“疫”起保安全,奥联为疫情防控信息化系统安全保驾护航

2020-3-11


新型冠状病毒疫情爆发,依据中央指示,贯彻落实党中央、国务院决策部署,要切实发挥信息化助力疫情防控工作的积极作用,但疫情防控信息化系统的建设同样带来了信息安全风险。2月份以来,中央网信办及各部委,多次发布要求加强疫情防控信息化系统安全保护的通知。

一、疫情防控信息化系统安全要求

3月2日,民政部办公厅、中央网信办秘书局、工业和信息化部办公厅、国家卫生健康委办公厅联合印发《新冠肺炎疫情社区防控工作信息化建设和应用指引》。在系统安全方面,要求社区防控信息化产品(服务)应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施, 保障网络安全、稳定运行,有效应对网络安全事件;具有数据加密、脱敏和防爬取能力,保障数据安全。社区防控信息化产品(服务)提供者应参照等级保护三级以上要求进行安全防护,应当为其产品(服务)持续提供安全维护,在规定或与产品(服务)使用者约定的期限内,不得终止提供安全维护。

2月4日,中央网信办印发《关于做好个人信息保护利用大数据支撑联防联控工作的通知》。要求收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露;网信部门要依据《中华人民共和国网络安全法》和相关规定,及时处置违规违法收集、使用、公开个人信息的行为,以及造成个人信息大量泄露的事件;涉及犯罪的公安机关要依法严厉打击。

信息化系统安全需求聚焦

二、系统安全防护措施及建议

1.网络安全防护

疫情防控信息化系统通过互联网等非安全网络进行数据传输,存在被监听窃取数据的风险,建议通过加密通讯协议(SSL)或VPN网关,结合防火墙、入侵检测等安全产品,实现系统网络安全防护

2.数据安全防护

疫情防控信息化系统数据在采集、传输、存储、使用过程中的安全防护,安全防护措施包括:采用强身份认证方式、结合多因子认证机制,防止因用户身份伪造而导致系统被入侵;结合网络安全防护,防止数据在传输过程中被监听窃取;采用数据加密机制,实现数据存储加密,防止因拖库、爬取、内部监守自盗而导致数据外泄;细颗粒度的网络和数据访问控制,限制非法或越权访问。

3.数据加密

包括数据传输加密、数据存储加密、数据共享加密。数据传输加密可通过加密通信协议或VPN产品实现;数据存储加密包括文件加密、数据库加密等,可通过加密软件或必要情况下使用硬件密码产品实现。

4.数据脱敏

基于保留格式加密技术实现,数据加密后不改变数据类型和数据长度,脱敏不影响身份证号、手机号等敏感数据的存储和使用。

5.个人信息安全

综合以上安全防护措施,实现个人信息安全防护。

6.防爬取

通过网络安全防护措施,尽量杜绝爬取;通过数据加密措施,实现数据被爬取后仍然不会导致数据泄露。

7.等保三级

疫情防控信息化系统安全防护要参照等保三级安全标准,在物理安全、网络安全、主机安全、应用安全、数据安全方面均有明确要求,对于安全产品和服务有安全认证和相关资质要求。

三、奥联全方位疫情防控信息化系统安全保护服务

奥联基于成熟的技术、产品和解决方案,可提供全方位的疫情防控信息化系统安全保护服务,满足等保三级安全要求。

整体安全防护示意图

方案补充及扩展:

1.密九令:身份认证安全解决方案

方案采用标识密码技术、IBC-CHAP挑战应答及OpenID等技术实现统一的安全身份认证和访问控制,使用手机号码、邮箱账户作为用户标识公钥,无需管理维护复杂的密钥基础设施。用户使用扫码认证APP(支持Android/iOS),一次扫描二维码可安全登录多个应用系统。通过随机数的签名/验签方式实现高强度身份认证,杜绝弱口令猜测、字典攻击、撞库攻击等问题。支持密钥分片、联合签名的密码技术,实现无证书无介质增强认证,为用户提供基于智能终端的统一安全认证服务。

核心产品:统一身份认证系统

2.密九云:网络安全接入解决方案

方案采用SM4、SM9国密算法,实现海量用户安全接入、强身份认证、通道加密等功能,支持移动智能终端/PC端访问云端或服务端应用系统,从而防止因系统漏洞、弱口令、数据中间劫持等造成应用系统冒名越权访问、数据篡改和数据泄露安全风险,保障应用系统的安全稳定运行,为用户提供安全接入和通道加密服务,形成访问过程的审计管理。

核心产品:VPN安全接入网关

3.密九盘:数据存储安全解决方案

方案采用标识密码技术构建,由安全存储分发系统、SM9标识密码机组成,实现云上数据加密存储、保留格式加密、定向分享、权限管理等安全功能,也可提供开发接口结合公有云盘,解决了企业文档数据在传输、存储与分发过程中的安全性。该方案可以实时保护企业敏感文档数据,保护企业的隐私数据不被非法人员窃取

核心产品:安全存储分发系统

4.密九通:移动通讯安全解决方案

方案以SM9标识密码算法为核心,将手机号码作为身份标识,对移动智能终端重要数据的传输、存储和分享进行加密保护,实现语音通话、通讯录、短信、照片、文件、即时通讯消息等加密保护,防止利用系统漏洞或采取恶意监听、病毒木马植入等手段盗取敏感数据,保障移动智能终端数据安全。

核心产品:安全通信平台

5.视频监控安全解决方案

方案按照国家标准GB35114设计,以密码技术和安全传输协议为核心,采用SM2/SM9用于身份认证和数字签名,SM3用于视频数据防篡改,SM4及ZUC用于视频流加密。实现视频监控系统中身份认证、传输加密、存储加密、准入控制、监控告警等安全效果,全方位保护视频监控系统数据安全。

核心产品:视频安全网关、视频加密网关

6.移动应用安全解决方案

方案综合使用国密SM2、SM3、SM4、SM9系列算法,适配华为鲲鹏处理器的TaiShan服务器,实现统一身份认证、移动安全办公、加密通话、加密即时通讯、安全沙箱服务和信息服务综合平台。平台支持跨域互通和分布式部署,实现了国产密码技术与移动端应用系统的深度融合,形成自主可控、技术开放、安全可信的移动安全办公。

核心产品:移动安全管理平台、沙箱

7.数据脱敏解决方案

方案综合采用国密算法,支持静态/动态数据脱敏,在线/离线数据脱敏。数据脱敏后保持原有数据的格式,支持脱敏数据的在线受控还原,支持生成系统对数据的实时在线处理。数据脱敏加密密钥的分隔,允许系统和用户各自拥有加密密钥的分隔向量(分别称为系统密钥和用户密钥),只有用户和系统共同允许才可对相关数据进行脱敏和还原。支持用户密钥采用策略管理,基于策略标识进行基于加密技术的授权访问控制。

核心产品:脱敏中间件

四、方案规范和依据

《中华人民共和国网络安全法》

《中华人民共和国密码法》

《信息安全技术 网络安全等级保护基本要求》(GB/T22239-2019)

《信息系统密码应用基本要求》(GM-T 0054-2018)

对于重大突发公共卫生事件Ⅰ级Ⅱ级响应地区的主要疫情防控单位,奥联免费提供7*24小时咨询和安全服务,优先供应安全产品。

方案详情及更多安全解决方案

敬请登录奥联官网www.myibc.net