大型企业密码应用安全解决方案1.docx
《大型企业密码应用安全解决方案1.docx》由会员分享,可在线阅读,更多相关《大型企业密码应用安全解决方案1.docx(13页珍藏版)》请在冰豆网上搜索。
大型企业密码应用安全解决方案1
大型企业密码应用安全解决方案
方案背景
近年来,随着信息化技术应用的不断飞速发展,信息化、工业化两化融合的不断推进,企业在两化融合领域取得重大进展,建立现代化产业体系的同时,也通过提高企业创新力,提升效率,降低成本,从而极大地提升了企业自身的竞争力。
当前,以信息化、智能化为典型特征的新一轮科技革命正在蓬勃发展,以大数据、云计算、新一代移动通信、物联网、人工智能为代表的数字化技术持续涌现,数字经济日益成为经济增长的核心驱动力。
同时企业也在多年的“工业化”、“信息化”两化融合的长期实践过程中,积累、沉淀下了大量的生产、经营数据,成为企业最为宝贵的资产。
在这样的形势下,党和国家也做出了“发展数字经济,推进数字产业化和产业数字化,推动数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群”的决策部署。
国资委也下发了《关于加快推进国有企业数字化转型工作的通知》,就推动国有企业数字化转型做出全面部署。
本方案结合大型企业信息化业务应用所面临安全风险和密码应用需求,针对企业信息化密码应用中的具体问题,运用安盟信息自主研发的创新密码技术,为企业信息化安全防护打造全方位、多层次、易使用、易管理的密码应用技术保障体系。
现状与风险分析
企业现状
企业数字化转型离不开内外部资源共享和协作,促进产业协同,这就不可避免地需要企业与各相关方进行数据共享,以达到高效协作、数字再造的目标。
企业如何在共享协作的同时,坚守网信安全红线,确保企业核心数据资产的安全,成为企业在当下必须面对的挑战。
风险分析
⏹终端种类繁多,来源各异,缺乏统一可信身份标识及可靠认证;
⏹信息网络传输缺乏机密性安全防护;
⏹信息系统对访问用户缺乏可靠身份认证手段;
⏹信息系统对用户关键操作缺乏抗抵赖性防护;
⏹企业业务数据在存储、共享交换过程中缺乏机密性、敏感性及数据溯源保护。
方案设计
本方案以《中户人民共和国网络安全法》、《中华人民共和国密码法》、《关键信息基础设施安全保护条例》等法律法规为依据,以《网络安全等级保护》、《信息系统密码应用基本要求》等国家标准为指引,结合大型企业信息化业务应用所面临安全风险和密码应用需求,针对企业信息化密码应用中的具体问题,运用安盟信息自主研发的创新密码技术,为企业信息化安全防护打造全方位、多层次、易使用、易管理的密码应用技术保障体系。
体系架构
本方案覆盖大型企业边界、业务、数据三大层面的安全,打造体系化的密码保障体系,立足日常办公、工控生产、社会服务三大典型场景,打造“网络隔离、可信接入、传输保护、授权管理、流转追溯”的新一代安全边界,保障业务安全、服务安全、工控安全,提供覆盖生产数据、个人信息和工作秘密的数据安全。
逻辑架构
构建以密码基础支撑为算力资源,以统一密码服务平台、数据安全平台、密码监测平台为服务核心,以通用密码接口为统一交付的密码应用保障体系。
整个体系以密码应用保障体系为支撑,从管理制度、技术规范两个维度作为保障,通过泛在的密码能力,从身份安全、终端安全、通信安全、边界安全、数据安全多个层面为切入点进行密码赋能,最终构建起以企业数据资产为核心的,充分集成密码安全服务能力的企业信息安全防护体系。
整个密码应用保障体系逻辑上由密码基础支撑、密码服务平台、密码服务三个层次构成。
⏹密码基础支撑层
由密码基础设施和各类密码设备组成,共同组成整个密码应用保障体系的密码算力资源支撑和信任源支撑。
⏹密码服务平台层
由密码服务平台、密码应用监测平台及数据安全平台三大平台构建整个密码应用保障体系的业务服务平台层,作为体系核心功能平台,从不同维度分别向上层应用提供多种密码服务及密码应用监测与态势感知。
。
⏹密码服务层
将各平台密码功能进行组件化封装,面向具体业务场景的终端密码服务、信任服务、安全传输保护服务和数据存储保护服务。
同时,面向不同的应用系统、中间件及信息终端,提供丰富多样的通用密码中间件(API/SDK)供其适配,以实现密码服务能向应用系统的有效整合。
安全服务支撑
⏹终端安全
在企业信息化终端,如PC、智能移动设备上集成部署安盟华御终端密码模块,与密码服务平台协同,为终端设备提供密码服务及数字证书服务。
通过统一颁发数字证书可信标识终端设备身份,通过密码服务接口实现基于数字证书的可靠认证,及通讯及文档加解密等密码服务,全面保障终端安全。
⏹传输安全
在企业互联网边界安盟华御VPN设备,为通过互联网访问企业信息化应用的移动用户、外部用户提供可信传输通道,从而保证基于开放网络企业传输信息的机密性防护。
同时,可针对特定用户基于企业密码服务平台的电子认证服务颁发数字证书,实现边界接入前的可靠身份认证。
针对移动智能终端,可以在手机端APP集成安盟华御的客户端国密VPNSDK,实现基于移动智能终端的可信传输通道。
在企业边远信息采集站点、数据传输站点等环境中,部署安盟华御安全接入终端,保障边远站点通过5G等通讯链路接入企业网络通讯链路的可靠认证与通讯链路机密性。
⏹边界安全
在企业数据传输共享所跨越的不同安全等级的网络之间部署安盟华御数据交换平台,实现企业对外业务稳定、高效的数据交换的同时,有效保障企业内部网络的安全。
在企业内部生产网络与信息管理网络之间,部署安盟华御安全隔离与信息单向导入系统,在保护生产网络安全可靠的前提下,实现信息管理网络数据同步向生产网络。
⏹应用安全
在企业信息化安全服务区设立专门的密码保障区,部署安盟华御密码服务平台,融合集成电子信任服务功能。
提供多种形态的通用密码服务接口供企业信息化业务应用整合集成,使业务应用具备对来访用户进行基于数字证书的可靠身份认证能力;企业办公、财务等关键业务流程审批环节通过可靠电子签章实现关键业务操作抗抵赖;跨业务系统数据流转通过数字签名实现数据完整性保护等,整体提升安全防护水平。
⏹数据安全
在企业信息安全密码保障服务区部署安盟华御数据安全平台,调用密码服务平台提供的API接口,对本地数据库及文档数据存储提供加密服务,保障数据存储安全。
部署安盟华御数据脱敏系统,在企业外发共享数据时,根据配置对外发数据进行变形、屏蔽、替换、加密,保护企业数据隐私性;部署数据溯源系统,对企业外发分享数据按照溯源种子植入策略进行敏感数据的溯源种子植入,同时借助于该溯源追踪系统进行审计和跟踪,从而实现数据的非授权扩散监管问题,保护企业数据的归属权。
方案产品清单
序号
设备名称
数量
设备功能
1
密码服务系统
1套
部署在密码服务区,为企业各业务统一提供密码服务、密钥服务。
2
密码管理系统
1套
部署在密码服务区,实现密码设备资源统一管理与调度、密码服务平台用户管理、应用密码资源接入管理。
3
身份认证系统
1套
为企业信息应用提供统一身份认证,单点登录服务
4
通用密码中间件
1套
通过API/SDK多种形式,为企业业务应用服务端及信息终端,提供统一的密码服务集成接口,简化密码集成工作。
5
数据安全系统
1套
部署在密码服务区,调用密码服务平台接口对企业数据库、文件数据进行加密存储保护。
6
数据脱敏系统
1套
部署在密码服务区,按企业数据安全策略,实现企业数据分享交换过程中数据的隐私性保护。
7
数据溯源系统
1套
部署在密码服务区,按企业数据安全策略,实现企业信息数据交换共享中的数据溯源追踪,保护企业数据资产归属权。
8
数据安全交换系统
1套
部署在密码服务区,为企业用户不同安全域之间数据交换提供保护,在满足业务便捷性要求的同时,实现数据交换安全、可控。
9
密码应用监测平台
1套
部署在密码服务区,面向企业密码设备、密码应用提供多维度检测控制与态势感知,实时掌控密码使用的合规性、有效性和正确性,并结合实际需求提供策略下发和远程管控能力。
10
电子认证系统
1套
部署在密码服务区,为企业用户、设备、应用和信任服务平台提供数字认证服务,实现数字证书全生命周期管理。
11
密钥管理系统
1套
部署在密码服务区,主要由密钥管理和相关数据库组成,对企业信息系统进行密钥全生命周期管理。
12
云服务器密码机
2台
部署在密码服务区,采用虚拟化技术,上实现同时运行多个虚拟化的密码机(VSM)供企业应用系统调用。
13
签名验签服务器
2台
部署在密码服务区,对各类电子信息数据、电子文档等提供基于数字证书的数字签名服务,并对签名数据验证其签名真实性和有效性。
14
VPN安全网关
按拓扑情况
部署在企业互联网接入服务区和运维管理区,搭建安全通道,支持IPSec/SSLVPN服务,保护数据传输安全。
15
移动终端密码软件模块
按需
在移动终端环境下支持终端密码计算服务、终端密钥管理服务、终端数字证书服务等终端密码服务。
16
终端登录系统(USBKey)
按需
企业办公终端用户身份验证、权限合法性检查,保证用户权限合规性。
17
安全接入终端
按需
部署在企业边远信息站点,保障边远信息终端通过5G接入企业网络安全性及链路机密性。
18
安全隔离与信息单向导入系统
按拓扑情况
部署在企业内部信息管理网络与生产网络之间,实现信息管理网络数据向生产网络的单向数据同步
合规性对照表
指标要求
密码技术应用点
采取措施
标准符合性及说明
物理和环境安全
身份鉴别
在用户机房或数据中心等重要区域部署安全电子门禁系统,实现对进出机房人员的身份鉴别
本方案不涉及
电子门禁记录数据完整性
调用数据摘要或签名验签服务保护电子门禁记录的完整性
符合
视频记录数据完整性
调用数据摘要或签名验签服务保护视频记录数据的完整性
符合
密码模块实现
在电子门禁系统和密码计算服务所使用的云服务器密码机中实现密码算法、密码技术、密钥管理
符合
网络和通信安全
身份鉴别
部署VPN安全网关,搭建IPSec/SSLVPN安全通道,对通信双方进行身份鉴别
符合
访问控制信息完整性
部署VPN安全网关,使用IPSec/SSLVPN内部的网络边界控制机制实现密码产品中的访问控制信息完整性保护;调用数据摘要和签名验签服务对防火墙等网络边界设备中的访问控制列表进行完整性保护
符合
通信数据完整性
部署VPN安全网关,搭建IPSec/SSLVPN安全通道,保护通信数据的机密性、完整性
符合
通信数据机密性
符合
集中管理通道安全
在运维管理区,部署VPN安全网关,搭建专门的安全管理通道,对企业中的安全设备、组件和应用进行集中管理
符合
密码模块实现
在VPN安全网关和密码计算服务所使用的云服务器密码机中实现密码算法、密码技术、密钥管理
符合
设备和计算安全
身份鉴别
在部署核心服务器操作系统、核心数据库操作系统的重要PC终端部署部署终端登录系统;为系统管理员、数据库管理员配发USBKey;对登录堡垒机的用户进行身份鉴别
符合
远程管理身份鉴别信息机密性
通过在运维管理区部署的VPN安全网关搭建的安全集中管理通道保护远程管理鉴别信息的机密性
符合
敏感标记的完整性
调用数据摘要服务或签名验签服务保护企业信息系统中的重要信息资源敏感标记、系统资源访问控制信息、日志记录的完整性
符合
访问控制信息完整性
符合
日志记录完整性
符合
重要程序或文件完整性
在应用服务器外挂USBKey,应用服务器中所有重要程序或文件在生成时通过调用签名验签服务进行完整性保护,使用或读取这些程序文件时,通过USBKey进行验签以确认其完整性,公钥存放在USBKey中
符合
密码模块实现
在VPN安全网关、USBKey和密码计算服务所使用的云服务器密码机中实现密码算法、密码技术、密钥管理
符合
应用和数据安全
身份鉴别
调用身份认证服务,对登录应用的用户进行身份鉴别
符合
访问控制信息和敏感标记完整性
调用数据摘要和签名验签服务对业务应用系统的访问控制策略、数据库表的访问控制信息和重要信息资源敏感标记信息的完整性
符合
数据传输机密性
部署VPN安全网关,搭建安全传输通道,对传输数据进行机密性保护
符合
数据存储机密性
调用数据存储保护服务对存储的重要数据库或文件进行机密性保护
符合
数据传输完整性
部署VPN安全网关,搭建安全传输通道,对传输数据进行机密性保护
符合
数据存储完整性
调用数据存储保护服务对存储的重要数据库或文件进行机完整性保护
符合
日志记录完整性
调用签名验签服务或数据摘要服务对应用的日志记录进行完整性保护
符合
重要应用程序的加载和卸载
仅有专门的操作员可对重要应用程序的加载和卸载,为操作员配发USBKey以实现身份鉴别;调用属猪摘要或签名验签服务对重要应用程序在加载内容时进行完整性校验
符合
密码模块实现
在VPN安全网关、USBKey和密码计算服务、身份认证服务所使用的云服务器密码机、身份认证系统中实现密码算法、密码技术、密钥管理
符合
方案价值
⏹密码体系化建设
方案从支撑服务整个企业信息安全建设出发,以构建涵盖密码管理、密码服务及密码监管态势感知多维度的体系化密码服务平台为建设内容,能够有效应对企业复杂的信息化应用需求及未来的业务发展需求。
⏹安全整体性防护
方案以企业整体信息安全为防护对象,覆盖信息终端、网络传输、边界安全、应用安全及数据安全。
横向覆盖信息化全业务场景,纵向贯穿数据全生命周期。
⏹以合规为指引
方案设计遵循《密码法》、《信息安全等级保护》及《信息系统密码应用基本要求》等法规、标准要求,能切实满足相应合规性要求。
⏹以数据为核心
方案设计以企业最有价值的数据资产为核心,从终端、用户、网络、业务多个环节入手,提供从数据采集、传输、存储、整合、呈现与使用、分析与应用全周期的密码安全防护应用。
⏹以密码为支撑
方案通过密码服务平台建设,整合底层密码算力资源,向上提供通用密码服务接口,从终端安全、传输安全、应用安全、数据安全等多维度,统一为企业信息化安全提供基础支撑服务。
升级会员 