大型企业密码应用安全解决方案1文档格式.docx

1、企业业务数据在存储、共享交换过程中缺乏机密性、敏感性及数据溯源保护。方案设计本方案以中户人民共和国网络安全法、中华人民共和国密码法、关键信息基础设施安全保护条例等法律法规为依据，以网络安全等级保护、信息系统密码应用基本要求等国家标准为指引，结合大型企业信息化业务应用所面临安全风险和密码应用需求，针对企业信息化密码应用中的具体问题，运用安盟信息自主研发的创新密码技术，为企业信息化安全防护打造全方位、多层次、易使用、易管理的密码应用技术保障体系。体系架构本方案覆盖大型企业边界、业务、数据三大层面的安全，打造体系化的密码保障体系，立足日常办公、工控生产、社会服务三大典型场景，打造“网络隔离、可信接入

2、、传输保护、授权管理、流转追溯”的新一代安全边界，保障业务安全、服务安全、工控安全，提供覆盖生产数据、个人信息和工作秘密的数据安全。逻辑架构构建以密码基础支撑为算力资源，以统一密码服务平台、数据安全平台、密码监测平台为服务核心，以通用密码接口为统一交付的密码应用保障体系。整个体系以密码应用保障体系为支撑，从管理制度、技术规范两个维度作为保障，通过泛在的密码能力，从身份安全、终端安全、通信安全、边界安全、数据安全多个层面为切入点进行密码赋能，最终构建起以企业数据资产为核心的，充分集成密码安全服务能力的企业信息安全防护体系。整个密码应用保障体系逻辑上由密码基础支撑、密码服务平台、密码服务三个层次构

3、成。密码基础支撑层由密码基础设施和各类密码设备组成，共同组成整个密码应用保障体系的密码算力资源支撑和信任源支撑。密码服务平台层由密码服务平台、密码应用监测平台及数据安全平台三大平台构建整个密码应用保障体系的业务服务平台层，作为体系核心功能平台，从不同维度分别向上层应用提供多种密码服务及密码应用监测与态势感知。密码服务层将各平台密码功能进行组件化封装，面向具体业务场景的终端密码服务、信任服务、安全传输保护服务和数据存储保护服务。同时，面向不同的应用系统、中间件及信息终端，提供丰富多样的通用密码中间件（API/SDK）供其适配，以实现密码服务能向应用系统的有效整合。安全服务支撑终端安全在企业信息化

4、终端，如PC、智能移动设备上集成部署安盟华御终端密码模块，与密码服务平台协同，为终端设备提供密码服务及数字证书服务。通过统一颁发数字证书可信标识终端设备身份，通过密码服务接口实现基于数字证书的可靠认证，及通讯及文档加解密等密码服务，全面保障终端安全。传输安全在企业互联网边界安盟华御VPN设备，为通过互联网访问企业信息化应用的移动用户、外部用户提供可信传输通道，从而保证基于开放网络企业传输信息的机密性防护。同时，可针对特定用户基于企业密码服务平台的电子认证服务颁发数字证书，实现边界接入前的可靠身份认证。针对移动智能终端，可以在手机端APP集成安盟华御的客户端国密VPN SDK，实现基于移动智能终

5、端的可信传输通道。在企业边远信息采集站点、数据传输站点等环境中，部署安盟华御安全接入终端，保障边远站点通过5G等通讯链路接入企业网络通讯链路的可靠认证与通讯链路机密性。边界安全在企业数据传输共享所跨越的不同安全等级的网络之间部署安盟华御数据交换平台，实现企业对外业务稳定、高效的数据交换的同时，有效保障企业内部网络的安全。在企业内部生产网络与信息管理网络之间，部署安盟华御安全隔离与信息单向导入系统，在保护生产网络安全可靠的前提下，实现信息管理网络数据同步向生产网络。应用安全在企业信息化安全服务区设立专门的密码保障区，部署安盟华御密码服务平台，融合集成电子信任服务功能。提供多种形态的通用密码服务接

6、口供企业信息化业务应用整合集成，使业务应用具备对来访用户进行基于数字证书的可靠身份认证能力；企业办公、财务等关键业务流程审批环节通过可靠电子签章实现关键业务操作抗抵赖；跨业务系统数据流转通过数字签名实现数据完整性保护等，整体提升安全防护水平。数据安全在企业信息安全密码保障服务区部署安盟华御数据安全平台，调用密码服务平台提供的API接口，对本地数据库及文档数据存储提供加密服务，保障数据存储安全。部署安盟华御数据脱敏系统，在企业外发共享数据时，根据配置对外发数据进行变形、屏蔽、替换、加密，保护企业数据隐私性；部署数据溯源系统，对企业外发分享数据按照溯源种子植入策略进行敏感数据的溯源种子植入，同时借

7、助于该溯源追踪系统进行审计和跟踪，从而实现数据的非授权扩散监管问题，保护企业数据的归属权。方案产品清单序号设备名称数量设备功能1密码服务系统1套部署在密码服务区，为企业各业务统一提供密码服务、密钥服务。2密码管理系统部署在密码服务区，实现密码设备资源统一管理与调度、密码服务平台用户管理、应用密码资源接入管理。3身份认证系统为企业信息应用提供统一身份认证，单点登录服务4通用密码中间件通过API/SDK多种形式，为企业业务应用服务端及信息终端，提供统一的密码服务集成接口，简化密码集成工作。5数据安全系统部署在密码服务区，调用密码服务平台接口对企业数据库、文件数据进行加密存储保护。6数据脱敏系统部署

8、在密码服务区，按企业数据安全策略，实现企业数据分享交换过程中数据的隐私性保护。7数据溯源系统部署在密码服务区，按企业数据安全策略，实现企业信息数据交换共享中的数据溯源追踪，保护企业数据资产归属权。8数据安全交换系统部署在密码服务区，为企业用户不同安全域之间数据交换提供保护，在满足业务便捷性要求的同时，实现数据交换安全、可控。9密码应用监测平台部署在密码服务区，面向企业密码设备、密码应用提供多维度检测控制与态势感知，实时掌控密码使用的合规性、有效性和正确性，并结合实际需求提供策略下发和远程管控能力。10电子认证系统部署在密码服务区，为企业用户、设备、应用和信任服务平台提供数字认证服务，实现数字证

9、书全生命周期管理。11密钥管理系统部署在密码服务区，主要由密钥管理和相关数据库组成，对企业信息系统进行密钥全生命周期管理。12云服务器密码机2台部署在密码服务区，采用虚拟化技术，上实现同时运行多个虚拟化的密码机（VSM）供企业应用系统调用。13签名验签服务器部署在密码服务区，对各类电子信息数据、电子文档等提供基于数字证书的数字签名服务，并对签名数据验证其签名真实性和有效性。14VPN安全网关按拓扑情况部署在企业互联网接入服务区和运维管理区，搭建安全通道，支持IPSec/SSL VPN服务，保护数据传输安全。15移动终端密码软件模块按需在移动终端环境下支持终端密码计算服务、终端密钥管理服务、终端

10、数字证书服务等终端密码服务。16终端登录系统（USBKey）企业办公终端用户身份验证、权限合法性检查，保证用户权限合规性。17安全接入终端部署在企业边远信息站点，保障边远信息终端通过5G接入企业网络安全性及链路机密性。18安全隔离与信息单向导入系统部署在企业内部信息管理网络与生产网络之间，实现信息管理网络数据向生产网络的单向数据同步合规性对照表指标要求密码技术应用点采取措施标准符合性及说明物理和环境安全身份鉴别在用户机房或数据中心等重要区域部署安全电子门禁系统，实现对进出机房人员的身份鉴别本方案不涉及电子门禁记录数据完整性调用数据摘要或签名验签服务保护电子门禁记录的完整性符合视频记录数据完整性

11、调用数据摘要或签名验签服务保护视频记录数据的完整性密码模块实现在电子门禁系统和密码计算服务所使用的云服务器密码机中实现密码算法、密码技术、密钥管理网络和通信安全部署VPN安全网关，搭建IPSec/SSL VPN安全通道，对通信双方进行身份鉴别访问控制信息完整性部署VPN安全网关，使用IPSec/SSL VPN内部的网络边界控制机制实现密码产品中的访问控制信息完整性保护；调用数据摘要和签名验签服务对防火墙等网络边界设备中的访问控制列表进行完整性保护通信数据完整性部署VPN安全网关，搭建IPSec/SSL VPN安全通道，保护通信数据的机密性、完整性通信数据机密性集中管理通道安全在运维管理区，部署

12、VPN安全网关，搭建专门的安全管理通道，对企业中的安全设备、组件和应用进行集中管理在VPN安全网关和密码计算服务所使用的云服务器密码机中实现密码算法、密码技术、密钥管理设备和计算安全在部署核心服务器操作系统、核心数据库操作系统的重要PC终端部署部署终端登录系统；为系统管理员、数据库管理员配发USBKey；对登录堡垒机的用户进行身份鉴别远程管理身份鉴别信息机密性通过在运维管理区部署的VPN安全网关搭建的安全集中管理通道保护远程管理鉴别信息的机密性敏感标记的完整性调用数据摘要服务或签名验签服务保护企业信息系统中的重要信息资源敏感标记、系统资源访问控制信息、日志记录的完整性日志记录完整性重要程序或文

13、件完整性在应用服务器外挂USBKey，应用服务器中所有重要程序或文件在生成时通过调用签名验签服务进行完整性保护，使用或读取这些程序文件时，通过USBKey进行验签以确认其完整性，公钥存放在USBKey中在VPN安全网关、USBKey和密码计算服务所使用的云服务器密码机中实现密码算法、密码技术、密钥管理应用和数据安全调用身份认证服务，对登录应用的用户进行身份鉴别访问控制信息和敏感标记完整性调用数据摘要和签名验签服务对业务应用系统的访问控制策略、数据库表的访问控制信息和重要信息资源敏感标记信息的完整性数据传输机密性部署VPN安全网关，搭建安全传输通道，对传输数据进行机密性保护数据存储机密性调用数据

14、存储保护服务对存储的重要数据库或文件进行机密性保护数据传输完整性数据存储完整性调用数据存储保护服务对存储的重要数据库或文件进行机完整性保护调用签名验签服务或数据摘要服务对应用的日志记录进行完整性保护重要应用程序的加载和卸载仅有专门的操作员可对重要应用程序的加载和卸载，为操作员配发USBKey以实现身份鉴别；调用属猪摘要或签名验签服务对重要应用程序在加载内容时进行完整性校验在VPN安全网关、USBKey和密码计算服务、身份认证服务所使用的云服务器密码机、身份认证系统中实现密码算法、密码技术、密钥管理方案价值密码体系化建设方案从支撑服务整个企业信息安全建设出发，以构建涵盖密码管理、密码服务及密码监

15、管态势感知多维度的体系化密码服务平台为建设内容，能够有效应对企业复杂的信息化应用需求及未来的业务发展需求。安全整体性防护方案以企业整体信息安全为防护对象，覆盖信息终端、网络传输、边界安全、应用安全及数据安全。横向覆盖信息化全业务场景，纵向贯穿数据全生命周期。以合规为指引方案设计遵循密码法、信息安全等级保护及信息系统密码应用基本要求等法规、标准要求，能切实满足相应合规性要求。以数据为核心方案设计以企业最有价值的数据资产为核心，从终端、用户、网络、业务多个环节入手，提供从数据采集、传输、存储、整合、呈现与使用、分析与应用全周期的密码安全防护应用。以密码为支撑方案通过密码服务平台建设，整合底层密码算力资源，向上提供通用密码服务接口，从终端安全、传输安全、应用安全、数据安全等多维度，统一为企业信息化安全提供基础支撑服务。