信息安全解決方案_第1頁(yè)
信息安全解決方案_第2頁(yè)
信息安全解決方案_第3頁(yè)
信息安全解決方案_第4頁(yè)
信息安全解決方案_第5頁(yè)
已閱讀5頁(yè),還剩6頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、河南CA信息安全解決方案河南省數(shù)字證書(shū)認(rèn)證中心一、身份鑒別(一)、基本要求1、應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別; 2、應(yīng)提供登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施; 3、應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能,并根據(jù)安全策略配置相關(guān)參數(shù)。4、應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí),身份鑒別信息不易被冒用; 5、應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別; (二)、實(shí)現(xiàn)方式通過(guò)部署PKI/CA與應(yīng)用系統(tǒng)相結(jié)合實(shí)現(xiàn)該項(xiàng)技術(shù)要求。(三)、部署

2、方式詳細(xì)部署方式參見(jiàn)應(yīng)用安全支撐系統(tǒng)系統(tǒng)設(shè)計(jì)。二、訪問(wèn)控制(一)、基本要求1、應(yīng)提供訪問(wèn)控制功能控制用戶組/用戶對(duì)系統(tǒng)功能和用戶數(shù)據(jù)的訪問(wèn);2、應(yīng)由授權(quán)主體配置訪問(wèn)控制策略,并嚴(yán)格限制默認(rèn)用戶的訪問(wèn)權(quán)限。3、應(yīng)提供訪問(wèn)控制功能,依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn); 4、訪問(wèn)控制的覆蓋范圍應(yīng)包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作; 5、應(yīng)授予不同賬戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系。6、應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能;7、應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作; (二)、實(shí)現(xiàn)方式通過(guò)部署PKI/CA與應(yīng)用系統(tǒng)相結(jié)合實(shí)

3、現(xiàn)該項(xiàng)技術(shù)要求。(三)、部署方式詳細(xì)部署方式參見(jiàn)應(yīng)用安全支撐系統(tǒng)系統(tǒng)設(shè)計(jì)。三、通信完整性、保密性(一)、基本要求1、應(yīng)采用約定通信會(huì)話方式的方法保證通信過(guò)程中數(shù)據(jù)的完整性。2、應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。3、在通信雙方建立連接之前,應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證; 4、應(yīng)對(duì)通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密。(二)、實(shí)現(xiàn)方式應(yīng)通過(guò)應(yīng)用數(shù)據(jù)加密實(shí)現(xiàn)對(duì)于數(shù)據(jù)的完整性和保密性安全。四、抗抵賴(一)、基本要求1、應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能; 2、應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。(二)、實(shí)現(xiàn)方式抗抵賴功能最常

4、見(jiàn)的實(shí)現(xiàn)方式是通過(guò)PKI、數(shù)字簽名、數(shù)字水印和CA等技術(shù)實(shí)現(xiàn)。(三)、部署方式通過(guò)部署CA實(shí)現(xiàn)應(yīng)用抗抵賴功能。五、數(shù)據(jù)完整性(一)、基本要求1、應(yīng)能夠檢測(cè)到重要用戶數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞。2、應(yīng)能夠檢測(cè)到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞; 3、應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞,并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施; 4、應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中完整性受到破壞,并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施; (二)、實(shí)現(xiàn)方式通過(guò)使用Hash校驗(yàn)的方法確保數(shù)據(jù)的完整性。傳輸過(guò)程的完整性受到損壞則采

5、取數(shù)據(jù)重傳的機(jī)制;對(duì)于存儲(chǔ)的數(shù)據(jù)則應(yīng)采取多個(gè)備份的方式,防止單一數(shù)據(jù)損壞造成的損失。(三)、部署方式1、針對(duì)應(yīng)用數(shù)據(jù)的其他完整性保護(hù)可以采用Hash校驗(yàn),在進(jìn)行安全編程時(shí)采用;2、針對(duì)應(yīng)用存儲(chǔ)數(shù)據(jù)進(jìn)行完整性保護(hù)時(shí),應(yīng)當(dāng)采用多種備份機(jī)制進(jìn)行恢復(fù)。六、數(shù)據(jù)保密性(一)、基本要求1、應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)鑒別信息的存儲(chǔ)保密性; 1、應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性; 2、應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性; (二)、實(shí)現(xiàn)方式無(wú)論在身份驗(yàn)證階段還是數(shù)據(jù)傳輸階段都使用加密的形式傳輸數(shù)據(jù),通常的方法可以使用SSL或TL

6、S等方式,也可以使用VPN或?qū)S脜f(xié)議傳輸。對(duì)存儲(chǔ)的重要數(shù)據(jù)需要采取加密手段進(jìn)行保存。對(duì)于本身就是加密方式存儲(chǔ)和使用的數(shù)據(jù),在傳輸過(guò)程中可以適當(dāng)降低對(duì)傳輸過(guò)程中加密的要求。(三)、部署方式l 通過(guò)部署CA、VPN方式實(shí)現(xiàn)l 通過(guò)采用支持MD5方式的本地存儲(chǔ)實(shí)現(xiàn)七、應(yīng)用安全支撐系統(tǒng)設(shè)計(jì)應(yīng)用安全支撐平臺(tái)是面向電子政務(wù)應(yīng)用,構(gòu)建在網(wǎng)絡(luò)基礎(chǔ)設(shè)施、系統(tǒng)平臺(tái)以及安全保障體系基礎(chǔ)之上,為電子政務(wù)系統(tǒng)提供一體化的政務(wù)應(yīng)用安全支撐。1、應(yīng)用安全支撐系統(tǒng)整體結(jié)構(gòu)應(yīng)用安全支撐系統(tǒng)基于數(shù)字證書(shū)構(gòu)建安全認(rèn)證、加密傳輸、加密存儲(chǔ)系統(tǒng),并為政務(wù)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)提供安全支撐服務(wù),如可信網(wǎng)站、遠(yuǎn)程應(yīng)用訪問(wèn)、網(wǎng)上業(yè)務(wù)安全服務(wù)、數(shù)據(jù)保

7、護(hù)、安全電子郵件應(yīng)用等。應(yīng)用安全支撐系統(tǒng)設(shè)計(jì)以安全認(rèn)證網(wǎng)關(guān)、安全存儲(chǔ)控制服務(wù)器、簽名驗(yàn)證模塊接口等組成,其組成邏輯結(jié)構(gòu)如下圖所示:圖表 1 應(yīng)用安全支撐系統(tǒng)結(jié)構(gòu)如圖所示,應(yīng)用系統(tǒng)通過(guò)引入應(yīng)用安全支撐系統(tǒng)來(lái)利用數(shù)字證書(shū)服務(wù),為各類應(yīng)用系統(tǒng)提供具有特定安全功能服務(wù)。如上圖所示,應(yīng)用安全支撐系統(tǒng)是實(shí)現(xiàn)應(yīng)用安全的基礎(chǔ),是實(shí)現(xiàn)基于CA中心數(shù)字證書(shū)安全建設(shè)的橋梁。2、 可信網(wǎng)站的數(shù)字證書(shū)解決方案基于應(yīng)用安全支撐系統(tǒng)結(jié)合數(shù)字證書(shū)實(shí)現(xiàn)可信網(wǎng)站保障,具體實(shí)現(xiàn)是設(shè)計(jì)采用安全認(rèn)證網(wǎng)關(guān)實(shí)現(xiàn)網(wǎng)站https訪問(wèn)。加入安全認(rèn)證網(wǎng)關(guān)的系統(tǒng)結(jié)構(gòu)如下:圖表 2 可信網(wǎng)站應(yīng)用結(jié)構(gòu)示意網(wǎng)站向權(quán)威的證書(shū)中心申請(qǐng)站點(diǎn)證書(shū)后便可以采用ht

8、tps方式進(jìn)行訪問(wèn),用戶在瀏覽器中通過(guò)驗(yàn)證站點(diǎn)證書(shū)來(lái)判別網(wǎng)站的真實(shí)性。3、 應(yīng)用遠(yuǎn)程訪問(wèn)(B/S、C/S)安全設(shè)計(jì)基于安全認(rèn)證網(wǎng)關(guān)的應(yīng)用遠(yuǎn)程訪問(wèn),實(shí)現(xiàn)安全的身份認(rèn)證及數(shù)據(jù)安全傳輸。對(duì)于B/S應(yīng)用系統(tǒng),瀏覽器自帶SSL模塊,因此只需要在服務(wù)端部署安全認(rèn)證網(wǎng)關(guān),而對(duì)于C/S應(yīng)用系統(tǒng),則必須在客戶端與服務(wù)端同時(shí)部署安全認(rèn)證網(wǎng)關(guān)及相應(yīng)的客戶端安全接口,為了使C/S應(yīng)用也能夠真正獲取用戶證書(shū)信息,客戶端還需要部署簽名模塊,服務(wù)端部署簽名驗(yàn)證模塊。對(duì)應(yīng)用系統(tǒng)進(jìn)行防護(hù)后的系統(tǒng)結(jié)構(gòu)如下:圖表 3 應(yīng)用遠(yuǎn)程訪問(wèn)用結(jié)構(gòu)示意經(jīng)過(guò)安全防護(hù)的B/S應(yīng)用訪問(wèn)流程如下:l 用戶使用瀏覽器訪問(wèn)應(yīng)用系統(tǒng)。l 安全認(rèn)證網(wǎng)關(guān)要求用

9、戶提交用戶數(shù)字證書(shū)。l 用戶登錄USBKEY提交個(gè)人證書(shū)。l 安全認(rèn)證網(wǎng)關(guān)驗(yàn)證用戶證書(shū),包括證書(shū)自身有效性,信任證書(shū)鏈,黑名單。l 驗(yàn)證通過(guò)后,安全認(rèn)證網(wǎng)關(guān)將請(qǐng)求發(fā)送給真正應(yīng)用服務(wù)器,并將用戶證書(shū)信息添加到HTTP請(qǐng)求中。l 應(yīng)用服務(wù)器從HTTP請(qǐng)求中獲取用戶的身份,進(jìn)行訪問(wèn)控制并為用戶提供服務(wù)。經(jīng)過(guò)安全防護(hù)的C/S應(yīng)用訪問(wèn)流程如下:l 客戶端向服務(wù)端發(fā)起連接請(qǐng)求。l 安全認(rèn)證網(wǎng)關(guān)要求用戶提交用戶數(shù)字證書(shū)。l 用戶登錄USBKEY提交個(gè)人證書(shū)。l 安全認(rèn)證網(wǎng)關(guān)驗(yàn)證用戶證書(shū),包括證書(shū)自身有效性,信任證書(shū)鏈,黑名單。l 驗(yàn)證通過(guò)后,安全認(rèn)證網(wǎng)關(guān)將請(qǐng)求發(fā)送給真正應(yīng)用服務(wù)器。l 服務(wù)端返回此會(huì)話的特征

10、數(shù)據(jù)。l 客戶端調(diào)用簽名控件,使用用戶私鑰對(duì)此數(shù)據(jù)進(jìn)行簽名,并將簽名后的數(shù)據(jù)和證書(shū)發(fā)送給服務(wù)端。l 服務(wù)端接收后,將特征數(shù)據(jù)、用戶證書(shū)以及用戶簽名后的特征數(shù)據(jù)一起傳送給簽名驗(yàn)證模塊請(qǐng)求驗(yàn)證。l 簽名驗(yàn)證模塊驗(yàn)證簽名的有效性,給服務(wù)端返回驗(yàn)證結(jié)果。l 服務(wù)端根據(jù)驗(yàn)證結(jié)果做出判斷,若驗(yàn)證出錯(cuò),則斷開(kāi)連接;若驗(yàn)證通過(guò),則獲取證書(shū)中的信息作為用戶標(biāo)志,并給用戶賦予相應(yīng)權(quán)限進(jìn)行操作。4、 網(wǎng)上業(yè)務(wù)(辦公、交易)安全設(shè)計(jì)基于應(yīng)用安全支撐系統(tǒng)實(shí)現(xiàn)政務(wù)網(wǎng)上業(yè)務(wù)的高強(qiáng)度身份認(rèn)證、數(shù)據(jù)傳輸保密、數(shù)據(jù)完整性保障、不可抵賴性、數(shù)字證書(shū)的全面支持、用戶的一致性認(rèn)證進(jìn)行安全防護(hù)后的應(yīng)用系統(tǒng)結(jié)構(gòu)如下:圖表 4 網(wǎng)上業(yè)務(wù)安全

11、應(yīng)用示意系統(tǒng)的訪問(wèn)流程如下:l 用戶訪問(wèn)應(yīng)用系統(tǒng)。l 安全認(rèn)證網(wǎng)關(guān)要求用戶提交用戶數(shù)字證書(shū)。l 用戶登錄USBKEY提交個(gè)人證書(shū)。l 安全認(rèn)證網(wǎng)關(guān)驗(yàn)證用戶證書(shū),包括證書(shū)自身有效性,信任證書(shū)鏈,黑名單。l 驗(yàn)證通過(guò)后,安全認(rèn)證網(wǎng)關(guān)將請(qǐng)求發(fā)送給真正的應(yīng)用服務(wù)器,并將用戶證書(shū)信息添加請(qǐng)求中。l 應(yīng)用服務(wù)器從請(qǐng)求中獲取用戶的身份,進(jìn)行訪問(wèn)控制并為用戶提供服務(wù)。系統(tǒng)不可抵賴性流程下:l 系統(tǒng)交易開(kāi)始(用戶撰寫(xiě)公文)l 用戶使用自己的數(shù)字證書(shū)對(duì)交易數(shù)據(jù)進(jìn)行數(shù)字簽名(用戶可以使用與自己數(shù)字證書(shū)管理的電子印跡“加蓋”到公文上)l 系統(tǒng)將數(shù)字簽名數(shù)據(jù)(可以是加有電子印跡的公文)傳送到服務(wù)端l 服務(wù)端通過(guò)簽名驗(yàn)證

12、服務(wù)器驗(yàn)證簽名數(shù)據(jù)(通過(guò)電子印跡系統(tǒng)驗(yàn)證“加蓋”電子印跡公文的有效性)l 驗(yàn)證成功后,保存簽名數(shù)據(jù)(可以是加有電子印跡的公文)作為證據(jù)。5、 數(shù)據(jù)保護(hù)設(shè)計(jì)基于應(yīng)用安全支撐平臺(tái)以數(shù)字信封技術(shù)實(shí)現(xiàn)數(shù)據(jù)網(wǎng)絡(luò)集中安全存儲(chǔ)系統(tǒng),在文件服務(wù)器上開(kāi)辟私有空間,對(duì)存放其中的文件進(jìn)行嚴(yán)格的授權(quán)驗(yàn)證,使存儲(chǔ)的資料能夠安全的集中管理,進(jìn)行統(tǒng)一有效的備份,到達(dá)資料更為安全的存儲(chǔ)。同時(shí)系統(tǒng)可以實(shí)現(xiàn)靈活而安全的授權(quán),從而達(dá)到數(shù)據(jù)共享的需求?;趹?yīng)用安全支撐系統(tǒng)的數(shù)據(jù)保護(hù)實(shí)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示:圖表 5基于網(wǎng)絡(luò)的安全存儲(chǔ)系統(tǒng)架構(gòu) 如圖中所示的應(yīng)用安全支持平臺(tái)可以實(shí)現(xiàn)如下數(shù)據(jù)保護(hù)功能,其實(shí)現(xiàn)的過(guò)程包括文件的加密保存過(guò)程和文件的使用過(guò)程。6、 文件的加密保存(1)系統(tǒng)中加密保存文件的過(guò)程:l 生成隨機(jī)的加密密鑰;l 使用該密鑰對(duì)明文進(jìn)行加密;l 下載有權(quán)使用

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論