- 1、本文档共12页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
1
投保系统密码应用需求分析
1.1物理和环境安全
为保障投保系统重要资产安全,投保系统需采用能够正确识别进入且
记住重要区域人员的视频记录数据和电子门禁系统数据的密码技术。
1.2网络和通信安全
网络和通信安全层主要关注网络通信信道,投保系统的重要数据可能
在通信过程中泄露或被篡改,造成安全风险,应采用密码技术保障网络和
通信安全层的通信数据完整性和机密性。
1.3设备和计算安全
设备和计算安全层主要关注支撑投保系统运行的服务器、操作系统及
数据库等基础设备,面临的安全威胁主要来自系统内部,如内部人员对上
述设备的非授权管理或数据篡改。为防止以上威胁发生,应采用密码技术
保障设备和计算安全层的远程管理通道安全、系统访问控制信息完整性和
日记记录完整性。
1.4应用和数据安全
应用和数据安全层主要关注投保系统传输和存储的应用数据安全,重
要数据的安全保护主要也在该层面实现。由于涉及的应用数据中包含重要
数据,易被窃听、篡改等,对数据的机密性、完整性、操作的不可否认性
等都有很高的安全需求,故要求系统在应用和数据安全层应具备身份认证、
数据加密、数据防篡改等安全机制,投保系统责任单位应采用密码技术实
现这些安全机制。
1.5密钥管理
密钥管理也是密码应用方案的组成部分。如果公钥被篡改,那么攻击
者就可以伪造数字签名[5],从而产生风险。因此,需进行正确的密钥管理,
确认是由合规的密码产品或密码模块实现所有关于密码管理的操作,然后
理清密钥之间的关系,检查投保系统内密钥的安全性,根据生命周期查看
密钥生成、存储、分发、导入与导出、使用、备份与恢复、归档、销毁的
过程,并核实是否符合相应标准。
2
现行投保系统密码应用现状
图1列举了现行投保系统普遍的网络拓扑情况。如图1所示,网络
环境可以划分为4个区域,包括运维管理区、边界防护区、应用服务区和
安全管理区。投保系统部署在应用服务区,整个环境中未部署安全认证网
关,服务器也未部署国密安全套接字协议(Securesocketlayer,SSL)证
书进行数据传输机密性、完整性保护,没有使用符合国家密码管理部门认
证的密码产品或技术实现可靠的身份鉴别和安全的数据传输。
图1现行投保系统网络拓扑
2.1物理和环境安全密码应用现状
物理和环境安全性的要求有两点:一是对于物理和环境的访问控制,
二是对各类物理和环境的监控信息的完整性保护。
现行投保系统部署机房的方式有两种:一是自行部署机房,二是部署
在云平台上。两种方式对于进出人员的身份鉴别都依赖于门禁系统,而采
用密码技术的门禁系统较少,门禁卡可被复制的情况普遍存在。电子门禁
记录数据和视频监控记录数据明文存储,无完整性校验字段,未采用密码
算法进行完整性保护。
2.2网络和通信安全密码应用现状
针对网络和通信安全层面,密码应用包括通信实体的身份鉴别,以及
保障通信数据完整性、通信重要数据机密性、访问控制边界完整性和网络
安全接入。
现行投保系统分布在互联网中,网络通信信道可分为普通用户和业务
管理员访问应用系统的信道以及运维终端到堡垒机通信信道,主要采用安
全传输层协议(TransportLayerSecurity,TLS)、互联网安全协
议(InternetProtocolSecurity,IPSec)、超文本传输协议(Hyper
TextTransferProtocol,HTTP)进行通信。TLS协议采用基于公钥密码
的数字签名技术对通信实体进行身份鉴别,主要使用RSA1024、RSA2048、
SHA-256等算法,IPsec协议采用基于对称密码算法的预共享密钥的认证
方式对通信实体进行身份鉴别,HTTP协议不具有身份鉴别机制。TLS协
议和IPsec协议通常采用AES128等对称密钥算法
您可能关注的文档
- 全国自考《计算机应用基础》试题及答案.pdf
- 全县学前教育大会领导讲话稿3篇.pdf
- 入党积极分子发言稿范文4篇.pdf
- 党的基层组织换届选举程序.pdf
- 党员谈心谈话主要内容.pdf
- 党员大会学习[修改版].pdf
- 免疫按章节排序.pdf
- 傅雷家书总结与感悟11篇.pdf
- 健康治测软件的创新创业项目详细的计划书.pdf
- 停车场(停车场)消防设计专篇.pdf
- 英语人教PEP版八年级(上册)Unit4+writing+写作.pptx
- 人美版美术四年级(上册)8 笔的世界 课件 (1).pptx
- 人美版美术七年级(上册)龙的制作.pptx
- 英语人教PEP版六年级(上册)Unit 2 第一课时.pptx
- 数学苏教版三年级(上册)3.3 长方形和正方形周长的计算 苏教版(共12张PPT).pptx
- 音乐人教版八年级(上册)青春舞曲 课件2.pptx
- 音乐人教版四年级(上册) 第一单元 音乐知识 附点四分音符|人教版.pptx
- 英语人教PEP版四年级(上册)Unit 6 Part B let's learn 1.pptx
- 道德与法治人教版二年级(上册)课件-3.11大家排好队部编版(共18张PPT).pptx
- 人美版美术七年级(上册)《黄山天下奇》课件1.pptx
文档评论(0)