强身份认证和信息加密解决方案

一、存在问题

   现在,企事业单位已经越来越依赖其网络化的管理信息系统,但目前日益猖獗的流氓软件、间谍软件等已经开始把触角伸向企业管理系统,使得企业的各种管理信息系统受到了前所未有的威胁,这不是普通的网络黑客攻击,而且企业内部管理信息系统的机密信息被非法窃取而外泄。现在是时候关注企业的机密信息安全了,而且是到了不得不改进的时候了!

   目前,企业管理信息系统中的信息安全普遍存在的 5 大问题为:

   (1) 基于用户名/密码方式的弱认证方式,非常不安全,用户名/密码非常容易被木马非法窃取,只要允许用户能联上互联网(不管是通过什么方式)就难免不中木马毒(任何杀毒软件不可能 100% 识别出所有木马) ,那重要的管理信息系统就等于敞开了大门任人来偷;更加危险的是:一般用户为了好记设置的管理系统密码与在其他外面网站注册的帐户密码一样,这样,管理系统的密码就已经不是密码了;

   (2) 各种企业机密信息文件 ( 如财务报表、客户资料、合同、技术文档、市场计划、采购计划等等 ) 都是明文保存,非常容易被非法窃取和非法外泄;

   (3) 信息系统的服务器没有部署 SSL 证书,这样一切基于浏览器的应用在网上都是明文传输机密信息,非常容易在从用户电脑到服务器之间的传输链路上被非法窃取和非法篡改;

   (4) 所有电子邮件收发机密信息都是明文传输,非常在传输过程中被非法窃取和非法篡改;同时机密信息邮件非常容易被非法转发给非相关人员;

   (5) 多个信息系统的多套密码体系,非常不方便用户使用和管理,而用户一般为了好记实际上在使用同一密码,设定不同级别的权限管理形同虚设。

二、解决方案

   解决信息安全问题的最好解决方案当然是非常成熟的 PKI 数字证书技术, WoTrust 作为国内技术领先和市场领先的数字证书产品和服务 提供商,已经为许多企业提供了信息安全解决方案,针对以上 5 大安全问题,提出如下解决方案:

* 问题(1)和问题(3)使用客户端证书来实现强身份认证,服务器部署 SSL 证书

   只要在服务器部署 SSL 证书,不仅能保证从浏览器到服务器之间的机密信息自动高强度加密,而且如果设置服务器为“ 要求客户端证书 ”,则浏览此服务器的所有页面都需要客户端证书来证明身份,在系统登录页面添加几行读取 客户端证书中的主题信息即可实现用户登录系统的身份认证,原系统的用户库根本不同做任何变动,实现无缝升级和切换;
   请浏览演示页面: https://***/logindemo/

   同时,可以在服务器端设置只允许某个或某些客户端证书才能访问服务器,确保服务器的安全,请参考:企业内部管理系统安全访问部署指南:http://***/solution/Access_Control.htm

* 问题(2)把所有机密信息文件转换为 PDF 文件,并使用客户端证书来数字签名和加密

   使用 Adobe Acrobat 把各种格式的文件转换为 PDF 格式文件,并使用客户端证书签名和加密。可以实现不同安全级别的文件使用不同的证书来加密,用户电脑上必须安装有加密文件的证书才能正常阅读,否则无法阅读。只有这样,才能确保机密文件即使被非法泄露出去,由于没有加密证书还是无法打开,而要破解使用证书加密的文件,目前的最高端的电脑也要 3000 亿年!而只要系统管理员设置用户电脑上的证书是不可导出的,或安装到 USB Key 中,则既能保证合法用户能不受任何限制地方便查阅机密文件,又能防止机密文件被外泄。

   请浏览 PDF 文件签名和加密指南: http://***/Support/pdfsigning_guide.htm

* 问题(4)使用客户端证书数字签名所有 Email 和加密机密 Email

   企业日常业务绝对离不开电子邮件,企业必须强制所有发出的 Email 要使用发件人的个人证书数字签名,而对于机密信息必须使用个人证书加密发送,这样,即使其他非指定收件人收到邮件也无法打开阅读,只要这样才能保证通过电子邮件发送的机密信息不会被非法窃取和非法外泄。而为了控制机密信息的非法转发,则可以把机密信息转化为PDF文件并使用特定的证书加密。

   同时邮件服务器也要部署 SSL 证书,邮件服务器的 Web 方式登录也要升级为使用客户端证书的强身份认证方式,并允许用户设置为不允许用户名 / 密码方式登录,或干脆取消用户名 / 密码方式登录。而邮件服务器的 SSL 证书部署保证了用户 Web 方式收发邮件时自动加密从浏览器到邮件服务器的信息传输。

   请浏览电子邮件签名与加密指南: http://***/Support/email_signing_guide.htm

* 问题(5)使用客户端证书来实现强身份认证的一站式登录各个不同的系统,或不同的系统选择不同的证书来登录

   所有信息管理系统全部采用客户端证书来实现强身份认证登录,密码只是辅助的多一道认证方式,用户必须同时使用合适的证书和对应的密码才能登录;考虑到不同系统的不同权限,可以指定某个系统或某些系统必须使用哪个证书,用户选择不同的证书登录不同的系统,就向现实世界使用不同的证件一样。

   请浏览一站式登录解决方案: http://***/solution/SSO.htm

   以上解决方案中,都用到了客户端证书,一个用户可以有多个证用于不同的系统,而缺省的证书容器是电脑 (IE) ,如果用户使用的是公用电脑,则强烈推荐使用 USB Key 来作为客户端证书的容器,需要使用证书登录或阅读加密文件时插入 USB Key 即可,而退出后拨下 USB Key ,从而真正做到“一把钥匙开一把锁”,没有 USB Key 是无法登录系统和无法阅读机密文件的。

   同时,请注意:以上解决方案中使用的 SSL 证书和客户端证书必须是全球通用的、支持所有浏览器和 OUTLOOK 的,是 Windows 所信任的根证书颁发的,否则无法正常使用和大大增加系统部署和维护成本。

   每台服务器需要一个 SSL 证书,推荐 超真SSL SGC超真SSL 。而每个用户都需要多个客户端证书,由于 WoTrust 已经推出完全免费的、全球通用的、支持所有浏览器和 Outlook 的一年期客户端证书,这样,就把部署整个信息安全系统的费用降低到忽略不计,只需要一个 SSL 证书!

   如果您需要的客户端证书数量少 (10 个以下 ) ,则可以直接申请 WoSign 的 免费个人证书 ,只要购买一个 WoSign SSL 证书即可;而对于需要许多个客户端证书企业,推荐购买 WoSign 超管CA- 企业版 ,让企业可以自己来管理和颁发全球通用的客户端证书,并可以在证书中定制有关字段,以便更好地集成现有系统。当然,超管 CA- 企业版一样可以选择免费的一年期证书,只要 支付系统设置费和年服务费 即可。

   当然,如果免费的客户端证书不能满足您的应用需求 ( 如:需要在证书中显示单位名称等 ) ,则需要购买收费的客户端证书。

   无论需要多少个客户端证书,对于安全性要求更高的用户,我们推荐选购 USB Key 作为证书载体和加解密运算, 1 个 USB Key 一般为 32K 内存,可以保存 1-6 个证书 ( 每个证书大小大约为 5K) ,不同的应用可以选择不同的证书。

   推荐用户购买多年有效期 SSL 证书,不仅可以享受更低的价格优惠,同时还省去了每年请款续费的麻烦。推荐选购在证书中显示中文 / 英文单位名称的超真 SSL 和强制 128 位加密的 SGC 超真 SSL ,都可选购 1-5 年,不推荐用户选购 超快SSL ,因为该证书中不显示单位名称,没有身份验证的功能,无法增强用户的在线信任,而且下一代新的安全浏览器将不再支持只验证域名所有权的超快 SSL 证书。

   请浏览: http://***/SSL_Price.htm 了解解决方案中涉及到的数字证书产品的详细 1-5 年价格。

    如果您就是政府有关部门和大型企业的信息主管,请重视管理信息系统的信息安全问题,并请立刻 联系我们 ,我们有更详细的方案发给您;如果您是企业的员工或系统的用户,请把我们的解决方案报告有关部门的信息主管以便尽快采取有效的信息安全防范措施,只有大家齐努力才能确保公文交换系统的信息安全, WoSign 愿意为此做出应有的贡献。

转载于:https://www.cnblogs.com/cu-wosign-com/archive/2008/12/12/1353403.html

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值