行业解决方案
公安云密码应用解决方案
背景
国家政策
2020年1月《中华人民共和国密码法》正式施行,标志着国产密码算法、国产密码相关产品应用将成为政务、军工、金融、医疗等关键领域的信息系统安全标配。
云计算环境的安全要求
云计算环境面临传统安全边界消逝、虚拟环境数据安全等更加严峻的安全挑战。如多租户、虚拟化、可迁移等特征容易产生安全漏洞,需要合理应用认证、加密等密码技术确保共享环境内的数据安全性。
建设目标
依托完全自主可控的核心密码防护技术,从用户终端、边界接入与网络、业务服务端等角度,应用密码技术进行密码算法改造,网络接入安全与用户终端安全防护、业务应用安全认证等,提供身份识别、安全隔离、信息保密、完整性保护、抗抵赖性等方面的密码防护,保证达到密码合规性、正确性和有效性要求。最终达成以下目标:
1、建设标准化的密码服务平台;
2、完善密码服务模式;
3、统一密码服务接口标准;
4、建立健全密码管理模式。
建设方案
密码应用技术框架
从终端密码应用、网络及接入密码应用、公安云平台和公安应用系统密码应用、运维管理密码应用等维度进行了针对性和具体化的设计,密码应用保障框架如下图所示:
物理和环境安全
建设使用自主可控的密码技术保护的电子门禁系统和视频系统,7*24小时安全人员值班,加强日常机房进出、系统访问限制和数据调取审批机制。
网络和通信安全
采用密码技术实现通信双方身份鉴别,保护访问控制信息的完整性、通信数据的完整性和机密性。
设备和计算安全
采用密码技术实现登录用户的身份鉴别,建立安全通道保护远程管理通信,保护访问控制信息、设备中的重要信息资源安全标记、日志记录及重要可执行程序的完整性。
应用和数据安全
采用密码技术实现用户登录的身份鉴别,保护访问控制信息完整性,保护重要数据在传输和存储过程中的完整性和机密性,实现抗抵赖保护。
密钥管理
遵循“分层结构,逐层保护”的安全原则,采用三层密钥保护体系;根据应用的不同进行设计。
密码应用部署
采用虚拟密码设备服务层来隔离上层应用和设备,屏蔽设备差异和密码逻辑的复杂性,并提供标准的密码设备服务供上层应用调用,达到设备无关性。
国家政策
2020年1月《中华人民共和国密码法》正式施行,标志着国产密码算法、国产密码相关产品应用将成为政务、军工、金融、医疗等关键领域的信息系统安全标配。
云计算环境的安全要求
云计算环境面临传统安全边界消逝、虚拟环境数据安全等更加严峻的安全挑战。如多租户、虚拟化、可迁移等特征容易产生安全漏洞,需要合理应用认证、加密等密码技术确保共享环境内的数据安全性。
建设目标
依托完全自主可控的核心密码防护技术,从用户终端、边界接入与网络、业务服务端等角度,应用密码技术进行密码算法改造,网络接入安全与用户终端安全防护、业务应用安全认证等,提供身份识别、安全隔离、信息保密、完整性保护、抗抵赖性等方面的密码防护,保证达到密码合规性、正确性和有效性要求。最终达成以下目标:
1、建设标准化的密码服务平台;
2、完善密码服务模式;
3、统一密码服务接口标准;
4、建立健全密码管理模式。
建设方案
密码应用技术框架
从终端密码应用、网络及接入密码应用、公安云平台和公安应用系统密码应用、运维管理密码应用等维度进行了针对性和具体化的设计,密码应用保障框架如下图所示:
物理和环境安全
建设使用自主可控的密码技术保护的电子门禁系统和视频系统,7*24小时安全人员值班,加强日常机房进出、系统访问限制和数据调取审批机制。
网络和通信安全
采用密码技术实现通信双方身份鉴别,保护访问控制信息的完整性、通信数据的完整性和机密性。
设备和计算安全
采用密码技术实现登录用户的身份鉴别,建立安全通道保护远程管理通信,保护访问控制信息、设备中的重要信息资源安全标记、日志记录及重要可执行程序的完整性。
应用和数据安全
采用密码技术实现用户登录的身份鉴别,保护访问控制信息完整性,保护重要数据在传输和存储过程中的完整性和机密性,实现抗抵赖保护。
密钥管理
遵循“分层结构,逐层保护”的安全原则,采用三层密钥保护体系;根据应用的不同进行设计。
密码应用部署
采用虚拟密码设备服务层来隔离上层应用和设备,屏蔽设备差异和密码逻辑的复杂性,并提供标准的密码设备服务供上层应用调用,达到设备无关性。
