行业安全 行业安全 密码产品 密码产品
密码产品

信息系统等保合规密码应用解决方案

实际应用案例

该方案成功应用于多家等保改造建设项目中,协助客户完成了GM/T 0054规定的信息系统密码应用基本要求的各项改造。

 

需求分析(业务痛点)

1.   信息系统如何满足等级保护安全合规要求;

2.   信息系统如何满足0054密码应用技术要求;

3.   信息系统如何通过密码技术和产品的应用,提升系统安全性;

4.   信息系统如何通过密码建设,顺利通过密码测评。

 

解决方案(框架及描述)

 



要求内容

解决方案

密码技术应用安全

物理和环境安全

使用密码技术的真实性功能来保护物理访问控制身份鉴别信息,保证重要区域进入人员身份的真实性

手机云盾

使用密码技术的完整性功能来保证电子门禁系统进出记录的完整性

密码机

使用密码技术的完整性功能来保证视频监控音像记录的完整性

密码机

采用符合GM/T 0028标准的二级及以上的密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理

密码机

采用符合GM/T 0028标准的三级及以上的密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理

密码机

网络和通信安全

在通信前基于密码技术进行身份认证,使用密码技术的机密性和真实性功能来实现防截获、防假冒和防重用,保证传输过程中鉴别信息的机密性和网络设备实体身份的真实性

手机云盾

在通信前基于密码技术对通信双方进行身份认证,使用密码技术的机密性和真实性功能来实现防截获、防假冒和防重用,保证传输过程中鉴别信息的机密性和网络设备实体身份的真实性

TASSL+密码机

使用密码技术的完整性功能来保证网络边界和系统资源访问控制信息的完整性

TASSL+密码机

采用密码技术保证通讯过程中数据的完整性

TASSL+密码机

采用密码技术保证通讯过程中敏感信息数据字段或整个报文的机密性

TASSL+密码机

采用密码技术建立一条安全的信息传输通道,对网络中的安全设备或安全组件进行集中管理

TASSL+密码机

采用符合GM/T 0028的二级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理

TASSL+密码机

采用符合GM/T 0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理

TASSL+密码机

设备和计算安全

使用密码技术对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换,使用密码技术的真实性功能来实现鉴别信息的防假冒

手机云盾

使用密码技术对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换

手机云盾

在远程管理时,应使用密码技术的机密性功能来实现鉴别信息的防窃听

企业级密钥管理系统+密码机

使用密码技术的完整性功能来保证系统资源访问控制信息的完整性

企业级密钥管理系统+密码机

使用密码技术的完整性功能来保证重要信息资源敏感标记的完整性

企业级密钥管理系统+密码机

采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性保护

企业级密钥管理系统+密码机

使用密码技术的完整性功能来对日志记录进行完整性保护

企业级密钥管理系统+密码机

采用符合GM/T 0028的二级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理

密码机

采用符合GM/T 0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理

密码机

应用和数据安全

使用密码技术对登录的用户进行身份标识和鉴别,实现身份鉴别信息的防截获、防假冒和防重用,保证应用系统用户身份的真实性

手机云盾

使用密码技术的完整性功能来保证业务应用系统访问控制策略、数据库表访问控制信息和重要信息资源敏感标记等信息的完整性

企业级密钥管理系统+密码机

采用密码技术保证重要数据在传输过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息等

企业级密钥管理系统+密码机

采用密码技术保证重要数据在存储过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息等

企业级密钥管理系统+密码机

采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息等

企业级密钥管理系统+密码机

采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息、重要可执行程序等

企业级密钥管理系统+密码机

使用密码技术的完整性功能来实现对日志记录完整性的保护

企业级密钥管理系统+密码机

采用密码技术对重要应用程序的加载和卸载进行安全控制

企业级密钥管理系统+密码机

在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性

企业级密钥管理系统+密码机、签名验签服务器

采用符合GM/T 0028的二级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理

密码机

采用符合GM/T 0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理

密码机

密钥管理

密钥管理

生成

密码机

存储

分发

导入与导出

使用

备份与恢复

密钥归档

密钥销毁

 

 



要求内容

解决方案

密码技术应用安全

物理和环境安全

使用密码技术的真实性功能来保护物理访问控制身份鉴别信息,保证重要区域进入人员身份的真实性

手机云盾

使用密码技术的完整性功能来保证电子门禁系统进出记录的完整性

密码机

使用密码技术的完整性功能来保证视频监控音像记录的完整性

密码机

采用符合GM/T 0028标准的二级及以上的密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理

密码机

采用符合GM/T 0028标准的三级及以上的密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理

密码机

网络和通信安全

在通信前基于密码技术进行身份认证,使用密码技术的机密性和真实性功能来实现防截获、防假冒和防重用,保证传输过程中鉴别信息的机密性和网络设备实体身份的真实性

手机云盾

在通信前基于密码技术对通信双方进行身份认证,使用密码技术的机密性和真实性功能来实现防截获、防假冒和防重用,保证传输过程中鉴别信息的机密性和网络设备实体身份的真实性

TASSL+密码机

使用密码技术的完整性功能来保证网络边界和系统资源访问控制信息的完整性

TASSL+密码机

采用密码技术保证通讯过程中数据的完整性

TASSL+密码机

采用密码技术保证通讯过程中敏感信息数据字段或整个报文的机密性

TASSL+密码机

采用密码技术建立一条安全的信息传输通道,对网络中的安全设备或安全组件进行集中管理

TASSL+密码机

采用符合GM/T 0028的二级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理

TASSL+密码机

采用符合GM/T 0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理

TASSL+密码机

设备和计算安全

使用密码技术对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换,使用密码技术的真实性功能来实现鉴别信息的防假冒

手机云盾

使用密码技术对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换

手机云盾

在远程管理时,应使用密码技术的机密性功能来实现鉴别信息的防窃听

企业级密钥管理系统+密码机

使用密码技术的完整性功能来保证系统资源访问控制信息的完整性

企业级密钥管理系统+密码机

使用密码技术的完整性功能来保证重要信息资源敏感标记的完整性

企业级密钥管理系统+密码机

采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性保护

企业级密钥管理系统+密码机

使用密码技术的完整性功能来对日志记录进行完整性保护

企业级密钥管理系统+密码机

采用符合GM/T 0028的二级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理

密码机

采用符合GM/T 0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理

密码机

应用和数据安全

使用密码技术对登录的用户进行身份标识和鉴别,实现身份鉴别信息的防截获、防假冒和防重用,保证应用系统用户身份的真实性

手机云盾

使用密码技术的完整性功能来保证业务应用系统访问控制策略、数据库表访问控制信息和重要信息资源敏感标记等信息的完整性

企业级密钥管理系统+密码机

采用密码技术保证重要数据在传输过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息等

企业级密钥管理系统+密码机

采用密码技术保证重要数据在存储过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息等

企业级密钥管理系统+密码机

采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息等

企业级密钥管理系统+密码机

采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息、重要可执行程序等

企业级密钥管理系统+密码机

使用密码技术的完整性功能来实现对日志记录完整性的保护

企业级密钥管理系统+密码机

采用密码技术对重要应用程序的加载和卸载进行安全控制

企业级密钥管理系统+密码机

在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性

企业级密钥管理系统+密码机、签名验签服务器

采用符合GM/T 0028的二级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理

密码机

采用符合GM/T 0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理

密码机

密钥管理

密钥管理

生成

密码机

存储

分发

导入与导出

使用

备份与恢复

密钥归档

密钥销毁

 




应用效果(解决了哪些问题)

1.   按照等保要求进行系统的密码建设;

2.   按照0054信息系统密码技术应用要求进行系统的密码建设;

3.   企业级密钥管理系统结合密码机进行密钥生命周期管理;

4.   多种类型的密码产品应用在不同的场景需求下,加强系统的安全性。

 

配置清单(需要使用哪些产品)

产品名称

产品型号

功能

企业级密钥管理系统

EKMS

敏感数据加密、多因素认证等等

金融数据密码机

SJJ1310

配合企业级密钥管理系统进行密钥安全存储和密码运算

服务器密码机

SJJ1507

提供安全的密钥管理服务,提供高性能的、多任务并行处理的数据签名/验签、数据加密/解密等密码运算服务

签名验证服务器

SRJ1303

通过数字签名、数字信封、数字摘要、时间戳等密码技术手段,保障用户数据的完整性、机密性、抗抵赖性和事后追溯性

云服务器密码机

SJJ1528

采用虚拟化等云技术,实现云化的密码服务

手机云盾

SHT1811、SHM1806

云+端SM2协同计算、移动终端密钥保护、手机扫码签名、多因素认证

注:具体软硬件产品数量和配置需要根据实际业务性能、部署要求和高可用要求来确定。

 

适用场景(可以推广应用到哪些场景)

1、  手机云盾身份认证

 1.png

                                               图 手机云盾身份认证架构

l  密钥因子在手机和云密码机端各自独立生成,云端合成公钥各自安全保存自己的密钥因子,任何人没有完整私钥。

l  密钥的使用时,手机和云端各自计算,密文结果计算形成签名值。计算过程中,各自使用自己的密钥因子计算,私钥不会出现在任何一端。

 

2、  安全认证网关通讯保护

 

2.png

安全认证网关串联模式

3.png

安全认证网关并联模式

l  产品遵循国密局相关规范,并对RSA(1024~4096)和SM2算法标准同时提供支持,以及对称加密算法、杂凑算法等。

l  能够在各种复杂网络环境下适应用户需求,而不受传统网络限制。

l  系统可以将用户的证书信息传送给后台应用,使应用无需证书接口开发就可以方便的获取用户证书信息。

l  独特的SSL Session Cache技术可以实现特定环境下的负载均衡。

l  身份认证网关除了能够保障B/S类应用外也提供了解决通用C/S应用安全加固的方法。

l  网关提供网络连接访问方式,可以承载任何基于IP的应用。

l  实现在网络连接基础上的访问控制,可以根据角色来实现对不同用户访问不同服务的控制。

l  支持对任意多线路同时进行负载均衡和线路选择。

l  系统审计:实现对系统管理员的操作审计,和终端用户的应用访问的统计。

 

3、  敏感数据加密保护

44.png

基于直连硬件密码机的敏感数据加密模式

 

l  数据在数据库存储时通过VSM加密后存储,保证数据的机密性;

l  数据在数据库存储时通过VSM进行完整性校验,保证数据的完整性;

l  加密密钥采用VSM生成和管理,保证了加密密钥的安全性。

 

更多应用场景:政务、电商、门户、WEB站点等各类需要密码支撑完成等保建设的信息系统。


Copyright @ 2005-2013, 北京江南天安科技有限公司, All Rights Reserved  京ICP备08012318号  技术支持博乐虎科技