行业解决方案
不动产登记密码应用解决方案
背景
房地产是国家重要的经济支柱行业,其信息安全关系到国计民生。随着《中华人民共和国密码法》、《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)及相关法律、法规和技术标准的发布与推行,有必要尽快应用国产密码技术与国密软硬件密码产品解决用户身份鉴别、敏感数据机密性保护、重要数据完整性保护、用户关键操作行为不可否认、通信传输数据防窃听与防篡改、重要数据溯源验证以及电子文件法律有效性保障等安全问题。
建设目标
严格按照《中华人民共和国密码法》及商用密码有关规范,以落实网络安全等级保护、根据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》等相关标准为原则,采用安全、合规的商用密码技术和产品建设密码基础设施和密码服务平台,保证符合GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》中对于等保三级信息系统的密码应用要求。
设计原则
总体性原则、完备性原则、经济性原则、产品一致性原则。
技术方案
技术框架
从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全以及密钥安全等方面统筹考虑,按照分层设计原则建设密码基础设施和密码服务平台,为业务系统安全提供保障;为业务系统提供统一规范的应用接口,可扩展为更多业务系统服务。
物理和环境安全
部署国密门禁系统,采用对称密钥分散和对称加解密技术,实现一卡一密,确保人员身份的真实性。采用SM3+HMAC,对人员进出记录做完整性保护,防止进出记录被篡改。
部署国密视频监控系统,采用SM3+HMAC技术,实现实时视频流和视频录像的完整性保护。
网络和通信安全
部署IPSEC/SSL VPN综合安全网关,实现PC端用户接入的身份鉴别和国密SSL安全传输通道的建立。
采用智能密码钥匙、国密浏览器、SM2数字证书实现登录用户的身份鉴别,保护数据传输安全性。
设备和计算安全
远程运维管理员配发智能密码钥匙,通过IPSEC/SSL VPN综合安全网关,实现对登录用户的身份鉴别和远程管理身份鉴别信息传输机密性保护,防止非授权人员登录、管理员远程登录身份鉴别信息被非授权窃取。
运维过程中,所有的数据传输,均通过国密SSL协议进行机密性和完整性保护。
应用和数据安全
用户的身份鉴别采用“SM2数字证书+用户名+口令”的方式实现。
通过服务器密码机的SM3+HMAC服务实现访问控制信息的完整性保护,保护访问控制权限列表不被篡改,防止非授权访问。
通过国密SSL协议保证数据传输安全。
对重要数据进行加密运算,实现重要数据存储的机密性和完整性保护。
密钥安全
健全密钥管理机制,由密钥管理服务统一进行密钥管理。
房地产是国家重要的经济支柱行业,其信息安全关系到国计民生。随着《中华人民共和国密码法》、《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)及相关法律、法规和技术标准的发布与推行,有必要尽快应用国产密码技术与国密软硬件密码产品解决用户身份鉴别、敏感数据机密性保护、重要数据完整性保护、用户关键操作行为不可否认、通信传输数据防窃听与防篡改、重要数据溯源验证以及电子文件法律有效性保障等安全问题。
建设目标
严格按照《中华人民共和国密码法》及商用密码有关规范,以落实网络安全等级保护、根据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》等相关标准为原则,采用安全、合规的商用密码技术和产品建设密码基础设施和密码服务平台,保证符合GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》中对于等保三级信息系统的密码应用要求。
设计原则
总体性原则、完备性原则、经济性原则、产品一致性原则。
技术方案
技术框架
从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全以及密钥安全等方面统筹考虑,按照分层设计原则建设密码基础设施和密码服务平台,为业务系统安全提供保障;为业务系统提供统一规范的应用接口,可扩展为更多业务系统服务。
物理和环境安全
部署国密门禁系统,采用对称密钥分散和对称加解密技术,实现一卡一密,确保人员身份的真实性。采用SM3+HMAC,对人员进出记录做完整性保护,防止进出记录被篡改。
部署国密视频监控系统,采用SM3+HMAC技术,实现实时视频流和视频录像的完整性保护。
网络和通信安全
部署IPSEC/SSL VPN综合安全网关,实现PC端用户接入的身份鉴别和国密SSL安全传输通道的建立。
采用智能密码钥匙、国密浏览器、SM2数字证书实现登录用户的身份鉴别,保护数据传输安全性。
设备和计算安全
远程运维管理员配发智能密码钥匙,通过IPSEC/SSL VPN综合安全网关,实现对登录用户的身份鉴别和远程管理身份鉴别信息传输机密性保护,防止非授权人员登录、管理员远程登录身份鉴别信息被非授权窃取。
运维过程中,所有的数据传输,均通过国密SSL协议进行机密性和完整性保护。
应用和数据安全
用户的身份鉴别采用“SM2数字证书+用户名+口令”的方式实现。
通过服务器密码机的SM3+HMAC服务实现访问控制信息的完整性保护,保护访问控制权限列表不被篡改,防止非授权访问。
通过国密SSL协议保证数据传输安全。
对重要数据进行加密运算,实现重要数据存储的机密性和完整性保护。
密钥安全
健全密钥管理机制,由密钥管理服务统一进行密钥管理。