随着各地大数据局信息化的迅速发展,作为信息安全的重要基础设施之一,密码基础设施(包括:PKI/CA、签名验证服务器、时间戳服务器、身份认证系统、身份认证网关、电子签章、智能密码钥匙、安全密码模块等)被广泛部署和使用,实现敏感数据的防篡改、行为防抵赖等安全需求,在大数据局信息化应用中发挥着重要的安全支撑保障作用。目前各单位信息化建设程度参差不齐,部分单位已经拥有数字证书(第三方厂商,厂商不统一),同时各单位对密码技术的使用方面,各应用系统各自独立建立、维护和管理,造成建设成本高、运维难度大、项目质量低等问题。
随着政策、技术、应用的发展,特别是伴随着大数据局信息化的发展,对密码基础设施建设提出了更高的要求,各地大数据局密码基础设施建设进入一个新的阶段。需要从思路、架构、技术、服务、运营、管理等多维度进行规划设计和建设运行。
为解决大数据局业务系统的安全问题,本方案通过密码安全服务平台、智能密码钥匙、安全密码模块、国密浏览器、身份认证网关、电子签章系统、签名验签服务器、时间戳服务器、服务器密码机、身份认证系统等密码基础设施的建设从而实现身份鉴别的真实性、数据的机密性与完整性、操作行为的不可否认行等密码服务。
总体架构图如下图所示:
总体框架图
密码安全服务平台(以下简称安全平台或平台)以平台、安全服务为中心,能够为大数据局业务系统提供完整的安全服务解决方案。
通过密码安全服务平台整合密码资源,进行资源池化设计,建立符合产业模式的密码管理服务,提供统一云密码安全服务(包括证书服务、身份认证、签名验签服务、数据加密解密服务、时间戳服务、电子签章服务等),通过标准服务为单位及人员动态提供密码资源和密码服务;实现对密码资源使用情况的实时监控、综合分析、快速部署、动态扩展,实现资源高效利用,降低能耗等;能够方便的进行调整,能够满足业务应用系统快速、灵活部署和迁移的需要。
平台以服务为设计理念,集中为用户提供完整的、可定制的安全服务体系,其中包括数字证书服务、身份认证服务、访问控制服务、签名验签服务、时间戳服务、电子签章等密码服务。平台实现对用户、权限、设备的统一管理,并对外提供统一的安全服务,极大的减少平台管理的复杂度及应用系统集成的复杂性。