企业内部管理系统机密信息保密整体解决方案
一、目前存在的主要问题
现在,企事业单位已经越来越依赖其网络化的管理信息系统,但目前日益猖獗的间谍软件和商业间谍等已经开始把触角伸向企业管理系统,使得企业的各种管理信息系统受到了前所未有的威胁,这不是普通的网络黑客攻击,表面上是内部网络系统安然无恙,但企业内部管理信息系统的机密信息被非法窃取而外泄。现在是时候关注企业的机密信息安全了,而且是到了不得不改进的时候了!
目前,企业内部管理信息系统中的机密信息安全普遍存在 5 大安全问题:
(1) 基于用户名/密码方式的弱认证方式,非常不安全,用户名/密码非常容易被木马非法窃取,只要允许用户能联上互联网(不管是通过什么方式)就难免不中木马毒(任何杀毒软件不可能 100% 识别出所有木马) ,那重要的管理信息系统就等于敞开了大门任人来偷;更加危险的是:一般用户为了好记设置的管理系统密码与在其他外面网站注册的帐户密码一样,这样,管理系统的密码就已经不是密码了;
(2) 各种企业机密信息文件 ( 如财务报表、客户资料、合同、技术文档、市场计划、采购计划等等 ) 都是明文保存,非常容易被非法窃取和非法外泄;
(3) 信息系统的服务器没有部署 SSL 证书,这样一切基于浏览器的应用在网上都是明文传输机密信息,非常容易在从用户电脑到服务器之间的传输链路上被非法窃取和非法篡改;
(4) 所有电子邮件收发机密信息都是明文传输,非常在传输过程中被非法窃取和非法篡改;同时机密信息邮件非常容易被非法转发给非相关人员;
(5) 多个信息系统的多套密码体系,非常不方便用户使用和管理,而用户一般为了好记实际上在使用同一密码,设定不同级别的权限管理形同虚设。
二、基于PKI技术的信息安全解决方案
解决机密信息安全问题的最好解决方案当然是非常成熟的 PKI 数字证书技术, WoSign 作为国内技术领先和市场领先的数字证书产品和服务提供商,已经为许多企业提供了信息安全解决方案,针对以上 5 大安全问题,提出如下解决方案:
1. 为内部管理系统服务器部署SSL证书,使用客户端证书来实现强身份认证。
只要在内部管理系统服务器部署 SSL 证书,不仅能保证从浏览器到服务器之间的机密信息自动高强度加密,而且如果设置服务器为“ 要求客户端证书 ”,则浏览此服务器的所有页面都需要客户端证书来证明身份,在系统登录页面添加几行读取 客户端证书中的主题信息即可实现用户登录系统的身份认证,原系统的用户库根本不同做任何变动,实现无缝升级和切换;
请浏览演示页面: https://www.wosign.com/LoginDemo/
同时,可以在服务器端设置只允许某个或某些客户端证书才能访问服务器,确保服务器的安全,请参考:企业内部管理系统安全访问部署指南:http://www.wosign.com/solution/Access_Control.htm
2. 把所有机密文件转换为 PDF 文件,并使用客户端证书来数字签名和加密
使用 Adobe Acrobat 把各种格式的文件转换为 PDF 格式文件,并使用客户端证书签名和加密。可以实现不同安全级别的文件使用不同的证书来加密,用户电脑上必须安装有加密文件的证书才能正常阅读,否则无法阅读。只有这样,才能确保机密文件即使被非法泄露出去,由于没有加密证书还是无法打开,而要破解使用证书加密的文件,目前的最高端的电脑也要 3000 亿年!而只要系统管理员设置用户电脑上的证书是不可导出的,或安装到 USB Key 中,则既能保证合法用户能不受任何限制地方便查阅机密文件,又能防止机密文件被外泄。
请浏览 PDF 文件签名和加密指南: http://www.wosign.com/Support/pdfsigning_guide.htm
3. 所有用户都使用客户端证书数字签名所有电子邮件和加密机密邮件
企业日常业务绝对离不开电子邮件,企业必须强制所有发出的 Email 要使用发件人的个人证书数字签名,而对于机密信息必须使用个人证书加密发送,这样,即使其他非指定收件人收到邮件也无法打开阅读,只要这样才能保证通过电子邮件发送的机密信息不会被非法窃取和非法外泄。而为了控制机密信息的非法转发,则可以把机密信息转化为PDF文件并使用特定的证书加密。
请浏览电子邮件签名与加密指南: http://www.wosign.com/Support/email_signing_guide.htm
4. 电子邮件服务器必须部署SSL证书,确保电子邮件系统登录安全和机密邮件信息安全
企业邮局服务器也必须部署 SSL 证书,保证了用户 Web 方式和使用Outlook方式收发邮件时自动加密从浏览器/Outlook到邮件服务器的邮件信息是加密传输的。邮件服务器的 Web 方式登录也要升级为使用客户端证书的强身份认证方式,并允许用户设置为不允许用户名 / 密码方式登录,或干脆取消用户名 / 密码方式登录。
请浏览电子邮件系统安全解决方案: http://www.wosign.com/solution/securemail.htm
5. 使用客户端证书来实现强身份认证的一站式登录各个不同的系统,或不同的系统选择不同的证书来登录
所有信息管理系统全部采用客户端证书来实现强身份认证登录,密码只是辅助的多一道认证方式,用户必须同时使用合适的证书和对应的密码才能登录;考虑到不同系统的不同权限,可以指定某个系统或某些系统必须使用哪个证书,用户选择不同的证书登录不同的系统,就向现实世界使用不同的证件一样。
请浏览一站式登录解决方案: http://www.wosign.com/solution/SSO.htm
以上解决方案中,都用到了客户端证书,一个用户可以有多个证用于不同的系统,而缺省的证书容器是电脑 (IE) ,如果用户使用的是公用电脑,则强烈推荐使用 USB Key 来作为客户端证书的容器,需要使用证书登录或阅读加密文件时插入 USB Key 即可,而退出后拨下 USB Key ,从而真正做到“一把钥匙开一把锁”,没有 USB Key 是无法登录系统和无法阅读机密文件的。
请浏览USB Key产品简介:http://www.wosign.com/hardware/usbkey.htm
同时,请注意:以上解决方案中使用的 SSL 证书和客户端证书必须是全球通用的、支持所有浏览器和 OUTLOOK 的,是 Windows 所信任的根证书颁发的,否则无法正常使用和大大增加系统部署和维护成本。
三、解决方案费用预算
以上解决方案中涉及到数字证书产品有:
1. 每台服务器都需要一个SSL证书,推荐 OV超真SSL 。如果用户一台服务器上有多个不用域名的系统,则需要部署通配型SSL证书,或多域型SSL证书,或万能型SSL证书。具体产品请咨询WoSign客服人员,推荐用户购买多年有效期 SSL 证书,不仅可以享受更低的价格优惠,同时还省去了每年请款续费和每年需要在服务器上安装的麻烦。
2. 每个用户都需要多个客户端证书,由于 WoSign 已经推出完全免费的、全球通用的、支持所有浏览器和 Outlook 的一年期客户端证书,这样,就把部署整个内部管理系统的信息安全保障费用降低到忽略不计,只需要一个超真SSL证书:1888元/年!
3. 由于免费个人证书只显示Email, 对于需要显示机密文件签发人的用户,则需要购买收费的客户端证书,推荐超真单位证书:188元/年。
4. 无论需要多少个客户端证书,对于安全性要求更高的用户,我们推荐选购 USB Key 作为证书载体和加解密运算, 1 个 USB Key 一般为 32K 内存,可以保存 1-6个证书,适用于不同的系统用户可以选择不同的证书。1个USB Key价格为100元,用户也可以自行采购。
请浏览解决方案中涉及到的数字证书产品价格: http://www.wosign.com/price.htm。
如果您就是企事业单位信息主管,并非常重视企业内部管理信息系统的机密信息安全问题,并请立刻 联系我们 ,我们有更详细的方案发给您;如果您是企业的员工或系统的用户,请把我们的解决方案报告有关部门的信息主管以便尽快采取有效的信息安全防范措施,只有大家齐努力才能确保企业内部管理系统的机密信息安全, WoSign 愿意为此做出应有的贡献。