监控安装 ERP

系统集成论坛

 找回密码
 注册通行证

QQ登录

只需一步,快速开始

路由器交换机防火墙系统集成商城 优质产品采购平台
查看: 1874|回复: 3
打印 上一主题 下一主题

某市OA系统(内外网)基于CA的身份认证和电子签名解决方案

[复制链接]
跳转到指定楼层
1
发表于 2009-12-17 15:28:22 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
华为金牌代理
本帖最后由 scanywhere 于 2010-1-18 16:11 编辑

1、用户背景
 
内蒙古某市下属2区、5县、4旗,人口300余万,该市交通发达,是内蒙连接东北的交通枢纽。

2、用户需求
 
通过与沟通,总结最终用户需求如下:
  · BS架构的OA系统,采用Domino Notes开发的,用到金格的word控件,主要是做痕迹保留用的,和
   系统登录无关。需要保证登录者身份的真实性。
  · 对流程文件的表单进行电子签名,需要保证公文审批的完整性和不可抵赖性,同时要考虑一个表
   单 ,多个领导会签的情况。
  ·通过运营商组的专网,在网络出口已经部署防火墙。

3、解决方案
 
据既有的安全项目经验,根据信息安全等级保护条例,厅局级政府单位需要进行内外网隔离。目前暂时按照内外网隔离的方案进行设计,如果确实不需要部署外网,则不必考虑外网设计。
  具体设计方案如下:
  ·在内网建设CA服务器。
  ·密钥生成和管理由证书服务器密码机负责。
  ·采用一主两从LDAP,内网部署一主一从,外网部署一从。内网的主LDAP数据自动推送到内网从
   LDAP,手工导入到外网从LDAP。CA服务器的证书和CRL列表定期发布到内网主LDAP。
  ·在内网部署电子签名中间件,进行双向的签名和验签。
  ·手持USB KEY,带有密码芯片算法的KEY,存储量大于等于32K,用于私钥存储。
  ·为应用系统的WEB服务器发放服务器证书,实现用户登录时,用户和服务器的双向验证,确保应
   用服务器身份和用户身份的真实性。
  ·在公网入口部署SSL VPN设备,确保应用服务器是在收保护前提下使用,所有应用不被外部的病
   毒、木马、黑客攻击。用户采用USB KEY登录应用层传输加密机。

4、用户收益
 
采用本方案后用户受益如下:
  ·通过强身份认证手段的采用,确保用户身份的真实性。
  ·通过对表单电子签名,确保数据的不可否认性、不可抵赖性和事后可追溯性。
  ·所投资的安全设备,可以为其它业务系统提供安全服务。










----------------------------------------------------------------------------------------  
      北京安软天地科技有限公司
  --- 专业的应用安全服务提供商,主要提供CA系统、SSL VPN设备,以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案,在金融、政府、电力、石油石化行业有大规模成熟应用。
  --- 公司网址:www.scanywhere.com
  --- 联系电话:010-67080263
4
 楼主| 发表于 2010-2-25 14:58:35 | 只看该作者
华为金牌代理
3
 楼主| 发表于 2010-1-18 16:12:05 | 只看该作者
华为金牌代理
2
 楼主| 发表于 2009-12-24 15:03:12 | 只看该作者
大家一起交流探讨~
您需要登录后才可以回帖 登录 | 注册通行证

本版积分规则

联系我们| 手机版|系统集成论坛 ( 京ICP备11008917号 )

GMT+8, 2024-11-26 16:23 , Processed in 0.098240 second(s), 24 queries .

系统集成论坛

BBS.XTJC.COM

快速回复 返回顶部 返回列表