背景

信息已成为重要的战略性资源，信息资源管理和知识管理成为各行业各部门各企业的核心管理领域。信息和知识的生产、加工与处理，成为创造财富的基础。随着中国社会信息化建设的不断加快，信息安全的重要性也越来越突出。特别是对国家重点行业来说，信息安全工作已经成为了行业信息化中的重中之重。

信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题。

目前，在许多网络与信息系统由于技术或实施等种种原因，相应的安全技术手段还不是很到位，如何有效地规划这些信息系统的安全建设，特别是这些信息系统的用户身份认证和资源访问控制方面的建设成为摆在用户面前的现实问题，具体表现如下：

• 账号的管理工作量将进一步加大，账号被盗用的可能性大大提高。
• 用户名+口令”认证方式的弱口令问题将会使信息系统登录的安全性大打折扣。
• 集中访问控制机制的缺失将会导致对信息系统访问的用户群体可控性较差，管理也较为复杂，从而容易被非法用户接入网络和信息系统进行敏感数据的读取或破坏。
• 集中审计机制的缺失将导致无法对用户登录各信息系统及在其上的操作行为给出全面的审计记录，也无法实现审计取证。

建设需求

根据分级保护和等级保护国家相关要求，对于一定安全等级的网络信息系统，需要进一步加强用户身份认证与访问控制技术手段。

本解决方案提供全面的身份鉴别与访问控制措施和手段。方案以CA数字证书管理系统为基础，以USB Key为载体，以访问控制安全网关为控制手段，实现：

1）信息系统账号的集中管理；

2）终端开机安全登录和信息系统安全登录；

3）信息系统的入口级访问控制；

4）信息系统登录和访问行为审计记录。

从而从全方位加强对信息系统账号全生命周期的管理控制，提高信息系统访问控制的安全强度，提升信息系统使用的安全水平，符合国家有关部门相关技术和标准要求。

系统解决方案

网络部署如图所示，简要说明如下：

• CA认证服务：为信息系统用户提供数字证书的全生命周期管理，包括证书申请、审核、签发、制证、查询、更新、废除等环节的管理；
• 身份认证与访问控制服务：图示中的网关提供身份认证与业务资源访问控制服务，网关串接在用户和业务资源之间，用户不能绕过网关访问未被授权的业务应用资源；
• 终端安全服务：提供终端安全登录服务管理功能，可以设置终端的登录时间、IP地址段以及和USBKEY绑定功能等。