解决方案
当前位置: 首页 > 解决方案 > 通用行业解决方案
财务远程接入应用安全解决方案

一、用户背景

交通行业某港口始建于1892年,是具有117年历史的国家特大型港口。2014年港口完成货物吞吐量达到4.65亿吨,集装箱吞吐量突破1658万标准箱,进口原油吞吐量居中国港口第一位,集装箱装卸效率、铁矿石卸船效率始终保持世界第一。

二、用户需求

  1. 确保身份的真实性
  2. 传统的用户名/密码的登录方式非常脆弱,易被猜测、窃听、或者暴力破解,因此需要一种高强度的身份认证方式保证登录用户身份的真实性。

  3. 确保交易操作的防抵赖、防篡改
  4. 相关用户在财务系统中的操作(如资金结算、总账处理)是不允许抵赖的,应能提供事后追踪、审核及统计的手段。

  5. 确保传输的机密性
  6. 对远程传输的数据进行加密,确保数据传输的机密性。

  7. 确保远程用户权限的可控性
  8. 用户在远程接入以后,对其可访问的资源进行细粒度的访问控制,对部分资源控制到端口级,对部分关键资源控制到URL级别。

  9. 扩展性需求
  10. 基本PKI技术的CA服务器除了能满足财务系统外,今后也可以满足ERP系统,人力资源系统的需要。

三、解决方案

  1. 建设数字证书认证服务器,解决服务器和个人用户身份真实性的问题。具体建设方案如下:
    • 1) 证书服务器负责证书的全生命周期管理,部署在独立的基础认证域;
    • 2) 为应用服务器颁发服务器证书,为个人用户颁发个人证书。登录时,实现双向验证,确保应用服务器身份和个人身份的真实性;
    • 3) 个人证书存储于USB KEY,确保私钥的安全。USB KEY是带有密码芯片算法的KEY,存储量大于等于64K。
  2. 建设签名验签服务器,对用户在 OA 系统中的操作进行数字签名,保证数据的完整性,实现抗抵赖的功能。具体建设方案如下:
    • 1) 将签名验签服务器部署在应用服务域,在浏览器安装签名控件;
    • 2) 用户的操作需要用私钥进行签名,服务器端对用户的签名数据进行验签;
    • 3) 根据需要,进行服务器和客户端双向签名和验签;
    • 4) 应用数据和签名数据进行分别存储。
  3. 建设安全认证网关,解决身份认证、访问控制、传输加密问题,实现统一认证和单点登录。具体建设方案如下:
    • 1) 安全认证网关部署在防火墙之后,采用串联方式,热备部署。部署中心化、简单化,不改变整体网络的结构;
    • 2) 对互联网发布的应用服务器全部在安全认证网关的保护之下,用户远程登陆,通过安全认证网关的身份认证后,在授权范围内访问有权限的应用服务;
    • 3) 所有传输的数据全部进行加密,保证数据的完整性和机密性,防止被黑客窃听和截取;
    • 4) 实现统一认证和单点登录,提高用户的操作便捷性,带来良好的用户体验。

四、网络拓扑

应用安全设备部署拓扑图

五、用户收益

  1. 通过强身份认证手段的采用,确保所有登录财务系统用户的身份的真实性。
  2. 通过对财务系统的重要操作、交易的签名和验签,满足了抗抵赖性、事后责任可追溯的要求。
  3. 通过加密传输保证了数据传输的机密性和完整性,通过单点登录提高了应用的便捷性。