行業安全 行業安全 密碼産品 密碼産品
密碼産品

信息系統等保合規密碼應用解決方案

實際應用案例

該方案成功應用于多家等保改造建設項目中,協助客戶完成了GM/T 0054規定的信息系統密碼應用基本要求的各項改造。

 

需求分析(業務痛點)

1.   信息系統如何滿足等級保護安全合規要求;

2.   信息系統如何滿足0054密碼應用技術要求;

3.   信息系統如何通過密碼技術和産品的應用,提升系統安全性;

4.   信息系統如何通過密碼建設,順利通過密碼測評。

 

解決方案(框架及描述)

 



要求内容

解決方案

密碼技術應用安全

物理和環境安全

使用密碼技術的真實性功能來保護物理訪問控制身份鑒别信息,保證重要區域進入人員身份的真實性

手機雲盾

使用密碼技術的完整性功能來保證電子門禁系統進出記錄的完整性

密碼機

使用密碼技術的完整性功能來保證視頻監控音像記錄的完整性

密碼機

采用符合GM/T 0028标準的二級及以上的密碼模塊或通過國家密碼管理部門核準的硬件密碼産品實現密碼運算和密鑰管理

密碼機

采用符合GM/T 0028标準的三級及以上的密碼模塊或通過國家密碼管理部門核準的硬件密碼産品實現密碼運算和密鑰管理

密碼機

網絡和通信安全

在通信前基于密碼技術進行身份認證,使用密碼技術的機密性和真實性功能來實現防截獲、防假冒和防重用,保證傳輸過程中鑒别信息的機密性和網絡設備實體身份的真實性

手機雲盾

在通信前基于密碼技術對通信雙方進行身份認證,使用密碼技術的機密性和真實性功能來實現防截獲、防假冒和防重用,保證傳輸過程中鑒别信息的機密性和網絡設備實體身份的真實性

TASSL+密碼機

使用密碼技術的完整性功能來保證網絡邊界和系統資源訪問控制信息的完整性

TASSL+密碼機

采用密碼技術保證通訊過程中數據的完整性

TASSL+密碼機

采用密碼技術保證通訊過程中敏感信息數據字段或整個報文的機密性

TASSL+密碼機

采用密碼技術建立一條安全的信息傳輸通道,對網絡中的安全設備或安全組件進行集中管理

TASSL+密碼機

采用符合GM/T 0028的二級及以上密碼模塊或通過國家密碼管理部門核準的硬件密碼産品實現密碼運算和密鑰管理

TASSL+密碼機

采用符合GM/T 0028的三級及以上密碼模塊或通過國家密碼管理部門核準的硬件密碼産品實現密碼運算和密鑰管理

TASSL+密碼機

設備和計算安全

使用密碼技術對登錄的用戶進行身份标識和鑒别,身份标識具有唯一性,身份鑒别信息具有複雜度要求并定期更換,使用密碼技術的真實性功能來實現鑒别信息的防假冒

手機雲盾

使用密碼技術對登錄的用戶進行身份标識和鑒别,身份标識具有唯一性,身份鑒别信息具有複雜度要求并定期更換

手機雲盾

在遠程管理時,應使用密碼技術的機密性功能來實現鑒别信息的防竊聽

企業級密鑰管理系統+密碼機

使用密碼技術的完整性功能來保證系統資源訪問控制信息的完整性

企業級密鑰管理系統+密碼機

使用密碼技術的完整性功能來保證重要信息資源敏感标記的完整性

企業級密鑰管理系統+密碼機

采用可信計算技術建立從系統到應用的信任鍊,實現系統運行過程中重要程序或文件完整性保護

企業級密鑰管理系統+密碼機

使用密碼技術的完整性功能來對日志記錄進行完整性保護

企業級密鑰管理系統+密碼機

采用符合GM/T 0028的二級及以上密碼模塊或通過國家密碼管理部門核準的硬件密碼産品實現密碼運算和密鑰管理

密碼機

采用符合GM/T 0028的三級及以上密碼模塊或通過國家密碼管理部門核準的硬件密碼産品實現密碼運算和密鑰管理

密碼機

應用和數據安全

使用密碼技術對登錄的用戶進行身份标識和鑒别,實現身份鑒别信息的防截獲、防假冒和防重用,保證應用系統用戶身份的真實性

手機雲盾

使用密碼技術的完整性功能來保證業務應用系統訪問控制策略、數據庫表訪問控制信息和重要信息資源敏感标記等信息的完整性

企業級密鑰管理系統+密碼機

采用密碼技術保證重要數據在傳輸過程中的機密性,包括但不限于鑒别數據、重要業務數據和重要用戶信息等

企業級密鑰管理系統+密碼機

采用密碼技術保證重要數據在存儲過程中的機密性,包括但不限于鑒别數據、重要業務數據和重要用戶信息等

企業級密鑰管理系統+密碼機

采用密碼技術保證重要數據在傳輸過程中的完整性,包括但不限于鑒别數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要用戶信息等

企業級密鑰管理系統+密碼機

采用密碼技術保證重要數據在存儲過程中的完整性,包括但不限于鑒别數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要用戶信息、重要可執行程序等

企業級密鑰管理系統+密碼機

使用密碼技術的完整性功能來實現對日志記錄完整性的保護

企業級密鑰管理系統+密碼機

采用密碼技術對重要應用程序的加載和卸載進行安全控制

企業級密鑰管理系統+密碼機

在可能涉及法律責任認定的應用中,應采用密碼技術提供數據原發證據和數據接收證據,實現數據原發行為的不可否認性和數據接收行為的不可否認性

企業級密鑰管理系統+密碼機、簽名驗簽服務器

采用符合GM/T 0028的二級及以上密碼模塊或通過國家密碼管理部門核準的硬件密碼産品實現密碼運算和密鑰管理

密碼機

采用符合GM/T 0028的三級及以上密碼模塊或通過國家密碼管理部門核準的硬件密碼産品實現密碼運算和密鑰管理

密碼機

密鑰管理

密鑰管理

生成

密碼機

存儲

分發

導入與導出

使用

備份與恢複

密鑰歸檔

密鑰銷毀

 

 



要求内容

解決方案

密碼技術應用安全

物理和環境安全

使用密碼技術的真實性功能來保護物理訪問控制身份鑒别信息,保證重要區域進入人員身份的真實性

手機雲盾

使用密碼技術的完整性功能來保證電子門禁系統進出記錄的完整性

密碼機

使用密碼技術的完整性功能來保證視頻監控音像記錄的完整性

密碼機

采用符合GM/T 0028标準的二級及以上的密碼模塊或通過國家密碼管理部門核準的硬件密碼産品實現密碼運算和密鑰管理

密碼機

采用符合GM/T 0028标準的三級及以上的密碼模塊或通過國家密碼管理部門核準的硬件密碼産品實現密碼運算和密鑰管理

密碼機

網絡和通信安全

在通信前基于密碼技術進行身份認證,使用密碼技術的機密性和真實性功能來實現防截獲、防假冒和防重用,保證傳輸過程中鑒别信息的機密性和網絡設備實體身份的真實性

手機雲盾

在通信前基于密碼技術對通信雙方進行身份認證,使用密碼技術的機密性和真實性功能來實現防截獲、防假冒和防重用,保證傳輸過程中鑒别信息的機密性和網絡設備實體身份的真實性

TASSL+密碼機

使用密碼技術的完整性功能來保證網絡邊界和系統資源訪問控制信息的完整性

TASSL+密碼機

采用密碼技術保證通訊過程中數據的完整性

TASSL+密碼機

采用密碼技術保證通訊過程中敏感信息數據字段或整個報文的機密性

TASSL+密碼機

采用密碼技術建立一條安全的信息傳輸通道,對網絡中的安全設備或安全組件進行集中管理

TASSL+密碼機

采用符合GM/T 0028的二級及以上密碼模塊或通過國家密碼管理部門核準的硬件密碼産品實現密碼運算和密鑰管理

TASSL+密碼機

采用符合GM/T 0028的三級及以上密碼模塊或通過國家密碼管理部門核準的硬件密碼産品實現密碼運算和密鑰管理

TASSL+密碼機

設備和計算安全

使用密碼技術對登錄的用戶進行身份标識和鑒别,身份标識具有唯一性,身份鑒别信息具有複雜度要求并定期更換,使用密碼技術的真實性功能來實現鑒别信息的防假冒

手機雲盾

使用密碼技術對登錄的用戶進行身份标識和鑒别,身份标識具有唯一性,身份鑒别信息具有複雜度要求并定期更換

手機雲盾

在遠程管理時,應使用密碼技術的機密性功能來實現鑒别信息的防竊聽

企業級密鑰管理系統+密碼機

使用密碼技術的完整性功能來保證系統資源訪問控制信息的完整性

企業級密鑰管理系統+密碼機

使用密碼技術的完整性功能來保證重要信息資源敏感标記的完整性

企業級密鑰管理系統+密碼機

采用可信計算技術建立從系統到應用的信任鍊,實現系統運行過程中重要程序或文件完整性保護

企業級密鑰管理系統+密碼機

使用密碼技術的完整性功能來對日志記錄進行完整性保護

企業級密鑰管理系統+密碼機

采用符合GM/T 0028的二級及以上密碼模塊或通過國家密碼管理部門核準的硬件密碼産品實現密碼運算和密鑰管理

密碼機

采用符合GM/T 0028的三級及以上密碼模塊或通過國家密碼管理部門核準的硬件密碼産品實現密碼運算和密鑰管理

密碼機

應用和數據安全

使用密碼技術對登錄的用戶進行身份标識和鑒别,實現身份鑒别信息的防截獲、防假冒和防重用,保證應用系統用戶身份的真實性

手機雲盾

使用密碼技術的完整性功能來保證業務應用系統訪問控制策略、數據庫表訪問控制信息和重要信息資源敏感标記等信息的完整性

企業級密鑰管理系統+密碼機

采用密碼技術保證重要數據在傳輸過程中的機密性,包括但不限于鑒别數據、重要業務數據和重要用戶信息等

企業級密鑰管理系統+密碼機

采用密碼技術保證重要數據在存儲過程中的機密性,包括但不限于鑒别數據、重要業務數據和重要用戶信息等

企業級密鑰管理系統+密碼機

采用密碼技術保證重要數據在傳輸過程中的完整性,包括但不限于鑒别數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要用戶信息等

企業級密鑰管理系統+密碼機

采用密碼技術保證重要數據在存儲過程中的完整性,包括但不限于鑒别數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要用戶信息、重要可執行程序等

企業級密鑰管理系統+密碼機

使用密碼技術的完整性功能來實現對日志記錄完整性的保護

企業級密鑰管理系統+密碼機

采用密碼技術對重要應用程序的加載和卸載進行安全控制

企業級密鑰管理系統+密碼機

在可能涉及法律責任認定的應用中,應采用密碼技術提供數據原發證據和數據接收證據,實現數據原發行為的不可否認性和數據接收行為的不可否認性

企業級密鑰管理系統+密碼機、簽名驗簽服務器

采用符合GM/T 0028的二級及以上密碼模塊或通過國家密碼管理部門核準的硬件密碼産品實現密碼運算和密鑰管理

密碼機

采用符合GM/T 0028的三級及以上密碼模塊或通過國家密碼管理部門核準的硬件密碼産品實現密碼運算和密鑰管理

密碼機

密鑰管理

密鑰管理

生成

密碼機

存儲

分發

導入與導出

使用

備份與恢複

密鑰歸檔

密鑰銷毀

 




應用效果(解決了哪些問題)

1.   按照等保要求進行系統的密碼建設;

2.   按照0054信息系統密碼技術應用要求進行系統的密碼建設;

3.   企業級密鑰管理系統結合密碼機進行密鑰生命周期管理;

4.   多種類型的密碼産品應用在不同的場景需求下,加強系統的安全性。

 

配置清單(需要使用哪些産品)

産品名稱

産品型号

功能

企業級密鑰管理系統

EKMS

敏感數據加密、多因素認證等等

金融數據密碼機

SJJ1310

配合企業級密鑰管理系統進行密鑰安全存儲和密碼運算

服務器密碼機

SJJ1507

提供安全的密鑰管理服務,提供高性能的、多任務并行處理的數據簽名/驗簽、數據加密/解密等密碼運算服務

簽名驗證服務器

SRJ1303

通過數字簽名、數字信封、數字摘要、時間戳等密碼技術手段,保障用戶數據的完整性、機密性、抗抵賴性和事後追溯性

雲服務器密碼機

SJJ1528

采用虛拟化等雲技術,實現雲化的密碼服務

手機雲盾

SHT1811、SHM1806

雲+端SM2協同計算、移動終端密鑰保護、手機掃碼簽名、多因素認證

注:具體軟硬件産品數量和配置需要根據實際業務性能、部署要求和高可用要求來确定。

 

适用場景(可以推廣應用到哪些場景)

1、  手機雲盾身份認證

 1.png

                                               圖 手機雲盾身份認證架構

l  密鑰因子在手機和雲密碼機端各自獨立生成,雲端合成公鑰各自安全保存自己的密鑰因子,任何人沒有完整私鑰。

l  密鑰的使用時,手機和雲端各自計算,密文結果計算形成簽名值。計算過程中,各自使用自己的密鑰因子計算,私鑰不會出現在任何一端。

 

2、  安全認證網關通訊保護

 

2.png

安全認證網關串聯模式

3.png

安全認證網關并聯模式

l  産品遵循國密局相關規範,并對RSA(1024~4096)和SM2算法标準同時提供支持,以及對稱加密算法、雜湊算法等。

l  能夠在各種複雜網絡環境下适應用戶需求,而不受傳統網絡限制。

l  系統可以将用戶的證書信息傳送給後台應用,使應用無需證書接口開發就可以方便的獲取用戶證書信息。

l  獨特的SSL Session Cache技術可以實現特定環境下的負載均衡。

l  身份認證網關除了能夠保障B/S類應用外也提供了解決通用C/S應用安全加固的方法。

l  網關提供網絡連接訪問方式,可以承載任何基于IP的應用。

l  實現在網絡連接基礎上的訪問控制,可以根據角色來實現對不同用戶訪問不同服務的控制。

l  支持對任意多線路同時進行負載均衡和線路選擇。

l  系統審計:實現對系統管理員的操作審計,和終端用戶的應用訪問的統計。

 

3、  敏感數據加密保護

44.png

基于直連硬件密碼機的敏感數據加密模式

 

l  數據在數據庫存儲時通過VSM加密後存儲,保證數據的機密性;

l  數據在數據庫存儲時通過VSM進行完整性校驗,保證數據的完整性;

l  加密密鑰采用VSM生成和管理,保證了加密密鑰的安全性。

 

更多應用場景:政務、電商、門戶、WEB站點等各類需要密碼支撐完成等保建設的信息系統。


Copyright @ 2005-2013, 北京江南天安科技有限公司, All Rights Reserved  京ICP備08012318号  技術支持博樂虎科技