1. 概述
地理信息资源是国家重要的基础性、战略性信息资源,事关国家安全和战略利益,广泛应用于经济建设、社会发展和国防建设。近年来,随着地理信息应用的不断深入和普及,地理信息采集获取、网络传输、加工处理等日益智能化和自动化,地理信息行业投资主体与应用主体渐趋多元化、复杂化,给地理信息的安全保密带来严峻挑战,亟需通过密码应用等手段提高信息安全防护水平。
2. 需求分析
由于采用专线方式进行数据的建设成本过高,现多采用互联网,或互联网+VPN方式进行数据回传,这为整个系统带来安全隐患。一是,采用互联网回传数据,测绘核心业务系统必须直接或间接(通过防火墙的“端口映射”)暴露在互联网上,这为潜在的攻击者带来可乘之机。二是,地面基准站依靠普通路由器进行拨号数据上传,存在终端被劫持的安全隐患。随着《网络安全法》的颁布,以及《测绘地理信息领域重要信息系统商用密码应用规划(2016-2020年)》的实施,急需从潜在安全隐患、安全合规两个维度提升测绘信息系统的安全性。
3. 方案架构
以国产商用密码技术为基础,结合安全认证管理系统、安全接入网关、安全接入终端设备等商用密码产品的应用,通过网络化实施,实现无需定制开发即可满足基准站与数据中心之间的身份鉴别、通信加密等安全需求。
3.1 技术架构
本次方案设计的整体架构如下图所示:
图3-1 方案设计框架图
3.2 产品部署图
图3-2 测绘行业基准站远程数据加密回传解决方案
如上图所示:安全终端与安全接入网关之间在互联网、VPN连接的基础上,利用内置的商用密码安全芯片,对通信链路进行加密,算法采用国家密码管理局审批的SM1/SM4对称算法。同时,安全终端与安全接入网关之间利用国产商用非对称密码算法SM2实现双向身份认证,确保终端不被劫持、伪造。
安全接入网关可以采取主路/旁路部署模式,部署在数据中心的网络边界处,只有通过安全接入网关的身份认证才能访问到核心业务系统,从而实现了核心业务系统的隐藏,降低了暴露面。
该方案的部署不改变系统的原有拓扑结构,不需要定制开发,通过将密码设备网络接口化的实现机制,降低了实施成本,提升用户的接受程度。
3.3 主要功能
身份标识:采用PKI/CA系统颁发的数字证书作为系统中用户的身份标识。
身份鉴别:身份认证机制基于PKI/CA数字证书认证体系,采用数字证书作为整个系统中所有实体的身份标识,采用国密的SSL VPN协议作为身份鉴别协议,通过双向身份认证确保系统中各实体身份的合法性。
访问控制:该方案中涉及的安全接入网关以及安全接入终端的访问控制采用基于RBAC的强制访问控制机制。
3.4 主要技术指标
以方案中的安全接入网关设备为例,其主要技术指标如下:
支持证书类型:符合国家密码管理局《基于SM2密码算法的数字证书格式规范》的公钥证书。
支持算法类型:支持SM2密码算法,密钥模长256;支持SM3密码算法;支持SM1密码算法;支持SM4密码算法。
性能指标:256位SM2签名速度:8000次/秒;256位SM2验证速度:4000次/秒;随机数生成速度:20Mbps。
4. 方案特色
基于国产密码算法的CA系统作为身份认证信息生命周期管理机制;基于SSL协议的双向身份鉴别机制;基于硬件特征码的终端准入机制;基于“协议白名单”的行为准入机制;以“硬件型接口”代替软件接口型设计;一次一密,加密机制更安全。
5. 适用领域
该方案主要适用于测绘行业以及其他涉及信息资源加密传输的应用场景。目前世纪先承已经在测绘行业具备了一定的项目实施经验。
6. 企业分工
此类应用案例公司在实施阶段主要负责如下工作内容
(1)梳理用户的网络拓扑结构,根据网络实际情况设置安全接入方式。
(2)根据安全接入终端和安全接入网关的工作特性,结合用户的网络拓扑结构在不破坏用户合理的网络拓扑结构的情况下设计有效的安全接入方式。
(3)根据实际需要对提供的产品进行统一的命名,方便管理。
(4)安全策略制定:安全设计方案保护安全接入网关和网络免受非法用户以及垃圾流量的攻击,按保护对象分主要包括以下几类:WEB管理界面控制;远程SSH控制;本地防火墙策略设置;关闭无用服务端口。
该方案所涉及的产品以及相关技术指标如下表所示:
产品名称 | 产品图片 | 关键指标 | 应用场景 |
安全接入网关(数据中心版) | | 产品形态:2U机架式;网络接口:千兆,2WAN+4LAN 最大并发连接数:200万;国密算法:SM1/SM2/SM3/SM4 加密性能:SM1: 410Mbps SM4:150Mbps;安全功能:SSL VPN,防火墙,安全审计;并发用户数:50-1000 | 数据中心
|
密钥管理系统
|
| 产品形态:嵌入式硬件;网络接口:千兆,2WAN+4LAN 国密算法:SM1/SM2/SM3/SM4;安全功能:密钥颁发,密钥撤销,安全审计 | 数据中心
|
安全终端 (工业现场版)
|
| 产品形态:嵌入式硬件;网络接口:百兆,1WAN+1LAN 无线协议:802.11 b/g/n;国密算法:SM1/SM2/SM3/SM4 加密性能:SM1:3.38MBps SM4:337KBps;安全功能:SSL VPN,防火墙,安全审计;并发用户数:1-10 | 工业数据采集 物联网 智能家居
|
安全终端远程管控系统 |
| 产品形态:嵌入式硬件;网络接口:千兆,2WAN+4LAN 系统管控:固件升级、进程管理;网络管控:上行网络设置、下行网络设置IP地址设置;安全设置:准入规则设置、安全连接设置密钥更新 | 数据中心
|
客户端软件
|
| 产品形态:软件;支持平台:Android,iOS,Windows,Linux 国密算法:SM1/SM2/SM3/SM4;密码设备:TF卡,UKEY,软件实现(SM1除外) | 定制开发
|
7. 应用案例
目前该方案已经在广西壮族自治区测绘地理信息局、广东省测绘地理信息局以及云南省测绘地理信息局进行了具体的应用,用户反响良好
北京世纪先承信息安全科技有限公司
联系人:魏华飞 李宗伟
电 话:18611199112 18611370032
010-62967270 010-62967270
微信公众号
