慧点安全解决方案白皮书模板.doc
《慧点安全解决方案白皮书模板.doc》由会员分享,可在线阅读,更多相关《慧点安全解决方案白皮书模板.doc(57页珍藏版)》请在咨信网上搜索。
1、慧点安全处理方案白皮书慧点安全处理方案白皮书 二十一世纪是信息化世纪,伴随网络技术发展,尤其是Internet全球化,信息共享程度深入提升。数字信息越来越深入影响着社会生活各个方面,多种基于互联网技术网上应用,如电子政务、电子商务等也得到了迅猛发展。网络正逐步成为大家工作、生活中不可分割一部分。因为互联网开放性和通用性,网上全部信息对全部些人全部是公开,所以网络上信息安全问题也日益突出。目前政府部门、金融部门、企机关和个人全部日益重视这一关键问题。大、中型企业怎样保护信息安全和网络安全,最大程度降低或避免因信息泄密、破坏等安全问题所造成经济损失及对企业形象影响,是摆在我们面前亟需妥善处理一项含
2、有重大战略意义课题。网络飞速发展推进社会发展,大批用户借助网络极大地提升了工作效率,发明了部分全新工作方法,尤其是因特网出现更给用户带来了巨大方便。但其次,网络,尤其是因特网存在着极大安全隐患。多年来,因特网上安全事故屡有发生。连入因特网用户面临很多安全风险:拒绝服务、信息泄密、信息篡改、资源盗用、声誉损害等等。类似风险也存在于其它互联网络中。这些安全风险存在阻碍了计算机网络应用和发展。在网络化、信息化进程不可逆转形势下,建立安全可靠网络信息系统是一个肯定选择。为此,慧点科技以PKI为关键,配合PMI能够有效地处理信息安全问题,从而确保网上信息保密性、完整性、防抵赖性,和信息起源可靠性,为各企
3、机关信息化建设和实施提供了卓有成效安全防护。一.慧点产品总体框架慧点科技致力于为企机关提供完整电子政务、电子商务关键处理方案,构建平台统一、系统安全、投资合理、运行高效系统平台,提供服务于应用集成、数据集成和表现集成全线产品,为企机关信息化构建动态协同基础设施。慧点科技办公系统满足企机关日常办公多种业务需要,是政府、企业信息化基础应用系统;数据交换平台提供各系统间业务集成,是企机关实施全方位信息化和数据共享基础中间件平台;一站式服务平台实现政府跨部门网上行政、网上办公和网上审批,是实现阳光行政、高效行政、依法行政关键平台;统一信息门户提供丰富内容表现方法、全方位访问接入方法和个性化服务,是企机
4、关信息化统一入口,是领导决议信息起源,是政府、企业形象集中表现。慧点安全处理方案是慧点全线产品安全基础。安全中间件作为PKI关键组成部分是连接CA和各应用系统桥梁,使得各应用系统和CA之间实现松散连接。安全中间件是以公钥基础设施(PKI)为关键、建立在一系列相关国际安全标准之上一个开放式应用开发平台,并对PKI基础功效如对称加密和解密、非对称加密和解密、信息摘要、单向散列、数字署名、署名验证、证书从证,和密钥生成、存放、销毁等深入扩充,进而形成系统安全服务器接口,和通信安全服务接口。安全中间件能够跨平台操作,为不一样操作系统上应用软件集成提供方便,满足用户对系统伸缩性和可扩展性要求。在频繁改变
5、企业计算机环境中,安全中间件能够将不一样应用程序无缝地融合在一起,使用户业务不会因计算环境改变遭受损失。同时,安全中间件屏蔽了安全技术复杂性,使设计开发人员无须含有专业安全知识背景就能够结构高安全性应用。慧点科技全线产品建立在PKI、PMI、安全中间件基础上,是一个经典安全应用集成平台。二.安全需求2.1应用集成和政务集成中安全需求伴随网络技术发展,尤其是Internet全球化,多种基于互联网技术网上应用,如电子政务、电子商务等得到了迅猛发展。应用需求越来越复杂,迫切需要多种独立异构分布式应用之间能够进行协同互操作,传统分布式构件方案如DCOM和CORBA难以满足应用开发需要,于是因为XML技
6、术逐步成熟,出现了一个新分布式、松耦合、自描述分布式组件服务Web Service。因为Web Service含有跨平台、易开发优良特征,所以在应用系统集成领域和网络服务领域成为了一个广泛应用标准。慧点DCI产品框架平台就是这一个完全基于J2EE平台和Web Service完整企业应用和电子政务应用集成平台。可是因为Web Service开放性和通用性,为了能够保护信息系统安全,对Web Service安全性提出了很高要求。Web Service迫切需要一个完整安全服务框架,来为上层应用开发提供全方面安全服务。构建Web Service安全框架困难在于:web service是很分布式,而且关
7、键安全实现和算法全部是由不一样提供商实现。将各分散业务部门和它们原先异构安全系统和架构统一集成到Web Service安全和业务平台上,而且能够以一个信任关系在各部门应用之间共享用户信息、描述和权限是一个摆在面前巨大挑战。为何需要安全可信Web Services和过去十年中用户/服务器和基于Web应用一样,XML Web Services给应用开发和信息系统构建带来了革命性影响。经过使用标准协议,如XML、SOAP、WSDL和UDDI,应用能够更轻易相互通讯,而且愈加快、更廉价进行应用集成,供给链集成,实现分布式服务模型。XML Web Service接口是基于XML和松耦合。XML和SOAP
8、许可任意系统间进行相互通讯,不管它是一个Office XP桌面还是一个大型主机系统。伴随自动化业务步骤集成越来越普及,越来越多各式各样系统经过Web Service加入到一个广泛Web Service集成环境中去,所以出现了以下部分问题:非集中架构非集中管理用异构技术实现多个部门间相互连接多个企业间相互连接天然对等架构有可能对Internet开放上面每一个问题全部是对系统安全严峻挑战。怎样跨越多个异构系统在整个环境中实施一个安全策略?怎样为一个不了解安全系统外部提供商提供安全服务?怎样监视和审计跨越多个异构系统安全活动事件?要处理上述问题,仅依靠于传统防火墙和入侵监测系统是不足够,即使加上了S
9、SL和VPN也只是处理了数据在网络中安全传输问题,并没有处理跨系统认证和访问授权问题,也没能处理面向Internet服务安全问题。要处理这些问题,需要提供一个完整基于Web Service安全和企业应用集成架构。慧点DCI架构和产品系列提供了对上述问题完整处理方案(完整架构说明请看另文)。2.2 OA产品安全需求1安全电子邮件电子邮件已经是现在最常使用文本通讯手段,是OA系统中关键功效之一。为了确保电子邮件安全,需要能够使用数字证书对邮件进行数字署名和数字加密。安全电子邮件是在原有MIME邮件规范基础上,新增了很多强有力安全功效。经过基于?S/MIME?协议来实现,能够和多种支持相同协议常见邮
10、件程序(如OutLook系列、Netscape系列)兼容互通。2电子签章在办公和文档管理中,需要将传统印章、署名方法同现代数字署名技术相结合,用电子数据安全来支持用户传统使用习惯,使整个系统含有愈加好易用性,同时又含有完善安全性。这种结合被称为电子签章。在电子签章系统中需要PKI提供数字证书和数字署名服务,并结合智能卡或其它身份识别技术,实现多种常见应用文档编写程序签署插件,并经过OA系统进行公文文档工作流传输。同时伴随Web化办公兴起,迫切需要用户能够安全经过浏览器来传输数据,同时能够验明自己身份,所以需要有能够对网页上用户提交数据进行数字署名和加密能力。3数字水印因为多媒体信息很轻易被未授
11、权用户复制,尤其是图片性文档,所以采取传统密码方法并不能完全处理以上问题,于是大家开始经过永久性数字水印来处理这一难题。数字水印技术是指用信号处理方法在数字化多媒体数据中嵌入隐含标识。数字水印(Digital Watermarking)广泛应用于数字作品版权保护、隐蔽通讯、电子商务等领域。经过在OA系统中应用数字水印技术,对发给不一样用户需要保密图片文档使用该用户印章进行水印加注,以后一旦图片原本泄漏,能够追查图片泄漏起源,进而得到防范和威慑效果。4防拷屏一些秘密文档需要特定人于特定机器才能进行浏览,为了预防用户用拷屏手段复制屏幕上已经解密秘密信息并泄密,需要提供部分辅助软件工具来阻止用户进行
12、拷屏操作。5安全加密文档在办公系统中,一些秘密文档不许可以解密后明文文档方法存在,要求必需在存放时,文档必需是加密。这就需要办公系统中提供部分文档目录加解密用户端工具。这些加解密用户端工具软件能够自动加解密整个文件目录。2.3慧点产品方案中处理安全问题和需求身份认证通常我们在Web应用中使用口令、证书、Kerberos、LDAP等不一样验证方法来认证服务请求者,而且在更高安全级,要需要请求者经过SmartCard或生物指纹技术进行验证。一样服务请求者也需要认证服务提供者。授权/访问控制Web Service很轻易进行访问,所以授权并限制外部对该Web Service访问是相当关键。不仅要能够控
13、制应用/用户能够访问哪些信息,还要控制应用或用户有权实施哪些操作。另外能够对管理权进行委托,以能够管理大型组织结构跨应用访问授权。尤其对于不一样域之间,如B2B场景中,系统间需要能够相互认证并能够交换授权断言。单点登录(Single Sign On)在Web Service环境中,单点登录饰演着很关键角色。在Web Service环境中,各式各样系统间需要相互通讯,但要求每个系统全部维护相互之间访问控制列表是不实际。用户也需要愈加好体验以不需要繁琐数次登录和身份验证来使用一个业务过程中包含到不一样系统。在Web Service单点登录环境下,还包含这么部分系统,它们有着自己认证和授权实现,所以
14、需要处理用户信任状在不一样系统间进行映射问题,而且需要确保一旦一个用户被删除,则该用户将不能访问全部参与系统。SAML是一个将认证和授权信息以XML格式编码标准。一个Web Service所以能够从一个SAML兼容认证和授权服务中请求并收到SAML断言,并据此验证和授权一个服务请求者。SAML能够用来在多个系统间传输信任状,并所以被用于单点登录方案中。数据加密标准安全通信协议,如使用SSL来实现端到端数据加密。可是在Web Service环境很多情形下,一个消息不一样部分可能会被多个Web Service消息中介进行处理,所以需要XML Encryption加密标准来许可对一个消息不一样部分进
15、行加密,同时能够不对路由目标消息头进行加密,以降低敏感加密性能损失。数字署名和预防否认在系统间消息通讯中,尤其是对那些跨越企业或不一样行政单位消息,需要确保消息完整性、防篡改,还要确保该消息确定来自于所期望源。这一切全部能够经过数字署名来实现。XML Signature标准提供了署名XML文档一部分方法,它提供了跨越多个系统端到端数据完整性。同时数字署名和时间戳还能预防对已发生交易否认。重放攻击为了预防网络截听者拦截并拷贝有效消息,尤其是身份验证消息,并在随即时间重放该消息,以取得非法利益情况发生,必需实现两次握手身份验证过程,并确保身份信息数据是机密传输。这么验证过程能够是基于SSL,也能够
16、是自定义。恶意和拒绝服务攻击Web Service是如此轻易进行调用,通常来说Web Service全部是经过HTTP和HTTPS协议进行调用,而大多数防火墙又开放80和443端口以作为标准Web消息通道。防火墙通常不会检验在通道上传输SOAP消息正当性。这就需要Web Service基础设施是稳固可靠,不会因为消息中非法错误数据而出现内部错误,从而拒绝服务,也不会因为不正当超长消息而造成系统资源耗尽而拒绝服务。入侵检测要整理出全部对庞大Web Service方法误用是一个很困难任务。经过安全策略和访问控制管理能够降低对系统非法入侵。要预防系统入侵,需要很好智能化分析手段,并借助于教授系统来帮
17、助检测恶意行为。安全系统管理怎样对在Web Services环境中各个异构系统安全配置进行管理,并能够监控其安全状态是一个需要处理问题。这就需要各个系统能够根据统一系统管理标准进行远程管理并提供系统安全状态信息。三.慧点PKI方案 3.1 PKI介绍PKI是Public Key Infrastructure (公共密钥体系)缩写,是一个使用非对称密钥加密原理和相关技术实现安全基础设施。PKI为组织机构建立和维护一个可信赖安全环境,为应用系统提供对身份认证、数据保密性和完整性、不可否认等特征支持,以满足应用系统对安全性需求。在基于Internet技术电子政务和电子商务场景下,应用系统对安全性需求
18、在技术上最终全部归于以下四个方面:(1)提供用户身份正当性验证机制身份认证(Authentication)是分布式布署信息系统首先面临安全问题。举一个简单例子,当用户B接收到一封来自用户A关键文件,那么用户B首先需要确定是该文件确实是由用户A本人发出,而不是第三者以用户A名义发出,假如这一点无法确保,那么即使能够确定文件本身数据完整性和保密性,也没有任何意义。在分布式布署企业信息系统中,用户交互往往是非面对面,所以提供一个可靠身份认证过程将是讨论一切安全方法前提条件。传统用户名+密码身份认证方法在安全性方面存在多种缺点,应用系统需要采取其它更为有效身份验证机制。(2)确保敏感数据经过公用网络传
19、输时保密性保密性(Confidentiality)需求是指应用系统需要能够确保敏感数据只被特定用户查看。以前面例子为例,用户A需要确保所发出文件内容只有用户B才能查看。很多时候,用户A经过公共网络,比如以电子邮件形式将文件发给用户B,这时,确保文件内容不被第三者查看变得尤为关键。(3)确保数据完整性确保数据完整性(Integrity)就是确定我们所接收到来自某一用户数据是完整和未被篡改。以上面例子为例,用户B除了需要确定该文件确实是由用户A发出以外,还需要确定这封文件在传输过程中没有被有意或无意篡改,即用户B接收到文件和用户A发出文件是完全一致。(4)提供不可否认性支持安全信息系统常常要求实现
20、用户在系统中行为不可否认性(Non-Repudiation)。以前面例子为例,当用户A发出该文件以后,用户A将再不能否认曾经发出该文件这一事实。在需要用户对自己在系统中行为负担责任场所,不可否认性显得很关键。PKI为从技术上实现以上需求提供了原理上确保,我们对此在下一小节中加以简单介绍。3.2非对称密钥加密技术介绍PKI基于非对称密钥加密技术来实现应用系统对身份认证、数据保密性和完整性、不可否认性支持。了解非对称密钥加密技术基础原理是了解PKI为何安全基础前提,也只有在对PKI原理有一定程度了解以后,才能有效布署和实施PKI。在传统加密算法中,接收密文一方使用和加密密钥相同密钥作为解密密钥,这
21、种加密技术所以被称为对称密钥加密技术。对称密钥加密算法本身是很安全,问题出在怎样传输加密所使用密钥上。为了处理这一问题,提出了非对称加密技术。非对称加密在加密时和解密时使用不一样密钥,设为密钥p和q。使用密钥p加密数据必需使用密钥q才能解密,而使用密钥q加密数据必需使用密钥p才能解密。可是从密钥p本身计算出密钥q是不可行。PKI使用了非对称加密技术,其中一个密钥称为私钥,由证书持有者妥善保管,必需严格保密,另一个密钥称为公钥,经过CA公布,无须保密。当用户A需要将数据以加密方法传输给用户B时,用户A使用用户B公钥加密数据,加密后数据必需使用用户B私钥才能解密,所以能够确保数据传输过程保密性。为
22、了验证数据真实性,用户A使用自己私钥对数据哈希值加密,用户B使用用户A公钥对哈希值解密,并和接收到数据哈希值进行对比。因为私钥不在公共网络上传输,所以PKI有很高安全性。CA和RA相互配合,负责PKI系统中数字证书申请、审核、签发和管理。密钥管理中心和IT系统中用户管理中心协同工作,负责PKI中密钥正确生成、备份和恢复。IT系统中应用系统经过安全中间件使用PKI系统提供多种安全服务。PKI中加密服务组件负责驱动系统底层加密软件和硬件。安全中间件为应用系统隔离了PKI系统中复杂技术细节,而加密服务组件实现了PKI系统和来自第三方加密软件和硬件集成能力。PKI系统中能够配置多套加密服务组件,以驱动
23、不一样加软件和硬件。安全中间件和加密服务组件组合方法经过安全策略管理中心配置,而不由应用系统控制,所以确保了PKI方案可扩展能力和可定制能力。3.3.1认证和注册审核机构(CA/RA)认证机构CA是PKI信任基础,它管理公钥整个生命周期,其作用包含签发证书、要求证书使用期和经过公布证书废除列表(CRL)来确保必需时能够废除证书。注册审核机构RA提供用户和CA之间接口,关键完成搜集用户信息和确定用户身份功效。这里指用户,是指将要向认证机构(即CA)申请数字证书用户,能够是个人,也能够是集团或团体、某政府机构等。RA接收用户注册申请,审查用户申请资格,并决定是否同意CA给其签发数字证书。注册机构并
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 解决方案 白皮书 模板
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。