行業解決方案
公安雲密碼應用解決方案
背景
國家政策
2020年1月《中(zhōng)華人民共和國密碼法》正式施行,标志(zhì)着國産密碼算法、國産密碼相關産品應用将成爲政務、軍工(gōng)、金融、醫療等關鍵領域的信息系統安全标配。
雲計算環境的安全要求
雲計算環境面臨傳統安全邊界消逝、虛拟環境數據安全等更加嚴峻的安全挑戰。如多租戶、虛拟化、可遷移等特征容易産生(shēng)安全漏洞,需要合理應用認證、加密等密碼技術确保共享環境内的數據安全性。
建設目标
依托完全自主可控的核心密碼防護技術,從用戶終端、邊界接入與網絡、業務服務端等角度,應用密碼技術進行密碼算法改造,網絡接入安全與用戶終端安全防護、業務應用安全認證等,提供身份識别、安全隔離(lí)、信息保密、完整性保護、抗抵賴性等方面的密碼防護,保證達到密碼合規性、正确性和有效性要求。最終達成以下(xià)目标:
1、建設标準化的密碼服務平台;
2、完善密碼服務模式;
3、統一(yī)密碼服務接口标準;
4、建立健全密碼管理模式。
建設方案
密碼應用技術框架
從終端密碼應用、網絡及接入密碼應用、公安雲平台和公安應用系統密碼應用、運維管理密碼應用等維度進行了針對性和具體(tǐ)化的設計,密碼應用保障框架如下(xià)圖所示:
物(wù)理和環境安全
建設使用自主可控的密碼技術保護的電(diàn)子門禁系統和視頻(pín)系統,7*24小(xiǎo)時安全人員(yuán)值班,加強日常機房進出、系統訪問限制和數據調取審批機制。
網絡和通信安全
采用密碼技術實現通信雙方身份鑒别,保護訪問控制信息的完整性、通信數據的完整性和機密性。
設備和計算安全
采用密碼技術實現登錄用戶的身份鑒别,建立安全通道保護遠程管理通信,保護訪問控制信息、設備中(zhōng)的重要信息資(zī)源安全标記、日志(zhì)記錄及重要可執行程序的完整性。
應用和數據安全
采用密碼技術實現用戶登錄的身份鑒别,保護訪問控制信息完整性,保護重要數據在傳輸和存儲過程中(zhōng)的完整性和機密性,實現抗抵賴保護。
密鑰管理
遵循“分(fēn)層結構,逐層保護”的安全原則,采用三層密鑰保護體(tǐ)系;根據應用的不同進行設計。
密碼應用部署
采用虛拟密碼設備服務層來隔離(lí)上層應用和設備,屏蔽設備差異和密碼邏輯的複雜(zá)性,并提供标準的密碼設備服務供上層應用調用,達到設備無關性。
國家政策
2020年1月《中(zhōng)華人民共和國密碼法》正式施行,标志(zhì)着國産密碼算法、國産密碼相關産品應用将成爲政務、軍工(gōng)、金融、醫療等關鍵領域的信息系統安全标配。
雲計算環境的安全要求
雲計算環境面臨傳統安全邊界消逝、虛拟環境數據安全等更加嚴峻的安全挑戰。如多租戶、虛拟化、可遷移等特征容易産生(shēng)安全漏洞,需要合理應用認證、加密等密碼技術确保共享環境内的數據安全性。
建設目标
依托完全自主可控的核心密碼防護技術,從用戶終端、邊界接入與網絡、業務服務端等角度,應用密碼技術進行密碼算法改造,網絡接入安全與用戶終端安全防護、業務應用安全認證等,提供身份識别、安全隔離(lí)、信息保密、完整性保護、抗抵賴性等方面的密碼防護,保證達到密碼合規性、正确性和有效性要求。最終達成以下(xià)目标:
1、建設标準化的密碼服務平台;
2、完善密碼服務模式;
3、統一(yī)密碼服務接口标準;
4、建立健全密碼管理模式。
建設方案
密碼應用技術框架
從終端密碼應用、網絡及接入密碼應用、公安雲平台和公安應用系統密碼應用、運維管理密碼應用等維度進行了針對性和具體(tǐ)化的設計,密碼應用保障框架如下(xià)圖所示:
物(wù)理和環境安全
建設使用自主可控的密碼技術保護的電(diàn)子門禁系統和視頻(pín)系統,7*24小(xiǎo)時安全人員(yuán)值班,加強日常機房進出、系統訪問限制和數據調取審批機制。
網絡和通信安全
采用密碼技術實現通信雙方身份鑒别,保護訪問控制信息的完整性、通信數據的完整性和機密性。
設備和計算安全
采用密碼技術實現登錄用戶的身份鑒别,建立安全通道保護遠程管理通信,保護訪問控制信息、設備中(zhōng)的重要信息資(zī)源安全标記、日志(zhì)記錄及重要可執行程序的完整性。
應用和數據安全
采用密碼技術實現用戶登錄的身份鑒别,保護訪問控制信息完整性,保護重要數據在傳輸和存儲過程中(zhōng)的完整性和機密性,實現抗抵賴保護。
密鑰管理
遵循“分(fēn)層結構,逐層保護”的安全原則,采用三層密鑰保護體(tǐ)系;根據應用的不同進行設計。
密碼應用部署
采用虛拟密碼設備服務層來隔離(lí)上層應用和設備,屏蔽設備差異和密碼邏輯的複雜(zá)性,并提供标準的密碼設備服務供上層應用調用,達到設備無關性。
