欢迎来到天天文库
浏览记录
ID:45709348
大小:675.96 KB
页数:12页
时间:2019-11-16
《证券交易所证券商之间法律关系性质研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、1.天融信证件管理系统解决方案编者按作为国家信息安全建设的基本要求和方法,等级保护的相关政策和标准日益成熟。近期,公安部已陆续发布了基于等级保护建设思想的整改办法和建设依据,以及衡量等级保护建设成果的基本要求和等级保护建设过程的实施指南,还有等级保护方案设计所参考的设计技术要求等。本文以设计技术要求和基本要求为主要参考对象,根据一个特定的案例-证件管理系统,以“一个中心下的三重防护”为目标,以整合为手段,进行了全面的规划,形成了相关的技术解决方案。信息安全等级保护是实施国家信息安全战略的重大举措,也是我国建立信息安全保障体系的基本制度。作为国家信息安全保障体系建设的重要依据,在实
2、行安全防护系统建设的过程中,应当按照等级保护的思想和基本要求进行建设,本方案根据《信息安全技术信息系统等级保护安全设计技术要求》和《信息安全技术信息系统等级保护基本要求》,结合天融信在等级保护试点的建设经验,根据分级、分域、分系统进行安全建设的思路,针对一个特定的信息系统-证件管理系统为例,提出全面的等级保护技术建设方案,希望能够为用户的等级保护建设提出参考。方案背景证件管理系统是用户建设和运营期间,证件管理工作的业务管理支撑系统。证件管理系统和与之协同工作的证件查验终端系统、证件制作系统组成了用户证件管理的工作平台。管理系统平台整体框架结构可参考下图:证件管理系统整体框架示意图
3、根据证件业务的结构关系和业务流程,支撑证件管理系统的网络环境从总体上可分为相关子系统部分、证件管理系统部门以及背景审查系统部门,其网络环境表示如下:证件管理系统网络环境示意图安全需求目前,证件管理系统已经完成定级备案工作,在定级阶段中对该系统受到安全威胁或破坏时所影响到的客体,及对客体影响程度的分析,最终确定证件管理系统的安全性等级为三级,且对应等级保护要求选择措施为:S3A3G3设计思路根据《信息安全技术信息系统等级保护安全设计技术要求》,对系统进行安全防护系统规划的过程中,必须按照分级、分域的办法进行规划和设计,要划分具体的安全计算环境、安全区域边界、安全通信网络,并根据系统
4、的等级来确定不同环节的保护等级,同时通过集中的安全管理中心,实现对计算环境、区域边界、通信网络实施集中的管理,并确保上述环节执行统一的安全防护策略。针对证件管理系统,确认的保护对象以及分区、分域的划分方式如下:证件管理系统区域划分示意图划分内容汇总如下:类型划分内容保护强度计算环境证件管理系统区域证件管理应用服务器区域三级安全计算环境证件管理数据库服务器区域三级安全计算环境证件数据交换内部区域三级安全计算环境证件管理业务终端区域终端安全计算环境证件数据交换外部区域三级安全计算环境证件受理终端区域终端安全计算环境区域边界证件管理系统区域边界证件管理应用服务器区域边界三级安全区域边界
5、证件管理数据库服务器区域边界三级安全区域边界证件数据交换内部区域对内边界三级安全区域边界证件数据交换内部区域对外边界三级安全区域边界证件管理业务终端区域边界终端安全区域边界证件数据交换外部区域对内边界三级安全区域边界证件数据交换外部区域对外边界三级安全区域边界证件受理终端区域边界终端安全区域边界通信网络相关子系统的广域网通信网络三级安全通信网络证件管理系统区域的内部通信网络三级安全通信网络安全数据交换平台的内部通信网络三级安全通信网络安全数据交换平台与公安专网之间的通信网络三级安全通信网络方案设计本方案针对证件管理系统,严格参考了《信息安全技术信息系统等级保护安全设计技术要求》和
6、《信息安全技术信息系统等级保护基本要求》,根据分级、分域的原则,进行了安全保障体系的建设与规划,从保护计算环境、保护区域边界、保护通信网络以及搭建集中的安全管理中心,使安全保障体系全面保障证件管理系统的正常、安全运行,并通过引入PKI/CA认证平台,以及建立应急响应预案,进一步提升系统的可靠性和应用安全性。根据区域划分的原则,对证件管理系统划分为6个计算环境、8个区域边界以及4个通信网络,并且考虑到证件管理系统定级为三级,并且保护等级按照“A3S3G3”的标准来进行防护,除终端系统以外,其余环节均按照三级要求进行设计,形成如下图所描述的整体建设方案(简化版)。证件管理系统安全防护
7、总体示意图部署措施Ø保护计算环境n针对三级计算环境的证件管理应用服务器、证件管理数据库服务器、安全数据交换服务器,采用安全操作系统,从而全面提升了操作系统的安全性,在身份认证、标记与强制访问控制、用户文件机密性/完整性保护、剩余信息保护实现有效的防护,弥补了商用操作系统在强访问控制、用户文件机密性/完整性保护、客体重用控制方面的不足。n也可采用操作系统核心加固系统,来弥补商用操作系统的不足,核心加固系统也能够实现包括双因素身份认证、标记与强制访问控制、客体重用控制等方面的内容;n
此文档下载收益归作者所有