網絡和通信安全

身份鑒別和通信數據機密性、完整性

滿足網絡和通信安全的總體要求需要通過國密SSL VPN安全網關配合VPN客戶端構建虛擬專用通道來保證對各通道的安全：

• 平臺管理員通過CN2網絡訪問平臺的業務通道：部署國密SSL VPN安全網關（配備數字證書），以及為平臺管理員用戶配備USBKey（配備數字證書）和VPN客戶端，建立安全的國密加密通道，在此通道內訪問平臺；
• 平臺運維人員通過CN2網絡對平臺的運維通道：部署國密SSL VPN安全網關（配備數字證書），以及為運維人員配備USBKey（配備數字證書）和VPN客戶端，建立安全的國密加密通道，在此通道內對平臺中的各設備和服務器、操作系統等進行運維和管理。

網絡邊界訪問控制

網絡邊界訪問控制信息存儲在國密SSL VPN安全網關中，完整性已得到保護。國密SSL VPN安全網關設備取得國家密碼檢測部門頒發的商用密碼產品認證證書，通過國密SSL VPN安全網關自身機制實現訪問控制信息的保護，該密碼應用要求指標可復用商用密碼產品檢測結果。

設備與計算安全

概述

系統的設備和計算安全層面，主要涉及業務服務器、數據庫服務器、網絡設備、安全設備。因此采用合規的SSL VPN安全網關、服務器密碼機、智能密碼鑰匙、數字證書實現各項商用密碼技術功能。

身份鑒別

通過專用SSL VPN安全網關結合運維堡壘機（或者4A安全系統）提供設備和計算層面的身份鑒別，結合智能密碼鑰匙（內置數字證書），運維人員Ukey數字證書由身份認證系統（CA）簽發，并且與堡壘機分配給運維管理員的賬戶一一對應和綁定。

1.運維人員首先使用VPN客戶端調用智能密碼鑰匙，通過遠程（CN2網絡）連通合規SSL VPN安全網關進行雙向強身份認證，驗證運維人員USBKey證書與SSL VPN服務的雙方身份，握手成功后建立國密SSL VPN隧道。

2.再通過UKey方式登錄堡壘機。用戶通過智能密碼鑰匙登錄堡壘機，采用挑戰/應答機制，采用服務器密碼機對登錄簽名進行驗證，實現運維管理用戶登錄堡壘機的身份鑒別實現。具體過程如下：

• 用戶插入智能密碼鑰匙訪問堡壘機登錄頁面時，終端將簽名數據、證書發送至堡壘機；
• 堡壘機將對數據服務器密碼機進行簽名；
• 服務器密碼機對簽名數據進行驗簽，并返回驗證結果至堡壘機；
• 堡壘機完成證書有消息驗證，綜合簽名數據驗證結果，將驗證結果返回至終端。

基于密碼技術的用戶登錄堡壘機的身份鑒別中，涉及的密鑰為SM2簽名算法公私鑰，涉及的設備為智能密碼鑰匙和服務器密碼機，不存在出現私鑰明文情況。

3.通過堡壘機登錄到服務器/虛機進行維護（SSH V2.0協議），實現對服務器/虛機的管理和維護。

訪問控制信息完整性

通過建立基于商用密碼算法的SSL VPN安全通道，實現了對網絡中的服務器、數據庫、安全設備和密碼設備等設備資產的集中管理。運維人員通過SSL VPN和堡壘機進行遠程維護，首先用戶使用VPN客戶端登錄SSL VPN（運維通道），在運維終端和運維SSL VPN之間建立基于商用密碼算法的SSL VPN集中管理通道，再通過堡壘機管理頁面選擇不同的管理協議和工具對設備進行管理，實現遠程管理通道安全。