项目背景
随着大亚湾核电运营管理有限公司信息技术的快速发展,信息安全的问题也越来越明显地体现出来,而身份认证作为信息安全中重要的一环,也存在着很多的问题:
1)
独立认证:目前几乎每个系统的认证和授权相互独立,用户需要记住多套密码,每个密码的策略不一样(有的密码复杂度和更改周期有限制,而有的则没有),给管理上造成了很大的麻烦,而且也是安全的比较大的漏洞;
2)
认证脆弱:所有的用户验证都是通过用户名和密码来进行,然而复杂的密码推行又有困难,导致部分用户的密码简单,容易被猜测,而且大部分都是明码传输;
3)
部分需求目前无法满足:如安全需求比较高的系统(如VPN、财务、人事系统等),没有实施相应的安全认证和加密措施;部分重要文件或数据需要加密存储或传输,然而没有相应的统一的技术手段来完成。
随着信息技术的发展,上述的需求和漏洞会越来越大。因此,建立一个统一的、适用于多平台多应用的、能够满足未来大多数安全需求的身份验证体系越发显得重要起来。
解决方案
采用顶尖安全身份认证PKI整体解决方案,为核电集团建立企业认证中心(CA),提供安全可靠的身份认证服务、基于PKI证书的加密服务以及企业多样化的跨平台应用认证系统。
w
管理中心:负责直接为企业用户发放数字ID,并同时为认证提供存储,规则配置等;
w
目录服务器:存储用户ID和撤消列表, 并提供查询服务.
w
安全服务器:主要提供PKI系统服务器端的功能
w
授权安全管理中心: 提供配置管理中心和及其用户日常运行的接口
w
桌面安全软件:无缝地与桌面操作系统集成,并向所有应用软件提供安全服务
w
加密机HSM:产生根密钥,保管密钥、并通过PKCS11模块接口给认证系统提供加解密、签名、验证等功能
w
USB Token:存放用户证书,实现安全操作
项目收益
-
通过自动管理密钥和证书,建立了安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性;
-
建立了安全的和透明的身份认证管理系统,用户在获得加密和数字签名服务时,不需要详细地了解PKI的内部运作机制;
-
实现了证书的创建和发布,特别是证书的撤销,实现相应的密钥管理服务,包括密钥的备份、恢复和更新;
-
实现了与目前IT环境内WINDOWS AD的无缝连接;