|
本帖最后由 scanywhere 于 2010-1-5 15:53 编辑
1、用户背景
某港口始建于1892年,是具有117年历史的国家特大型港口。2008年完成港口吞吐量3亿多吨,居世界第七位;完成集装箱1002万标准箱,居世界第十位;进口铁矿石吞吐量居世界港口第一位,进口原油吞吐量居全国港口第一位,外贸吞吐量居全国港口第二位。集装箱作业效率、铁矿石卸船效率世界港口第一。
2、用户需求
总结用户需求如下:
l某港务局金蝶软件的财务系统(EAS),该系统提供用户B/S和C/S两种架构可以选择,港务局内网用户采用C/S架构的系统,目前采用的简单的用户名/口令认证登录方式存在安全隐患。为保证业务的安全运营,需要采用强身份认证系统来保证应用系统的登录安全。
l某港务局网上财务结算系统,负责港务局20多家二级单位的财务结算,采用C/S架构,目前采用的简单的用户名/口令认证登录方式存在安全隐患。为保证业务的安全运营,需要采用强身份认证系统来保证应用系统的登录安全。
l内部OA系统业务流中的重要表单数据,需要满足数据的完整性校验和实现用户操作的不可抵赖性保证。
3、解决方案
l建设数字证书认证服务器,解决服务器和个人用户身份真实性的问题。具体建设方案如下:
>证书服务器负责证书的日常管理;
>证书服务器负责证书的日常管理;
>管理终端完成证书的申请和发放工作;
>为应用服务器颁发服务器证书,为个人用户颁发个人证书。登录时,实现双向验证,确保应用服务器身份和个人身份的真实性;
>用户手持USB KEY,带有密码芯片算法的KEY,存储量大于等于32K。用于私钥存储,确保私钥的安全;
>采用SQL数据库,用于证书服务器生成证书和CRL的存储。
l建设数字签名中间件,对用户在OA系统的操作实现数字签名,实现抗抵赖的功能。具体方案如下:
>将数字签名服务器与应用服务器共同部署;
>在IE中部署签名插件;
>用户的操作需要用私钥进行签名;
>服务器端对用户的签名数据进行验签;
>应用数据和签名数据进行分别的存储。
l针对财务结算系统(C/S架构)的身份认证功能,实现身份认证的功能。具体方案如下:
>用户采用数字证书(USBKEY存储)+口令的认证模式;
>针对网上支付系统的客户端进行开发,提供客户端身份验证功能。
l针对BS的财务系统,实现身份认证的功能。具体方案如下:
>用户采用数字证书+口令的认证模式;
>搭建SSL应用服务器;
>通过数字证书服务器签发服务器证书,配置应用服务器,实现用户的双向认证的功能。
4、用户收益
采用本方案后用户收益如下:
l通过强身份认证手段的采用,确保所有财务系统用户的身份的真实性;
l对OA系统的操作、交易实现签名,满足不可抵赖性、事后溯性的应用需求。
--------------------------------------------------------------------------------------------------------------
北京安软天地科技有限公司
--- 专业的应用安全服务提供商,主要提供CA系统、SSL VPN设备,以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案,在金融、政府、电力、石油石化行业有大规模成熟应用。
--- 公司网址:www.scanywhere.com
--- 联系电话:010-67080263 |
|