无线网络安全防护系统的制作方法

1.本技术涉及网络安全技术，尤其是涉及一种无线网络安全防护系统。


背景技术：

2.电视台是指通过无线电信号、卫星信号、有线网络或互联网播放电视节目的媒体机构，是制作电视节目并通过电视或网络播放的媒体机构。它能够传播视频和音频同步的资讯信息，这些资讯信息可通过有线或无线方式为公众提供付费或免费的视频节目。电视台肩负着社会舆论宣传的重要责任，安全播出是电视台的生命线。随着技术的不断发展，电视台从电视台制播网络逐步向媒体融合的方向发展。
3.随着近几年媒体融合业务的快速发展，通过无线网络方式接入电视台专用业务的需求越来越普遍。为了顺应移动业务发展的需求，电视台逐步加强内部的无线网络的建设：电视台建立了无线局域网系统，实现了办公区无线网络全面覆盖；移动应用建设方面，台内已经实现节目制作类、消息查询类等业务的移动办公。然而，开放、智能的移动办公平台使移动终端成为了电视台无线局域网系统的安全缺口，其极容易引入恶意代码植入，导致出现个人应用和企业应用混合、数据泄密等问题，这些问题给企业信息安全带来极大挑战。


技术实现要素：

4.本技术实施例中提供一种无线网络安全防护系统，用于克服相关技术中开放、智能的移动办公平台导致信息安全问题。
5.本技术实施例提供一种无线网络安全防护系统，包括：
6.无线网络安全单元，用于进行无线安全检测、无线入侵防御、无线访问控制及无线定位；
7.边界接入单元，用于进行边界保护、身份认证、安全隔离，在信息外网与信息内网之间建立网络安全通道；
8.移动终端安全单元，用于对所述移动终端、移动应用及内容进行管理。
9.在其中一种可能的实现方式中，所述无线网络安全单元具体用于：
10.对攻击行为进行识别检测；所述攻击行为包括如下至少一种：拒绝服务、流氓访问接入点、无线扫描、无线欺骗、无线钓鱼、拒绝服务dos、无线破解行为；
11.在检测到攻击行为时，通过发包阻断或射频阻断现对所述攻击行为进行阻断；
12.在检测到攻击行为时，通过三角定位或指纹定位对所述攻击行为的攻击源进行定位。
13.在其中一种可能的实现方式中，所述无线网络安全单元具体用于执行如下至少一种：
14.进行身份鉴别、权限限制及数据加密；
15.控制对无线网络的访问权限，禁止未获得访问权限的用户进行访问；
16.进行数据监视并记录各类操作，在根据所述数据或操作确认存在违规行为时进行
报警；
17.控制发布的无线接入点对应的物理区域；
18.采用数字签名技术或设定的音视频文件格式或设定的协议进行传输。
19.在其中一种可能的实现方式中，所述边界接入单元具体用于执行如下至少一种：
20.按照预设的类别对用户进行分组管理；
21.存储各用户的信息；
22.根据用户的安全级别，采用相应级别的认证机制对用户进行认证；或者，对移动终端进行配置；
23.根据用户所属类别对用户的权限进行管理；
24.根据用户的位置对访问权限进行限制；
25.根据移动终端的类型进行权限管理；
26.对多个用户建立的会话的时长进行管理。
27.在其中一种可能的实现方式中，所述移动终端安全单元，包括：
28.移动终端管理模块，用于对所述移动终端的注册、激活、使用、淘汰进行全生命周期管理；
29.移动应用管理模块，用于对所述移动应用的检测、加固、分发进行聚合管理；
30.移动内容管理模块，用于对所述内容存储、内容传输、内容分发及文件文档进行管理。
31.在其中一种可能的实现方式中，所述移动终端管理模块具体用于执行如下至少一种：
32.检测待接入的移动终端是否存在安全风险，在确定所述移动终端不存在安全风险时，允许所述移动终端接入；
33.对接入的移动终端进行登记、分组及分组管理；
34.按照预先设置的策略对移动终端进行管理；所述预先设置的策略包括如下至少一种：锁屏和清除锁屏策略、锁屏密码策略、违规行为策略、用户策略、审计策略；
35.对失控的移动终端进行定位或数据擦除；
36.对目标用户的终端设备的功能权限、应用程序权限、安全性及隐私性进行配置和管理；
37.对失联的移动终端进行数据保护；
38.对移动终端进行病毒防护处理，并根据在移动终端识别出的病毒对防病毒系统进行升级。
39.在其中一种可能的实现方式中，所述移动应用管理模块用于执行如下至少一种：
40.对上线前的移动应用进行安全检测，在检测出漏洞时，对所述漏洞进行修复；
41.对上线前的移动应用进行加密处理；
42.对发布前的移动应用进行安全检查及安全加固。
43.在其中一种可能的实现方式中，所述移动内容管理模块用于执行如下至少一种：
44.采用沙箱技术对电视台内部数据与个人数据统一管理；
45.采用加密算法对待上传或待传输的文档进行加密；
46.对待分发的文档进行统一管理及定向分发；
47.对通知消息进行定向推送。
48.在其中一种可能的实现方式中，所述系统还包括：
49.风险评估单元，用于定期对无线网络安全防护系统进行分析，评估安全事件的发生概率。
50.在其中一种可能的实现方式中，所述系统还包括：
51.应急响应单元，用于在检测到异常事件时，生成应急信号，所述应急信号用于触发相应的提示或断开网络连接；所述异常事件包括如下至少一种：攻击事件、检测到信息破坏事件、检测到信息内容安全事件。
52.本技术实施例提供的无线网络安全防护系统，通过设置无线网络安全单元、边界接入单元及移动终端安全单元；无线网络安全单元能够通过进行无线安全检测、无线入侵防御、无线访问控制及无线定位，为无线网络提供安全的屋里环境和无线传输通道；边界接入单元能够通过进行边界保护、身份认证、安全隔离，确保边界安全，为信息内网与信息外网之间建立网络安全通道，提供安全的网络接入服务；移动终端安全单元能够对移动终端移动应用及内容进行管理，利于提高移动终端的安全性。如此，该系统能够从而从多方面减少甚至避免不安全因素，利于避免恶意代码通过移动终端植入无线网络、数据泄密等安全问题，进而能够为电视台的无线网络安全提供保障。
附图说明
53.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
54.图1为一示例性实施例提供的无线网络安全防护系统的结构框图；
55.图2为一示例性实施例提供的无线网络安全防护系统的架构图；
56.图3为一示例性实施例提供的移动终端接入信息网的流程示意图。
具体实施方式
57.为了使本技术实施例中的技术方案及优点更加清楚明白，以下结合附图对本技术的示例性实施例进行进一步详细的说明，显然，所描述的实施例仅是本技术的一部分实施例，而不是所有实施例的穷举。需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。
58.相关技术中，随着媒体融合业务的快速发展，通过无线网络方式接入电视台专用业务的需求越来越普遍。为了顺应移动业务发展的需求，电视台逐步加强内部的无线网络的建设：电视台建立了无线局域网系统，实现了办公区无线网络全面覆盖；移动应用建设方面，台内已经实现节目制作类、消息查询类等业务的移动办公。然而，开放、智能的移动办公平台使移动终端成为了电视台无线局域网系统的安全缺口，其极容易引入恶意代码植入，导致出现个人应用和企业应用混合、数据泄密等问题，这些问题给企业信息安全带来极大挑战。
59.为了克服上述问题，本实施例提供一种无线网络安全防护系统，通过设置无线网络安全单元、边界接入单元及移动终端安全单元，无线网络安全单元能够在移动终端与信息内网应用服务器之间建立安全的物理环境与无线传输通道，边界接入单元能够为信息内
网与信息外网之间建立网络安全通道，提供安全的网络接入服务，移动终端安全单元能够移动终端、所述移动终端的移动应用及移动内容进行管理，从而从多个环节杜绝不安全因素，利于避免恶意代码通过移动终端植入无线网络、避免数据泄密等安全问题。
60.下面结合附图对本实施例提供的无线网络安全防护系统的结构、功能及实现过程进行举例说明。
61.如图1所示，本实施例提供的无线网络安全防护系统，可用于电视台或其它企业，包括：
62.无线网络安全单元11，用于在接入的移动终端与信息内网应用服务器之间建立无线传输通道；
63.边界接入单元12，用于在信息外网服务器与信息内网应用服务器之间建立网络安全通道；
64.移动终端安全单元13，用于对移动终端进行管理，对移动终端的移动应用及移动内容进行管理。
65.无线网络安全防护系统可适用于电视台的无线局域网络，如图2所示，采用分层面保护的思想，参照等级保护相关标准，从数据安全、应用安全、网络安全、主机安全和物理安全等几个层面进行无线网络安全防护；按照预设的要求实现无线链路安全、认证授权、移动终端安全、app(application，应用程序)生命周期管理、安全管理和安全运维。另外，本示例提供的无线网络安全防护系统具备一定的扩展性，可以根据电视台业务发展的实际情况进行相应的改进。
66.无线网络安全单元能够提升无线安全防护能力。按照安全可靠、先进适用、可管理、易扩展的原则，无线网络安全单元集无线安全检测、无线入侵防御、无线访问控制、无线定位于一体，为无线网络提供安全的物理环境与无线传输通道，用于实现无线链路安全。具体地，通过对dos(denial of service；拒绝服务)、ap(accesspoint,访问接入点)欺骗、非法信号、非法终端等攻击行为进行检测，及时发现攻击事件；通过采用vpn(virtual private network，虚拟专用网络)、wep(wired equivalent privacy，有线等效保密)、wpa(wi-fi protected access，wi-fi网络安全接入)、wpa2(wpa第二版)等加密技术对数据加密，保障传输安全；通过发包阻断、射频阻断等技术实现对攻击行为的精准阻断；通过三角定位、指纹定位等技术实现对攻击源的有效定位。攻击检测、数据加密、精准阻断、有效定位等安全手段的实施确保电视台无线网络设备及物理和网络层面安全，为电视台移动应用业务系统提供安全通道。
67.边界接入单元按照统一接入管理、统一应用审计、统一运行监控、统一策略部署的策略来建立。边界接入单元采取区分链路安全防御的策略，集边界保护、身份认证、应用安全、安全隔离于一体。在确保边界接入安全的前提下，边界接入单元建立内网与外网的网络安全通道，提供安全的网络接入服务。边界接入单元用于实现认证授权。通过完善的身份认证机制识别合法用户，多维度的权限控制体系进行细粒度的权限控制，保障电视台无线网络的可控性和安全性。
68.移动终端安全单元用于实现移动终端安全。移动终端作为无线网络和业务系统的入口，在移动终端接入网络时需要进行严格准入审核机制，只允许信任的终端设备接入网络，减少终端接入带来的安全风险。通过对移动终端管理、移动应用管理、移动内容管理实
现对终端全方位的防护，保障移动终端设备安全、应用安全和数据安全。
69.移动安全管理平台包括移动终端管理模块、移动应用管理模块、移动内容管理模块。移动终端管理模块用于对移动终端的注册、激活、使用、淘汰各个环节进行全生命周期管理；移动应用管理模块用于对应用程序的检测、加固、分发进行一体化的聚合管理，提升企业应用的整体管理效能；移动内容管理模块用于对内容存储、内存传输、内容分发、文件文档进行管理，防止内容被篡改。
70.此外，可建立边界安全接入平台、移动安全管理平台的运行维护和管理工作机制，通过规范接入配置、规范安全监控、规范运行处置操作保障边界安全接入平台、移动安全管理平台的正常运行。对于安全管理来说，需严格按照等级保护要求，从安全管理制度、安全管理机构和人员等方面进行安全管理。对于运维安全来说，建立持续的风险评估、安全巡检等持续性的运维机制，保证安全体系的持续更新并为央视无线网络提供信息安全保障。
71.无线网络安全单元可采用身份鉴别、权限限制、数据加密等多种加固措施，提高无线网络中的网络设备的自身安全性，保障各种网络设备的正常运行。
72.在具体实现时：无线网络安全单元用于对登录网络设备的用户进行身份鉴别，用户名必须唯一；无线网络安全单元用于对网络设备的管理员登录地址进行限制；无线网络安全单元具有登录失败处理功能，失败后采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；无线网络安全单元用于启用ssh(secure shell，安全外壳协议)等管理方式，加密管理数据，防止被网络窃听；无线网络安全单元用于启用必要的管理端口，关闭所有不安全服务端口；无线网络安全单元用于及时更新网络设备自身升级包，修复安全漏洞，排除网络设备自身安全风险；另外，由于身份鉴别信息具有不易被冒用的特点，在用户设口令时，无线网络安全单元提示用户口令设置需3种以上字符、长度不少于8位，并提示用户定期更换。
73.无线网络安全单元可建立无线干扰检测、防御机制，用于对流氓ap、无线扫描、无线欺骗、无线钓鱼、dos、无线破解等无线攻击行为进行识别并阻断。在具体实现时：无线网络安全单元用于采用无线干扰检测防御技术或通过相关设备，对无线攻击行为进行识别并进行有效拦截防护；无线网络安全单元用于对流氓ap、无线钓鱼攻击、内部终端的非法外联等进行检测、阻断；无线网络安全单元用于禁止电视台内部员工私接ap；无线网络安全单元用于对无线网络扫描行为进行检测；支持对无线网络扫描、无线dos攻击进行检测；无线网络安全单元用于基于无线安全事件策略，检测并阻断无线有线jolt2、land-base、smurf、ping of death、winnuke、teardrop、syn flag、tcp flood、arp攻击、deauthentication攻击、deassociation攻击、无线域内时间片攻击等攻击行为。
74.无线网络安全单元用于对无线网络进行访问控制管理，控制对无线网络的访问权限，防止未授权的用户访问，保障无线网络服务安全。在具体实现时，可采用无线访问控制技术或部署相关产品，根据业务需求和安全需求预先制定无线安全策略，无线网络安全单元用于根据无线安全策略防止通过无线进行非法入侵，实现无线网络资源的授权访问，避免越权非法使用。其中，无线安全策略包括：对无线终端、无线接入点、无线网络、源接口、目的接口、安全域、协议类型、源地址、目的地址和报文通讯时间等条件设定安全访问策略。
75.具体地，无线网络安全单元用于基于策略针对特定对象进行带宽控制，如根据单个主机ip(internet protocol；网际互连协议)或子网段，目标ip和子网段，服务类型、时间
分配等条件来进行带宽控制；支持策略带宽保证。无线网络安全单元用于支持免客户端的有线无线一体化portal认证功能，用户必须在经过认证后才能访问特定网络。无线网络安全单元用于对内部办公网络、内部互联网、访客网络进行物理隔离并严格限制网络内部访问权限，只开放必要的网络端口，阻止由于病毒或者p2p(peer to peer lending或peer-to-peer，互联网金融点对点借贷平台)软件引起的异常流量、进行精确的流量控制，防止病毒木马在无线网络内部扩散。
76.无线网络安全单元用于在无线网络边界设置审计机制，进行数据监视并记录各类操作，对确认的违规行为进行报警。通过审计分析能够发现跨区域的安全威胁，实时地综合分析出网络中发生的安全事件。对移动终端、用户、业务应用系统进行安全审计，对异常事件进行追踪。在具体实现时：无线网络安全单元按用户信息、访问资源、访问时间等对用户行为进行审计；无线网络安全单元按应用系统信息，数据传输流量、传输时间、传输单位等对业务对象进行访问审计；无线网络安全单元按时间段、应用系统、用户单位分析统计用户行为、业务应用系统的异常行为等进行异常行为审计。
77.无线网络安全单元还用于采用数字签名技术、特定的音视频文件格式、特定协议或等同强度的技术手段等进行传输，保证通信过程中的数据完整性，并在发现完整性被破坏时进行恢复。在具体实现时：无线网络安全单元采用ssl(secure sockets layer安全套接字协议)、ipsec(internet protocol security，网际协议安全)vpn、可信网络连接等产品或技术措施，实现对网络传输数据完整性校验；无线网络安全单元支持ssl/tls(transport layer security，安全传输层协议)、ipsec等网络安全协议；其中，vpn客户端应支持硬件密码卡或ukey；vpn客户端支持软件形式的数字证书。
78.无线网络安全单元还用于合理发布无线接入点，对无线接入点发布的办公区域进行区分，减少因无线接入点被恶意接入的风险，保障无线网络的安全。在具体实现时：无线网络安全单元能够按需发布对应的无线接入点，缩小无线接入点发布的物理区域；除特殊区域外，无线接入点应发布在整个办公区域；在确定发布区域时，应遵循发布区域最小化原则；无线网络安全单元能够将访客接入点与台内接入点物理隔离；特殊业务的无线接入点需以隐藏ssid(service set identifier，服务集标识)的方式发布到特定的物理区域。
79.边界接入单元一方面能够将移动办公专网的网络边界进行清晰的定义，为无线专网的完善和实现边界防范措施提供条件；另一方面规范了不同网络安全域之间数据交换的模式，简化了部门间数据共享的操作流程，实现了互联、互通，为将来进一步开展应用互动提供网络边界的安全支撑。
80.边界接入单元用于进行统一用户管理。边界接入单元具体用于梳理无线网络用户，对用户进行分组，为统一认证授权提供数据基础；其中，用户信息规范命名、统一存储，用户id全局惟一；边界接入单元具体还用于根据内部员工、外协员工、访客等属性对用户进行分组管理或称为分类管理。
81.边界接入单元还用于进行统一用户认证。示例性地，边界接入单元用于统一存储所有应用系统的用户信息，应用系统对用户的相关操作全部通过安全接入平台完成，而授权等操作则由各应用系统自身完成，即统一存储、分布授权。在具体实现时：边界接入单元具体用于给应用系统提供用户属性列表，如姓名、电话、地址、邮件等属性，应用系统可以选择本系统所需要的部分或全部属性；边界接入单元具体支持与其它app、应用系统账号自动
同步接口功能；边界接入单元具体支持处理应用系统对用户基本信息的增加、修改、删除和查询等请求；边界接入单元具体支持应用系统保留用户管理功能，如用户分组、用户授权等功能；边界接入单元具体支持完善的日志功能，详细记录各应用系统对安全接入平台的操作；边界接入单元具体支持用户从安全接入平台退出后，自动从所有已经登录的应用系统同时退出；边界接入单元具体支持对单用户同时在线设备进行限制，原则上同一种类型设备只能有一台设备在线；边界接入单元具体支持对专用移动终端使用的特殊账号进行绑定，确保专用账号只能在专用移动终端上使用。
82.边界接入单元还用于进行统一认证方式。边界接入单元能够根据不同应用系统的安全级别，建立不同级别的认证机制，保障无线网络安全。在具体实现时，认证机制可以如下：访客无线网络采用portal认证，与办公区内部网络物理隔离，只能访问internet互联网，支持微信、短信、二维码等方式，简单、快速、轻松的实现来宾访问的安全无线接入；内部办公无线网络接入采用用户名/密码方式，并结合mac(message authentication code，消息认证码)及安全接入平台提供更高安全性的无线接入，并且，在经过认证后，下次登录使用同一设备与同一账号密码，无需二次认证；移动应用应支持国密算法的ca证书认证，移动终端在启动app应用时，可调ca服务器对应的证书验证用户身份，同时在用户退出移动应用，以及用户注销时都需要提交应用证书到服务器，保证ca证书应用时安全防护的流程完整性。
83.边界接入单元还用于进行移动终端配置。其中，移动终端设备应具有移动应用安装配置条件。在具体实现时：移动终端应支持数字证书的安装和运行；移动终端应支持vpn客户端的安装和运行，以及在线升级；移动终端应支持移动安全管理平台客户端的安装和运行，以及在线升级；移动终端应支持虚拟化客户端的安装和运行，以及在线升级。
84.边界接入单元还用于进行会话连接管理。边界接入单元能够根据建立的会话时长管理机制，智能失效异常会话连接，保障数据访问安全。在具体实现时，会话时长管理机制如下：会话必须具有一致性和持续性，会话过程中应维持认证状态，防止信息未经授权访问；会话标识应唯一、随机、不可猜测；会话应设置超时时间，当空闲时间超过设定时间应自动终止会话；会话结束后，应及时清除会话信息；当应用系统通信双方中的一方在指定时间内未作任何响应，另一方应能够自动结束会话。
85.边界接入单元还用于进行基于用户的权限管理。为了更方便的对用户进行权限管理，预先建立基于不同用户身份的权限管理机制，边界接入单元用于根据建立的基于用户的权限管理机制进行权限管理，保证无线网络的安全。在具体实现时，基于用户的权限管理机制如下：访客用户拥有最低的权限，只能访问访客无线网络，访问internet互联网，不能访问电视台内部网络；外协员工因业务的需求，可在部分情况下有限度的授予内部员工的部分权限，当业务需求结束时，需及时取消权限，可采用用户名/密码、ip、时间段等组合的认证方式，外协员工接入网络后只能访问电视台特定的信息系统；内部员工用户可以访问电视台内部业务系统，需要进行严格的设备管控及身份认证，采用用户名/密码、数字证书组合的认证方式。
86.边界接入单元还用于进行基于位置的权限管理。预先建立基于位置的权限管理机制，边界接入单元根据基于位置的权限管理机制，根据用户位置对访问权限进行限制，保证无线网络的安全。在具体实现时，基于位置的权限管理机制如下：采用无线定位技术对无线
网络用户进行定位；安全性要求很高的无线网络应用只能在特定的区域进行访问；大型活动或大型直播节目时，在指定区域临时搭建无线网络；电视台以外的用户只能通过vpn接入访问特定的信息系统。
87.边界接入单元还用于进行基于终端的权限管理。预先建立基于终端类型的权限管理机制，根据终端类型不同分别进行权限管理，保证无线网络的安全。在具体实现时，基于终端的权限管理机制如下：只允许移动终端设备使用无线网络；个人移动终端可信度较低，根据实际业务需要开放必要的访问权限；安全级别要求较高的移动应用，建议使用台内配发专用移动终端，专机专用。
88.电视台已经将智能手机和平板电脑等移动终端设备逐步应用于日常办公和媒体内容生产等关键业务，由于移动终端设备的灵活性与流动性，是安全防护中最薄弱的环节，必须要加强移动终端的安全管理。
89.建设集移动终端管理、移动应用管理、移动内容管理与一体的统一移动安全管理平台也即移动终端安全单元，移动终端安全单元能够从设备、应用、内容三个维度来实现对移动终端高效、安全的统一管理。平台支持对专用移动终端和个人移动终端进行差异化管理；其中，专用移动终端是指电视台统一配发的移动终端设备；个人移动终端是指员工个人购买用户移动办公的移动终端设备。移动应用平台登录安全，防止非授权的访问，防止各种冒充、篡改和抵赖等行为，防止信息泄密和被破坏。
90.在具体实现时，移动终端安全单元能够禁止弱口令存在，弱口令为最小长度低于8个字符的口令，也即移动终端安全单元允许的口令的最小长度不低于8个字符；在用户输入登录密码时，移动终端安全单元能够提供及时加密功能；移动终端安全单元不允许新旧密码相同，在有初始密码时，强制客户在首次登陆时修改初始密码；移动终端安全单元能够禁止明文显示密码，应使用相同位数的统一特殊字符(例如*和#)代替；移动终端安全单元能够禁止明文存储密钥、禁止本地存储密钥、禁止硬编码形式存储密钥、关闭webview自动保存密码功能、禁止不安全的sharedfrefs配置导致密码泄露；在移动终端安全单元的登录界面填写登录名和密码，在切出后，必须清除输入的信息；如果在已登录后切出到别的应用，则要求2分钟内自动退出；移动终端安全单元具有会话超时保护措施，移动终端在超过5分钟无操作后，会话超时并要求重新登录，如果一个会话空闲的时间超过一定时长，要求用户再次输入口令以重新激活终端应用；移动终端安全单元应采用一种或几种有效的方法防止密码的暴力猜解，包括但不限于：设置密码验证次数的限制；提升密码复杂度等；在使用手机短信动态密码时，需保证：开通手机动态密码或更改手机号码时，应对客户的身份进行有效验证，手机动态密码应随机产生，长度不应少于6位，应设定手机动态密码的有效时间，最长不超过10分钟，超过有效时间应立即作废，关键信息应与动态密码一起发送给客户，并提示客户确认；应用在处理接口函数的警告信息时，必须妥善处理，不要随意将报警信息显示出。
91.移动终端安全单元的移动终端管理模块用于对移动终端进行管理。移动终端管理模块从设备注册、激活、使用、下线等各个环节进行完整的移动终端生命周期管理，保障电视台移动终端安全。
92.移动终端安全单元对移动终端进行准入控制。移动终端安全单元采用移动终端设备的准入控制机制，检测无线网络接入的移动终端设备的合规性，以发现移动终端的潜在
安全风险，阻止不满足安全要求的移动终端进行接入。
93.在具体实现时：移动终端安全单元用于在检测到移动终端处于root/越狱状态或有root/越狱行为时，不允许进行接入；移动终端安全单元支持双因素准入控制；移动终端安全单元支持对移动终端设备启用应用白名单；移动终端安全单元支持对移动终端设备操作系统版本是否合规、sim(subscriber identity module，用户身份识别模块)卡是否使用授权sim卡等进行安全检测。其中，专用移动终端支持上述各实现方式；个人移动终端支持前两条是实现方式。
94.移动终端管理模块还用于进行安全登记。移动终端管理模块用于对电视台移动终端设备进行安全登记，对移动终端设备进行分组，分类管理。在具体实现时：移动终端管理模块支持邮件推送、浏览器url(统一资源定位符，uniform resource locato)、二维码扫描等方式进行移动安全管理平台客户端的下载和移动终端用户注册；移动终端管理模块支持对设备的系统版本、设备标识、设备型号、设备mac(media access control，媒体访问控制)地址、运营商、持有人、操作系统等信息进行识别和登记；移动终端管理模块支持对移动终端设备根据设备属性和电视台组织架构进行分组分类管理；移动终端管理模块支持对移动终端在网的整个生命周期中所有的状态信息、操作行为进行严密的监控和统一的配置管理，确保电视台移动终端设备属于可控范围。其中，专用移动终端在配发时应预装移动终端管理模块对应的客户端。
95.移动终端管理模块还用于进行策略管理。移动终端管理模块用于根据真的业务建立的策略管理机制，对移动终端进行策略集中管理。在具体实现时：移动终端管理模块支持对移动终端下发设备锁屏和清除锁屏策略。可以在移动安全管理平台设定密码规则策略后，移动安全管理客户端提示按照设定的密码策略设定锁屏密码；移动终端管理模块支持设置终端违规行为策略，执行限制访问、警告、锁定、禁用、系统还原、数据擦除等操作；移动终端管理模块支持设置用户策略，支持一个用户绑定多个移动终端设备，支持通过用户分组和关联角色进行管理控制；移动终端管理模块支持审计策略，对移动终端的设备状态变化及用户违规行为等安全事件进行审计，发现安全问题后应终止接入；移动终端管理模块android系统支持分发病毒扫描任务，便于快速扫描发现和查杀手机病毒、木马；移动终端管理模块支持对设备进行失联的策略控制。
96.移动终端管理模块还用于进行追踪与数据擦除。移动终端管理模块还用于采用定位技术与数据擦除技术，对失控设备及时进行安全处理，保障电视台核心数据安全，防止敏感信息外泄。
97.在具体实现时：终端设备应支持远程定位，定位技术不仅局限于gps定位，还可通过gprs(general packet radio service，通用分组无线服务)、3g(3rd-generation，第三代移动通信技术)、4g(4th generation，第四代移动通信技术)、wifi(wireless fidelity，无线上网)等网络设施进行精准定位；终端设备应支持行动轨迹采集绘制，以便掌握移动终端及移动终端使用人员的行动轨迹；终端设备应支持通过收集定位信息，对终端进行位置定位。若终端丢失，员工可以通过gps(global positioning system，卫星导航系统)定位找回移动终端；终端设备应支持远程密码设定、锁定移动终端、擦除企业应用、擦除企业应用数据、擦除个人隐私数据(照片、通讯录、短信、通话记录等)；移动终端管理模块支持防卸载机制，当移动终端管理模块对应的客户端被卸载时，客户端及本地企业数据将被自动擦除。
98.移动终端管理模块还用于进行权限管理。移动终端管理模块能够通过细粒度的权限控制，实现对指定用户设备的功能权限、应用程序权限、安全性和隐私权限进行配置和管理。
99.在具体实现时：移动终端管理模块的客户端应开机自动运行，保持对移动终端的实时监测；移动终端管理模块能够用于对移动终端设备截屏进行管控；移动终端管理模块能够用于对移动终端设备粘贴板进行管控；专用移动终端不能随意安装应用；移动终端管理模块能够用于对移动终端设备摄像头进行管控；移动终端管理模块能够用于对移动终端设备铃声进行管控；移动终端管理模块能够用于对移动终端设备蓝牙进行管控；移动终端管理模块能够用于针对用户或群组进行功能或权限限制；移动终端管理模块能够用于对指定的设备下发配置。其中，专用移动终端支持上述各实现方式，个人移动终端支持上述前3个实现方式。
100.移动终端管理模块还用于进行失联检测。移动终端管理模块用于采用失联检测技术，对失联移动终端设备进行数据保护，防止敏感数据外泄。在具体实现时：移动终端管理模块用于擦除失联设备的企业数据，锁定，恢复设备出厂设置等操作，保证设备失联状态下的企业数据安全。移动终端管理模块用于远程对移动终端设备进行注销、禁用和锁定管理。终端设备支持对设备进行失联管控，设备在丢失或无法联网的状态下，自动执行相应的设备失联规则；需预先制定个人移动终端和专用移动终端的管理规定，依据管理规定个人移动终端和专用移动移动终端启用相应的失联规则。
101.移动终端管理模块还用于对终端设备进行病毒防护。移动终端管理模块基于部署的系统防病毒系统，加强终端的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。在具体实现时：android系统支持对病毒、木马、蠕虫的检测和查杀功能，实现对移动终端设备安全实时防护。
102.移动终端安全单元的移动应用管理模块用于进行移动应用管理。移动应用管理模块可用于对移动终端的各种应用属性进行自主管控，通过对移动应用的安全检测、安全加固和安全分发，保障移动应用app安全。
103.移动应用管理模块还用于进行安全检测。移动应用app上线前需进行安全检测，在检测出漏洞时，基于相应的解决方案对漏洞进行修复。在具体实现时：移动应用管理模块支持运行所需系统权限检测；移动应用管理模块支持登录认证安全性检测；移动应用管理模块支持键盘输入安全性检测；移动应用管理模块支持进程注入防护检测；移动应用管理模块支持敏感信息泄漏检测；android系统支持反盗版能力检测；android系统支持activity、service、broadcast、contentprovider等组件安全性检测；支持第三方进行常规检测、专家级逆向分析与漏洞；挖掘等人工检测。
104.移动应用管理模块还用于进行安全加固。移动应用app上线前需进行安全加密及加壳保护。在具体实现时：移动应用管理模块支持抗逆向分析、抗反汇编等安全性防护措施，防范攻击者对移动应用的调试、分析和篡改；移动应用管理模块支持反内存dump，程序运行时内存空间需有安全保护机制，防止被保护so、dex等文件从内存中dump出来；移动应用管理模块支持防止签名校验禁止被绕过的机制；移动应用管理模块支持对app的dex文件进行反编译处理，如加壳、加花、类加载、类抽取等；移动应用管理模块支持对app的so文件进行反编译处理，如使用自定义加载器加载so文件、so文件的关键函数实现动态加解密、使
用畸形so件等。
105.移动应用管理模块支持反调试，防止进程/线程附加机制，如果检测到被保护apk被附加则程序退出；移动应用管理模块支持反调试与dex壳进行相互校验机制，确保整个dex壳和反调试的完整性，如检测到被保护的apk中dex壳和反调试部分被篡改，则被保护apk程序自行退出。移动应用管理模块支持防止壳启动调试机制；移动应用管理模块支持防zjdroid插件内存，防止dump dex机制；移动应用管理模块支持防内存篡改机制。移动应用管理模块支持防系统核心库被hook(劫持)攻击机制。移动应用管理模块支持安全编译器保护机制。其中，android系统支持上述前11个具体实现方式；ios系统支持最后一个具体实现方式。
106.移动应用管理模块还用于进行应用分发。移动应用app通过统一移动应用市场发布，发布前需进行安全检查、安全加固，保障安全分发。在具体实现时：移动应用管理模块支持移动应用app统一上传，分部门、分组、分角色进行分发；移动应用管理模块支持移动应用app下载量统计；移动应用管理模块支持用户反馈使用意见；移动应用管理模块支持对发布的应用进行渠道监控。
107.移动终端安全单元的移动内容管理模块用于进行移动内容管理。移动内容管理模块通过使用沙箱技术，实现移动应用存储安全、传输安全、分发安全等功能，保障企业数据在移动终端上的安全。
108.移动内容管理模块用于进行存储安全。采用沙箱技术，达到电视台内部数据与个人数据统一管理，物理隔离，安全存储的要求。因ios应用本身已采用沙箱机制，所以此功能只针对android系统。
109.在具体实现时：移动内容管理模块采用沙箱技术，对文档进行隔离、监控，控制敏感信息的分发与访问；移动应用储存的敏感信息必须设置最大保存时间，移动内容管理模块在最大保存时间超过时间自动删除；移动内容管理模块用于对敏感数据或文件加密存储(除媒体文件)；移动内容管理模块禁止将软件运行时依赖的数据保存在外部存储；移动内容管理模块禁止将软件安装包或者二进制代码保存在外部存储，在安装或加载位于sd卡的任何文件(apk、dex、jar)之前，对其完整性做验证，判断其与实现保存在内部存储中的(或从服务器下载来的)哈希值是否一致；移动内容管理模块用于对私有目录(通常位于“/data/data/应用名称/”)下的文件权限进行限制，正常的文件权限最后三位应为空(类似“rw-rw
----”
)，即除应用自己以外任何人无法读写，目录文件则允许多一个执行位(类似“rwxrwx—x”)。
110.移动内容管理模块还用于进行传输安全。移动内容管理模块采用高强度加密算法进行文档加密，避免企业数据在上传或传输过程中外泄风险。
111.在具体实现时：应用不得在网络上明文传输密码等敏感信息；移动内容管理模块用于保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除；敏感数据在本地软件其他进程间传输时应采取加密措施(除媒体文件)，移动内容管理模块用于保证敏感数据传输的保密性；应用应保证远程数据传输保密性；敏感数据(除媒体文件)通过公共网络传输时应采取加密措施，移动内容管理模块用于保证敏感数据传输的保密性；移动内容管理模块用于防止应用软件与服务器通信报文被第三方嗅探攻击；对于程序与服务器的通信，移动内容管理模块用于进行证书合法性和一致
性校验；应用应具备完整性保护措施；移动内容管理模块能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，防止数据传输中断或被篡改；移动内容管理模块用于禁止第三方阅读软件打开文档。
112.移动内容管理模块还用于进行分发安全。移动内容管理模块用于进行文档统一管理，定向分发，保障文档分发安全。在具体实现时：移动内容管理模块可以根据业务需要，将文档分发指定的目标用户终端，实现文档统一下发和文件共享，并可看下发后文档的阅读状态；移动内容管理模块用于对企业文档进行策略管理，对文档共享、拷贝等功能设置相应的管理策略，设置文档水印，方便企业对文档进行管理；对于生产类pgc视频文件，本地不进行保留。
113.移动内容管理模块还用于进行移动通知管理。移动内容管理模块用于采用内置消息管理功能，在具体实现时，移动内容管理模块可通过mcm移动内容管理平台根据个人或是组的方式进行定向全员推送系统通知；系统通知应使用ssl通道，移动内容管理模块用于采用高强度的加密算法加密，具备防篡改功能。
114.在本示例中，移动应用具有一定的安全要求。移动应用app全生命周期(软件设计和开发阶段、发布阶段、运维阶段)安全，覆盖软件应用开发的事前、事中和事后阶段。
115.在设计和开发阶段：媒体应用app事前阶段的安全防护可以将app的安全特性成本降到最低，为开发团队建立安全意识，提升应用的安全能力。事前阶段的安全主要包含移动应用安全培训和咨询、移动应用安全组件、移动应用安全测评和渗透测试三个方面。移动应用安全咨询包含了应用安全设计、安全框架规划、安全设计规范和核心模块安全架构设计咨询等。
116.安全培训服务主要面向信息安全技术和管理人员，使技术人员获取安全知识，从而最终达到强化安全意识，理解安全理论，掌握安全技术，获得安全实践经验，通过安全认证，并融会贯通应用于所在的移动安全建设当中。
117.安全sdk是对媒体应用本地数据进行的安全加密，以提高安全保护效率。通过开放的接口传入需要加密的数据，在底层对数据进行加密，然后返回密文，这样在内存以及存储到数据库中的数据均为密文。当需要获取到原数据的时候在通过调用解密接口传入密文，在底层将数据解密返回。
118.在发布阶段：移动应用发布阶段安全防护主要包含应用安全加固和移动应用大数据风控两个方面。移动应用加固基于开发好预发布的app文件进行加固处理，解决移动端系统开源性(半开源性)带来的安全缺陷，通过反编译、完整性保护、内存数据保护，本地数据保护，so库保护、源代码混淆等技术的综合运用，保障应用安全性。移动应用大数据风控系统基于大数据系统架构，采集来自于移动终端app端和服务器端的多种设备、系统、应用和业务的威胁特征数据；结合自定义业务威胁规则和基于大数据引擎(决策树和图论模型)欺诈行为研判决策，预警定位多种威胁行为，产生基于设备、应用和内容的多种威胁情报。
119.在运维阶段：移动应用运维阶段安全防护主要包含漏洞响应和渠道监测两个方面。安全漏洞监测可使电视台应对安全应急事件，及时发现解决各类漏洞事件，防止潜在业务、资金和声誉损失。渠道监测够有效监测各大应用发布渠道的盗版发布情况，对盗版发布做到可视、可控。规避因为用户下载使用盗版造成的用户损失和企业损失。
120.本示例中，还需预先建立安全管理体系。具体地，建立安全管理制度、建立安全管
理机构、建立人员安全管理制度建立安全运维机制。
121.对于安全管理制度。根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。可以考虑从以下几个方面进行规范管理：登记管理，对每个移动终端应进行严格的档案登记，并以技术和管理手段加强管理，档案登记应包含单位、工区、使用人、终端识别码、机器序列号、sim卡号、串号等；领用管理，必须在工作时间登记领出、工作完毕交还管理部门，及时进行作业数据同步，提交作业完成数据；遗失管理，应建立完善的遗失管理制度，如遗失必须及时报失。同时，配合技术手段，支持采用远程终端锁定、信息销毁。
122.关于安全运维机制。具体地，进行风险评估。随着技术的飞速发展，当前电视中心已以基本实现了数字化、网络化播出，并继续向高清化发展，电视中心播出系统已经从过去简单的模拟设备组成的系统转变为一个融合了多种模拟、数字、it设备的综合网络信息系统，同时还涉及人员、管理、预案等一系列相关因素，对其进行风险评估也就变得复杂起来。如何根据广播电视行业技术发展，对电视中心安全播出进行有效可行的风险评估，准确判断自身系统所存在的风险程度，及时发现安全播出中的薄弱环节，提出有针对性的防护措施和整改方法，为防范和化解安全播出风险提供科学依据。
123.针对无线网络安全防护，需要定期的开展风险评估工作。开展风险评估工作，就是从风险管理的角度，运用科学的手法和手段，系统的分析无线网络全链路面临的威胁及其存在的脆弱性，评估安全事件发生的概率以及安全事件一旦发生可能造成的损失，根据评估结果，提出有针对性的抵御威胁的防护对策和整改措施，并为防范和化解信息安全风险、将风险控制在可接受的水平、最大限度的保障网络和信息安全提供依据。
124.还需设置应急响应。移动应用开发设计的初衷是为了解决实际的业务问题，然而黑客和逆向破解者并不会以正常用户的方式来使用移动应用，而是想尽一切办法找出移动应用的风险和漏洞，并加以利用达到从中获利的目的。移动应用在运营阶段通常会遭到如下的黑客攻击：反编译分析、功能篡改后运行、二次打包盗版发布、逆向分析核心业务逻辑、动态调试工具、运行时篡改关键业务数据、通讯抓包分析、脱壳攻击、仿冒钓鱼等。针对以上各项风险进行安全防护，可有效提升媒体移动应用在运营阶段的安全防护等级。
125.预先建立的网络攻击事件应急预案如下：当发现网络被非法入侵、移动应用内容被篡改，应用服务器的数据被非法拷贝、修改、删除，或有黑客正在进行攻击等现象时，使用者或管理者应断开网络，并立即报告应急小组；应急小组立即关闭相关服务器，封锁或删除被攻破的登录账号，阻断可疑用户进入网络的通道，并及时清理系统、恢复数据和程序，尽快将系统和网络恢复正常。
126.预先建立的信息破坏事件应急预案如下：当发现信息被篡改、假冒、泄漏等事件时，使用者应立即通知应急小组；如被篡改或被假冒的数据正在提交或发送过程中，应急小组应立即切断数据传输；应急小组通过跟踪应用程序、查看数据库安全审计纪录和业务系统安全审计记录查找信息被破坏的原因和相关责任人；应急小组提出修正错误方案和措施，通知各业务子系统进行处理。
127.预先建立的信息内容安全事件应急预案如下：当发现不良信息或网络病毒时，使用人员应立即断开网络连接，终止不良信息或网络病毒传播，并报告应急小组；应急小组根据情况通告所有终端用户，隔离网络，指导各终端操作、使用人员进行杀毒处理、清理不良信息，直至网络处于安全状态。
128.预先建立的兼容性应急响应服务如下：当新上市手机或新发布操作系统后，加固产品有可能出现大面积崩溃等不兼容、不稳定、性能低下等问题时，使用人员应立即报告应急小组；应急小组根据情况，进行bug修复或应急版本更新。
129.本实施例围绕构建可信、可管、可控的无线网络安全的总体目标，充分利用先进技术资源，针对电视台无线网络接入业务进行了深入的安全分析，提出一整套高可用、高可行、高扩展的无线网络安全防护系统，为电视台今后无线网络安全防护技术体系建设提供了坚实的技术基础，为下一步构建融合发展的舆论引导新格局提供强有力的技术支撑。
130.在具体实现时，可通过如下方法构建本实施例提供的无线网络安全防护系统，该方法包括：
131.步骤1、按照安全可靠、先进适用、可管理、易扩展的原则，构建集无线安全检测、无线入侵防御、无线访问控制、无线定位于一体的无线安全防御体系也即无线网络安全单元，为无线网络提供安全的物理环境与无线传输通道；
132.步骤2、采取区分链路安全防御的策略，构建集边界保护、身份认证、应用安全、安全隔离于一体的边界安全接入平台也即边界接入单元；在确保边界接入安全的前提下，建立内网与外网的网络安全通道，提供安全的网络接入服务；
133.步骤3、构建移动安全管理平台也即移动终端安全单元；移动安全管理平台包括移动终端管理模块、移动应用管理模块、移动内容管理模块；移动终端管理模块用于对移动终端的注册、激活、使用、淘汰各个环节进行全生命周期管理；移动应用管理模块用于对应用程序的检测、加固、分发进行一体化的聚合管理；移动内容管理模块用于对内容存储、内存传输、内容分发、文件文档进行管理；
134.步骤4、建立边界安全接入平台、移动安全管理平台的运行维护和管理工作机制，通过规范接入配置、规范安全监控、规范运行处置操作保障边界安全接入平台、移动安全管理平台的正常运行。
135.步骤1中构建无线安全防御体系具体可包括以下步骤：
136.采用身份鉴别、权限限制、数据加密方式，提高网络设备的自身安全性，保障各种网络设备的正常运行；
137.建立无线干扰检测、防御机制，对流氓ap、无线扫描、无线欺骗、无线钓鱼、dos、无线破解行为进行识别并阻断；
138.对无线网络进行访问控制管理，控制对无线网络的访问权限，防止未授权的用户进行访问，保障无线网络服务安全；
139.在无线网络边界设置审计机制，进行数据监视并记录各类操作，对确认的违规行为进行报警；
140.采用数字签名技术、特定的音视频文件格式、特定协议或等同强度的技术手段进行传输，保证通信过程中数据完整性，并在发现完整性被破坏时进行恢复；
141.合理发布无线接入点，减少因无线接入点被恶意接入的风险，保障无线网络的安全。
142.步骤2中构建边界安全接入平台具体可包括以下步骤：
143.梳理无线网络用户，对用户进行分组统一管理；
144.统一存储所有应用系统的用户信息；
145.根据不同应用系统的安全级别，建立不同级别的认证机制；
146.保持移动终端设备具有移动应用安装配置条件；
147.建立会话时长管理机制，保障数据访问安全；
148.建立基于不同用户身份的权限管理机制；
149.建立基于位置的权限管理机制，根据用户位置对访问权限进行限制；
150.建立基于终端类型的权限管理机制，根据终端类型不同分别进行权限管理。
151.步骤3中构建移动安全管理平台具体可包括以下步骤：
152.构建移动终端管理模块；
153.构建移动应用管理模块；
154.构建移动内容管理模块。
155.构建移动终端管理模块包括以下步骤：
156.采用移动终端设备的准入控制机制，检测无线网络接入的移动终端设备的合规性，以发现移动终端的潜在安全风险，阻止不满足安全要求的移动终端进行接入；
157.对移动终端设备进行登记、分组，并进行分类管理；
158.针对业务需要建立策略管理机制，对移动终端进行策略集中管理；
159.采用定位技术与数据擦除技术，对失控设备及时进行安全处理，保障核心数据安全，防止敏感信息外泄；
160.通过细粒度的权限控制，实现对指定用户设备的功能权限、应用程序权限、安全性和隐私性进行配置和管理；
161.采用失联检测技术，对失联移动终端设备进行数据保护，防止敏感数据外泄；
162.部署防病毒系统，加强终端设备的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。
163.构建移动应用管理模块包括以下步骤：
164.移动应用app上线前进行安全检测，并给出漏洞的解决方案；
165.移动应用app上线前进行安全加密；
166.移动应用app发布前进行安全检查、安全加固，保障安全分发。
167.构建移动内容管理模块包括以下步骤：
168.采用沙箱技术，将内部数据与个人数据统一管理，保障安全存储；
169.采用高强度加密算法进行文档加密，降低数据在上传或传输过程中的外泄风险；
170.将文档统一管理，定向分发，保障文档分发安全；
171.采用内置消息管理实现安全通知、推送。
172.建立运行维护和管理工作机制包括以下步骤：
173.建立安全管理体系；
174.进行安全运行维护。
175.建立安全管理体系包括以下步骤：
176.建立完善的安全管理制度；
177.建立严格的安全管理机构；
178.对人员安全进行管理。
179.进行安全运行维护包括以下步骤：
180.定期开展风险评估工作；
181.制定网络攻击事件应急响应预案、信息破坏事件应急响应预案、信息内容安全事件应急响应预案以及提供兼容性应急响应服务。
182.在建立本技术提出的系统时需要遵守如下安全原则。
183.整体安全原则。一个由许多信息安全设备组成的信息安全防御系统，其信息安全防御水平取决于针对某种信息安全风险性能最低的信息安全设备。
184.积极防御原则。随着黑客技术的提高，对信息安全也提出更高的要求。防御黑客除了传统的边界防御设备外，还需具备智能化、高度自动化、响应速度快的信息安全产品，配备技术力量雄厚、响应及时的本地化服务队伍，才能做好各种预防检测工作，达到防患于未然。
185.多重保护原则。任何安全防御措施都不是绝对安全的，都可能被攻破。但是建立一个多重安全保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全，才能够有效抵御各种安全风险。
186.一致性原则。一致性原则主要是指信息安全问题应与整个网络的工作周期(或生命周期)同时存在，制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等，都要有安全的内容及措施，实际上，在网络建设的开始就考虑信息安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也小得多。
187.易操作性原则。安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。不能够违背信息化建设必须以应用系统为基础，满足业务高效、易操作的原则。
188.可扩展性原则。由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决信息安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此充分考虑系统的可扩展性，根据资金情况分步实施，既可满足网络系统及信息安全的基本需求，亦可节省费用开支。
189.标准化原则。在软件、硬件、网络、安全和制度建设等方面都必须遵守国家和行业的相关法规、标准和规范。充分考虑工作特点，补充和完善符合实际的组织业务信息标准。
190.采用本实施例提供的系统，如图3所示，移动终端接入流程如下：移动终端向移动运营商发起无线连接，移动运营商返回连接成功，移动终端与移动运营商建立无线接入通道；移动终端再通过此通道与信息网连接，具体的，移动终端通过此通道向信息外网发起接入信息网，信息外网返回接入成功，在移动终端与信息网之间建立起连接通道。连接通道建成后，移动终端与信息网内的安全设备相互进行身份认证，通过证书的认证，确认双方都是可信任的。双方利用密钥协商机制，采用国家密码管理局批准的专用加密算法，建立安全的数据(除媒体文件)加密传输通道。利用双方的身份认证，确保移动终端安全可靠的接入信息网，通过加密传输，保障业务数据的传输安全，确保业务数据无法被窃取。
191.需要说明的是：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。在这里示出和描述的所有示例中，除非另有规定，任何具体值应被解释为仅仅是示例性的，而不是作为限制，因此，示例性实施例的其他示例可以具有不同的值。
192.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
193.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
194.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
195.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
196.尽管已描述了本技术的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本技术范围的所有变更和修改。
197.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。