基于密码安全技术在互联网或电子政务外网上建立安全的应用系统完整解决方案
来源:中国电子政务网 更新时间:2012-04-14

随着信息化普及程度的提高,机关单位都组建了各种政务外网应用系统,例如办公自动化OA、门户等,网络架设、信息系统建设给这些单位带来了很多便利,如资源共享、办公自动化以及方便的信息传递等等,极大地提高了工作效率。但是随着封闭系统的开放化程度提高,越来越多的信息安全问题也同时浮现出来。网络所具有的开放性、共享性等特点,使得分布在各台主机中的重要信息资源处于一种高风险的状态,这些数据很容易受到非法监听、非法复制、非法访问等各种恶意的攻击。如何有效地管理这些重要的信息网络资源,对它们的使用进行合理的认证、授权与监管,日益成为信息网络应用中的一个重要问题。从某种意义上说,这是一个关系到办公自动化网络大规模深入,应用能否顺利实施的关键因素。
  另一方面,随着互联网在中国的迅速发展,政府、经济、军事、社会、文化和人们生活等各方面都越来越依赖于网络。网络经济的兴起和发展,极大地改变了人们的生活、工作和思维方式,促进了经济的发展。但在这个发展潮流中,网络信息安全隐患越来越突出,信息泄密事件时有发生。黑客攻击或商业间谍入侵、木马病毒肆虐、内部员工有意或无意的泄密行为,以及存储大量数据的硬件被盗或丢失,都可能直接导致泄密情况发生,并给单位造成极大的经济与声誉损失。信息安全也成为各网络应用单位面临的难点问题,而且随着各单位与个人对网络和电脑依存度越来越大,这种安全威胁和影响也越来越大,甚至已经成为当今网络应用中最敏感的问题之一。往小的说,关系一个单位的生存和发展;往大的说,可能对国家大局和长远利益产生重大影响。

1.2问题分析
1.2.1口令简单且繁多
随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多,由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。
同时,由于口令极易被非法获取或截获,造成系统被非法访问,系统不安全。

1.2.2外网数据传输没有很好的安全保护
   用户通过外网访问应用系统的过程中,数据多以明文传输或者只是经过简单的算法编码加密,非常容易被截获后破解,导致一些关键敏感信息泄露出去。

1.2.3用户信息内容和数据格式不统一
用户在所有应用系统中都存在用户信息,而由于对用户信息的管理没有统一的规划设计,造成一个用户在多个应用系统中有不同的用户信息,信息重复且不准确,造成数据冗余,结果造成机关领导和组织人事部门很难获得到最新的用户基本信息的电子数据。
同时,由于应用系统建设单位不同、设计思路不同,所以各应用系统中的用户信息存储在异构的操作系统上(Windows, UNIX,LINUX…),以不同的数据格式存储(Oracle, SQL Server, MySql, LDAP…),而且数据结构不同,这些信息不能互通互换,形成信息孤岛。

1.2.4没有统一的授权信息
在现实环境中,每一个部门、每一个岗位、每一个职务都由专门的机构或部门管理,每一个工作人员都是依据其所在地部门、岗位、职务执行其业务操作。而每个人员的任命也都是由专门的人事部门负责。在信息系统的世界中,每一个人的业务操作权限都是由管理员进行分配,每个人的职务、岗位分散在各个系统中,且叫法不一。这就造成了这些岗位、角色、部门信息的混乱、不一致,并且进行修改维护也需要在每一个系统中进行更改。且在信息系统中都由管理员管理,既不符合党政机关管理的实际、也带来了安全隐患。

1.2.5没有统一的信息资源访问控制
   在众多的应用系统中,哪些用户能够进入哪些应用系统需要管理员在每个应用系统中进行配置,既不方便、也容易出错。这就需要一个统一的认证系统进行应用系统级的访问控制,降低工作强度,提高安全强度。

1.2.6没有适合的终端安全防护措施
许多单位采取拆除光驱软驱、封掉USB 接口、限制上网等方法来尽可能的减少信息交换,以达到信息保密的目的;或者安装一些监控软件,监控员工的日常工作,使其不敢轻举妄动;或者安装各种网络信息安全防护产品,如防火墙、入侵检测、防病毒产品等来防范黑客攻击和病毒侵袭。但人们很快发现,网络信息安全不是绝对的,没有任何一个产品或者技术能够绝对确保自己的网络不被黑客攻击和病毒入侵。同时,限制上网、封闭USB 接口、拆除光驱软驱、安装监控软件等等做法一方面严重影响工作的方便性,并容易引起员工的抵触情绪;另一方面还是无法根本杜绝有意的内部泄密行为,同时存在因噎废食之嫌。大量事实也证明这些方法效果不是很好,重要的文件依旧会泄漏。从数据保密角度来讲,要内外兼防、甚至要防内甚于防外。

1.2.7没有适当的实现安全特性的方法
用户需要的这些安全特性,应用系统开发商并不知道如何去实现这些安全特性。让原来的应用系统开发商去完成这些工作,由于他们对安全并不熟悉,会大大增加开发周期,却并不一定能设计出符合用户要求的安全解决方案。例如,应用系统开发商在验证用户的签名时,可能只知道验证了值的签名,而对证书没有有效验证,或者证书登录只是提交了一个证书,没有做别的操作,相对用户名、口令反而降低了应用系统的安全强度。

1.2.8解决方案目标
1、保护应用系统信息安全。
2、保护网络传输信息安全。
3、保护电脑终端信息安全。

2.总体设计方案
2.1总体架构

 



1)组织机构、用户、权限等核心资源的分级管理;
2)基于先进的JMS机制建立的功能强大、松偶合信息同步机制;
3)强大的日志审计;
4)标准,易扩展的多种接口设计,支持文件、数据库、审计服务器等多种操作接口;
5)权限管理功能;
6)注册管理各分中心服务器基本信息、IP地址、消息服务账户等功能。

3.3 授权管理和访问决策
授权管理和访问决策将各个应用系统的所有受控资源进行统一授权、统一认证的支撑平台。本系统以资源的授权、访问决策控制集中管理为目标,以资源的访问控制为导向,以资源的安全、防扩散为前提。通过本系统,不仅可以保护应用系统的信息安全、建立全面的信息保密制度,同时满足对系统文档加密何授权需求,构建安全可控的文档安全、防扩散管理平台。

集中或分布式的资源授权
集中或分布式的访问决策控制
工作流程防扩散控制
动态文档(PDF)的安全防扩散控制:阅读、另存、打印、复制等
功能菜单的访问控制
页面、按钮的访问控制
全面日志审计,跟踪记录所有的资源操作日志,保证遵守安全策略,为追溯信息泄密提供有力依据。
3.4安全网关和单点登录
   安全网关采用网络密码安全技术,对外网用户访问应用系统的数据包进行加密保护,通道保护协议以及加密算法均经过国密办鉴定,在最大程度上保护用户私密数据的安全。

单点登录统一身份认证和资源访问控制通过统一认证确认的访问者的身份、要访问的资源、资源访问种类、资源秘密等级确定是否允许访问者进行该信息资源的访问。

代替所有的应用系统对用户进行统一身份认证的,解决传统应用系统采用用户名/密码认证存在的密码不安全、极易被盗和密码繁多难以记忆问题。
背对背认证,可以代替后方保护的资源实体进行认证,认证成功后,转发访问请求,把资源实体的身份传递过去。哪些资源实体需要代理认证,在安全策略中灵活配置。
根据权限信息对用户进行统一的资源访问控制的功能,将非法访问和攻击挡在访问业务应用系统之前,大大减少了业务应用系统被攻击的可能性。
基于PKI的双向强身份认证。
支持各种证书状态查询方式。包括基于证书撤销列表(CRL)的方式和在线证书状态查询(OCSP)的方式。
提供单点登录组件,用户一次登录,处处访问。
应用程序管理功能。注册、验证单点登录系统信任的应用程序。
用户身份信息和授权信息的同步。
会话管理功能。可跟踪、查询、终止用户会话。
日志记录和系统审计,支持文件、数据库、审计服务器接口。
场景一:非受控网段的个人PC访问公共资源
IP网关1配置:用户不需要身份认证就可以访问公网服务器

  1. 2,场景二:受控网段的个人PC访问公共资源

IP网关1配置:通过设备认证码(可选)+UKEY(软或硬)认证用户访问公共资源

 
2,场景二:受控网段的个人PC访问公共资源
IP网关1配置:通过设备认证码(可选)+UKEY(软或硬)认证用户访问公共资源

3,场景三:个人PC访问受控资源
IP网关1配置:保护受控资源,个人PC和网关之间建立加密通道
3.6密码安全服务
通过基础密码安全服务,为应用系统提供密码安全服务中间件,简化应用系统采用密码安全开发的复杂度,增强应用系统安全性。
基础密码安全服务依托于硬件密码设备进行签名/验签、加密/解密等底层密码运算,提供基础密码安全服务客户端和API接口给业务应用系统,为应用系统提供简单可靠的安全服务,包括:

数字签名服务:为应用系统提供数字签名功能,支持包括基于PKCS7的数字签名格式和纯签名格式。
验证签名服务:为应用系统提供验证数字签名功能,包括公钥验证和证书验证。
加密/解谜服务:提供应用层数据的加解密。
证书验证服务:为应用系统提供证书验证服务。
数字摘要计算服务:为应用系统提供数字摘要计算服务。
时间戳服务:为应用系统提供时间戳服务。
客户端采用控件,服务端支持多种开发语言。
并且在与应用系统通信过程中,可以做到跨平台、跨开发语言的调用,Unix,Windows、Java、C++等不同平台、不同开发语言都可以用相同的方式调用。

3.7加密文件保险柜和PDF文档防扩散安全管理系统
为了确保终端敏感信息的防泄密,使用文件加密柜及其打开策略防止硬盘存储的内容被盗取,使用PDF文档防扩散安全管理系统,实现可控授权下的文档安全管理和共享,基于统一授权管理系统,采用权限控制技术、身份认证技术等,结合安信天元特有的PDF版式公文技术,为用户的电子文档提供内容级的安全保护,防止因人员离职、恶意拷贝、病毒影响等因素造成用户的涉密文件扩散或者泄露,做到“事先防范、综合防御、事后追查”。
1、开机认证:各用户独自的标识信息存于保密的终端密码设备中,由USB口读入,供终端计算机验证执行部件识别,在验证识别过程中不泄露身份特征信息,做到真正的不可假冒和伪造。如果终端密码设备不合法或者是没有终端密码设备的话,就不能进入系统进行任何操作。如果用户有事临时有时走开,可以把终端密码设备拔走,这样安全系统就会自动锁定,并把用户的工作环境保存下来,这时除了原持终端密码设备人外,任何人都不能进入用户工作环境。用户回来后把原终端密码设备插进去后,系统就会解除锁定。
2、文件加密系统:文件用指定的证书公钥加密存储或者传输,对方必须拥有相应的私钥解密才能查看。
3、加密文件柜:系统可以为每个合法用户分配私有目录——文件保险柜。所有进入该私有目录的文件都将被自动加密,拿出(包括剪切、移动和复制)该目录的文件将被自动解密。为了保证私有信息的私密性,任何用户都不能查看和操作其他用户文件保密柜内的文件。
4、应用程序访问监控:提供应用程序的黑白名单设置,监控各个应用程序的访问,可做到只允许在白名单以内(黑名单以外)的应用程序访问指定的磁盘或者加密文件柜创建的私人空间,或者凡是在白名单以外(黑名单以内)的应用程序禁止访问指定的磁盘或者加密文件柜创建的私人空间。
5、防扩散PDF文档管理系统:

支持动态集中文档使用授权管理,不同的文档有不同的使用权限,不同的设备、个人有不同的文档使用权限
涉密信息加密存储,文档即使被窃取,窃取者(阅读设备和个人)也无法阅读
高密级的文档,不能流向低密级的域、设备、个人
可控制谁(阅读设备和个人)能在线阅读机密文档
可控制谁能够另存和离线阅读机密文档
可控制谁能在线和离线打印机密文档
可控制谁能在线和离线导出机密文档明文(PDF)
可控制谁能在线和离线复制粘贴文档内容
可控制文档在线和离线使用期限(借期),过期自动作废
指定设备使用,在非授权电脑上打开,文件自动失效
文档内嵌与文档不可分离的文档安全元数据(文档标题、文档密级、文档发布范围,提供文档内嵌安全元数据的搜索和分析工具,方便进行涉密文档保密检查
防止使用者对机密文档内容、文档内嵌元数据(包括文档安全属性信息)的篡改
基于详细的文档使用记录和统计,实现安全审计
4.系统特点
1、方案的综合完整性特点
本方案从用户的整体安全性需求上出发,考虑到涉及用户安全的方方面面,以密码安全服务为中心保护服务器资源,以安全网关为中心保护网络层资源,以文件加密柜和防扩散PDF安全文档管理系统为中心保护客户端资源,站在一个完整的角度指导用户的安全建设,而不是简单的罗列一些零零碎碎的安全产品。本方案的最终目的要引起用户在系统安全建设方面的思考,综合各方面的因素来给目前和将来的系统安全制定一个可持续性发展的建设策略,能在业务系统发生安全故障之前未雨绸缪,尽可能在当下条件允许的情况下建立起一个综合的密码安全服务支撑平台和完善的安全保障体系。
2.安全特点:
1)产品经过国密办严格鉴定。
2)真正的双向强身份认证,不管是客户端还是服务端都是通过硬件密码设备来产生随机数、计算摘要、签名和验签。
3)屏蔽复杂的密码安全技术,不需要应用开发商再去学习密码安全知识,在集成上不存在任何安全上的缺陷。
4)支持与第三方CA的对接。
5)硬件密码设备的无关性。
5)客户端密码安全服务组件,用户终端无缝集成。
6)支持多重签名、可识别签名属性、多重加密、带算法标识的数字信封规范。
7)认证管理和应用密码安全服务一体化。
方案及方案中产品从一开始需求设计、系统设计、系统编码就考虑的系统的安全性。系统本身与密码产品结合紧密,不仅能够对关键业务数据进行签名、加密,并考虑了通信通道的安全,客户端数据存储与交换的安全。
与密码技术的无缝集成。公司作为一个开发安全系统多年的产商,对于如何在应用系统中集成密码安全技术有多年的经验。所有产品方案都实现了与密码技术的无缝集成。
3.使用特点:
   安信天元公司在电子政务领域扎根多年,对用户的安全需求有很深入的理解,开发完善了一整套适合于用户安全需求的系统。
(1)友好性。系统适于党政机关办公人员的使用习惯。
(2)易用性。在保证满足业务安全的前提下,尽量减少用户的操作复杂度。
(3)适用性。系统适合包括电子政务在内的各个领域。
(4)可靠性。保证系统的安全可靠性。
(5)标准性。系统符合国际及国家的相关标准。
4.技术特点:
(1)系统采用当前最先进的技术,杜绝了系统被破解和仿照的可能性,同时保证了系统易扩展、易维护,性能高。并可部署在多种平台下,不受平台的限制。
(2)对因为安全原因需要在客户端部署的软件(如密码安全组件)可通过在线自动升级的方式对软件进行升级维护。
(3)系统采用组件化,保证系统的可靠性、可扩展性。

5软硬件清单
5.1硬件设备清单