吉林省人事厅信息安全系统建设案例

来源：天极网作者：出处：巧巧读书 2006-04-12 进入讨论组

　　同时SSLVPN解决方案更提供了广为业界认同的PKI安全保障体系，可使整个项目的实施维护工作在单点完成，极其简单便捷。后经缜密筛选最终选用了性价比最高的上海宇盟科技的解决方案-SSLBOX + Unic PKI(完整的安全接入控制系统)。系统实施的整体部署图例如下：

　　其中主要通过以下几种手段建立起了完善的信息安全保障体系：

　　数字证书认证

　　考虑到军转系统信息的高度敏感和保密需要，系统未采用传统的用户名/口令+动态附加码方式，而是选取了具有更高安全等级且公认的最安全的基于公钥密码体制的CA数字证书认证机制，并存储在“数字令牌”这种专门的USB存储设备中，只有持有合法证书的用户通过令牌才能够进入到军转系统进行操作，其它的非法用户根本无法访问系统。

　　采用以“数字令牌”为介质的证书身份认证方式，可以实现双因素现さ男枨螅セ髡呷绻朊俺浜戏ㄓ没У纳矸萁胂低常唤鲂枰匀〉接没У氖至钆疲剐枰朗至钆频谋；た诹睿踔亮钆浦惺种な榈牡饔每诹睿庵炙蛩厝现せ拼蟠筇岣吡巳现さ陌踩慷龋彩沟蒙矸菝俺浔涞眉选?/P>

　　安全传输

　　考虑到网络应用系统所面临的安全威胁和风险，有必要在应用数据的传输方面提供专门的安全保护机制，系统采用业界标准的SSL安全通信协议，提供经过身份认证的安全密钥交换、建立加密安全通道、数据机密性和完整性校验等安全保障，保证数据在整个传输过程中都不能被窜改和窃听。SSL通道中使用标准的或指定的加密算法，并提供了不低于128比特的安全强度。

　　访问控制

　　军转系统内部有比较严格的访问控制机制，不同的用户有不同的权限。但是在服务级别上，仍需要更严格的控制，以避免给攻击者试探合法用户身份提供可能。在SSLBox中采用了强制的基于角色的访问控制策略，只让持有数字证书的且已分配有角色权限的合法用户才能够访问到军转系统，任何其它的用户均会被拒绝，无法访问应用系统。而且任何用户均无法绕过SSLBox，直接访问到服务器，从而保证了系统安全控制策略切实有效。

　　同时该方案还为后续的功能升级、应用扩展预留了极大的提升空间。譬如通过其内置的PKI证书系统与数字签名技术结合应用将可以保证网上行为的不可抵赖性，有效防止办公中可能存在的责任推委、扯皮等现象；该系统还支持交叉认证，在底层可与应用系统无缝集成，实现单点认证登录，从而大大简化用户应用不同系统时重复登录用户名和密码的操作过程；同时还可以支持多应用系统，既SSLBox同时还可以为省厅内的其它应用系统提供安全保障。

　　尽管整套安全系统的实施涉及到全省近70个地市、上百家省内大中型企业，但通过省厅信息中心及厂家技术骨干的联合高效运作，项目启动后从设备调试安装、系统使用培训到正式上线运转仅用了不到一周的时间，其中设备的安装调试更是只占用了一个工作日。这是传统VPN技术实施此类项目根本无法想象的。宇盟科技SSLBox“单点”简单部署、“无限”安全接入的特性发挥的淋漓尽致，通过SSLBox的实施，吉林省人事厅不但以较底的总拥有成本为军转信息系统的全面、准确、及时的实施提供了坚实的安全保障，保护了国家的信息资产，更大大的提供了相关部门的工作效率，降低了项目实施风险。(完)