涉密信息系统身份鉴别与访问控制解决方案

1、本方案将解决什么问题      
涉密行业中存在着大量涉密信息,这些信息或者影响单位本身的生存,或者决定整个行业的发展,甚至关乎到国家的安全,因此采取什么样的涉密信息系统来保护敏感数据,对这些行业来说至关重要。但是在现实中,由于技术或实施等原因,大部分信息系统的安全建设并不到位,特别在用户身份鉴别和访问控制方面留下了巨大的隐患,这潜在的问题包括：     （1） 信息系统账号分散管理,当存在大量用户时,导致工作量很大,账号被盗的可能性大大提高。    （2） “用户名+口令”的认证方式并不安全,为了加强安全系数,必须要求经常更换口令,但是这样又会给终端用户带来不好的体验。    
（3） 认证方式的不安全直接导致了无法充分保证接入网络的用户身份的合法性,从而使非法接入网络盗取涉密信息的可能性大大提高。    
（4） 集中访问控制机制的缺失将会导致对信息系统访问的用户群体可控性较差,管理也较为复杂,从而容易被非法用户接入信息系统进行涉密数据的读取或破坏。     （5） 集中审计机制的缺失将导致无法对用户登录各信息系统及在其上的操作行为给出全面的审计记录,也无法实现审计取证。
 2、本方案的组成以及解决思路       （1） 方案组成      本方案主要由CA证书签发系统、网络接入身份鉴别系统、终端登录控制系统、域登录控制系统、资源访问控制系统组成。                                      
（2） 解决思路       ●　本方案的总体解决思路通过CA证书签发系统为网络中所有用户签发基于USB KEY的数字证书,实现基于数字证书的管理。  
●　具体实现上,系统根据用户的实际情况,针对部署windows域的环境,部署域登录控制系统,实现基于USB KEY的智能卡域登录;针对没有部署windows域环境的用户,将会部署终端登录控制系统,实现基于USB KEY的用户终端登录控制。     ●　需要接入网络的用户还需要通过网络接入身份鉴别系统的认证,只有通过鉴别的用户才能连接网络,实现各种应用。这一系统的鉴别过程仍然是基于USB KEY来完成的。     ●　为了强化安全系数,本方案还将部署国瑞研发的资源访问控制网关实现对用户访问路由器、交换机、主机、数据库、B/S、C/S业务系统的访问控制;为了保证方案的稳定性, 资源访问控制网关还支持双机热备份部署。 3、本方案的优势      （1） 安全系数高     本方案采用了国瑞自主研发的资源访问控制安全网关、PKI系统以及DigitalTrust终端登录系统等主要的安全产品,结合802.1X、智能卡域登录、Radius服务等业界广泛认可的重要安全保障机制,确保了只有合法用户才能访问对应的资源,最大程度保护用户的涉密信息。    
（2） 配置简单、使用方便     本方案在最大限度保护安全的前提下,尽可能地提供最佳的用户感受,本系统无需过多的密码,通过初始设置,可以实现终端登录、网络接入、网关登录和各类信息系统的单点登录。     （3） 符合国家安全标准 4、本方案的主要应用行业       ●　军工：军队、军工企业等;    　　 ●　通信：电信、移动等运营商;     ●　金融：银行、保险、证券;     ●　政府：海关、税务、工商、交通、水利、公检法、烟草等;     ●　企业：石油、化工、烟草等;