單向認證是指客戶端在通過HTTPS協議連接服務器時，只需要用到服務器的CA證書，只能保證數據傳輸過程的安全；而雙向認證是指客戶端除了需要用到服務器的CA證書外，還需要客戶端的CA證書，這樣在通過HTTPS協議進行網絡數據傳輸時，既保證了數據傳輸過程的安全，同時也對客戶端的身份進行了驗證，從而比較適合于企業信息化的應用。

1.1CA證書簡介

CA（certificateauthority）是負責簽發證書、認證證書、管理已頒發證書的第三方電子認證中心。CA具有合法性、中立性、權威性和公正性。它通過制定相應政策和具體步驟來驗證、識別用戶身份，并對用戶證書進行簽名，以此檢驗證書持有者的身份和公鑰的擁有權，并且通過加解密的方法來實現網絡數據交換的安全性。目前CA證書可以由付費的CA證書認證中心獲得，也可以利用免費的OpenSSL軟件包自行生成獲得，這是一種不錯的選擇。OpenSSL支持Linux、Windows、BSD、Mac、VMS等平臺，主要由密碼算法庫、SSL協議庫和應用程序3部分組成。OpenSSL提供的功能囊括了主要的密碼算法、SSL協議和常用的密鑰與證書封裝管理功能。OpenSSL提供的CA應用程序就是一個小型的證書管理中心，實現證書簽發的整個流程和證書管理的大部分機制。

2系統設計

2.1系統總體設計

目前基于移動終端的企業移動辦公平臺主要應用在廣域網中。移動終端利用無線網絡，結合服務器證書和用戶證書，使用HTTPS協議安全地對服務器進行訪問。應用場景如圖1所示：基于移動終端的企業信息安全架構主要由服務器和客戶端組成（如圖2所示），其中服務器和客戶端之間的通訊采用HTTPS協議。服務器端包括CA證書模塊和權限控制模塊，客戶端包括證書申請模塊和系統登錄模塊。

2.2CA證書模塊和證書申請

模塊CA證書模塊和證書申請模塊提供如下功能：

1）生成系統的CA證書和所有合法用戶的CA證書。在系統的服務器端，服務器預先為系統生成包含服務器公鑰的唯一證書（該證書可供所有用戶下載使用），同時服務器將生成的唯一私鑰進行留存，配合服務器的證書將通過HTTPS協議訪問的數據進行加密。用戶CA證書則根據移動辦公平臺上所有合法用戶列表生成。生成所有的用戶CA證書后，系統將用戶和其對應的證書信息保存在服務器數據庫中，供日后用戶申請使用。

2）將系統的CA證書分發給所有用戶，將合法用戶的CA證書根據用戶信息分配給對應的合法用戶。在移動終端上，當用戶安裝移動辦公平臺后，可以通過平臺提供的服務器CA證書下載功能，直接獲取服務器的CA證書，并按照系統提示，將證書安裝在移動終端上。

當安裝完畢服務器CA證書后，用戶就可以申請其指定的證書了。用戶將其賬號信息發送給系統服務器，服務器端對賬號信息進行驗證，如果存在該賬號，則會向綁定該賬號的用戶公司郵箱發送一封郵件，內含移動終端下載用戶CA證書所需的驗證碼信息。驗證碼在指定時間內有效，使用一次后即失效。用戶在移動終端處將驗證信息發送給服務器后，如果通過服務器的驗證，服務器則會將該合法用戶的指定CA證書發送到移動終端上，至此完成了服務器和用戶證書的分發功能。用戶可以使用移動終端在身份驗證成功后登錄移動辦公平臺。

2.3權限控制模塊和系統登錄模塊

權限控制模塊和系統登錄模塊提供如下功能：

1）根據用戶CA證書檢驗用戶是否有權登錄系統。當移動終端通過HTTPS協議連接服務器時，服務器會強制驗證用戶證書是否有效，如果通過驗證，才會進一步處理移動終端發送來的數據信息。

2）根據用戶CA證書檢驗登錄系統的用戶名是否為證書對應的合法用戶。當用戶證書通過服務器驗證后，服務器會根據用戶證書中的信息，確定使用該移動終端的用戶賬號信息。通過對比發送來的用戶名信息，就可以確定用戶登錄賬號是否合法。這樣就保證了移動終端上，用戶只能使用自己的賬號信息登錄移動辦公平臺。

3）對于連續登錄系統3次而無法通過用戶名和密碼驗證的用戶，禁止該用戶在一段時間內訪問系統。當服務器連續3次驗證用戶賬號信息失敗時，服務器會禁止該用戶在一定時間內訪問系統。這樣就保證了如果用戶證書不慎丟失，非法用戶也無法通過暴力破解的方式登錄移動辦公平臺。

4）當用戶移動終端發生丟失時，禁止該用戶訪問系統。移動終端使用過程中，經常可能發生丟失現象。當用戶發現自己的移動終端丟失時，需要在第一時間通知公司的信息技術部門，將該用戶賬號凍結，這樣即便別人得到移動終端，也無法繼續訪問系統，從而保障了移動辦公平臺的安全性。

3系統展現和運行效果

目前某大型國有航運企業的信息技術中心已經成功完成其移動辦公平臺的研發工作。下面以iPhone移動終端為例，展示如何使用移動終端申請證書，從而實現移動終端通過HTTPS協議雙向認證機制訪問服務器：

1）用戶進入移動辦公平臺，如果已經設置過證書，則直接輸入用戶名和密碼即可登錄平臺；否則點擊“重設證書”進入設置頁面。

2）點擊“安裝CA證書”按鈕，則自動下載服務器CA證書，下載完畢后用戶根據提示完成證書安裝。如果點擊“下一步”，則會下載指定用戶的CA證書。

3）用戶向服務器提供其賬號信息，服務器根據該信息向他發送一封郵件。

4）用戶提供的賬號信息被驗證是合法有效的，服務器發送郵件完畢。

5）用戶從郵件中獲取驗證碼，向服務器提交該驗證碼。

6）系統提示下載用戶證書成功。通過以上6步，移動終端完成了證書配置過程，移動終端可以使用HTTPS協議雙向認證機制連接服務器。合法用戶輸入其正確的用戶名和密碼后，即可登錄移動辦公平臺，進行其工作。系統實際運行過程中，服務器和客戶端運行狀態穩定。

在客戶端，如果用戶不下載服務器CA證書或用戶CA證書，則無法訪問服務器。用戶在下載自己的用戶證書后如果使用別人的賬號登錄系統，則會提示無法登錄系統。本系統通過采用HTTPS協議雙向認證機制，防止非法用戶對網絡傳輸的系統信息進行監聽，并且在客戶端有效避免了非法用戶采用暴力破解方法對系統服務器進行攻擊；通過采用用戶CA證書，識別了登錄系統的用戶信息，有效解決了合法用戶通過其他用戶身份登錄系統的問題。

4結束語

移動辦公日趨成為以后的主流工作方式。本文結合某大型國有航運企業的移動辦公平臺，提出一種基于移動終端的企業信息安全架構。該安全架構在實際運行過程中，通過采用HTTPS協議雙向認證技術，有效提高了企業信息化系統的安全性，為企業日后將移動辦公應用到移動終端提供了良好的解決方案。

作者：吳晨剛董恒競唐勇單位：中遠散貨運輸有限公司