
統一身份認證解決方案.
我國某城市2013年8月5日被列為“國家智慧城市”試點?!爸腔鄢鞘小笔前凑湛茖W的城市發展理念,以互聯網、物聯網、無線寬帶網、云計算等信息技術為基礎,更加廣泛深入地推進基礎性與應用型信息系統開發建設和各類信息資源開發利用,將城市運行的各個核心系統整合起來,實現人、物、城市功能系統之間無縫對接與協同聯動,從而對公眾民生、環保衛生、公共安全、城市服務、商務活動等多種城市需求做出智能的響應,形成安全、便捷、高效、綠色的城市形態。?二、需求分析如圖1所示,本方案針對該城市某政府機構監管系統。它主要由分布在市區23個鄉鎮的視頻監控,200個移動執法終端,分控/區域中心,總監控中心(IDC)及上一級監控中心組成。系統對來自于移動執法終端數據有加密存儲傳輸的需求??偙O控中心的數據為涉及執法及商戶生命財產安全的敏感數據,存儲時間不少于三個月,需要加密存儲;此外,總監控中心與上級監控中心、各分控/區域中心之間信息的傳輸需要加密以保證信息的安全。(圖1)?三、整體解決方案基于數盾公司的SSLVPN密碼網關、IPSecVPN密碼網關、高速網絡存儲加密機、FC交換機、智能移動終端加密TF卡、數盾CA服務器、數盾網絡安全防火墻等產品,可為該城市某政府機構監管系統的信息安全提供高品質、全方位的整體解決方案,從前端數據接入、安全傳輸、安全存儲、運行維護、訪問控制等方面建立安全可靠的防御機制。(方案拓撲)?(1)在200套移動執法終端上加裝數盾智能移動終端加密TF卡,可以實現數據的加密存儲、加密傳輸,移動終端的身份認證等功能。(2)在總監控中心,為存儲陣列服務器加配一套雙機熱備數盾高速網絡存儲加密機,為進出存儲陣列的數據進行高速加解密。(3)采用具有高并發響應性能的數盾SSLVPN密碼網關、IPSecVPN密碼網關、數盾網絡安全防火墻、路由器做為總監控中心與互聯網的交互通道。(4)各分控/區域中心通過數盾IPSecVPN密碼網關、數盾網絡安全防火墻、路由器與總監控中心及其他分系統互聯互通。(5)在網絡中加入數盾CA服務器,對系統中TF卡、VPN網關進行身份認證。?四、方案優勢數盾加密TF卡打造信息安全存儲傳輸的移動執法終端數盾智能終端加密TF卡具有加密隱藏存儲功能、加密卡功能、身份認證功能、銷毀覆蓋等功能。這些功能使得移動執法終端具有良好的信息安全性。?數據加密存儲數盾安全TF卡的另一半存儲容量作為專用存儲,這部分分區對未授權的手機應用程序不可見,只能通過TF卡API訪問。保存在這部分分區中的數據在寫入時逐個字節進行自動加密,在讀出時自動進行解密,從而保證保存在該分區中的數據是以密文形式存儲。?加密通信功能數盾安全TF卡可以作為智能終端的加密卡使用,對智能終端APP程序下發的數據進行加密或解密操作,并將操作后的數據交付給應用層相應的終端APP程序??梢詫崿F移動執法儀與總監控中心的加密通信。?身份認證功能數盾安全TF卡支持身份認證,根據移動執法儀的硬件配制,可選擇口令或生物特征信息(如指紋、聲紋、虹膜等),通過比對實現使用者身份認證功能,并作為安全TF卡內部功能模塊的激活認證途徑。?銷毀覆蓋功能數盾安全TF卡支持在接收到指定指令或者非法操作后,對敏感數據區進行數據全“1”覆蓋,銷毀處理。這一功能有力保證了移動執法信息的安全。?總監控中心數據的高速加密安全存儲該監管系統收集到的海量數據傳輸到總監控中心需要在集中存儲設備中保存至少三個月。這些數據涉及到監管執法工作的順利開展,執法人員的人身安全,經營戶的切身利益,具有保密準確不丟失的需求。為此本方案采用了基于數盾高速網絡存儲加密機的高加密讀寫速度、可雙機熱備的高可靠解決策略。?產品具有顯著的技術先進性高速網絡存儲加密機是一款用于FC存儲區域網絡中的高速、安全可信的加密設備,采用SM2、SM3、SM4加解密算法。采用linux內核安全定制,具有海量exchange并發、幀緩存和幀保存、雙機熱備等先進技術。具有高性能的加解密讀寫速度,提供雙向超過700MBps的加解密接口性能。?產品具有部署的透明性完全透明的處理模式,適應各種FC拓撲,可在不改變用戶原有系統使用的情況下接入系統,用戶感覺不到產品接入帶來的影響。?雙機熱備的高可靠性本方案采用兩臺FC集中網絡存儲加密機組成一個集群,任意一個發生故障不會影響線路上的數據傳輸,提高了系統的可靠運行。?密碼網關構筑快速、安全、可擴展的網絡安全互聯通道由于系統內信息涉及執法等需要保密的內容,總監控中心與上級、同級及各分控區域中心之間需要有一安全的互聯通道,VPN(虛擬專用網絡)利用加密技術在公網上封裝出一個數據通訊隧道,經濟地解決了公網中數據安全傳輸問題。數盾SSLVPN密碼網關、數盾IPSecVPN密碼網關采用自主設計的安全操作系統,提供多種安全功能,并且性能優越于傳統網關。?高并發響應能力保障了總監控中心的接入能力數盾SSLVPN密碼網關支持60000并發用戶接入,可滿足200套移動執法終端、多個生產流通消費區域、多個分控/區域中心的并發(即同時)接入請求。?多種廣域網加速技術打造最快速的總監控中心接入數盾SSLVPN密碼網關擁有基于Web的智能選路技術、對資源服務器的智能選擇功能、針對C/S應用B/S應用的壓縮算法、單臂性能高達2G的超大數據流支持功能,這些功能和技術的使用,保證了總監控中心的外部接入速度。?五個層次的安全保障打造最安全的總監控中心接入SSLVPN提供涵蓋五個層次的安全保障:身份接入安全,單點安全,傳輸安全,權限安全,審計安全,其中身份接入安全以本地用戶名/密碼認證的基本身份認證方式為基石,與指紋識別、短信貓、短信網關等其他認證方式結合,形成更高安全性的組合安全身份認證方式。多種安全保障打造了最安全的總監控中心接入。