黄俏峥1 罗伟泰2
广西自然资源职业技术学院 南宁530100
摘要:一运用文献资料法、问卷调查法、专家访谈法、数理统计法等研究方法,某业务系统商用密码保护。
关键词:系统;商用;密码保护;影响因素;对策
一、概述
根据国家《关于加强重要领域密码应用的指导意见》(中共中央办公厅厅字〔2015〕4号)的有关要求,本项目结合某机要局的实际情况,计划对某机要局的相关业务系统进行安全防护建设,使用国产密码算法对业务系统的信息传输、数据存储进行密码保护。
二、建设方案
为保证某机要局相关业务系统的安全,本次项目计划采用国产商用密码算法对现有业务系统的信息传输、数据存储进行信息安全防护建设。在总体上,建设工作主要分为三个部分内容:
(一)数据存储加密防护建设
在现有局域网内新增部署2套支持国产密码算法的服务器密码机(主备配置),并对现有业务系统进行二次开发,实现现有业务系统调用服务器密码机的密码服务对数据进行加密存储,使业务系统存储的数据得到加密防护。
(二)用户安全认证防护建设
用户安全认证防护主要针对内部局域网的PC终端用户、分支机构的PC终端用户、以及移动办公的安全手机用户进行。
1、USBKEY认证介质:为网内的PC终端、笔记本终端用户配置USBKEY身份认证介质。安全手机使用TF加密卡作为身份认证介质。
2、数字证书认证系统:新增,1套,部署于内部局域网中,提供用户数字证书的生产、管理等相关功能。
3、安全认证网关:新增,3台;其中2台采用负载均衡的方式部署于互联网访问区,为从互联网端进行访问的用户提供身份认证服务;1台部署于内部局域网内,为内部用户提供身份认证服务。建设完毕后,3台安全认证网关之间需定期手动进行注册用户同步,以确保用户能同时在内部局域网络和互联网进行身份认证。
(三)传输链路加密防护建设
SSLVPN:终端用户通过SSLVPN拨号的形式与安全认证网关建立SSLVPN加密隧道,对传输链路进行加密防护。加密算法采用国产的SM2/SM3/SM4算法。
(四)网络隔离交换防护建设
1、前置服务器:新增,数量按照某机要局业务系统前置部署需求进行配置,部署于互联网访问区,用于为互联网访问用户提供前置访问服务。
2、双向隔离网闸:新增,1套,部署于互联网访问区和内部局域网之间,实现两个网络之间的逻辑隔离。
.png)
.png)
.png)
.png)
四、方案效果
(一)丰富的密码算法支持
支持国际通用算法RSA、AES128、SHA1、MD5等通用算法,同时也支持国家密码管理局批复的SM2、SM3、SM4商密算法。
(二)支持多终端的操作系统
支持多种终端操作系统,如Windows、android等操作系统。
(三)应用协议数据的保护
提供应用代理、VPN隧道代理和反向代理等多种代理方式,能有效地支持IP层及以上应用协议数据保护,以有效地保证各种应用系统的业务数据的安全性。
(四)支持“零改造”的单一登录
对于以HTTP-POST、HTTP-GET和HTTP-BASIC方式提交用户名和明文口令方式进行认证的应用系统,支持利用协议解析及口令代填等技术实现对应用系统“零改造”的单点登录,无需应用系统进行任何改动。
(五)支持多台安全网关负载均衡
支持多台安全网关形成集群,将不同用户的业务请求分发到不同安全网关上,有效提高安全网关间业务处理能力及稳定性。
(六)高安全性网络隔离
采用专用安全隔离硬件,利用协议剥离技术实现了不同安全域间可控的数据交换,保证网络的高安全性。
注:(项目信息:广西科技基地和人才专项《知识产权普及宣传》 项目编号: 桂科AD16380187)