系统安全性设计报告

标签：公文 要求 加密 报告 密码 密钥 设计 传输 安全性

1.系统密码功能要求

安全性要求是无纸化电子公文传输系统首先要满足的要求。由于网络环境的广泛性和复杂性等特点，普通电子文件很容易在网络传输过程中被截取或篡改。而电子公文文件必须具有保密性、严肃性和不可抵赖性的特性，绝对不允许出现此类安全漏洞。为此我们采用了RSA不对称加密方法，借助通过国家商业密码委员会认证的硬件加密产品，实施电子公文文件的加密操作。具体来说，公文的生成和制作首先要运用公文制作单位的加密狗，通过该单位的硬件私钥密码，以时间戳方式进行电子数字签名，确保该公文的合法性、可识别性、严肃性和法律性。在公文的发送过程中，根据收文单位，获取对应收文单位的公钥，以该公钥对公文文件进行加密，输出给收文单位。收文单位获取收文后，首先通过自己加密狗的私钥对收文进行RSA解密，再对解密后的收文，以发文单位的公钥进行收文的电子签名验证，确定来文的合法性。整个过程可简单表示为:公文草件一(电子签名)。电子公文一(RSA加密)斗传输一(RSA解密)一收文一(电子签名验证)。阅读时，对所有公章等关键信息进行矢量化操作，确保这类关键信息不被非法截获和使用，具体要做以下操作:读入BMP图片文件，接着解读BMP点阵，构造矢量数据，存贮矢量数据。以本单位加密狗私钥对存储的矢量数据进行电子签名，使矢量章具备可识别性和法律严肃性。用本单位加密钩公钥及时间戳对已签名公章文件实施RS八加密，从而构造获得加密后的公章文件。

2.密码技术应用要求

要保障电子公文的畅通传输，必须尽可能地降低网络传输的数据量，以适应复杂的网络环境。因此在数据加密之前，首先要利用Lzw算法进行数据压缩处理，使文本文件的压缩率将近1/1000从而有效控制公文传输的数据量。

##3.应用和数据安全 由于电子公文传输系统的使用对象涉及政府部门及相关单位实际操作人数较多，因此其操作必须力求简洁、方便。为此在设计上仿照电子邮件的操作模式，由收件箱·发件箱、系统设置等模块构成，操作人员只要学会电子邮件的收发，就能立即掌握无纸化电子公文传输系统的基本操作。 公文接收方浏览器如同WEB浏览器，其运行环境是复杂和多样的，优秀的公文接收浏览软件必须能适应多种多样的软件环境。为此无纸化电子公文传输系统提供了图档化的电子公文传输模式，从而使公文接收端可以无须与公文的发送端具有相同的软件环境，如不需要相同的字体环境、不需要相同的操作系统(要求是WIN9X以上操作系统)、不需要相同的字处理软件等。 优秀的软件系统一定是一个开放的系统，必须能够提供有效的途径，与用户的其他相关系统之间进行数据交换。无纸化电子公文传输系统提供了以复印件图片文件形式输出公文的能力，使其他系统可以直接引入、利用所接收的公文数据。

4.第三级密码应用基本要求

网络和通信安全

1.机密性+真实性：通信双方进行身份认证，防截获，防假冒，防重用，保证传输过程中的鉴别信息的机密性，网络设备实体身份的真实性

2.完整性：网络边界和系统资源访问控制信息

3.完整性：通信过程中的数据

4.机密性：通信过程中的敏感数据信息字段或整个报文

5.建立安全信息传输通道，集中管理安全设备、组件

6.宜使用硬件密码产品实现密码运算和密钥管理，符合GM/T0028三级以上密码模块或通过国家密码管理部门核准

####设备和计算安全

1.对登陆的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度且定期更换

2.机密性：远程管理是实现鉴别信息防窃听

3.完整性：系统资源访问控制信息

4.完整性：重要资源信息敏感标记

5.可信计算技术：系统到应用的信任链保护重要程序或文件完整性

6.完整性：日志记录

7.宜使用硬件密码产品实现密码运算和密钥管理，符合GM/T0028三级以上密码模块或通过国家密码管理部门核准

应用和数据安全

1.真实性：应用系统用户身份——对登陆的用户进行身份标识和鉴别，实现身份鉴别信息的防截获防假冒和防重用

2.完整性：业务应用系统访问控制策略，数据库表访问控制信息，重要信息资源敏感标记

3.机密性：传输中的鉴别数据，重要业务数据和重要用户信息

密钥管理

信息系统密钥管理应包括对密钥的生成，存储，分发，导入，导出，使用，备份，恢复，归档与销毁等环节进行管理和策略制定的全过程。

1.生成：

密钥生成使用的随机数应符合GM/T0005要求，密钥应在符合GM/T0028的密码模块内部产生，不得以明文方式出现在密码模块外；

应具备检查和剔除弱密钥的能力。

2.存储：

密钥应加密存储，并采取严格的安全防护措施，防止密钥被非法获取；

密钥加密密钥应存储在符合GM/T0028的二级及以上密码模块中。

3.分发：

应采取身份鉴别、数据完整性、数据机密性等安全措施，能抗截取、假冒、篡改、重放等攻击

4.导入与导出：

应采取安全措施，防止密钥导入导出时被非法获取或篡改，并保证密钥的正确性存疑

5.使用：

密钥应明确用途，并按正确用途使用；

使用公钥密码体系之前应验证公钥；

应有安全措施防止迷药的泄露和替换；

密钥泄露时，应停止使用，病启动相应的应急处理和响应措施；

按照要求定期更换密钥，并保证密钥更换时的安全性

6.备份与恢复

应制定明确的密钥备份策略，采用安全可靠的秘钥备份恢复机制；

备份或恢复时要记录，并生成审计信息，包括备份或恢复的主体、时间等

7.归档

采取有效的安全措施保证归档密钥的安全性和正确性

归档密钥只能用于解密该秘钥加密的历史信息或验证该秘钥签名的历史信息；

记录并生成审计信息

归档密钥进行数据备份并保护

8.销毁

应具有在紧急情况下销毁密钥的措施如何定义紧急情况

5.电子公文传输系统应用基本要求

信息系统密码应用技术框架

框架概述

本标准从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层 而提出密码应用技术要求.保障信息系统的实体身份真实性、重要数据的机密性和完整性、操作行为的 不可否认性;并从信息系统的管理制度、人员管理、建设运行和应急处置四个方面提出密码应用管理要求为信息系统提供管理方面的密码应用安全保障。

密码应用技术要求维度

技术要求主要由机密性、完整性、真实性、不可否认性四个密码安全功能维度构成.具体保护对象或 应用场景描述如下：

a）机密性技术要求保护对象

使用密码技术的加解密功能实现机密性.信息系统中保护的对象为：

1）身份鉴别信息；

2）密钥数据；

3）传输的重要数据；

4）信息系统应用中所有存储的重要数据。

b）完整性技术要求保护对象

使用基于对称密码算法或、基于公钥密码算法的数字名机 制等密码技术实现完整性信息系统中保护的对象为：

1）身份鉴别信息；

2）密钥数据；

3）日志讪录；

4）访问控制信息；

5）重要信息资源安全标记；

6）重要可执行程序；

c）真实性技术要求应用场景

使用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码机制、基于公钥密码算法 的数字签名机制等密码技术实现真实性?信息系统中应用场景为：

1）进入重要物理区域人员的身份鉴别；

2）通信双方的身份鉴别；

3）网络设备接入时的身份鉴别；

4）重要可执行程序的来源真实性保证；

5）登录操作系统和数据库系统的用户身份鉴别；

6）应用系统的用户身份鉴别。

d）不可否认性技术要求保护对象

使用基于公钥密码算法的数字签名机制等密码技术来保证数据原发行为的不可否认性和数据 接收行为的不可否认性。

密码应用管理要求维度

管理要求由管理制度、人员管理、建设运行、应急处置等四个密码应用管理维度构成，具体如下：

a）密码应用安全管理相关流程制度的制定、发布、修订的规范性要求；

b）密码相关安全人员的密码安全意识以及关键密码安全岗位员的密码安全能力的培养.人员 工作流程要求等；

c）建设运行过程中密码应用安全要求及方案落地执行的?致性和石效性要求；

d）处理密码应用安全相关的应急突发事件的能力要求。

密码应用基本要求等级描述

本标准对信息系统密码应用划分为自低向高的五个等级,参照GB/T 22239的等级保护对象应具 备的基本安全保护能力要求,本标准提出密码保障能力逐级增强的要求,用一、二、三、四、五表示。信息系统管理者可按照业务实际情况选择相应级别的密码保障技术能力及管理能力，各等级描述如下：

——第一级，是信息系统密码应用安全要求等级的最低等级.要求信息系统符合通用要求和最低限 度的管理要求，鼓励使用密码保障信息系统安全；

——第二级，是在第一级要求的基础上增加操作规程、人员上岗培训与考核、应急预案等管理要求并要求优先选择使用密码保障信息系统安全；

——第三级，是在第二级要求的基础上，增加对真实性、机密性的技术要求以及全部的管理要求；

——第四级，是在第三级要求的基础上，增加对完整性、不可否认性的技术要求；

通用要求

第一级到第五级的信息系统应符合以下通用要求：

a）信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关 要求；

b）信息系统中使用的密码技术应遵循密码相关国家标准和行业标准；

c）信息系统中使用的密码产品、密码服务应符合法律法规的相关要求。 电子公文传输系统安全性设计方案

1.安全需求

身份认证

身份认证体现在数据库登录时连接数据库的用户所具有的角色，管理员和普通用户所属的数据库角色是不一样的，对于特定的表项，普通用户是没有查看和修改的权限的。

数据机密性

在数据传输过程中，要根据实现协商好的密码协议进行通信，在数据的传输过程中不能被中间黑客截获未加密的数据。通信双方需要实现配置好安全协议、分配好密钥。

数据完整性

在文件传输时，需要生成相应的MAC值，接收方再次生成MAC与发送方的MAC比对，比对成功时数据才算有效。

数据不可抵赖性

数据传输的过程中，发送方需要用私钥对文件进行签名，接收方用公钥进行验签，验证成功才能确定发送方的身份。签名和摘要可以同时进行。

2.认证协议

身份认证协议包括服务器和客户梯两方完成服务器对客户押的身份认证及访问脸制。具体要求客户境持有加密卡既保存RSA私钥又支持随机数生成、SHA1SHA-256摘要、RSA签名等密码运算功能服务器持有RSA公钥,具有随机数生成、SHA-1/SHA-256摘要、RSA签名验证功能(可通过挂接密码运算软、硬件产品获得相关支撑)。

该协议特点:

（1）在初始阶段,可生成若干对RSA密钥对灌入加密卡,每个应用可选用其中的一对密钥.而加密卡则可为多个应用提供密码服务;

（2）应用中私钥不会流出加密卡,也不会被暴力破解,具有高的安全性;

（3）加密卡发卡过程简单,部署应用简便。

3.数据库加固

4.安全传输

安全的电子公文传输要求：

数据加密和解密

应该使用安全的密码协议进行通信

保护系统和用户的密钥

在数据的传输过程中不能被中间人截获未加密的数据。

信息摘要计算

传输中使用安全的摘要算法生成相应的MAC值

MAC值需要附在传输的数据后面进行验证

数字签名及验证

数字签名保证数据的不可抵赖性

生成高质量随机数

通过高质量随机数对系统进行抗重放攻击保护

其它与安全有关的系统功能的实现

标签：公文,要求,加密,报告,密码,密钥,设计,传输,安全性
From： https://www.cnblogs.com/shi-yu-jie/p/18191250