数据传输安全桥梁｜太阳成集团tyc4633数据安全传输密码应用方案

背景：

信息化的快速发展随之产生了大量的数据信息，这些信息通过网络进行传输、存储和处理，在此过程中，获取这些关键信息的各种网络犯罪也相应上升。

应用需求：

信息系统通常采用基于B/S架构的HTTP（超文本传输协议），近年来基于HTTP协议传输的数据泄露事件频繁发生，如Facebook泄露超过8700万条用户信息；圆通快递泄露10亿条左右用户信息；华住会旗下多家连锁酒店开房信息被泄露等等。因此信息传输、存储和处理过程中需要更加安全的保护。

解决方案：

GB/T 39786《信息安全技术 信息系统密码应用基本要求》规定了信息系统在网络和通信安全层面的密码应用技术要求。为满足合规要求，太阳成集团tyc4633数据安全传输密码应用方案通过部署密码应用产品，实现数据传输安全。以密码测评三级信息系统为例：

1、身份鉴别

为了保障通信实体身份的真实性，将采用第三方可信机构分别对用户、综合安全网关配发个人证书、设备证书。

服务端所部署的综合网关，发起证书签发请求，由第三方可信认证机构对请求认证，也可通过采购应用系统站点证书，由综合安全网关做反向代理，实现单向身份认证。

2、通信数据的机密性与完整性

①当生产机房与灾备机房要求数据同步时，为了保证数据传输的安全，分别在网络边界部署综合安全网关，并结合设备证书搭建基于IPSec协议的安全传输隧道，实现通道中数据传输的机密性与完整性。

②当客户端访问应用系统时，通过红莲花国密浏览器与综合安全网关搭建基于SSL协议的安全传输隧道，实现通道中传输的数据的机密性与完整性。

③当运维管理员管理应用系统时，除了搭建安全传输隧道，再使用RDP、SFTP、SSH等协议保障安全综合网关到堡垒机之间的通信安全。

3、网络边界访问控制信息的完整性

采用综合安全网关，并开启访问控制策略功能，实现基于密码技术保障边界访问控制的完整性。

4、安全接入认证

对于从外部接入内部网络的设备，同时也可以利用综合安全网关对接入的设备进行认证，认证通过后，方可接入系统进行使用。

方案优势：

l  集成插件，快速安装，后台自动升级，方便使用。

l  兼容性好，能够自动切换内核，适应各种业务系统。

l  提供统一入口，将多个应用聚合到一个入口中。

l  集成管控功能，后台提供了用户行为分析和安全审计等功能。

l  加强安全防护，提供了国密SSL、缓存保护、证书管控、插件管控、内容安全、水印溯源等一系列安全保护机制。