大型企业密码应用安全解决方案

大型企业密码应用安全解决方案方案背景成为企业最为贵重的资产。体系。现状与风险分析企业现状成为企业在当下必需面对的挑战。风险分析终端种类繁多，来源各异，缺乏统一可信身份标识及牢靠认证；信息网络传输缺乏机密性安全防护；信息系统对访问用户缺乏牢靠身份认证手段；信息系统对用户关键操作缺乏抗抵赖性防护；保护。方案设计信息根底设施安全保护条例》等法律法规为依据，以《网络安全等级保护易使用、易治理的密码应用技术保障体系。体系架构效劳安全、工控安全，供给掩盖生产数据、个人信息和工作隐秘的数据安全。规律架构码监测平台为效劳核心，以通用密码接口为统一交付的密码应用保障体系。充分集成密码安全效劳力量的企业信息安全防护体系。终端安全防护终端安全防护安全接安全传输防护入终端VPN国密SDK边界安全防护数据交应用安全防护数据安全防护密码模块换平台网闸牢靠认证电子签名电子签章加密存储数据脱敏溯源通用密码中间件〔API/SDK〕密码应用监测效劳终端密终端密码终端数字信任效劳安全传输保护效劳密码监测掌握可信身身份认IPSecVPNSSLVPN数据存储数据库加文件加密存储保护效劳密码效劳层密码合规检测评估数据溯源数据脱敏密码应用分析码服要效劳效劳平台层密码效劳平台密码应用监测平台数据安全平台证书效劳证效劳终端密钥电子签名国密治理效劳/签章效劳TSLSDK终端可信可信时安全数接入效劳间戳效劳据交换密码态势呈现密码管用户治理效劳密码设备应用接入密码资源密基加解密应用密钥签名验数字证理效劳治理效劳密码资源调度效劳础务治理效劳数据摘书效劳密钥治理系统密钥治理系统电子认证系统时间戳系统电子签章系统根底支撑层云密码资源池VSMVSM …VSM云密码机通用效劳器密码机软硬件密码模块个层次构成。密码根底支撑层码算力资源支撑和信任源支撑。密码效劳平台层密码效劳层供其适配，以实现密码效劳能向应用系统的有效整合。安全效劳支撑终端安全PC、智能移动设备上集成部署安盟华御终端密码模认证，及通讯及文档加解密等密码效劳，全面保障终端安全。传输安全VPN端APP集成安盟华御的客户端国密VPNSDK，实现基于移动智能终端的可信传输通道。5G讯链路机密性。边界安全在企业数据传输共享所跨越的不同安全等级的网络之间部署安盟华御数据网络的安全。生产网络。应用安全体提升安全防护水平。数据安全API保护企业数据的归属权。方案产品清单序号 设备名称密码效劳系统密码治理系统身份认证系统通用密码中间4件数据安全系统数据脱敏系统

数量 设备功能部署在密码效劳区，为企业各业务统一供给密码服1务、密钥效劳。部署在密码效劳区，实现密码设备资源统一治理与调1套 度、密码效劳平台用户治理、应用密码资源接入管理。1套 为企业信息应用供给统一身份认证，单点登录效劳通过API/SDK多种形式，为企业业务应用效劳端及信1套 息终端，供给统一的密码效劳集成接口，简化密码集成工作。部署在密码效劳区，调用密码效劳平台接口对企业数1据库、文件数据进展加密存储保护。部署在密码效劳区，按企业数据安全策略，实现企业1数据共享交换过程中数据的隐私性保护。部署在密码效劳区，按企业数据安全策略，实现企业7 数据溯源系统 数据安全交换

信息数据交换共享中的数据溯源追踪，保护企业数据资产归属权。部署在密码效劳区，为企业用户不同安全域之间数据8系统密码应用监测9平台

1套 交换供给保护，在满足业务便捷性要求的同时，实现数据交换安全、可控。部署在密码效劳区，面对企业密码设备、密码应用供给多维度检测掌握与态势感知，实时掌控密码使用的1合规性、有效性和正确性，并结合实际需求供给策略下发和远程管控力量。部署在密码效劳区，为企业用户、设备、应用和信任电子认证系统

效劳平台供给数字认证效劳，实现数字证书全生命周期治理。部署在密码效劳区，主要由密钥治理和相关数据库组密钥治理系统云效劳器密码12机签名验签效劳

套成，对企业信息系统进展密钥全生命周期治理。部署在密码效劳区，承受虚拟化技术，上实现同时运台行多个虚拟化的密码机〔VSM〕供企业应用系统调用。部署在密码效劳区，对各类电子信息数据、电子文档2器按拓扑VPN状况移动终端密码

等供给基于数字证书的数字签名效劳，并对签名数据验证其签名真实性和有效性。部署在企业互联网接入效劳区和运维治理区，搭建安全通道，支持IPSec/SSLVPN全。在移动终端环境下支持终端密码计算效劳、终端密钥15软件模块

按需治理效劳、终端数字证书效劳等终端密码效劳。16终端登录系统16终端登录系统按需〔USBKey〕17安全接入终端按需部署在企业遥远信息站点，保障遥远信息终端通过5G接入企业网络安全性及链路机密性。1818安全隔离与信息单向导入系统按拓扑部署在企业内部信息治理网络与生产网络之间，实现状况 信息治理网络数据向生产网络的单向数据同步合规性比照表指标要求密码技术应用点实行措施标准符合性及说明身份鉴别在用户机房或数据中心等重要区域本方案不涉及部署安全电子门禁系统，实现对进出机房人员的身份鉴别电子门禁记录数调用数据摘要或签名验签效劳保护符合物理和环据完整性电子门禁记录的完整性境安全视频记录数据完调用数据摘要或签名验签效劳保护符合整性视频记录数据的完整性密码模块实现在电子门禁系统和密码计算效劳所符合使用的云效劳器密码机中实现密码算法、密码技术、密钥治理身份鉴别部署VPNIPSec/SSL符合VPN鉴别访问掌握信息完部署VPNIPSec/SSL符合整性VPN内部的网络边界掌握机制实现网络和通密码产品中的访问掌握信息完整性信安全保护；调用数据摘要和签名验签服务对防火墙等网络边界设备中的访问掌握列表进展完整性保护通信数据完整性部署VPNIPSec/SSL符合通信数据机密性VPN性、完整性符合集中治理通道安VPN符合全搭建特地的安全治理通道，对企业中的安全设备、组件和应用进展集中治理密码模块实现VPN符合使用的云效劳器密码机中实现密码算法、密码技术、密钥治理身份鉴别在部署核心效劳器操作系统、核心符合数据库操作系统的重要PC终端部署部署终端登录系统；为系统治理员、数据库治理员配发USBKey；对登录堡垒机的用户进展身份鉴别远程治理身份鉴VPN安全符合别信息机密性网关搭建的安全集中治理通道保护远程治理鉴别信息的机密性敏感标记的完整调用数据摘要效劳或签名验签效劳符合性保护企业信息系统中的重要信息资设备和计算安全访问掌握信息完整性源敏感标记、系统资源访问掌握信息、日志记录的完整性符合日志记录完整性符合重要程序或文件在应用效劳器外挂USBKey，应用服符合完整性务器中全部重要程序或文件在生成时通过调用签名验签效劳进展完整性保护，使用或读取这些程序文件USBKey完整性，公钥存放在USBKey中密码模块实现VPNUSBKey符合算效劳所使用的云效劳器密码机中实现密码算法、密码技术、密钥管理身份鉴别调用身份认证效劳，对登录应用的符合用户进展身份鉴别访问掌握信息和调用数据摘要和签名验签效劳对业符合敏感标记完整性务应用系统的访问掌握策略、数据库表的访问掌握信息和重要信息资源敏感标记信息的完整性数据传输机密性VPN符合通道，对传输数据进展机密性保护数据存储机密性调用数据存储保护效劳对存储的重符合要数据库或文件进展机密性保护数据传输完整性VPN符合通道，对传输数据进展机密性保护应用和数据安全数据存储完整性调用数据存储保护效劳对存储的重符合要数据库或文件进展机完整性保护日志记录完整性调用签名验签效劳或数据摘要效劳符合对应用的日志记录进展完整性保护重要应用程序的仅有特地的操作员可对重要应用程符合加载和卸载序的加载和卸载，为操作员配发USBKey摘要或签名验签效劳对重要应用程序在加载内容时进展完整性校验密码模