随着电子商务、电子政务的发展、用户和信息访问量的增加、多业务系统平台的运用。为信息化安全带来新的挑战,在传统的用户名+口令的身份认证方式,明文方式的信息传输和存储,已经无法满足现今信息安全的需要。以下就具体案例和信息安全产品的具体使用提出的一套综合性信息安全解决方案。
技术特点:
基于PKI(Public Key Infrastructure)理论体系, 利用CA、数字签名和数字证书认证机制,综合应用USB接口智能卡、安全通道、VPN等技术,为多业务系统用户提供统一身份认证,信息加密传输和存储的安全服务的综合平台。
具体方案:
以北京时代亿信科技有限公司为某省级电信公司实施的信息安全综合解决方案为例,实现省级电信公司各业务系统的统一的身份认证和综合的安全服务,以实现内联网、外联网及移动办公的安全认证和访问。
平台主要由WEB/应用服务器、认证/接入服务器、CA及证书受理服务器、数据库服务器、SecureVPN服务器组成。在平台中构建省级电信CA,作为平台提供各种安全服务的基础设施,为平台各系统用户统一颁发数字证书;平台数据库主要由用户数据、证书数据、业务系统配置数据、平台用户与业务系统映射(mapping)数据、访问控制(ACL)数据、日志等数据组成。通过构建统一的认证门户,用户需要使用USB-KEY登录认证成功后才能进入,主要作为各B/S结构应用系统的统一访问入口和平台管理的入口。
将各个业务系统接入到平台中实现统一认证平台单点登录(SSO),并解决不同业务系统之间用户交叉和用户帐户不同的问题。
SecureVPN提供了一项基于Web的解决方案,可支持企业将安全远程访问扩展到任何连接到互联网的用户—— 员工、客户和合作伙伴,同时无需在远程设备上安装任何特殊软件或进行任何特别配置,也无需对要访问的后台资源进行任何添加或修改。这一方法大大减轻了客户支持负担,并增加了更多可通过标准Web浏览器进行的电子邮件、传统应用和台式机远程控制的应用访问。
在现有邮件服务器上增加一个邮件处理模块,对现有Web Mail页面稍加改动,即可实现USB-KEY登录的WEB安全邮件;也可提供USB-KEY登录的安全邮件客户端工具。同时,通过浏览器插件或客户端组件,可以实现对邮件内容的数字签名和加密。
通过文件加密器或文件保险箱产品对文件进行加密存储。
 |
| 系统网络拓扑图 |
功能实现:
统一授权——平台为用户统一颁发数字证书和私钥并存储在USB-KEY中,作为用户访问平台及各应用系统的凭据,并对用户访问应用系统的权限进行授权。
身份认证——用户在访问平台及各应用系统时,都使用相同的凭据(即包含用户证书和私钥的USB-KEY及其硬件保护口令PIN),并利用数字签名技术在平台进行身份认证,证明其身份的真实性。
单点登录(SSO)——用户在通过平台认证后,可直接访问已授权的各应用系统,实现不同应用系统的身份认证共享,从而达到多应用系统的单点登录。
数据共享——认证平台存储了用户的基本信息和证书信息,所有应用系统均可以充分利用这些信息,减少用户信息的重复录入。
移动办公——平台提供基于SecureVPN的移动安全办公方式,允许用户在通过认证后,通过Internet安全地访问内部网的应用系统。
安全通道——平台提供两种安全通道:一种是应用层安全通道,一种是网络层安全通道。它们为内网应用之间或外网应用之间提供安全的传输通道,保证其中传输的数据的安全性。
安全办公邮件——对内部办公的邮件实现签名、加密传输和加密存储,目前支持的后台邮件系统包括:Sun iPlanet、Lotus Notes、Qmail、SendMail以及所有支持IMAP协议的邮件服务器。
个人数据的安全管理——对个人计算机中密级较高的信息,依据USB-KEY中存储的个人证书,提供加密存储和读取。
以上方案通过使用北京时代亿信科技有限公司的统一身份认证、SecureVPN、安全电子邮件系统、邮件客户端、文件加密保险箱等产品,有效的保障了合法用户对信息的安全访问、应用系统访问权限的控制、信息的安全通信和存储。系统的一体化,简化了管理员的管理复杂性,降低了系统维护成本。希望通过此方案在商务,政务信息化建设的道路上提出新的借鉴。
