PAGE河南省數字證書有限公司&河南省數字證書認證中心河南CA信息安全解決方案河南省數字證書認證中心一、身份鑒別（一）、基本要求1、應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；2、應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；3、應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據安全策略配置相關參數。4、應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統中不存在重復用戶身份標識，身份鑒別信息不易被冒用；5、應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別；（二）、實現方式通過部署PKI/CA與應用系統相結合實現該項技術要求。（三）、部署方式詳細部署方式參見應用安全支撐系統系統設計。二、訪問控制（一）、基本要求1、應提供訪問控制功能控制用戶組/用戶對系統功能和用戶數據的訪問；2、應由授權主體配置訪問控制策略，并嚴格限制默認用戶的訪問權限。3、應提供訪問控制功能，依據安全策略控制用戶對文件、數據庫表等客體的訪問；4、訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；5、應授予不同賬戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系。6、應具有對重要信息資源設置敏感標記的功能；7、應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；（二）、實現方式通過部署PKI/CA與應用系統相結合實現該項技術要求。圖表SEQ圖表\*ARABIC2可信網站應用結構示意網站向權威的證書中心申請站點證書后便可以采用https方式進行訪問，用戶在瀏覽器中通過驗證站點證書來判別網站的真實性。應用遠程訪問（B/S、C/S）安全設計基于安全認證網關的應用遠程訪問，實現安全的身份認證及數據安全傳輸。對于B/S應用系統，瀏覽器自帶SSL模塊，因此只需要在服務端部署安全認證網關，而對于C/S應用系統，則必須在客戶端與服務端同時部署安全認證網關及相應的客戶端安全接口，為了使C/S應用也能夠真正獲取用戶證書信息，客戶端還需要部署簽名模塊，服務端部署簽名驗證模塊。對應用系統進行防護后的系統結構如下：圖表SEQ圖表\*ARABIC3應用遠程訪問用結構示意經過安全防護的B/S應用訪問流程如下：用戶使用瀏覽器訪問應用系統。安全認證網關要求用戶提交用戶數字證書。用戶登錄USBKEY提交個人證書。安全認證網關驗證用戶證書，包括證書自身有效性，信任證書鏈，黑名單。驗證通過后，安全認證網關將請求發送給真正應用服務器，并將用戶證書信息添加到HTTP請求中。應用服務器從HTTP請求中獲取用戶的身份，進行訪問控制并為用戶提供服務。經過安全防護的C/S應用訪問流程如下：客戶端向服務端發起連接請求。安全認證網關要求用戶提交用戶數字證書。用戶登錄USBKEY提交個人證書。安全認證網關驗證用戶證書，包括證書自身有效性，信任證書鏈，黑名單。驗證通過后，安全認證網關將請求發送給真正應用服務器。服務端返回此會話的特征數據。客戶端調用簽名控件，使用用戶私鑰對此數據進行簽名，并將簽名后的數據和證書發送給服務端。服務端接收后，將特征數據、用戶證書以及用戶簽名后的特征數據一起傳送給簽名驗證模塊請求驗證。簽名驗證模塊驗證簽名的有效性，給服務端返回驗證結果。服務端根據驗證結果做出判斷，若驗證出錯，則斷開連接；若驗證通過，則獲取證書中的信息作為用戶標志，并給用戶賦予相應權限進行操作。網上業務（辦公、交易）安全設計基于應用安全支撐系統實現政務網上業務的高強度身份認證、數據傳輸保密、數據完整性保障、不可抵賴性、數字證書的全面支持、用戶的一致性認證進行安全防護后的應用系統結構如下：圖表SEQ圖表\*ARABIC4網上業務安全應用示意系統的訪問流程如下：用戶訪問應用系統。安全認證網關要求用戶提交用戶數字證書。用戶登錄USBKEY提交個人證書。安全認證網關驗證用戶證書，包括證書自身有效性，信任證書鏈，黑名單。驗證通過后，安全認證網關將請求發送給真正的應用服務器，并將用戶證書信息添加請求中。應用服務器從請求中獲取用戶的身份，進行訪問控制并為用戶提供服務。系統不可抵賴性流程下：系統交易開始（用戶撰寫公文）用戶使用自己的數字證書對交易數據進行數字簽名（用戶可以使用與自己數字證書管理的電子印跡“加蓋”到公文上）系統將數字簽名數據（可以是加有電子印跡的公文）傳送到服務端服務端通過簽名驗證服務器驗證簽名數據（通過電子印跡系統驗證“加蓋”電子印跡公文的有效性）驗證成功后，保存簽名數據（可以是加有電子印跡的公文）作為證據。數據保護設計基于應用安全支撐平臺以數字信封技術實現數據網絡集中安全存儲系統，在文件服務器上開辟私有空間，對存放其中的文件進行嚴格的授權驗證，使存儲的資料能夠安全的集中管理，進行統一有效的備份，到達資料更為安全的存儲。同時系統可以實現靈活而安全的授權，從而達到數據共享的需求。基于應用安全支撐系統的數據保護實現網絡結構如下圖所示：圖表SEQ圖表\*ARABIC5基于網絡的安全存儲系統架構如圖中所示的應用安全支持平臺可以實現如下數據保護功能，其實現的過程包括文件的加密保存過程和文件的使用過程。文件的加密保存（1）系統中加密保存文件的過程：生成隨機的加密密鑰；使用該密鑰對明文進行加密；下載有權使用該文件的用戶證書，并制作數字信封；將密文文件和數字信封上傳到文件服務器；向控制器中增上記錄。圖表SEQ圖表\*ARABIC6文