某市OA系统（内外网）基于CA的身份认证和电子签名解决方案

scanywhere

1、用户背景
　 内蒙古某市下属2区、5县、4旗，人口300余万，该市交通发达，是内蒙连接东北的交通枢纽。

2、用户需求
　 通过与沟通，总结最终用户需求如下：
　 · BS架构的OA系统，采用Domino Notes开发的，用到金格的word控件，主要是做痕迹保留用的，和
　　 系统登录无关。需要保证登录者身份的真实性。
　 · 对流程文件的表单进行电子签名，需要保证公文审批的完整性和不可抵赖性，同时要考虑一个表
　　 单 ，多个领导会签的情况。
　 ·通过运营商组的专网，在网络出口已经部署防火墙。

3、解决方案
　 据既有的安全项目经验，根据信息安全等级保护条例，厅局级政府单位需要进行内外网隔离。目前暂时按照内外网隔离的方案进行设计，如果确实不需要部署外网，则不必考虑外网设计。
　 具体设计方案如下：
　 ·在内网建设CA服务器。
　 ·密钥生成和管理由证书服务器密码机负责。
　 ·采用一主两从LDAP，内网部署一主一从，外网部署一从。内网的主LDAP数据自动推送到内网从
　　　LDAP，手工导入到外网从LDAP。CA服务器的证书和CRL列表定期发布到内网主LDAP。
　 ·在内网部署电子签名中间件，进行双向的签名和验签。
　 ·手持USB KEY，带有密码芯片算法的KEY，存储量大于等于32K，用于私钥存储。
　 ·为应用系统的WEB服务器发放服务器证书，实现用户登录时，用户和服务器的双向验证，确保应
　　 用服务器身份和用户身份的真实性。
　 ·在公网入口部署SSL VPN设备，确保应用服务器是在收保护前提下使用，所有应用不被外部的病
　　 毒、木马、黑客攻击。用户采用USB KEY登录应用层传输加密机。

4、用户收益
　 采用本方案后用户受益如下：
　 ·通过强身份认证手段的采用，确保用户身份的真实性。
　 ·通过对表单电子签名，确保数据的不可否认性、不可抵赖性和事后可追溯性。
　 ·所投资的安全设备，可以为其它业务系统提供安全服务。





-----------------------------------------------------------------------------------------------
      北京安软天地科技有限公司
  --- 专业的应用安全服务提供商，主要提供CA系统、SSL VPN设备，以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案，在金融、政府、电力、石油石化行业有大规模成熟应用。
  --- 公司网址：www.scanywhere.com
  --- 联系电话：010-67080263

[ 本帖最后由 scanywhere 于 2009-12-17 14:28 编辑 ]

scanywhere

大家一起交流探讨

scanywhere

应用系统安全的解决方案也可以看看这个
http://bbs.xtjc.com/thread-2735-1-1.html

scanywhere

什么是VPN？
      VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。
　　虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
  
什么是SSLVPN？  
从概念角度来说，SSL VPN即指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点

scanywhere

顶一下~