教育信息安全整体解决方案.docVIP

基于商用密码技术的单点登录、单一入口、统一日志、统一权限的 教育信息安全整体解决方案 华翔腾数码科技有限公司 应用推广事业部 文档编号/共册2010-10-19 目录 1. 问题分析 3 2. 方案概述 5 2.1. 内嵌模式 7 2.2. 外挂模式 7 2.3. 兼容模式 7 3. 教育信息安全服务平台 8 3.1. 教育信息安全服务平台服务器 8 3.2. 教育信息安全服务平台网关 9 4. 业务系统集成方案 11 4.1. 内嵌式业务系统 11 4.2. 外挂式业务系统 11 4.3. 兼容式业务系统 11 4.4. 客户端扩展产品 12 5. 平台部署方案 12 5.1. 基于教育局的部署 12 5.2. 基于学校的部署 13 5.3. 基于教育城域网的部署 13 6. 方案特色 14 6.1. 技术先进 14 6.2. 兼容良好 15 6.3. 性能强劲 15 6.4. 安全稳定 15 6.5. 服务周到 16 6.6. 合作共赢 16 7. 联系方式 17  问题分析 教育行业是应用计算机技术和网络技术的先锋，随着教育信息化的迅猛发展，教育局、教育服务部门、学校等不断增加基于 Internet/Intranet 的业务系统，如：电子政务系统、网上申报系统、网上审批系统、OA 系统、考试系统、资源系统、电子图书系统、学籍管理系统等，一般都要求实现用户管理、身份认证、授权等必不可少的安全措施，分别从以下三个方面予以分析： 由于教育信息化经历了长达20年的建设过程，各业务系统技术不同、来源不同，针对相同的用户群，存在以下的问题： 每个系统都有各自的身份认证系统和入口，造成了资源浪费； 多个身份认证系统增加了系统管理成本，并增加出现信息安全事故的可能； 用户需要记忆多个帐户和口令，使用极为不便，同时由于用户口令遗忘而导致的支持费用不断上涨； 多个身份认证系统，使安全策略必须逐个在不同的系统内进行设置，因而造成修改策略的进度可能跟不上策略的变化； 多个日志，无法统一分析用户的应用行为； 对新部署的业务系统缺少身份认证、权限管理和日志系统的接口标准； 现有的教育信息平台和业务系统，缺乏全面的信息安全保障，存在以下问题： 信息采集过程，无法完全确定数据来源真实身份，可能遭遇黑客和破坏分子假冒提交，缺少签名的数据，无法进行错误跟踪和责任追究； 信息交换和存储过程，可能出现偷窥、窃取和篡改； 信息使用和业务行为，可能出现非法使用、错误操作和事后抵赖； 教育行业不断提高的信息安全需求和成本控制的矛盾是另一个不容忽视的问题。 新技术不断涌现并使用，应用系统越来越复杂，隐蔽的安全漏洞可能更多，要求信息安全系统越来越庞大； 病毒制造者、网络黑客和情报间谍分子的技术也在不断提高，要求信息安全技术越来越先进； 用户越来越依赖信息技术工作，一旦出现信息安全事故，将产生无法估量的损失，有必要建设一个信息安全保障体系。 方案概述 本方案针对以上问题，以本公司信息安全产品“教育信息安全服务平台”为核心，整合用户单位现有业务系统，并根据用户需求选择搭载本公司的其他安全产品，实现“单点登录、单一入口、统一日志、统一权限”等功能，并实现全过程安全保障。 本方案是针对教育行业信息安全需求日益发展的整体解决方案，图2-1教育信息安全发展趋势图描述了这一需求发展。本方案综合防病毒、防火墙、密码验证、访问控制、加密、CA认证和商用密码等技术，在对教育行业信息系统现状进行全面安全评估的基础上提出，能提供全面的信息安全保障，能最大限度地提高性价比。 图2-1教育信息安全发展趋势图 本方案通过在管辖区部署2至3级系统，共享证书信息，实现上下联通，身份漫游等功能。在系统内部不同层级和不同区域，以唯一的身份认证进行不同的业务操作，如图2-2 三级系统结构： 图2-2 三级系统结构 本方案根据用户需求整合业务系统， “若干用户”+ “1个安全服务平台”+ “若干个业务系统”，称为业务集，业务集架构如图2-3所示： 图2-3 业务集架构图 满足各级教育局的整合称为“局端业务集”，满足各类学校的整合称为“校端业务集”，本方案的第5部分将为用户提供不同的部署方案，业务系统通过“教育信息安全服务平台”合成的模式有如下三种： 内嵌模式 将业务系统直接安装在“教育信息安全服务平台”上，共享平台的软硬件资源，这种业务系统运行模式称为“内嵌模式”，内嵌模式的业务系统应满足以下条件： 基于J2EE平台； 基于ORACLE数据库； 基于“安全服务信息交换接口规范”； 注：“安全服务信息交换接口规范”是本公司为规范安全服务平台和业务系统之间通信而制定的规范。 外挂模式 只要遵守“安全服务信息交换接口规范”，任何有别于J2EE平台和ORA