产品展示
摘要:对项目中工作网内的所有应用的访问均通过此安全传输通道来访问,确保通信双方的身份真实性,以及通信过程中数据的完整性和机密性,SSL 网关支持 SM2、SM3、SM4 等商用密码算法
关键词:电子政务,安全接入,国密应用
1.概述
1.1背景
1.2目标
(1) 远程访问接入链路保护
(2) 移动办案应用密码服务
1.3依据
(一) 设计原则
充分利用现有先进、成熟技术和考虑长远发展需求,根据实际需要及投资金额,统一领导、统筹规划、标准化及核心业务重点推进,保证系统建设的完整性和投资的有效性。
(1) 依据标准,规范建设
项目根据国家在密码安全、电子政务领域的相关标准进行建设, 在《GM/T 0054-2018 信息系统密码应用基本要求》的指导下,严格遵循相关法律法规及标准规范,有效实现平台商用密码应用建设系统。加强组织领导,建立统一的工作机制和制度规范,坚持统筹规划、分步实施,逐步构建形成目标一致、方向统一、互联互通、层级衔接的XX省XX工程建设实施体系。
(二) 设计依据
XX省XX工程商用密码应用建设需遵循以下指导意见、业务规范、技术要求等,具体包括:
(1) 密码相关政策、标准法规
✓ 《GM/T 0054-2018 信息系统密码应用基本要求》
✓ 《信息系统密码测评要求(试行)》
✓ 《商用密码应用安全性评估管理办法(试行)》
✓ 《中华人民共和国网络安全法》(2017 年)
(2) 相关政策、法规
✓ 《关于积极推进“互联网+”行动的指导意见》
(政法〔2008〕1 号);
✓ 《国家密钥管理基础设施建设指导意见》(国密局发[2005]4 号);
2.需求分析
2.1合规性需求
根据国家相关要求,需要加强重要领域密码应用,对于新建网络和信息系统,应当采取符合国家密码管理政策和标准规范的密码进行保护,信息系统的密码应用应依据《GM/T 0054-2018 信息系统密码应用基本要求》采取相应保护措施,提升系统的安全防护水平。
在密码使用方面,服务器密码机需采用符合《GM/T0018-2012 密码设备应用接口规范》、《GM/T 0030-2014 服务器密码机技术规范》标准的服务器密码机;USBKEY 也将采用符合《GM/T0027-2014 智能密码钥匙技术规范》的智能钥匙。在采用的密码协议中,如:IPSEC VPN、SSL VPN、认证等协议,具体实现技术机理按照国密《GM/T 0022-2014 IPSEC VPN 技术规范》、《GM/T 0024-2014 SSL VPN技术规范》等标准实现。在整个体系中,按照商密要求,所有算法都是采用符合要求的SM2、SM3、SM4 系列算法。
2.2.1密码应用需求
当前XX省XX工程安全保护等级等管理要求初步定级为三级,按照三级要求进行密码应用改造设计。根据风险控制需求,结合《GM/T 0054-2018 信息系统密码应用基本要求》密码防护需求。
(1)针对系统的整个网络(工作网通信和移动办案通信)安全做相应的保障。针对系统网络通信中的数据进行完整性保护,防止通信信息被篡改。针对系统通信数据进行机密性保护,防止通信数据明文传输。
(2)针对系统的网络通信通道进行加密,防止通信信息被窃听。
3.方案架构
3.1技术架构
XX省XX工程部署于XX本地机房且按等保三级要求进行安全设计。
(1) 办公终端接入
考虑部署用户网络安全接入子系统,实现用户终端远程访问数据中心的加密通信保护,基于 SSL VPN 网关建立一条安全的信息传输通道,在传输过程中主要采用密码技术进行用户的身份认证、用户信息的防截获、防假冒和防重用,同时根据通信数据的敏感程度对字段进行加密。
为了保障系统用户及管理员访问应用系统的通讯安全,目前通用的做法是使用 SSL VPN,建立安全通道,对所有通讯内容进行加密通信保护,如下图所示:
SSL 网关可部署于独立的服务器上,也可使用硬件网关设备,主要完成 SSL 卸载和应用负载均衡功能,SSL 网关支持 SM2、SM3、SM4 等商用密码算法。
(2)移动办案终端接入
移动办案终端使用安全移动通信模块,中心侧使用 IPSec 安全接入网关,建立安全的传输通道,为移动办案系统营造高安全性的办公环境。
在各个受保护的网络间部署建立IP保护系统,提供基于密码技术的节点认证和隧道加密功能,保证节点之间可靠认证,并在IP 层对出入信息进行加解密,防止非法接入、非法窃听和信息篡改, 构造一个安全封闭的网络。
3.2部署说明
在工作网接入(或核心)交换机前端部署 SSL VPN 网关,建立办公终端与服务端的安全加密传输通道,确保网络传输的安全性;添加IPsec安全网关,实现移动终端的数据传输通道加密,即IPsec安全模块与XX省中心节点IPsec 安全网关之间建立加密传输通路,确保数据传输的安全性。
3.3主要功能
办公终端
XX省XX工程的通信安全通过 SSL VPN 建立安全传输通道,对项目中工作网内的所有应用的访问均通过此安全传输通道来访问,确保通信双方的身份真实性,以及通信过程中数据的完整性和机密性。
主要包含用户网络安全接入子系统,根据系统需求,可实现用户终端远程访问数据中心的加密通信保护。
移动办案终端
本方案移动办案终端使用安全移动通信模块,中心侧使用 IPSec安全接入网关,为移动办案系统营造高安全性的办公环境。
3.4技术指标
(1)办公终端
(a) 用户、管理员登陆终端,插入证书,登陆浏览器。
(b) 用户、管理员登陆应用客户端,或直接登陆具体网址, 向网关发起连接请求。
(c) 网关拦截请求,对客户端和网关间多次握手进行认证, 双向认证成功后建立加密通道。
(d) 双向认证成功,应用页面成功打开。
(e) 双向认证失败,页面打开失败。
(2)移动办案终端
具体流程如下:
(f) 用户通过标准处理的笔记本电脑,持证书 Key 发起访问申请;
(g) 中心端的身份认证系统认证用户证书 Key,如为合法用户可允许应用访问;
(h) 系统访问允许后通过远程端的便携式 IPsec 安全网关及中心端的 IPsec 安全网关实现传输加密;
(i) 实现办案系统的访问,实现远程办案。
4.方案特色
本方案从信息安全等级保护出发,融合信息密码保护技术,按照等级保护三级的要求进行密码改造,并结合《GM/T 0054-2018 信息系统密码应用基本要求》密码防护需求,加强重要领域密码应用,对于新建网络和信息系统,应当采取符合国家密码管理政策和标准规范的密码进行保护,做到同步规划、同步建设、同步运行、定期评估。
5.适用领域
需要安全接入,远程接入的办公网络系统密码应用防护需求。
6.产品清单
XX省XX工程按照信息系统密码应用三级
序号 | 名称 | 功能及性能描述 | 数量 (套) | 备注 |
1 | SSL VPN 网关 | 提供远程访问链路安全。 | ||
2 | IPsec 安全网关 | 提供远程访问链路安全。 | ||
3 | 安全移动通信模块 | 内嵌 IPSec VPN 模块。 |
成都博云科技有限公司
联系人:薛晋衔
电 话:18683721060