[发明专利]移动信息化多层级网络安全审计系统

说明书

技术领域

本发明涉及一种网络安全审计系统，尤其是一种移动信息化多层级的网络安全审计系统，属于移动信息化和信息安全技术领域。

背景技术

信息化是当今世界发展的趋势，以移动和宽带为标志的移动信息化更是社会信息化发展的必然趋势和更高阶段。目前，越来越多的政府机关、企事业单位(以下简称企业)在信息化建设中应用了GPRS(General Packet Radio Service，通用分组无线业务)、SMS(ShortMessage Service，短消息业务)、MMS(Multimedia Message Service，多媒体消息业务)、WAP(Wireless Application Protocol，无线应用协议)等移动通信手段，使企业信息化应用正逐渐从单一的PC向移动终端(如PDA、手机)延伸，从而使手机之类的移动终端成为继互联网之后信息传播的重要新媒体。

现有的移动信息化应用主要有两种模式：

1)、应用托管模式——即运营商在网络侧部署支持手机接入的信息应用系统(IT系统)，如移动OA(Office Automation，办公自动化)、移动CRM(Custom Relationship Management，客户关系管理)等，此时企业只需支付一定的费用，即可以使用相应的应用，无需自己建设相关的应用系统。此模式适用于中小企业。

2)、移动代理服务器模式——即运营商或企业在企业内部署一个移动代理服务器或网关设备，作为通信代理，实现移动终端与企业内、外部信息应用系统的数据交互。数据交互通道包括GPRS、USSD(Unstructured Supplementary Service Data，非结构化补充数据业务)、SMS、MMS、WAP等多种方式。此模式适用于大中企业，以及信息化程度较高、对内部资源有较高安全性要求的企业。

目前的国家政策规定网络，服务单位和网络使用单位都应该实施网络安全保护及审计措施。然而，现有的网络安全审计方案主要针对互联网接入，对于手机接入的情况缺乏针对性方案，存在很大漏洞和隐患，特别是移动代理服务器模式：一方面企业应用种类繁多、厂家众多，很难提供统一的解决方案；另一方面，手机本身具有便携性、移动性的特点，丢失、被盗的概率很高，且容易被人利用。因此在手机已广泛普及、政府企事业单位广泛采用各类移动信息化应用的今天，信息安全形势将变得更为严峻。

据申请人了解，目前在移动信息化应用中，存在的安全漏洞主要体现在：

1、企业侧的信息应用系统大多仅基于用户名等静态方式提供系统的安全保护，用户安全意识薄弱，大多不设置PIN码(personalidentification number，个人身份识别码)；而且应用系统的日志通常不会记录接入者的接入方式、手机号码，一旦发生安全事件，很难进行溯源追查；

2、网络侧的移动业务设备如SMG(Short Message Gateway短消息网关)、SMSC(Short Message Service Center短消息中心)、MMSC(Multimedia Message Service Center多媒体消息中心)等一般采取留存日志的方式进行取证，日志留存通常只有3个月，存在安全漏洞；

3、针对底层移动数据网进行的网络安全审计存在一些限制，例如PUSHMail，由于它在邮件代理网关与手机之间采用端到端加密机制，网络侧的安全审计措施无法发挥作用；

4、对于WAP、GPRS类的应用，由于运营商的运营政策限制，例如WAP网关会过滤掉手机号码，不向应用系统提供相关信息，由应用系统提供基于手机号码的应用接入认证，记录包含手机号码信息的用户使用日志存在困难。

企业在移动信息化应用中，实施网络安全保护所面临的困难主要体现在下述方面：

1、企业现有的安全审计设备和手段缺乏针对手机接入场景下的解决方案。

2、信息应用系统种类繁多、且多数情况下由不同的厂家提供，安全策略(Policy)的加载、变更、实施依赖于原系统提供商，很难实施统一的安全策略，且实施周期长、成本高。

3、目前移动信息化应用中，网络安全审计主要依赖于网络侧设备和运营商的运营政策，例如由网络侧业务设备提供信息过滤和安全日志，不受企业掌控，安全策略的定义不能满足企业的个性化安全需求。