建筑物智能化CA業(yè)務(wù)集成方案

/建筑物智能化CA業(yè)務(wù)集成方案

方案建設(shè)目標(biāo)關(guān)于智能化集成系統(tǒng)據(jù)結(jié)合權(quán)威CA業(yè)務(wù)，從技術(shù)上保障用戶的身份認(rèn)證、權(quán)限訪問限制管理、數(shù)據(jù)的保密性和不行抵賴性要求；在業(yè)務(wù)上滿意業(yè)務(wù)流程的好用性、平安性和高效性的要求；從政策層面上保障各信息系統(tǒng)對于數(shù)字證書的權(quán)威性要求和法律舉證要求。從根本上解決互聯(lián)網(wǎng)工作人員、設(shè)備等身份的可信認(rèn)證、敏感數(shù)據(jù)的私密性和完整性愛護，以及對各種操作行為進行有效的責(zé)任追溯和認(rèn)定。平臺架構(gòu)該方案主要是針對智能化、擁有大量重要機密信息的行業(yè)設(shè)計的，設(shè)計中將數(shù)據(jù)的運用權(quán)和全部權(quán)分別，防止內(nèi)部人員、離職人員造成泄密。采納軟硬件一體的設(shè)計，同時集合防泄密內(nèi)核、進程限制、透亮加解密等核心技術(shù)保障數(shù)據(jù)的平安和穩(wěn)定。是一款集文檔集中管理，文檔防泄密限制于一體的平安解決方案。1.1架構(gòu)圖以CA業(yè)務(wù)集成平臺作為平安服務(wù)的核心調(diào)度中心，硬件上采納“4路工控機+存儲”設(shè)計，軟件上采納16路不間斷服務(wù)設(shè)計；服務(wù)接口采納符合國密規(guī)范的統(tǒng)一接口方式，同時供應(yīng)了驗簽取證服務(wù)模塊，以保障平臺的穩(wěn)定性、規(guī)范性及合法性。將須要傳輸重要信息的終端設(shè)備結(jié)合CA業(yè)務(wù)集成平臺，對數(shù)據(jù)在傳輸終端進行數(shù)字簽名、時間戳簽名、傳輸加密操作，保證數(shù)據(jù)的機密性、完整性和可用性，杜絕管理人員對數(shù)據(jù)的修改，保障了數(shù)據(jù)來源牢靠。對須要展示在服務(wù)端的數(shù)據(jù)進行簽名驗簽服務(wù)，只有通過驗簽的數(shù)據(jù)、文件才能在服務(wù)端上顯示。對能登入后臺的管理人員運用數(shù)字證書登入，基于PKI平安設(shè)施體系結(jié)合數(shù)字證書平安登入，能保障身份的唯一性且具有法律效益。證書登錄認(rèn)證過程中，應(yīng)完成以下平安認(rèn)證工作：證書愛護口令校驗；每次登錄認(rèn)證是基于隨機數(shù)的簽名和驗證，防止重放攻擊；驗證用戶證書的信任鏈；驗證用戶證書有效期；基于最新的黑名單文件，驗證用戶證書是否被吊銷；驗證證書信息是否在信息系統(tǒng)具有對應(yīng)的用戶賬戶及操作權(quán)限。平安服務(wù)2.1身份認(rèn)證保障傳統(tǒng)的用戶名+口令存在巨大平安隱患，無法有效識別身份問題，對系統(tǒng)管理員供應(yīng)身份認(rèn)證服務(wù)，基于PKI平安設(shè)施體系結(jié)合數(shù)字證書平安登入，能保障身份的唯一性且具有法律效益。證書登錄認(rèn)證過程中，應(yīng)完成以下平安認(rèn)證工作：證書愛護口令校驗；每次登錄認(rèn)證是基于隨機數(shù)的簽名和驗證，防止重放攻擊；驗證用戶證書的信任鏈；驗證用戶證書有效期；基于最新的黑名單文件，驗證用戶證書是否被吊銷；驗證證書信息是否在信息系統(tǒng)具有對應(yīng)的用戶賬戶及操作權(quán)限。2.2關(guān)鍵數(shù)據(jù)的平安保障傳統(tǒng)互聯(lián)網(wǎng)數(shù)據(jù)傳輸無法保障重要數(shù)據(jù)的完整性、可用性及保密性，平臺供應(yīng)加解密服務(wù)，基于PKI平安設(shè)施下采納高密算法加解密可有效保證終端重要數(shù)據(jù)的來源可信、傳輸可信，對敏感數(shù)據(jù)的私密性和完整性愛護，以及對各種操作行為進行有效的責(zé)任追溯和認(rèn)定。2.3時間戳服務(wù)對終端設(shè)備或傳統(tǒng)業(yè)務(wù)系統(tǒng)無法保障簽名數(shù)據(jù)的時間有效性。平臺供應(yīng)時間戳服務(wù)，可為業(yè)務(wù)系統(tǒng)供應(yīng)可信時間簽名服務(wù)，通過權(quán)威精準(zhǔn)時間源，確保關(guān)鍵操作和信息的時效性，確保操作和信息存在時間有據(jù)可查，不行抵賴。技術(shù)指標(biāo)符合GB/T20520-2006《信息平安技術(shù)公鑰基礎(chǔ)設(shè)施時間戳規(guī)范》，供應(yīng)可信時間源，符合國家授時中心的時間精度標(biāo)準(zhǔn)，并且經(jīng)國家授時中心的權(quán)威鑒定測試，具有公安部頒發(fā)的《計算機信息平安系統(tǒng)專用產(chǎn)品銷售許可證》。2.4電子簽章服務(wù)關(guān)于智能化建筑系統(tǒng)須要管理人員簽名確認(rèn)，平臺將供應(yīng)對應(yīng)的數(shù)字證書應(yīng)用產(chǎn)品和數(shù)字簽名可視化（即電子印章）軟件，從最大的程度上優(yōu)化信息系統(tǒng)的流程，既保證業(yè)務(wù)數(shù)據(jù)平安又兼顧軟件業(yè)務(wù)流程的順暢和運行效率。在工作人員運用的業(yè)務(wù)系統(tǒng)中加載CA中心供應(yīng)的數(shù)字證書應(yīng)用控件和接口技術(shù)，系統(tǒng)軟件通過調(diào)用控件接口，運用數(shù)字證書進行數(shù)字簽名、電子蓋章和打印等，通過加載CA中心供應(yīng)的控件接口技術(shù)。工作人員可以調(diào)用數(shù)字證書對文件進行數(shù)字簽名和電子蓋章以及打印等操作。2.5簽名驗簽平安保障為了規(guī)避了業(yè)務(wù)廠商因沒有依據(jù)標(biāo)準(zhǔn)規(guī)范流程進行集成改造，而給公司帶來法律取證合法性風(fēng)險，平臺為電子簽名應(yīng)用供應(yīng)簽名驗簽服務(wù)，為有效的實施電子簽名供應(yīng)法律有效性保障。服務(wù)接口采納符合國密規(guī)范的統(tǒng)一接口方式，同時供應(yīng)了驗簽取證服務(wù)模塊，以保障平臺的穩(wěn)定性、規(guī)范性及合法性。設(shè)備投入產(chǎn)品名稱描述身份認(rèn)證設(shè)備供應(yīng)身份認(rèn)證服務(wù)、支持國密最新SM2算法。功能描述：設(shè)備基于PKI體系架構(gòu)設(shè)計和建設(shè)；采納證書驗證，支持CRL查詢；支持符合X.509標(biāo)準(zhǔn)的證書，系統(tǒng)運用的證書經(jīng)國家密碼管理局批準(zhǔn)的從事數(shù)字證書的制作、頒發(fā)和管理的第三方電子認(rèn)證服務(wù)機構(gòu)制作頒發(fā)和授權(quán)；認(rèn)證服務(wù)支持RSA和SM2算法進行身份有效性驗證；支持針對不同應(yīng)用獨立供應(yīng)用戶紅名單服務(wù)；簽名驗簽設(shè)備該設(shè)施是電子簽名的核心服務(wù)，為電子簽名應(yīng)用供應(yīng)簽名驗簽服務(wù)，為有效的實施電子簽名供應(yīng)法律有效性保障。該產(chǎn)品嚴(yán)格依據(jù)國密規(guī)范GM/T0029-2014標(biāo)準(zhǔn)實現(xiàn)。功能描述：設(shè)備基于PKI體系架構(gòu)設(shè)計和建設(shè)；數(shù)字簽名功能：運用SM2、SM3算法；支持符合X.509標(biāo)準(zhǔn)的證書，系統(tǒng)運用的證書經(jīng)國家密碼管理局批準(zhǔn)的從事數(shù)字證書的制作、頒發(fā)和管理的第三方電子認(rèn)證服務(wù)機構(gòu)制作頒發(fā)和授權(quán)；訪問限制功能：具備完善的身份鑒別機制；日志管理功能：包括日志記錄、查看、審計和導(dǎo)出；系統(tǒng)自檢功能：包括自身自檢和密碼設(shè)備自檢；能夠配置時間源設(shè)備，自動同步時間；設(shè)備通過國家密碼管理局評測,具有其頒發(fā)的《商用密碼產(chǎn)品型號證書》，批準(zhǔn)型號SRJ1504證書編號SXH2015161。電子印章設(shè)備供應(yīng)在線電子印章應(yīng)用、電子印章管理和自動印章服務(wù)、支持SM2算法和國密最新規(guī)范GM/T0031-2014、支持國際通用的PDF文檔規(guī)范和中國OFD規(guī)范。功能描述：設(shè)備基于PKI體系架構(gòu)設(shè)計和建設(shè)；供應(yīng)印章全生命周期管理；包括印章制作、印章頒發(fā)、印章吊銷；有完善的權(quán)限限制機制，系統(tǒng)管理和應(yīng)用管理分開；避開超級權(quán)限用戶；印章數(shù)據(jù)只能由制章人制作，運用合法制章人的簽名私鑰對印章數(shù)據(jù)進行簽名；簽章只能由印章數(shù)據(jù)中指定的經(jīng)授權(quán)的簽章人簽章；簽章人在電子簽章時，在線驗證身份和電子印章有效性驗證；支持符合X.509標(biāo)準(zhǔn)的證書，系統(tǒng)運用的證書經(jīng)國家密碼管理局批準(zhǔn)的從事數(shù)字證書的制作、頒發(fā)和管理的第三方電子認(rèn)證服務(wù)機構(gòu)制作頒發(fā)和授權(quán)；電子印章系統(tǒng)通過國家密碼管理局評測鑒定，具有其頒發(fā)的《商用密碼產(chǎn)品型號證書》，批準(zhǔn)型號SFT1403，證書編號SXH2014112；電子印章設(shè)備具有公安部頒發(fā)的《計算機信息平安系統(tǒng)專用產(chǎn)品銷售許可證》，證書編號XKC71766；加解密設(shè)備供應(yīng)數(shù)據(jù)加解密服務(wù),為數(shù)據(jù)的傳輸、存儲和共享供應(yīng)高強度可信加密服務(wù)。功能描述：設(shè)備基于PKI體系架構(gòu)設(shè)計和建設(shè)；服務(wù)基于國密SM1和SM4對稱算法的數(shù)據(jù)加密和解密：支持CBC模式的數(shù)據(jù)加密和解密計算；數(shù)據(jù)摘要的產(chǎn)生和驗證：支持SM3雜湊算法；物理隨機數(shù)的產(chǎn)生：采納由國家密碼管理局審批的物理噪聲源產(chǎn)生器芯片生成的隨機數(shù)；支持符合X.509標(biāo)準(zhǔn)的證書，系統(tǒng)運用的證書經(jīng)國家密碼管理局批準(zhǔn)的從事數(shù)字證書的制作、頒發(fā)和管理的第三方電子認(rèn)證服務(wù)機構(gòu)制作頒發(fā)和授權(quán)；授時設(shè)備基于國家基準(zhǔn)時間的設(shè)備，符合授時中心的時間精度標(biāo)準(zhǔn)，并且供應(yīng)時間戳簽名。功能描述：設(shè)備基于PKI體系架構(gòu)設(shè)計和建設(shè)；支持CDMA、GPS、北斗三種時間源；在一路不通的狀況下，可相互切換，保證時間精確性；簽發(fā)時間戳：對客戶端發(fā)起的時間戳懇求進行響應(yīng)，簽發(fā)有效；日志審計：對系統(tǒng)中的全部功能模塊進行日志記錄，并供應(yīng)日志的查詢審計功能；驗證時間戳：驗證包含時間戳信息的有效性；內(nèi)置設(shè)備數(shù)字證書，用于支持簽發(fā)和驗證時間戳；供應(yīng)的可信時間源，符合國家授時中心的時間精度標(biāo)準(zhǔn)，并且經(jīng)國家授時中心的權(quán)威鑒定測試，時間誤差小于7毫秒，證書編號：NTSCZLJC-MCG-1401。CA業(yè)務(wù)集成平臺（含設(shè)備）CA集成平臺是基于總線技術(shù)，供應(yīng)統(tǒng)一的CA認(rèn)證服務(wù)?？梢詷O大的簡化業(yè)務(wù)平臺集成CA業(yè)務(wù)的困難度，上線CA集成平臺后業(yè)務(wù)系統(tǒng)無需干脆調(diào)度CA客戶端或集成CA插件，無需對接CA相關(guān)的后臺設(shè)施如：認(rèn)證設(shè)施、簽名驗簽設(shè)施、加解密設(shè)施、電子簽章設(shè)施和時間戳設(shè)施等，只需對接CA集成平臺的總線WebService服務(wù)即可快速完成。由于全業(yè)務(wù)基于總線的服務(wù)，集成平臺依據(jù)電子簽名法要求對簽名信息進行標(biāo)準(zhǔn)化存儲和管理，可以快速的提取須要的簽名信息提交法律取證運用，便利用戶驗收和確認(rèn)CA電子認(rèn)證項目的實施的成果以及可以服務(wù)于日常的簽名取證工作。方案優(yōu)勢基于PKI平安基礎(chǔ)設(shè)施，采納高性能密碼運算的平安平臺，并獲得國家密碼局、公安銷售許可證等資質(zhì)，實現(xiàn)醫(yī)院正真意義上無紙化辦公；