收藏
下载资源 加入VIP免费专享

信息安全解决方案.pdf

上传人:白大夫 文档编号:5408726 上传时间:2020-05-02 格式:PDF 页数:11 大小:369.12KB
返回 下载 相关 举报
信息安全解决方案.pdf_第1页
第1页 / 共11页
信息安全解决方案.pdf_第2页
第2页 / 共11页
信息安全解决方案.pdf_第3页
第3页 / 共11页
信息安全解决方案.pdf_第4页
第4页 / 共11页
信息安全解决方案.pdf_第5页
第5页 / 共11页
点击查看更多>>
资源描述

《信息安全解决方案.pdf》由会员分享,可在线阅读,更多相关《信息安全解决方案.pdf(11页珍藏版)》请在三一文库上搜索。

1、 . 范文 . 河南 CA信息安全解决方案 河南省数字证书认证中心 . 范文 . 一、身份鉴别 (一) 、基本要求 1、应提供专用的登录控制模块对登录用户进行身份标识和鉴别; 2、应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动 退出等措施; 3、应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度 检查以及登录失败处理功能,并根据安全策略配置相关参数。 4、应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中 不存在重复用户身份标识,身份鉴别信息不易被冒用; 5、应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别; (二) 、实现方式 通过部署 P

2、KI/CA 与应用系统相结合实现该项技术要求。 (三) 、部署方式 详细部署方式参见应用安全支撑系统系统设计。 二、访问控制 (一) 、基本要求 1、应提供访问控制功能控制用户组/ 用户对系统功能和用户数据的访问; 2、应由授权主体配置访问控制策略,并严格限制默认用户的访问权限。 3、应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体 的访问; 4、访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的 操作; 5、应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形 成相互制约的关系。 6、应具有对重要信息资源设置敏感标记的功能; 7、应依据安全策略严格控制用户

3、对有敏感标记重要信息资源的操作; (二) 、实现方式 . 范文 . 通过部署 PKI/CA 与应用系统相结合实现该项技术要求。 (三) 、部署方式 详细部署方式参见应用安全支撑系统系统设计。 三、通信完整性、保密性 (一) 、基本要求 1、应采用约定通信会话方式的方法保证通信过程中数据的完整性。 2、应采用密码技术保证通信过程中数据的完整性。 3、在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验 证; 4、应对通信过程中的整个报文或会话过程进行加密。 (二) 、实现方式 应通过应用数据加密实现对于数据的完整性和保密性安全。 四、抗抵赖 (一) 、基本要求 1、 应具有在请求的情况

4、下为数据原发者或接收者提供数据原发证据的功能; 2、 应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。 (二) 、实现方式 抗抵赖功能最常见的实现方式是通过PKI、数字签名、数字水印和CA等技 术实现。 (三) 、部署方式 通过部署 CA实现应用抗抵赖功能。 五、数据完整性 (一) 、基本要求 1、应能够检测到重要用户数据在传输过程中完整性受到破坏。 2、应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏; 3、应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完 整性受到破坏,并在检测到完整性错误时采取必要的恢复措施; 4、应能够检测到系统管理数据、鉴别信

5、息和重要业务数据在存储过程中完 整性受到破坏,并在检测到完整性错误时采取必要的恢复措施; . 范文 . (二) 、实现方式 通过使用 Hash校验的方法确保数据的完整性。传输过程的完整性受到损坏 则采取数据重传的机制; 对于存储的数据则应采取多个备份的方式,防止单一数据损坏造成的损失。 (三) 、部署方式 1、针对应用数据的其他完整性保护可以采用Hash校验,在进行安全编程时 采用; 2、针对应用存储数据进行完整性保护时,应当采用多种备份机制进行恢复。 六、数据保密性 (一) 、基本要求 1、应采用加密或其他保护措施实现鉴别信息的存储保密性; 1、应采用加密或其他有效措施实现系统管理数据、鉴别

6、信息和重要业务数 据传输保密性; 2、应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数 据存储保密性; (二) 、实现方式 无论在身份验证阶段还是数据传输阶段都使用加密的形式传输数据,通常的 方法可以使用 SSL或 TLS等方式,也可以使用VPN或专用协议传输。 对存储的重要数据需要采取加密手段进行保存。对于本身就是加密方式存储 和使用的数据,在传输过程中可以适当降低对传输过程中加密的要求。 (三) 、部署方式 通过部署 CA 、VPN方式实现 通过采用支持 MD5 方式的本地存储实现 七、应用安全支撑系统设计 应用安全支撑平台是面向电子政务应用,构建在网络基础设施、 系统平台以

7、 及安全保障体系基础之上,为电子政务系统提供一体化的政务应用安全支撑。 1、应用安全支撑系统整体结构 应用安全支撑系统基于数字证书构建安全认证、加密传输、加密存储系统, . 范文 . 并为政务应用系统、网络提供安全支撑服务,如可信网站、远程应用访问、网上 业务安全服务、数据保护、安全电子邮件应用等。 应用安全支撑系统设计以安全认证网关、安全存储控制服务器、 签名验证模 块接口等组成,其组成逻辑结构如下图所示: 网络 安全存储 控制服务器 安全认证网关 应用服务器 数据库 网络 远程办公 移动办公 内部用户 企业服务 政府部门 公众服务 安全接口 应用安全支撑系统 CA中心 图表 1 应用安全支

8、撑系统结构 如图所示,应用系统通过引入应用安全支撑系统来利用数字证书服务,为各 类应用系统提供具有特定安全功能服务。如上图所示, 应用安全支撑系统是实现 应用安全的基础,是实现基于CA中心数字证书安全建设的桥梁。 2、可信网站的数字证书解决方案 基于应用安全支撑系统结合数字证书实现可信网站保障,具体实现是设计采 用安全认证网关实现网站https访问。 加入安全认证网关的系统结构如下: . 范文 . 网站系统 SSL设备 图表 2 可信网站应用结构示意 网站向权威的证书中心申请站点证书后便可以采用https方式进行访问,用 户在浏览器中通过验证站点证书来判别网站的真实性。 3、应用远程访问(B/

9、S、C/S)安全设计 基于安全认证网关的应用远程访问,实现安全的身份认证及数据安全传输。 对于 B/S 应用系统,浏览器自带 SSL模块,因此只需要在服务端部署安全认 证网关,而对于 C/S 应用系统,则必须在客户端与服务端同时部署安全认证网关 及相应的客户端安全接口, 为了使 C/S 应用也能够真正获取用户证书信息,客户 端还需要部署签名模块, 服务端部署签名验证模块。 对应用系统进行防护后的系 统结构如下: . 范文 . C/S应用B/S应用 安全认证网关 ( 签名验证模块) 数字认证中心 安全连接 图表 3 应用远程访问用结构示意 经过安全防护的 B/S 应用访问流程如下: 用户使用浏览

10、器访问应用系统。 安全认证网关要求用户提交用户数字证书。 用户登录 USBKEY 提交个人证书。 安全认证网关验证用户证书,包括证书自身有效性,信任证书链,黑名 单。 验证通过后,安全认证网关将请求发送给真正应用服务器,并将用户证 书信息添加到 HTTP 请求中。 应用服务器从HTTP请求中获取用户的身份,进行访问控制并为用户提 供服务。 经过安全防护的 C/S 应用访问流程如下: 客户端向服务端发起连接请求。 安全认证网关要求用户提交用户数字证书。 用户登录 USBKEY 提交个人证书。 安全认证网关验证用户证书,包括证书自身有效性,信任证书链,黑名 单。 验证通过后,安全认证网关将请求发送

11、给真正应用服务器。 服务端返回此会话的特征数据。 . 范文 . 客户端调用签名控件,使用用户私钥对此数据进行签名,并将签名后的 数据和证书发送给服务端。 服务端接收后,将特征数据、用户证书以及用户签名后的特征数据一起 传送给签名验证模块请求验证。 签名验证模块验证签名的有效性,给服务端返回验证结果。 服务端根据验证结果做出判断, 若验证出错, 则断开连接; 若验证通过, 则获取证书中的信息作为用户标志,并给用户赋予相应权限进行操作。 4、网上业务(办公、交易)安全设计 基于应用安全支撑系统实现政务网上业务的高强度身份认证、数据传输保 密、数据完整性保障、不可抵赖性、数字证书的全面支持、用户的一

12、致性认证 进行安全防护后的应用系统结构如下: 应用系统 安全认证网关 用户 1用户2用户3 OA 系统数字认证中心 签名验证系统 (电子印章系统) 时间戳服务器 图表 4 网上业务安全应用示意 系统的访问流程如下: 用户访问应用系统。 安全认证网关要求用户提交用户数字证书。 用户登录 USBKEY 提交个人证书。 . 范文 . 安全认证网关验证用户证书,包括证书自身有效性,信任证书链,黑名 单。 验证通过后,安全认证网关将请求发送给真正的应用服务器,并将用户 证书信息添加请求中。 应用服务器从请求中获取用户的身份,进行访问控制并为用户提供服 务。 系统不可抵赖性流程下: 系统交易开始(用户撰写

13、公文) 用户使用自己的数字证书对交易数据进行数字签名(用户可以使用与自 己数字证书管理的电子印迹“ 加盖” 到公文上) 系统将数字签名数据(可以是加有电子印迹的公文)传送到服务端 服务端通过签名验证服务器验证签名数据(通过电子印迹系统验证“ 加 盖” 电子印迹公文的有效性) 验证成功后,保存签名数据(可以是加有电子印迹的公文)作为证据。 5、数据保护设计 基于应用安全支撑平台以数字信封技术实现数据网络集中安全存储系统,在 文件服务器上开辟私有空间, 对存放其中的文件进行严格的授权验证,使存储的 资料能够安全的集中管理, 进行统一有效的备份, 到达资料更为安全的存储。 同 时系统可以实现灵活而安

14、全的授权,从而达到数据共享的需求。 基于应用安全支撑系统的数据保护实现网络结构如下图所示: 安全存储客户端 安全存储处理器 文件存储服务器 证书发布服务器 . 范文 . 图表 5 基于网络的安全存储系统架构 如图中所示的应用安全支持平台可以实现如下数据保护功能,其 实现的过程包括文件的加密保存过程和文件的使用过程。 6、文件的加密保存 (1)系统中加密保存文件的过程: 生成随机的加密密钥; 使用该密钥对明文进行加密; 下载有权使用该文件的用户证书,并制作数字信封; 将密文文件和数字信封上传到文件服务器; 向控制器中增上记录。 文件服务器 安全存储事务控制器 5 1 输入文本 输入文本 2 4 输入文本 数字信封 3 图表 6 文件加密保存过程 (2)文件的使用 以下为系统中用户使用文件的过程: 从控制服务器得到文件的存放位置; 从文件服务器上下载密文文件和数字信封; 使用私钥解开数字信封得到加密密钥; 使用加密密钥解密文件 . 范文 . 文件服务器 安全存储事务控制器 1 4 输入文本 输入文本 3 2 输入文本 数字信封 数字信封 图表 7 使用文件的过程 欢迎您的光临,word文档下载后可以修改编辑。双击可以删除页眉页脚。谢谢! 单纯的课本内容,并不能满足学生的需要,通过补充,达到内容的完善

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1