企业网安全应用通用解决措施.docVIP

企业网安全应用 通用解决方案 深圳维豪 二OO一年十二月十八日 1 前言 2 1.1 企业网安全应用建设的必要性与可行性 2 1.2 企业网安全应用的建设内容 3 1.3 企业网安全应用的建设目标 3 1.4 企业网安全应用的建设原则 3 2 企业网信任服务体系的逻辑描述 4 2.1 概述 4 2.2 网络信任域组织结构 4 2.3 企业网安全应用逻辑分层 5 3 企业网安全应用核心关键设备 6 3.1 概述 6 3.2 平台类设备 6 3.3 网络端设备 8 3.4 客户端设备 13 4 企业网安全应用系统结构 14 4.1 网络拓扑图 14 4.2 系统说明 15 5 网络信任域及管理平台 15 5.1 概述 15 5.2 网络信任域管理系统 15 5.3 网络信任域管理机制 17 6 PKI/PMI服务支撑平台 19 6.1 系统组成 19 6.2 功能描述 19 7 结束语 21 8附件：缩略表 21 前言 21世纪信息安全已成为世界关注的问题，信息安全直接关系到国家的安全和民族的兴衰。作为信息产业发展较快的国家，我国也越来越重视信息安全技术的研究和应用。我国高技术研究发展863计划信息技术领域 如图所示为网络信任域组织示意图，从中可以看出网络信任域主要在终端设备的安全可信接入、网络原来的安全可信管理、数据信息的安全可信传输等环节进行组织和管理的。也就是说在网络信任域基础设施及管理平台系统的终端接入环节采用网络接入认证交换机，保证设备的安全可信接入；在数据通信环节采用PKI网关保证数据安全可信传输；而在信任域管理环节采用信任域管理服务平台来保证组网设备的安全可信。 企业网安全应用逻辑分层 如下图所示为企业网安全应用系统的分层逻辑模型，整个逻辑结构按照功能可以自下而上划分为三个层次：网络基础设施层、智能化信任和授权基础设施层和应用层。这个逻辑模型是对企业网安全应用系统的抽象概括，其中网络基础设施的安全部分、智能化信任和授权基础设施以及应用开发与运行的安全部分构成国家信息安全基础设施NISI。 网络基础设施层主要是为企业网安全应用系统提供信息及其它运行管理信息传输和交换的平台，是整个企业网安全体系的最终信息承载者，位于整个分层体系结构的最低层。 智能化信任和授权基础设施层主要在网络基础设施所提供支持的信息传输服务平台的基础上，为企业网安全应用提供一个通用的、高性能可信和授权计算平台，即所谓的智能化信任和授权平台。 图5-1 中国电子政务的总体技术体系结构模型 企业网安全应用核心关键设备 概述 以往，我国的网络信息安全建设均是采用国外的技术和产品，通过较为传统的方式构筑身份认证、信息交换和处理平台，其中存在相当的安全漏洞和隐患；同时各类安全设备大都构建于国外的硬件平台和操作系统之上，摆脱不了受限、受制、受控于人的被动局面。 具有我国自主知识产权的PKI信息安全平台的研制成功，分别从服务器端、网络端和客户端提供了三个层面的系列安全产品，并对产品系列采用了标准化、模块化的设计思路和产业化的生产模式。以其为基础构建公钥基础设施，设计建设电信系统安全应用平台体系，可有效保证电信系统安全可靠的运行，摆脱了企业安全应用系统的信息化、网络化建设受限、受制、受控于人的被动局面。 平台类设备 信任域服务基础平台 信任服务基础平台提供各类密码服务、信任服务、安全信息存储、安全管理和安全监测及其管理与调度功能，完成基本的PKI安全服务处理功能。 信任服务基础平台采用以信息安全架构体系为核心的全新设计思路，将PKI安全服务的核心处理模块和核心业务处理模块从现有主机平台中分离出来，并放置在独立可信的计算环境中运行，以解决我国信息安全系统依赖国外操作系统和底层硬件平台的问题。 信任服务基础平台是所有信任服务应用的基础，基于信任服务基础平台可以构建证书认证服务平台、授权管理服务平台、Web信任服务平台、App信任服务平台等，可为业务数字证书认证中心、密钥管理中心提供基础信任服务。 信任服务基础平台在逻辑上是一个分层的结构，其核心是信息安全服务引擎，下层是各种基本功能服务单元，如：密码服务单元、密钥服务单元等。因此可将安全服务细节和应用开发独立开，对安全服务性能实现平滑扩展。 信任服务基础平台主要包括：信任服务基础平台基本框架、密码服务单元、密钥服务单元、签名服务单元、可信日志服务单元和监控服务单元。其中，密码服务单元和签名服务单元是信任服务基础平台必须具备的功能服务单元，密钥服务单元、可信日志服务单元和监控服务单元属于信任服务基础平台扩展服务单元。 信任服务基础平台基本框架 信任服务基础平台基本框架通过信息安全服务引擎、系统状态管理单元、信任服务基础平台状态管理单元和接入认证交换机，为信任服务基础平台提供了PKI核心服务的统一调度、状态管理和可