当前位置:应用动态解决方案
 
商用密码在选民登记工作中的应用
  

  1.方案背景

  选民选举是全体公民政治生活中的一件大事,是实现人民当家作主、管理国家事务的重要体现。而做好选民登记工作,对于进一步巩固基层政权,推进社会主义民主法制建设,促进社会主义经济建设、政治建设、文化建设和社会建设,具有重要意义。

  2.应用安全需求

  选民登记工作通过选民登记信息管理系统上报信息。由于选民登记信息管理系统部署在政务外网专网内,依托政务外网平台开展业务,而选民登记站数量多且分布全市,且绝大部分都没有接入政务外网的线路,只有互联网链路,存在着很大的风险和隐患。再加上选民登记信息属于敏感信息,如果信息泄露或丢失,都会带来现实的安全威胁。
  针对选民登记工作应用中所面临的各种问题,以商用密码技术为基础的数据加密、监控、身份认证等安全机制,可帮助选民登记用户顺利接入政务外网,有效解决安全风险问题。

  选民登记工作中的应用安全需求有以下几个方面:

  数据传输安全:能够保障选民登记终端与选民登记信息管理系统服务器之间数据传输的安全;

  客户端统一管理:能够对所有接入登记站的客户端进行统一授权、管理;

  满足用户不同需求:能够灵活调整网络,及时满足接入用户增加或调整加密通道的需求;

  实时监控:能够对拨入用户和设备进行实时监控;

  主机智能检查:能够对接入登记站的主机安全性进行智能检查,检查主机补丁、防火墙和杀毒软件安装情况,对不符合要求的客户端予以报警直至中断连接隧道。

  实现逻辑隔离:能够满足等级保护三级要求,接入后可与互联网逻辑隔离;

  自动缓存:断开连接后,客户端会自动清空缓存,防止信息泄露。

  3.应用安全设计

  针对选民登记工作的应用需求,保障选民登记工作的正常开展和商密应用的可用性,可通过采用多台加密机组成集群部署在政务外网安全延伸处(市政务外网互联网接入点),通过统一集中权限管理和策略管理接入终端和加密机,为用户提供可靠接入服务。其主要的应用安全设计包括:

  支持SM2、SM3密码算法

  可根据用户实际需求灵活实现端到端和点到端的应用模式,在维护和操作方面具有部署成本低、配置方便、使用简单的特点;

  支持集群部署及多机热备技术

  接入客户端会自动选择加密网关进行连接,这样既可以分担加密机的接入压力,又可以避免由于加密机故障引起的单点故障;

  统一集中管理

  系统采用统一集中管理模式,支持超大规模的用户统一认证及权限管理,支持集中的安全策略管理;

  访问控制技术

  提供基于用户组的访问控制功能,且采用虚拟地址技术对非固定地址的移动用户实现安全检查和防止隧道内攻击,并对相关访问操作进行审计;

  NAT穿透

  支持NAT穿透功能、支持DPD功能、隧道内完全支持TCP、UDP协议、支持组播协议、动态路由协议、音频及视频等多媒体协议的应用;

  终端安全防护技术

  可实现终端环境安全检查(包括防病毒、系统补丁情况检查)、互联网网络隔离、加密磁盘、痕迹清除功能,有效防范政务外网接入后边界延伸带来的安全问题。

  4.应用实例

  采用商用密码产品协助上海市区县、乡镇两级人大换届选举(以下简称人大)选民登记工作,是商用密码产品在选民登记工作中的典型应用。其系统组成的整体设计如下图所示:

  

  (1) 选民登记工作选择了符合自身特点的商用密码应用系统,保证了业务交换数据的安全性,在实际使用中性能和效率得到了检验。

  (2) 该系统为用户提供了多种接入方式,具有防止信息泄漏、拒绝非法访问、保护信息的完整性、防止用户假冒、保证系统的可用性、使用简单等特点。

  (3) 在管理维护和操作性方面,部署成本低,管理维护方便;

  (4) 在应用性方面,采用基于应用的精细控制,实现基于用户和用户组角色的访问权限控制及增强的客户端安全防护功能。

  5.商用密码产品清单

  (1) SSL VPN 安全网关

  (2) 智能密码钥匙及数字证书

  (3) 认证服务器

                   (上海华堂网络有限公司供稿)

 


【关闭窗口】

版权所有:国家商用密码管理办公室 制作技术支持:中国经济信息网
 京ICP备05046844号