产品展示
摘要:为保障不动产信息服务平台系统的安全、稳定、高效运行以及各项业务的平稳顺利开展,需建立健全的信息安全系统,确保个人隐私和商业秘密不泄露,保障权利人的权益,消除信息安全死角。根据国家相关要求,需要加强重要领域密码应用,对于新建网络和信息系统,应当采取符合国家密码管理政策和标准规范的密码进行保护,做到同步规划、同步建设、同步运行、定期评估;对于已建网络和信息系统,应当进行密码应用升级改造。
关键词:不动产、电子签章、国密应用
1. 概述
根据不动产统一登记制度实施的总体要求,建立不动产登记信息管理基础平台是不动产登记各项制度落实和信息共享查询的基 础。通过建立不动产登记信息管理基础平台,实现不动产审批、交易和登记信息在有关部门间依法依规互通共享,提供不动产登记信息依法公开查询服务,有利于方便群众办证、提高办证效率、消除"信息孤岛",促进不动产登记信息更加完备、准确、可靠,建立健全社会征信体系,保证不动产交易安全,保护群众合法权益。
2. 需求分析
不动产信息服务平台在信息资源的基础上,提供智慧的网上信息公开服务、网上办事服务,为社会机构和人民群众办事提供实实在在的便利,落实政府"执政为民、服务为民"的根本要求。
根据国家相关要求,需要加强重要领域密码应用,对于新建网络和信息系统,应当采取符合国家密码管理政策和标准规范的密码进行保护,做到同步规划、同步建设、同步运行、定期评估;对于已建网络和信息系统,应当进行密码应用升级改造。要将按照信息系统的密码应用应依据《信息系统密码应用基本要求》(GM/T 0054- 2018)、《中华人民共和国密码法》采取相应保护措施,提升系统的
安全防护水平。
基于不动产信息服务平台面临的安全风险,不动产信息服务平台系统主要具有如下密码安全需求:
1) 使用密码技术对登录的用户进行身份标识和鉴别,保证应用系统用户身份的真实性。
2) 使用密码技术保证业务应用系统访问数据库表访问控制信息、日志记录等信息的完整性。
3) 采用密码技术保证重要数据在传输过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息等。
4) 采用密码技术保证重要数据在存储过程中的机密性和完整性, 包括但不限于鉴别数据、重要业务数据、重要用户信息等。
3. 方案架构
3.1 技术架构
不动产信息服务平台密码应用架构整体设计符合行业信息化发展趋势,同时兼顾了当前业务系统密码应用需求。
不动产信息服务平台密码应用技术体系框架如下图:
如上图所示,在不动产信息服务平台应用密码资源提供服务相应密码应用;应用服务层调用密码资源服务平台数据加密解密服务完成数据存储加解密、完整性保护;应用服务层使用密码资源服务平台SSL 加密解密服务、SSL VPN 服务实现数据传输机密性及完整性保护;应用服务层使用密码资源服务平台电子签章服务、签名验签服务实现数据完整性保护、防抵赖;应用服务层使用密码资源服务平台身份认证服务实现身份鉴别密码应用。
3.2 产品部署图
不动产信息服务平台的主要内容包括应用服务器、数据库、防火墙、SSL 应用安全网关、数字证书认证系统、数字签名验签服务器、SSL VPN 设备、安全互联网关、动态密码服务器、电子签章系统等设备和客户端所使用的安全浏览器组成。防火墙提供互联网的接入和安全的基础防护,通过规则设置将不动产信息 WEB 应用服务器置于可被互联网用户访问,SSL 应用安全网关、SSL VPN 设备与安全浏览器基于国密 SM2/3/4 算法为用户或者机构用户访问不动产信息服务平台网站提供了关键数据传输时的安全防护性和完整性,不动产信息服务平台业务操作员通过使用 USBKey 来实现访问不动产信息服务平台身份认证真实性保障,并且通过 USBKey 可实现关键信息数据及电子证明文件进行签章或者数字签名完整性保障保护,在各部门区不动产中心、自助查询设备、第三方机构之间部署安全互联网关设备来确保双方之间身份鉴别安全认证、数据传输时的安全防护性和完整性。
以下是不动产信息服务平台网络部署架构图。
3.3 主要功能
系统身份鉴别
为系统业务操作员发放数字证书(USBKEY),并结合身份认证系统,实现系统业务操作员登录不动产信息服务平台时的强身份认证,确保操作员身份的真实性,避免非法操作员进入系统。
重要敏感信息传输时完整性及机密性保护
采用国家密码管理部门批准的安全浏览器及 SSL 应用安全网关, 基于SSL 协议对网络通信进行保护,防止不动产信息服务平台的重要数据在传输过程中被非法窃取和篡改。
数据存储机密性及完整性保护
不动产信息服务平台公众用户信息、机构用户信息在对重要数据进行存储的时候通过调用数字签名验签服务器来保证数据的完整性, 同时调用SM4 加密服务保证了数据存储的机密性。
平台日志的存储进行完整性保护
采用国家密码管理部门批准的数字签名验签服务器,对存储平台 日志使用SM2-SM3 签名算法进行签名,实现对平台日志的完整性保护。
平台提供公众电子证明文件完整性
不动产信息服务平台提供给公众用户相关电子证明文件进行盖章将采用电子签章系统对文件进行签名签章,使用 SM2 证书及SM3 密 码 算 法。
3.4 主要技术指标
方案中使用的密码技术应遵循密码相关标准,并采用国家密码主管部门核准的密码产品。
4. 方案特色
数据安全
在身份认证、数字签名、签名验证和电子签章的可视表现,解决了电子业务单证的完整性、公信力、不可否认性,并可对重要数据、电子业务单证进行加密存储,便于责任回溯。
经济、可行
一次性建设,再无其他证书方式逐年续费;本方案产品和方案设计参考国家相关规范文档,合规、可靠、易部署。
安全性
加解密、签名私钥在专用芯片内生成、保存、使用,密钥永不出现在芯片外部,确保密钥的安全性,防止密钥泄露,极大的提高系统的整体安全性。
符合政策要求
此方案参照GM/T 0054-2018 信息系统密码应用基本要求设计, 符合国家密码管理局密码测评要求,并符合《信息安全等级保护商用密码管理办法实施意见》相关要求。
5. 适用领域
本方案主要适用于自然资源行业全国(省级、市级、县级)不动产登记信息服务平台场景。
6. 企业分工
序号 | 产品名称 | 用途 | 部署说明 |
1 | USBKey | 智能密码钥匙为系统管理员提供身份鉴别服务。 | 管理区 |
2 | 安全浏览器 | 与安全接入网关配套使用,提供传输安全防护性、完整性保护。 | 互联网/ 管理区 |
3 | 数字签名验签服务器 | 为系统管理员提供身份鉴别服务,提供日志完整性。 | 应用区 |
4 | 数字证书认证系统 | 由证书签发系统、注册审核系 统、证书状态查询系统、目录服务系统、证书管理系统等组成, 支持国密算法,具有用户注册管理、证书签发、CRL 签发、证书更新、证书状态查询、日志管理等功能。 | 应用区 |
5 | SSL 应用安全网关 | 为不动产信息服务平台提供传输安全防护性、完整性保护。 | DMZ 区 |
序号 | 产品名称 | 用途 | 部署说明 |
6 | 动态密码服务器 | 提供动态密码产生及验证,保证一次一密(强身份认证);最大支持 200 万用户,同时,支持密算法、国际算法。 | 应用区 |
7 | 电子签章系统 | 提供给公众机构、公众用户相关证明文件进行电子签名盖章。 | 应用区 |
8 | SSL VPN 设备 | 建立运维人员网络隧道,提供传输安全防护性、完整性保护,支持国密算法。 | DMZ 区 |
9 | 安全互联网关 | 提供各部门区不动产中心、自助查询设备、第三方机构之间传输安全防护性、完整性保护,支持国密算法。 | 互联网/ 接入区 |
成都信安世纪科技有限公司
联系人:李元刚
电 话:18608006961