收藏
下载资源

信息平安解决方案.pdf

上传人:l**** 文档编号:80719651 上传时间:2023-03-23 格式:PDF 页数:10 大小:611.23KB
返回 下载 相关 举报
信息平安解决方案.pdf_第1页
第1页 / 共10页
信息平安解决方案.pdf_第2页
第2页 / 共10页
点击查看更多>>
资源描述

《信息平安解决方案.pdf》由会员分享,可在线阅读,更多相关《信息平安解决方案.pdf(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、河南 CA 信息平安解决方案 河南省数字证书认证中心 一、身份辨别(一)、大体要求1、应提供专用的登录操纵模块对登录用户进行身份标识和辨别;2、应提供登录失败处置功能,可采取终止会话、限制非法登录次数和自动退出等方式;3、应启用身份辨别、用户身份标识唯一性检查、用户身份辨别信息复杂度检查和登录失败处置功能,并依照平安策略配置相关参数。4、应提供用户身份标识唯一和辨别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份辨别信息不易被冒用;5、应付同一用户采用两种或两种以上组合的辨别技术实现用户身份辨别;(二)、实现方式 通过部署 PKI/CA 与应用系统相结合实现该项技术要求。(三)、

2、部署方式 详细部署方式参见应用平安支撑系统系统设计。二、访问操纵(一)、大体要求 1、应提供访问操纵功能操纵用户组/用户对系统功能和用户数据的访问;2、应由授权主体配置访问操纵策略,并严格限制默许用户的访问权限。3、应提供访问操纵功能,依据平安策略操纵用户对文件、数据库表等客体的访问;4、访问操纵的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;5、应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成彼此制约的关系。6、应具有对重要信息资源设置灵敏标记的功能;7、应依据平安策略严格操纵用户对有灵敏标记重要信息资源的操作;(二)、实现方式 通过部署 PKI/CA 与应用系统

3、相结合实现该项技术要求。(三)、部署方式 详细部署方式参见应用平安支撑系统系统设计。三、通信完整性、保密性(一)、大体要求 1、应采用约定通信会话方式的方式保证通信进程中数据的完整性。2、应采用密码技术保证通信进程中数据的完整性。3、在通信两边成立连接之前,应用系统应利用密码技术进行会话初始化验证;4、应付通信进程中的整个报文或会话进程进行加密。(二)、实现方式 应通过应用数据加密实现关于数据的完整性和保密性平安。四、抗抵赖(一)、大体要求 1、应具有在请求的情形下为数据原发者或接收者提供数据原发证据的功能;2、应具有在请求的情形下为数据原发者或接收者提供数据接收证据的功能。(二)、实现方式

4、抗抵赖功能最多见的实现方式是通过PKI、数字签名、数字水印和CA 等技术实现。(三)、部署方式 通过部署 CA 实现应用抗抵赖功能。五、数据完整性(一)、大体要求 1、应能够检测到重要用户数据在传输进程中完整性受到破坏。2、应能够检测到辨别信息和重要业务数据在传输进程中完整性受到破坏;3、应能够检测到系统治理数据、辨别信息和重要业务数据在传输进程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复方式;4、应能够检测到系统治理数据、辨别信息和重要业务数据在存储进程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复方式;(二)、实现方式 通过利用 Hash 校验的方式确保数据的完整性。传输

5、进程的完整性受到损坏那么采取数据重传的机制;关于存储的数据那么应采取多个备份的方式,避免单一数据损坏造成的损失。(三)、部署方式 一、针对应用数据的其他完整性珍惜能够采用Hash 校验,在进行平安编程时采用;二、针对应用存储数据进行完整性珍惜时,应当采用多种备份机制进行恢复。六、数据保密性(一)、大体要求 1、应采用加密或其他珍惜方式实现辨别信息的存储保密性;1、应采用加密或其他有效方式实现系统治理数据、辨别信息和重要业务数据传输保密性;2、应采用加密或其他珍惜方式实现系统治理数据、辨别信息和重要业务数据存储保密性;(二)、实现方式 无论在身份验证时期仍是数据传输时期都利用加密的形式传输数据,

6、通常的方式能够利用SSL或 TLS 等方式,也能够利用 VPN 或专用协议传输。对存储的重要数据需要采取加密手腕进行保留。关于本身确实是加密方式存储和利用的数据,在传输进程中能够适当降低对传输进程中加密的要求。(三)、部署方式 通过部署 CA、VPN 方式实现 通过采用支持 MD5 方式的本地存储实现 七、应用平安支撑系统设计 应用平安支撑平台是面向电子政务应用,构建在网络基础设施、系统平台和平安保障体系基础之上,为电子政务系统提供一体化的政务应用平安支撑。一、应用平安支撑系统整体结构 应用平安支撑系统基于数字证书构建平安认证、加密传输、加密存储系统,并为政务应用系统、网络提供平安支撑效劳,如

7、可信网站、远程应用访问、网上业务平安效劳、数据珍惜、平安电子邮件应用等。应用平安支撑系统设计以平安认证网关、平安存储操纵效劳器、签名验证模块接口等组成,其组成逻辑结构如以下图所示:网络安全存储控制服务器安全认证网关应用服务器数据库网络远程办公移动办公内部用户企业服务政府部门公众服务安全接口应用安全支撑系统CA中心 图表 1 应用平安支撑系统结构 如下图,应用系统通过引入应用平安支撑系统来利用数字证书效劳,为各类应用系统提供具有特定平安功能效劳。如上图所示,应用平安支撑系统是实现应用平安的基础,是实现基于 CA 中心数字证书平安建设的桥梁。2、可信网站的数字证书解决方案 基于应用平安支撑系统结合

8、数字证书实现可信网站保障,具体实现是设计采用平安认证网关实现网站 https 访问。加入平安认证网关的系统结构如下:网站系统SSL设备 图表 2 可信网站应用结构示意 网站向权威的证书中心申请站点证书后即能够采用https 方式进行访问,用户在阅读器中通过验证站点证书来判别网站的真实性。3、应用远程访问(B/S、C/S)平安设计 基于平安认证网关的应用远程访问,实现平安的身份认证及数据平安传输。关于 B/S 应用系统,阅读器自带 SSL 模块,因此只需要在效劳端部署平安认证网关,而关于C/S 应用系统,那么必需在客户端与效劳端同时部署平安认证网关及相应的客户端平安接口,为了使 C/S 应用也能

9、够真正获取用户证书信息,客户端还需要部署签名模块,效劳端部署签名验证模块。对应用系统进行防护后的系统结构如下:C/S应用B/S应用安全认证网关(签名验证模块)数字认证中心安全连接 图表 3 应用远程访问用结构示意 通过平安防护的 B/S 应用访问流程如下:用户利用阅读器访问应用系统。平安认证网关要求用户提交用户数字证书。用户登录 USBKEY 提交个人证书。平安认证网关验证用户证书,包括证书自身有效性,信赖证书链,黑名单。验证通事后,平安认证网关将请求发送给真正应用效劳器,并将用户证书信息添加到 HTTP请求中。应用效劳器从 HTTP 请求中获取用户的身份,进行访问操纵并为用户提供效劳。通过平

10、安防护的 C/S 应用访问流程如下:客户端向效劳端发起连接请求。平安认证网关要求用户提交用户数字证书。用户登录 USBKEY 提交个人证书。平安认证网关验证用户证书,包括证书自身有效性,信赖证书链,黑名单。验证通事后,平安认证网关将请求发送给真正应用效劳器。效劳端返回此会话的特点数据。客户端挪用签名控件,利用用户私钥对此数据进行签名,并将签名后的数据和证书发送给效劳端。效劳端接收后,将特点数据、用户证书和用户签名后的特点数据一路传送给签名验证模块请求验证。签名验证模块验证签名的有效性,给效劳端返回验证结果。效劳端依照验证结果做出判定,假设验证犯错,那么断开连接;假设验证通过,那么获取证书中的信

11、息作为用户标志,并给用户给予相应权限进行操作。4、网上业务(办公、交易)平安设计 基于应用平安支撑系统实现政务网上业务的高强度身份认证、数据传输保密、数据完整性保障、不可抵赖性、数字证书的全面支持、用户的一致性认证 进行平安防护后的应用系统结构如下:应用系统安全认证网关用户1用户2用户3OA系统数字认证中心签名验证系统(电子印章系统)时间戳服务器 图表 4 网上业务平安应用示意 系统的访问流程如下:用户访问应用系统。平安认证网关要求用户提交用户数字证书。用户登录 USBKEY 提交个人证书。平安认证网关验证用户证书,包括证书自身有效性,信赖证书链,黑名单。验证通事后,平安认证网关将请求发送给真

12、正的应用效劳器,并将用户证书信息添加请求中。应用效劳器从请求中获取用户的身份,进行访问操纵并为用户提供效劳。系统不可抵赖性流程下:系统交易开始(用户撰写公函)用户利用自己的数字证书对交易数据进行数字签名(用户能够利用与自己数字证书治理的电子印迹“加盖”到公函上)系统将数字签名数据(能够是加有电子印迹的公函)传送到效劳端 效劳端通过签名验证效劳器验证签名数据(通过电子印迹系统验证“加盖”电子印迹公函的有效性)验证成功后,保留签名数据(能够是加有电子印迹的公函)作为证据。5、数据珍惜设计 基于应用平安支撑平台以数字信封技术实现数据网络集中平安存储系统,在文件效劳器上开辟私有空间,对寄放其中的文件进

13、行严格的授权验证,使存储的资料能够平安的集中治理,进行统一有效的备份,抵达资料更为平安的存储。同时系统能够实现灵活而平安的授权,从而达到数据共享的需求。基于应用平安支撑系统的数据珍惜实现网络结构如以下图所示:图表 5基于网络的平安存储系统架构 如图中所示的应用平安支持平台能够实现如下数据珍惜功能,其实现的进程包括文件的加密保留进程和文件的利用进程。6、文件的加密保留(1)系统中加密保留文件的进程:安全存储客户端安全存储处理器文件存储服务器证书发布服务器 生成随机的加密密钥;利用该密钥对明文进行加密;下载有权利用该文件的用户证书,并制作数字信封;将密文文件和数字信封上传到文件效劳器;向操纵器中增上记录。文件服务器安全存储事务控制器51输入文本输入文本24输入文本数字信封3 图表 6 文件加密保留进程(2)文件的利用 以下为系统顶用户利用文件的进程:从操纵效劳器取得文件的寄放位置;从文件效劳器上下载密文文件和数字信封;利用私钥解开数字信封取得加密密钥;利用加密密钥解密文件 文件服务器安全存储事务控制器14输入文本输入文本32输入文本数字信封数字信封 图表 7 利用文件的进程

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 应用文书 > 解决方案

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁