移动应用安全管理系统项目设计方案.doc

移动应用安全管理系统项目设计方案 1 概述 移动应用安全管理系统是从用户的应用安全和安全管理需求出发，基于PKI技术构建可信身份体系、鉴权体系及行为追溯体系，实现信息系统可信、可控、可管理，满足用户自身信息化建设发展要求和相关法规政策要求的网络信任体系支撑平台。 由于历史的原因，也是计算机技术日新月异发展的结果，信息化要求较高的行业现有的多套应用系统从当时的设计和建设看来可以说是非常科学和满足业务需求的，但以现在的标准来看，由于不同的应用系统建立在不同的硬件和操作平台上，不同的应用系统是由不同的系统集成商使用不同的语言和开发工具开发出来的，将不可避免的导致不同业务系统之间的用户无法统一管理，资源无法统一授权，审计系统也分别独立，且基于数字证书的强身份认证也可能没有实现。由于用户角色以及资源的改变使得业务运作不够顺畅，导致业务流程被割裂，需要过多的人工介入，效率下降，数据精确度降低，使的信息系统失去了其应有的作用。 从信息化建设的长远发展来看，要形成相互一致的业务基础信息系统和有效运行的信息层次化可信安全体系，必然需要将原来已分别建设的各个业务应用系统平滑地整合在一起，在一个可信的安全基础平台上实现统一用户管理、统一安全审计以及基于数字证书的集中身份认证，以统一Web管理界面方式让各个业务系统间形成一个有机的整体，在整个可信网络体系范围内实现系统信息的高度共享，针对快速变化的外部环境和客户需求，做出及时的调整和反应，真正提升政府机关行政能力或企事业单位核心竞争力。 积累多年信息安全建设经验，致力于帮助用户安全便捷的运用PKI技术建立可信安全体系架构，整合已有或未来业务系统，实现在一个网络信任体系下，用户登录任何一个业务系统之后不必再次登录就可进入其它有权限系统的单点登录；各种用户信息根据不同业务系统在用户管理系统进行跨平台、跨应用有效管理，资源信息根据不同的业务范围和需求在资源授权管理系统进行有效管理；各业务系统各类日志在统一安全审计系统可追溯；采用开放、插件式的集成技术，满足不断发展的业务系统与门户的集成。2 系统 安全保护机制必须简单、一致并建立到系统底层。系统的安全性和系统的正确性一样，不应当是一种附加特性，而必须建立到系统底层而成为系统固有的属性。所有购置的密码产品都已通过国家安全主管部门的认证，符合有关标准和协议，满足财政部门实际使用过程中的安全要求。应用安全平台的规划、设计、开发都要基于安全体系的有关标准、技术。 2.2 标准性原则 整个方案设计中采用的技术都是符合国际标准的，对于国际上没有通用标准的技术采用国内的技术标准。 2.3 规划先进性原则 移动政务业务覆盖面广泛，所以其安全保障体系建设规模庞大，意义深远。对所需的各类安全产品提出了很高的要求。必须认真考虑各安全产品的技术水平、合理性、先进性、安全性和稳定性等特点，共同打好工程的技术基础。 在设计时，参考目前国内成熟的公安及政务相关体系的移动应用安全管理系统设计。 参考文件如下： 《关于印发公安信息通信网边界接入平台安全规范（试行）的通知》(公信通[2007]191号) 《关于稳步开展公安信息资源共享服务工作的通知》(公信通[2007]189号)《关于做好社区和农村警务室接入公安信息网安全工作的通知(公信通[2007]15号) 《关于进一步加强公安信息通信网日常安全管理工作机制建设的通知》(公信通传发[2008]109号) 《关于公安信息通信网边界接入平台建设有关问题的通知》(公信通传发[2008]296号) 《移动政务信息安全建设实施指南》 粤经信电政[2012]551号) 《北京市移动电子政务平台总体技术要求》北京市经济和信息化委员会 《移动政务办公系统通用规范》 湖北省质量技术监督局 2.4 安全服务细致化原则 3 建设思路 移动应用安全管理系统以合规要求为基础，根据自身的业务诉求、业务特性及应用重点，采用等级化与体系化相结合的安全体系设计方法，帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。 （1）功能域设计：通过分析系统业务流程，根据域划分原则设计功能域架构。通过功能域设计将系统分解为多个层次，为下一步安全保障体系框架设计提供基础框架。 （2）安全保障体系框架设计：根据功能域框架，设计系统各个层次的安全保障体系框架（包括策略、组织、技术和运作），各层次的安全保障体系框架形成系统整体的安全保障体系框架。 （3）安全技术解决方案设计：针对安全要求，建立安全技术措施库。通过等级风险评估结果，设计系统安全技术解决方案。 （4）安全管理建设：针对安全要求，建立安全管理措施库。通过等级风险评估结果，进行安全管理建设。 通过如上步骤，移动应用安全管理系统的网络信息系统可以形成整体的等级化的安全保障体系，同时根据安全技术建设和安全管理建设，保障