随着网络时代的全面到来,人们逐渐发现,传统的分散部署的信息孤岛、资源孤岛式的信息系统,已经成为信息化进一步发展的瓶颈。信息系统的部署模式正在由分散部署逐步向纵向部署数据集中的模式发展,融合和统一已成为当前的信息化建设主流。相应地,安全管理模式也要发生相应转变,集中统一的安全管控模式以其安全、高效、便捷的优点,更加符合当前信息系统安全管理的需求。
终端使用安全和应用访问安全是安全管理的两个核心内容。当前,终端往往缺乏有效的终端的登录、数据保护、外连控制等方面的管理手段,导致终端面临着入侵、盗用后发生的破坏和失泄密问题,严重危害到终端的可靠性。另外,当前应用系统普遍采取的是用户名+密码的认证方式进行身份认证,破解难度低,同时应用系统部署分散,各自有一套用户认证及管理系统,导致安全强度低,使用、管理不方便,应用非法访问甚至后台数据泄露的事故时有发生。如何解决终端和应用在使用过程中的安全问题,并进行统一集中的安全管理,是当前亟待解决的问题。
方案以PKI/CA体系为基础,为用户提供标准的用户身份即数字证书,基于数字证书在终端登录及应用访问时对用户进行身份认证,并对用户进行授权、审计等安全管理,从而实现信息系统的安全加固。
方案包括终端安全管理建设和应用安全支撑建设两个部分。在终端建设终端安全管理系统,实现终端安全登录,外联管理,终端行为的监控审计,以及,采用数据保护技术和磁盘驱动技术,保护存储设备中的数据安全;并由服务端下发安全策略进行统一的终端安全管理。同时,建设PKI电子证书认证系统以及统一认证服务体系,通过统一用户管理系统对用户进行统一的身份、权限信息管理,以及,建设身份认证网关,对应用进行网关接入的改造,以网关对证书进行认证的方式代替原有的用户名+密码的认证方式。用户通过身份认证网关认证后,即可访问权限内的所有业务系统,达到单点登录的效果。
