|
1. 解决方案产生的背景
计算机应用的深入,各行各业迅速向电子化、网络化发展。很多企业或机构都建立了自己的内部局域网,一方面提高了企业工作效率,加强了内部交流,降低了公司运营成本,另一方面,随之而来的是如何保护公司业务数据的保密性和安全性。如何防止使用者非法访问公司高科技技术文件、事业计划书、软件源码、设计图稿、方案、会计帐目、战略计划书、研究论文等核心文件,避免企业重要的数据财富外流,成为企业内部局域网安全需要解决的重要问题。
通常企业内部信息外泄有以下几种情况:
- 内部或外部人员通过非法手段取得网络访问权限,登录企业的公共目录,非法访问企业内部信息(如域登陆、远程VPN访问或Web方式的OA办公系统访问等);
- 内部人员将电子文档传给了没有阅读权限的阅读者,造成秘密信息公开,甚至把公司内部信息传到了竞争者手里;
- 因操作失误,无意地把秘密文件拷贝到公共目录或者共享目录,或发送给其他人,使无权限者能阅读该文件;
- 保密文件在传输过程中,如通过电子邮件(Foxmail、Outlook)传送中被截获,造成信息丢失;
- 保密文件的存储设备丢失或被盗等。
,清华紫光提出了紫光S锁内部信息安全解决方案,有效地解决了上述问题。将紫光S锁融入了基于PKI的企业局域网架构之中,从防止网络的非法访问和保证文件加密安全两方面着手来保证企业内部信息的安全。
案使用了紫光S锁、先进的加密算法、PKI架构,构建安全局域网,来满足企业对信息存储、共享、传送的安全需求。
2. 解决方案的技术特点
决方案与其他方案最大的不同点是,在实现局域网安全管理的过程中把软件系统和硬件系统相结合,身份验证采用基于USB总线的紫光S锁,具有安全性高、使用方便性、投资少的优点。其技术特点主要如下:
PKI(公开密钥体系)是一种遵循标准的、利用公钥加密技术来提供安全基础平台的技术和规范。本方案将结合操作系统,建立PKI网络结构的基本框架,包括证书颁发机构、CA认证中心等。
证企业局域网的安全,本方案选择使用紫光S锁作为网络身份认证的载体,直接使用紫光S锁实现域登录、远程访问服务器以及VPN服务器登录。
S锁支持基于共享秘密方式的双因子强认证方式,该方式比传统的用户名/口令方式更安全。双因子认证意味着用户不仅要知道紫光S锁的访问密码(PIN码),而且要求紫光S锁中保存了正确的证书、身份信息等。强认证是指每次验证的过程中被验证的用户鉴别数据都是随机的,可有效地防止黑客窃听。
S锁内部的核心是一块微型晶片(智能卡),包括由CPU、加密逻辑单元、RAM、ROM、EEPROM和I/O五部分组成一个完整的计算机安全体系。用户数据被放在被加密逻辑单元保护的EEPROM中,COS掩膜在ROM中,以保证代码安全。COS将用户操作过程中生成的密钥放在RAM空间中,掉电后自动丢失,保证安全性。紫光S锁特有的硬件制造工艺,可以抵御各种方法的攻击,紫光S锁的操作系统(COS)可以防止攻击者利用软件方式窃取锁内的机密信息。所以,紫光S锁是一种非常安全可靠的存储设备。另外,紫光S锁不仅能够安全存储私有密钥、口令等机密信息,而且内置加密算法程序,完成加/解密运算。因此,紫光S锁是存储私有密钥和数字证书理想介质。
防止泄密,既往的手段是用加密的方法,在国内市场上这样的文件加密软件类产品很多。但几乎都是使用对称加密算法实现文件加解密,用户对文件加密,而后只有本人可以解密。在网络的环境下,存在许多大家共用的文件,如果其他人需要使用该加密文件,那么就必须告诉他解密密钥。这样就新增了密钥传递、保存的安全问题,并且难以控制密文的操作安全,因为对称加密算法的安全性依赖于密钥,泄漏密钥意味着任何人都能对信息进行加密和解密。
传统的对称加密算法系统的致命弱点在于密钥的安全性致使对称加密体系解决不了密钥分配和管理问题,在网络环境下,既达不到保密的效果,又影响正常的工作效率,公司网络环境的优势也就得不到发挥。
为此,本解决方案提出了基于RSA算法的文档加解密与签名功能,以适应网络环境下企业管理和竞争的新需求。RSA算法是一种非对称加密算法,其加密密钥和解密密钥是相关的、而又截然不同的,从其中一个无法推导出另一个。于是一个密钥可以完全公开(称为公钥),只要另一个保密(称为私钥)。
紫光S锁网络版针对PKI 应用,支持硬件实现RSA 密钥对生成、签名、加密操作。其技术优势在于紫光S锁使用了运算能力强大的专用芯片,在其内部生成RSA密钥对,并直接存于锁内,从而从源头上杜绝泄露的可能性。而且,文件的文件签名、加密、验证操作的实现均在紫光S锁内,杜绝了传输中私钥泄露的可能性。最后,紫光S锁专用芯片的安全封装技术保障了私钥不能被强行读出,私钥存储在紫光S锁中,只能在满足条件时使用,即使是私钥的所有者也没有权限读取私钥的内容。
本方案中由服务器统一管理和发布所有用户的公钥,由紫光S锁管理用户的私钥。于是用户在加密文件时,可以通过服务器获得具有该文档访问权限用户的公钥进行加密,而后将密文发送到服务器的共享目录或者通过电子邮件等方式传送给用户。由于密文的解密必须使用存储在S锁中的私钥,这样即使发生文件的非法访问、被截获或丢失等情况,也不会出现信息泄漏。
使用数字签名可以验证用户与所签名文件内容之间的关系,其主要功能为:防止原始文档被污染或变更;防止别有用心者使用他人名字散布欺骗性消息;以及提供谁是文件原作者的证据等等。本方案中,数字签名使用的数字证书存储在紫光S锁中,具有安全性高、携带方便等特点,将进一步提高系统的安全性。
3. 解决方案的总体架构
图1所示为本解决方案的整体网络结构图,图2所示为本解决方案的整体功能结构图。
如图1所示,本解决方案中的每个客户端由一台计算机和一个用户S锁组成,服务器端由计算机和系统S锁组成。由于紫光S锁网络版兼容PC/SC标准,本解决方案建立了一个基于PKI标准的网络体系结构,将提供多种网络途径,供客户端使用S锁登录服务器。
图1 总体网络架构
决方案的功能主要划分为服务器和客户端两个层次。服务器端主要为客户端提供域服务器/共享文件、WEB服务器、VPN服务器服务,构建CA认证中心,集中管理局域内所有S锁用户,为其提供证书颁发与验证服务。客户端利用S锁实现服务器登录,访问企业公共信息,实现对企业重要文件的加解密和数字签名,并建立本地文件保险箱。
图2 整体功能架构图
4 解决方案实现的功能详解
4.1 服务器功能详解
(1) 配置域服务器/WEB访问服务器/VPN服务器,构建基于PKI的网络体系结构,提供S锁客户端远程登录服务器的安全验证功能。
(2) 网络安全部署:配置企业证书颁发机构,规划证书层次结构;部署用于域登录的S锁客户端;管理已颁发的S锁客户端证书;通过服务器端的CA认证中心来识别客户端用户的身份。
(3) 紫光S锁网络用户集中管理:
- S锁证书生成。
- 修改密码、解锁等。
- S锁硬件与私有用户绑定。
- S锁网络用户证书统一管理、发布,为网络用户的文件加密、签名提 供服务。
- 本地文件保险箱
- 系统信息文件维护
4.2 客户端功能详解
(1) 基于紫光S锁的域登陆/WEB身份认证/远程VPN访问。
(2) 基于PKI体系的共享文档加密和数字签名(一次一密):
用户加密文档时可以设置多个有权使用该文档的用户,密文发布后,只有被选用户使用S锁才能实现文件的解密。使用数字签名可以验证用户与所签名文件内容之间的关系,防止文件伪造或篡改。数字签名使用的数字证书存储在S锁中,具有安全性高、携带方便等特点,进一步提高了系统的安全性。
(3) 基于PKI体系的电子邮件加密和数字签名。
(4) 在本地硬盘上建立用户的文件保险箱,只有用户使用具有相应权限的S锁才能打开文件保险箱,加密文件的密钥存放在S锁中,保密强度高。
(5) 定期连接服务器,实现网内系统用户信息和证书的实时更新。
4.3方案实现
清华紫光S锁网络版方案具体分为五大功能配置模块,详细配置请参见相关操作手册:
(1) 网络配置(建立域及域用户管理、建立CA中心及证书管理)
(2) C/S架构的系统管理软件配置
(3) 安全电子邮件方案及配置(S/MIME)(根据操作手册自行配置)
(4) VPN远程拨入方案及配置(根据操作手册自行配置)
(5) 基于SSL协议的WEB安全身份认证方案及配置(根据操作手册自行配置)
5 支持平台
清华紫光S锁网络版方案主要基于Windows 2000 SERVER(服务器端)与 Windows 2000 professional、Windows XP(客户端)平台。
|
解决方案
