信息安全解决方案

河南省数字证书&河南省数字证书认证中心河南省数字证书&河南省数字证书认证中心河南CA信息安全解决方案河南省数字证书认证中心一、身份鉴别〔一、根本要求1、应供给专用的登录掌握模块对登录用户进展身份标识和鉴别；2、应供给登录失败处理功能，可实行完毕会话、限制非法登录次数和自动退出等措施；3、应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息简单度检查以及登录失败处理功能，并依据安全策略配置相关参数。4、应供给用户身份标识唯一和鉴别信息简单度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；5、应对同一用户承受两种或两种以上组合的鉴别技术实现用户身份鉴别；〔二、实现方式与应用系统相结合实现该项技术要求。〔三、部署方式具体部署方式参见应用安全支撑系统系统设计。二、访问掌握〔一、根本要求1、应供给访问掌握功能掌握用户组/用户对系统功能和用户数据的访问；2、应由授权主体配置访问掌握策略，并严格限制默认用户的访问权限。3、应供给访问掌握功能，依据安全策略掌握用户对文件、数据库表等客体的访问；4、访问掌握的掩盖范围应包括与资源访问相关的主体、客体及它们之间的操作；5、应授予不同账户为完成各自担当任务所需的最小权限，并在它们之间形成相互制约的关系。6、应具有对重要信息资源设置敏感标记的功能；7、应依据安全策略严格掌握用户对有敏感标记重要信息资源的操作；〔二、实现方式与应用系统相结合实现该项技术要求。〔三、部署方式具体部署方式参见应用安全支撑系统系统设计。三、通信完整性、保密性〔一、根本要求1、应承受商定通信会话方式的方法保证通信过程中数据的完整性。2、应承受密码技术保证通信过程中数据的完整性。3、在通信双方建立连接之前，应用系统应利用密码技术进展会话初始化验证；4、应对通信过程中的整个报文或会话过程进展加密。〔二、实现方式应通过应用数据加密实现对于数据的完整性和保密性安全。四、抗抵赖〔一、根本要求12〔二、实现方式CA等技术实现。〔三、部署方式CA实现应用抗抵赖功能。五、数据完整性〔一、根本要求1、应能够检测到重要用户数据在传输过程中完整性受到破坏。2、应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏；3、应能够检测到系统治理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时实行必要的恢复措施；4、应能够检测到系统治理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时实行必要的恢复措施；〔二、实现方式则实行数据重传的机制；对于存储的数据则应实行多个备份的方式，防止单一数据损坏造成的损失。〔三、部署方式1Hash校验，在进展安全编程时承受；2六、数据保密性〔一、根本要求1、应承受加密或其他保护措施实现鉴别信息的存储保密性；1、应承受加密或其他有效措施实现系统治理数据、鉴别信息和重要业务数据传输保密性；2、应承受加密或其他保护措施实现系统治理数据、鉴别信息和重要业务数据存储保密性；〔二、实现方式TLSVPN或专用协议传输。和使用的数据，在传输过程中可以适当降低对传输过程中加密的要求。〔三、部署方式CA、VPN方式实现MD5方式的本地存储实现七、应用安全支撑系统设计及安全保障体系根底之上，为电子政务系统供给一体化的政务应用安全支撑。1、应用安全支撑系统整体构造业务安全效劳、数据保护、安全电子邮件应用等。块接口等组成，其组成规律构造如以下图所示：CACA中心公众效劳移动办公远程办公应用安全支撑系统网络网络内部用户安全认证网关应用效劳器安全存储掌握效劳器数据库政府部门安全接口企业效劳

图表1 应用安全支撑系统构造CA中心数字证书安全建设的桥梁。2、可信网站的数字证书解决方案s访问。参加安全认证网关的系统构造如下：网站系统SSL设备图表2 网站系统SSL设备s方式进展访问，用户在扫瞄器中通过验证站点证书来判别网站的真实性。3、应用远程访问〔B/S、C/S〕安全设计SSL模块，因此只需要在效劳端部署安全C/S系统构造如下：C/S应用B/S应用安全认证网关(签名验证模块)数字认证中心C/S应用B/S应用安全认证网关(签名验证模块)数字认证中心安全连接B/S应用访问流程如下：用户使用扫瞄器访问应用系统。安全认证网关要求用户提交用户数字证书。提交个人证书。单。验证通过后，安全认证网关将恳求发送给真正应用效劳器，并将用户证恳求中。效劳。C/S应用访问流程如下：客户端向效劳端发起连接恳求。安全认证网关要求用户提交用户数字证书。提交个人证书。单。验证通过后，安全认证网关将恳求发送给真正应用效劳器。效劳端返回此会话的特征数据。数据和证书发送给效劳端。效劳端接收后，将特征数据、用户证书以及用户签名后的特征数据一起传送给签名验证模块恳求验证。签名验证模块验证签名的有效性，给效劳端返回验证结果。则猎取证书中的信息作为用户标志，并给用户赐予相应权限进展操作。4、网上业务〔办公、交易〕安全设计基于应用安全支撑系统实现政务网上业务的高强度身份认证、数据传输保密、数据完整性保障、不行抵赖性、数字证书的全面支持、用户的全都性认证进展安全防护后的应用系统构造如下：签名验证系统签名验证系统〔电子印章系统〕时间戳效劳器应用系统安全认证网关OA系统数字认证中心用户1 用户2 用户3图表4 网上业务安全应用示意系统的访问流程如下：用户访问应用系统。安全认证网关要求用户提交用户数字证书。提交个人证书。单。验证通过后，安全认证网关将恳求发送给真正的应用效劳器，并将用户证书信息添加恳求中。。系统不行抵赖性流程下：系统交易开头〔用户撰写公文〕〔用户可以使用与自己数字证书治理的电子印迹“加盖”到公文上〕系统将数字签名数据〔可以是加有电子印迹的公文〕传送到效劳端效劳端通过签名验证效劳器验证签名数据〔“加盖”电子印迹公文的有效性〕验证成功后，保存签名数据〔可以是加有电子印迹的公文〕作为证据。5、数据保护设计时系统可以实现敏捷而安全的授权，从而到达数据共享的需求。基于应用安全支撑系统的数据保护实现网络构造如以下图所示：文件存储效劳器安全存储处理器证书公布效劳器安全存储客户端图表5基于网络的安全存储系统架构实现的过程包括文件的加密保存过程和文件的使用过程。6、文件的加密保存系统中加密保存文件的过程：生成随机的加密密钥；使用该密钥对明文进展加密；下载有权使用该文件的用户证书，并制作数字信封；将密文文件和数字信封上传到文件效劳器；向掌握器中增上记录。文件效劳器43文件效劳器43输入文本输入文本数字信封52输入文本 1安全存储事务掌握器图表