服务热线:010-65014696

成功案例

椒图关注 FOCUS ON JOWTO

国家某能源企业PKI/CA系统实施案例

[2013-1-28]

需求背景

某能源企业的PKI/CA系统是该企业在全公司范围内使用的数字证书管理系统,支持为个人、组织、服务器、软件颁发数字证书,是某能源企业信息系统安全的重要保障。

某能源企业按照信息安全的统一规划原则,选用了符合国家要求的CA系统,制定了数字证书管理颁发、应用规范等一整套的标准规范,形成了完善的PKI/CA体系,同时该系统还提供了统一的时间源和时间戳服务,切实满足了各种信息系统对PKI/CA系统的需求。

结合CA系统自身安全性进行分析,主要存在问题如下:

1、主机及操作系统安全,系统大部分服务器均采用开源操作系统,其安全性未得到妥善解决,存在较大的安全隐患,需对操作系统安全进行加强,提升至安全操作系统。

2、数据库存储及读取安全,由于CA系统负责进行统一的在线证书签发工作,用户证书的数据集中存储于此,虽然易于实现管理及监控,但也给非法用户窃取系统的核心信息数据提供一定便利性,系统对重要数据的机密性和完整性要求更严格。


系统环境

操作系统:Windows Sever 2003 64bit 1台

        Windows XP 32bit 1台

        Redhat  Linux 企业版 5.5 32bit 16台

        Redhat  Linux 企业版 4.2 32bit 4台

        Cent OS Linux 5.3 32bit 2台

系统应用:PKI应用系统

数据库:Oracle 10g


解决方案

部署椒图科技JHSE主机安全环境系统,分别安装在业务服务器和Oracle数据库服务器,用于保障核心业务服务器操作系统及数据安全,保障数据的机密性和完整性。大体配置策略如下:

1、对操作系统的保护,保护系统的注册表、服务、进程等重要资源。

2、建立安全域,添加Oracle数据库的保护,只允许Oracle客户端访问,Oracle数据库的配置文件在安全域内透明加解密,并对重要数据进行完整性保护。

3、建立安全域,业务系统进程只能访问该系统的数据,保护业务系统的重要进程不会被中断,禁止其他用户或者进程行对该域的任何访问。

部署示意图如下:

mnyqy.jpg


方案效果

1、实现三权分立,有效地防止了超级管理员权限过大,在三权分立原则下,即使超级管理员密码泄漏或者被破解,黑客也无法破坏被JHSE保护的资源,并且对于任何用户登录实行双重身份认证。

2、业务系统正常运行,即使使用root用户,也不能访问业务系统程序的目录,更不能卸载、终止、替换系统程序,业务系统不能被非法终止,从而有效保障证书签发业务的连续性。

3、保护重要数据不会被非法篡改,即使是root权限,Oracle数据库的配置文件及重要数据也不会被非法修改、复制、删除。

4、免疫已知、未知木马、病毒、漏洞攻击,即使获得超级管理员权限登陆到服务器,也不能中止业务相关程序,恶意篡改核心数据,把操作系统透明提升到安全操作系统。