ASP服务平台信息安全解决方案
一、概述
2005年 8 月份国家发改委和信产部共同宣布组织实施“中小企业信息化推进工程”,这项工程包括万家中小企业的免费培训、百万中小企业上网等,将大大提高信息时代中国中小企业的信息化水平。此项工程得到了主流电信运营商的鼎立支持,各大运营商都充分利用自己的网络资源优势和客户资源优势推出了自己的中小 企业信息化公共服务平台,如 广东电信推出的“蓝色魅力”、 上海电信推出的“理想商务”平台、网通推出的宽带商务等等,加上各地政府有关部门推出的 中小企业信息化公共服务平台,让中小企业可以低成本地利用信息化手段来提高管理水平和生产率了。
所谓中小企业信息化公共服务平台,简称 ASP 平台,就是让中小企业无需投资昂贵的硬件和软件系统和网络设施,以及配置专业的 IT 技术人才,只要有电脑能上网就可以以浏览器方式登录 ASP 平台,使用企业 信息化所需的所有服务,包括:域名注册、企业邮局、虚拟主机、主机托管、网站设计 ( 包括自助生成系统 ) 、供求信息发布、企业即时通信、网站在线帮助、在线杀毒、客户关系管理 (CRM) 、进销存管理、办公自动化 ( 针对不同的行业 ) 、供应链管理 (SCM) 、 ERP 、商业智能、知识管理、业务流程管理、企业 POS 、企业服务总线、企业门户、网络传真、网络电话 (VoIP) 、企业短信和移动办公等等。
但是,据有关媒体报道,电信运营商和有关政府部门的大投入好象中小企业并不买帐,平台建设热闹,但买单使用的少,甚至免费赠送也不使用,为什么?是中小企业不需要? NO! 笔者认为:主要也是最根本的原因是中小企业用户不信任 ASP 服务平台,是 ASP 服务平台的信息安全措施不足以让用户放心地把企业的机密信息 ( 如客户信息、财务信息 ) 放在 ASP 服务平台上。
二、解决方案
ASP 服务平台应该采用哪些技术措施才能让用户放心呢?除了防火墙等必要的网络安全措施外,还需要有确保机密信息安全的技术措施,具体建议如下:
(1) ASP 平台的所有应用服务器一定要部署全球通用的支持所有浏览器的强制 128 位加密的 SSL证书,确保用户在使用浏览器登录各个应用系统时从浏览器到 ASP 服务器之间所有机密信息的高强度加密传输,从而有效地防止了用户帐号、密码和企业机密信息的机密性和完整性,杜绝非法窃听和非法篡改。
(2) ASP 平台为每个平台用户颁发一个全球通用的客户端数字证书(单位数字证书) 用于登录 ASP 平台的各个应用系统的身份认证和用于每个交易的数字签名,从而杜绝了使用简单的用户名 / 口令认证系统的由于口令泄露而造成的机密信息泄露,同时提供了网上交易不可否认的证据。为了杜绝使用公用电脑 ( 网吧 ) 和专用电脑的间谍软件 ( 木马软件 ) 或其他可能的手段非法使用数字证书问题, 推荐对安全要求高的企业用户使用 USB Key 移动数字证书来确保是真实的用户在合法登录各个应用系统, 需要登录时把 USB Key 插入电脑的 USB 口即可,退出登录就拔下。
(3) ASP 平台中的涉及到企业核心机密信息的系统 ( 如客户关系管理系统、办公自动化系统 ) 应该使用用户的客户端数字证书来加密存储机密信息,使得该机密信息只有用户本人使用用户自己的数字证书才能阅读 (即使是 ASP 平台系统管理员也无法看到,因为客户端数字证书在用户手中) , ASP 平台就象房地产开发商,房子卖或租给用户就要把房子的钥匙给用户,只有用户本人使用该钥匙才能进屋,这个钥匙就是分配给 ASP 用户的客户端数字证书,只有这样,才能让用户放心使用 ASP 平台。
以上三个方面的解决方案是相辅相成的,服务器采用了SSL证书保证了机密信息的从用户浏览器到服务器之间的加密传输,而客户端数字证书则既保证了只有合法用户才能访问自己的 ASP 帐户而不用担心密码被盗问题,又保证了只有用户本人才能阅读和查询用户的机密信息,只要这样,才能从技术上彻底解决企业用户对存放机密信息到 ASP 平台上的泄密担心,才能真正让 ASP 平台发挥作用,真正推动中小企业信息化进程,真正提升中国中小企业的竞争力。
以上解决方案涉及到的产品有:服务器 SSL 证书、客户端数字证书,请浏览以下页面了解产品详情,我们不仅提供产品,而且免费提供开发和应用指导:
服务器 SSL 证书: https://www.wosign.com/OVSSL/OV_ZhenSSL_Pro.htm
客户端数字证书:http://www.wosign.com/Products/clientcert.htm
强身份认证技术选型指南:http://www.wosign.com/solution/Strong_authentication_solution.htm
使用客户端数字证书实现强身份认证登录演示:https://www.wosign.com/LoginDemo/
作为一个信息安全服务提供商,我们愿意为我国的中小企业信息化公共服务平台服务提供商提供强有力的信息安全技术支持,为 真正让 ASP 平台发挥作用、真正推动中小企业信息化进程和真正提升中国中小企业的竞争力而做出应有的贡献。 欢迎各大 ASP 平台联系我们,我们将提供完整的信息安全解决方案。