自建CA认证系统实用方案
自建CA认证系统实用方案
一、CA认证系统建设的背景
1.1 网络身份认证风险
如何认证互联网业务中对方的身份,是制约信息产业发展的瓶颈,身份认证问题亟待解决:
(图一)身份认证是第一道防线
纵使是固若金汤的保险库,非法分子一旦掌握了打开大门的钥匙,保险重地将会变成了窃贼的后院。业务系统即使被防火墙、入侵监测、防病毒等边界系统保护,一旦入侵者冒充合法身份进入,系统安全荡然无存。
基于用户名/口令的认证方式是最常用的一种技术,也是现在财务系统使用的认证方式,无论是数据网中的系统管理、业务管理、办公自动化系统还是远程登录,都是基于用户名和口令的方式认证。
基于用户名/口令的认证方式存在严重的安全问题,是攻击者最容易攻击的目标:
1) 单因素的认证,安全性仅依赖于口令,口令一旦泄露,用户即可被冒充。
2) 为记忆方便,是用户往往选择简单、容易被猜测的口令,如:与用户名相同的口令、生日、单词等。这往往成为安全系统最薄弱的突破口。
3) 口令一般是经过加密后存放在口令文件中,如果口令文件被窃取,那么就可以进行离线的字典式攻击。这也是黑客最常用的手段之一。
最近屡屡爆出的口令泄密事件,如CSDN、天涯、新浪微博、省进出境管理都是身份认证方式选择不当引起的。而弱认证带来的经济损失更是触目惊心,郝金龙利用计算机入侵某银行计算机网络,修改账户信息,大肆窃取现金。黑客利用钓鱼获取网银用户账号密码以及动态密码,乐清市女士网银被窃200万元。
1.2 信息泄露风险
传输在客户端与Web服务器之间的敏感、信息和交易数据,如资金调拨、资金往来、个人账户信息等,这些数据都是的数据,一旦被竞争对手或者非法分子获得,将会给企业财务系统带来致命威胁。
互联网的开放特性使得任何跨机房传输的信息可能被截取,被非法用户加以利用,给用户和企业造成损失。目前使用最多的一些互联网抓包工具如sniffer,具备初级计算机应用水平就能操作自如。莱钢的泄密事件给企业、国家带来的了巨大损失,在全国围掀起了一场风暴。通过数据加密进行信息隐藏是行之有效的解决方法,非法分子即使能够窃听网上交易数据,但没有破解的密码钥匙,信息无法读懂。
信息泄露,尤其是用户名+口令的认证信息泄露,将会给业务系统带来致命风险:
(图二)信息泄露示例
1.3 法律和责任风险
财务管理系统中重要单据如合同、标书、转账、结算、报表等传输中的完整性至关重要,通过开放的互联网,敏感数据在传输过程中很可能被恶意篡改、重发,使得接收方不能得到完整的信息,网上交易时经常会由于对发送的信息进行抵赖而引起不必要的纠纷和问题,给交易的双方带来巨大的影响和损失,网上交互(交易)行为一旦被进行交易的一方所否认,另一方没有已签名的记录来作为仲裁的依据(无论是司法取证还是部管理追溯或者审计),法律和责任风险无法控制。
《电子签名法》明确定义了数字签名具有和手写签名同等的法律效力,因此在财务管理系统中对关键表单进行数字签名是保护企业合法权利的有效办法。
下图为互联网交易中,消息篡改示例:
(图三)信息篡改示例
二、CA认证系统建设的必要性
2.1国家法规政策要求必须加强身份认证管理
《商用密码管理条例》中第十四条规定:任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。
公安部、国家局、国家密码管理局、国务院信息工作办公室联合发布了《信息安全等级保护管理办法》,以及一系列针对计算机信息系统进行安全等级保护的要求,对于身份认证和通讯加密提出了明确要求。
《电子签名法》第4,5,6,13条对于合法签名的定义,要求必须使用基于PKI/CA的强身份认证管理。
(图四)符合电子签名法
2.2企业控必须加强身份认证管理
随着萨班斯法案的推广和实施,目前海外公司都在进行一场IT控的变革,而无论是COSO还是Cobit,以及安全指南的ISO17799都无一例外地将身份识别定位为首要解决的关键问题。有效的身份识别方式才能够为追溯行为和责任体系,审计证据链提供最有效和最有力的支撑。
2.3整体安全需要加强身份认证管理
根据安全的木桶理论,身份认证作为业务系统安全的基石,采用强身份认证是保证整体安全的前提。采用密码理论构建的证书认证体系,其安全性等同于破解“大整数分解”、“离散对数”等数学难题,是可证安全的,并被广泛采用。
三、CA认证系统集成方案
CA安全认证平台基于 PKI/CA 技术能够解决身份假冒问题、数据泄露问题、信息篡改问题、安全审计问题。平台中的 CA 认证系统采用自建模式,符合国家密码管理局制定的《证书认证系统密码及其相关安全技术规》,企业自我维
护和管理、发放数字证书,通过电子签名中间件与用户财务系统集成实现基于 U 盾(密码令牌)的强身份认证、防止公网窃听、保障信息不被非法修改、实现业务审计,通过数字证书这种安全技术来打造全新的诚信体系,全方位保证企业的信息安全。
3.1 CA认证系统介绍
CA 认证系统是平台的核心部件,用于向平台应用提供数字证书管理支持,是网上信任管理的权威机关,CA 安全认证系统采用浏览器/服务器(B/S )模式,系统管理员通过浏览器可以远程进行用户证书的申请、更新、注销、下载等操作,部署灵活,操作简单。
用户
网上交易系统
数据库
(图五) CA 系统结构图
3.2 功能说明
CA 系统具有高强度的自身安全管理功能,提供用户数字证书、密钥的 安全管理,通过U 盾存放用户数字证书,具体功能包括:
(1)证书和证书黑管理:提供基于U 盾的用户数字证书申请、审核、下载、更新、注销、恢复等管理,定时签发或者手工签发证书黑,并进行发布,证书黑中的数字证书将不再受信任。
(2)用户密钥管理:用户数字证书中的密钥由密钥管理模块生成,该模块提供非对 称密钥对的预生成、用户密钥对分发、密钥对恢复、用户密钥取证恢复等管理功能。
(3)证书状态在线查询功能:提供用户证书状态的在线实时查询功能,已经注销的 数字证书将不能在应用系统中使用。
(4)密码服务:提供业务操作的密码运算功能,包括数据加密/解密、消息
签名/验证,从业务层面保护信息的安全性。
(5)灵活的证书服务:产品功能丰富,支持用户身份的集中管理、分布式
管理,所有证书状态改变,都通过电子进行通知。
(6)远程设备证书管理:支持国外主流网络设备的SCEP远程证书申请,包
括路由器、网关、VPN、防火墙等。
(7)移动应用支持:采用硬件绑定的软证书,充分保障移动应用的安全性,
支持安卓操作系统、iOS系统,支持多浏览器如IE系统、Firefox、Sofari、Chrome 等。
(8)安全审计:提供关键业务操作的审计功能,对业务操作进行签名,并
采用日志完整性保护技术,确保审计数据库中的操作信息一经删除,能够及时
提醒,并追溯到具体的责任人。
3.3 系统特性
→强认证:用户通过硬件U 盾(或USB key)认证登录,基于证书的双因子认证彻底解决登录的安全问题。
→强密码:基于密码硬件提供高强度的密码算法进行数据加密传输,防止信息泄露。
→强审计:自建 CA 系统具有电子签名法的法律效力,保障数据不被非法篡改,信息和操作可溯源,责任落实到操作人。
→强自保:安全认证系统自身采用多级管理体系,使用密码硬件进行密钥管理,充分保障系统自身的安全性。
→强扩展:提供关于集团企业信息化安全的整体解决方案,使用同一个U 盾可以扩展到多种应用系统。
→高效率:提供局域网的在线证书实时验证服务,系统运行效率高并且稳定可靠。
自建CA认证系统模式,通过在财务系统服务器上部署CA认证系统的集成接口,配置财务系统验证模式,可以实现CA认证系统与财务系统系统的应用集成。与财务系统系统同步升级,用户自我维护和管理数字证书;支持多种证书应用,实现一Key多用,系统部署简单、配置灵活;系统应用广泛,运行稳定、性能优越,
为客户安全使用财务系统系统保驾护航。
3.4 CA集成部署
CA 系统部署:在财务系统服务器的同一个机房部署一套功能完善的安全认证系统,用户可以自行发放、管理数字证书,实现业务系统的用户身份认证、业务数据防篡改、信息加密传输、数据库敏感数据加密等安全功能。
→CA认证系统:与财务系统服务器部署在同一个机房,硬件可选用普通PC 服务器,支持mySql等免费数据库,使用PCI-E密码卡提供CA密钥保护
和高速密码运算。
→签名中间件:以Java包形式部署在财务系统服务器,客户端中间件自动下载。
→用户存储介质:以Usb Key的形式为用户提供证书管理支持。
→SSL VPN网关:以独立工控机硬件的形式部署在外网的接入口,为外网用户使用财务系统系统提供安全接入,提供SSL加密通道。
(图六) CA部署方式
3.5 财务系统集成流程
CA系统颁发的数字证书通过U盾发给财务系统用户,实现基于数字证书的登录管理和业务签名/验签、业务审计等功能。
务器(图七) CA与财务系统结合的处理流程
(图八)财务系统集成CA证书应用总体流程
四、CA项目实施方案
4.1项目管理
为了保证CA项目顺利实施,成立分工明确又能协调配合的项目组,采用项目经理负责制,委派项目经理负责项目中双方工作的协调、安排、监察等各种项目管理工作,确保项目质量并达到预期目标。
4.2方案制定
项目经理协同财务系统工程师与客户进行交流,根据项目合同要求,按照实施计划和实施方案:
(1)制定《实施计划》。
(2)制定《实施方案》。
(3)进行风险管理。
(4)定期沟通项目进展情况.
4.3环境准备
(1)硬件准备
(2)软件准备
4.4安装调试
(1)环境准备支持,协助客户准备系统实施的软件和硬件环境。
(2)安装操作系统、安装数据库。
(3)CA系统安装,并初始化。
(4)建立管理体系,设立管理员、操作员、审计员。
(5)安装接口和服务器证书。
(6)配置CA Server。
(7)签发测试证书,完成登录、签名/验签业务的测试。
(8)完成证书应用的集成部署。
4.5管理岗位设置
CA认证系统基于RBAC权限模型,进一步提高了系统的安全性。分成证书操作员角色,证书审核员角色,密钥管理员角色,系统管理员角色四个角色。企业可以根据自己的实际情况,和对安全的要求等级,选择一个人担任一个角色或者一个人担任多个角色。科学严密的权限管理方案,如下图:
4.6证书管理流程
?用户申请:用户或操作员登陆证书管理系统,填写用户信息,提交申请CA 证书的申请单。
?部门领导审核:部门领导登陆系统,审核用户的申请单。
?审核员审核:审核员认真核对证书申请单的信息,确认无误后,审批通过。
反之不通过。
?操作员制作证书:操作员根据审核员审批通过的证书申请单,将证书信息下载到一个新的USB-KEY中,一新的证书就制作好了。
?操作员移交证书:证书管理员将证书(USB Key)及证书有效期移交给给最
终用户,并告知证书使用注意事项(证书需随身携带,密码需修改且建议不与财务系统密码一致),双方填写证书移交表。
?用户使用证书:最终用户修改证书(USB Key)密码。
?证书更新:操作员发现管辖围的证书即将到期,操作员向用户发起延期申请,对证书进行延期处理。
?证书废除:最终用户发现证书丢失后,需立即向证书操作员报失,以便立即对证书做废除处理;并通知财务系统管理员关闭该财务系统用户权限。
证书分类如下:
4.7证书介质管理
?证书介质为USB Key;
?证书介质作为证书的存储工具,应该妥善保管,随身携带;
?用户应保存好自己介质的口令,口令遗忘遗失请与相关管理人员联系;
?证书介质的密码应不与财务系统的用户密码一致;
?用户介质丢失应及时向系统管理员报失。
本方案由泰成先生制作,如有疑问,请咨询,共同探讨。