中兴通讯金融网安全成功案例

1 某省邮政储汇金融网安全改造

　　某省邮政储汇金融网由于原来业务系统安全强度较低，如访问控制脆弱、缺乏审核与统计功能等。需要在不改变原有业务系统和网络结构的情况下，提高整个系统的安全强度

。

　　中兴的安全改造方案：建立clearcase/" target="_blank" >cc">CA中心向系统用户颁发数字证书；将用户身份和业务操作权限与用户的数字证书相关联，并且实现集中管理；用户终端使用IC卡硬件设备进行身份认证，在用户和业务服务器之间进行双向身份认证；在每个业务终端和业务服务器之间动态建立一个加密安全通道，并且实时地进行安全性检查。

　　2 某部委结算系统安全子系统

　　某部委原有的结算系统存在一些安全隐患，例如：难以防止在传输专线节点处对数据的窃取和篡改；没有电子签名机制，收方无法确认发方的合法性；业务计算机的安全仅仅取决于操作系统的安全和口令的保密；操作员没有物理的身份令牌登录系统；操作员的操作也仅靠日志文件来记录，而口令和日志都存于硬盘上，没有安全保护；对于该网络中任何一个子系统，其他子系统都可以认为是"外网"，大多数结算网都没有对来自内部的"外网"的防范。

　　中兴的安全解决方案：建立发卡中心负责所有网点的密钥生成、存储和备份，并将生成好的密钥通过SJW29网络密码卡及其附带的专用IC卡读卡器导出到IC卡中，通过密码信封的方式将IC卡发给各个运营网点，运营网点将IC卡中的密钥通过读卡器导入到各网点的SJW29网络密码卡中，从而完成了初始密钥的分发；发卡中心同时也负责各个网点操作员身份卡的初始化工作，这样保证了各个网点每个管理员、操作员都有物理的身份令牌用来登录SJW29网络密码卡，并使用与身份令牌相对应的密钥；业务网络中每台计算机配置一块SJW29网络密码卡，附带专用的IC卡读卡器，用于密钥的导入和身份的鉴别；每个网点间通信时，数据包都要经过SJW29网络密码卡的加密和签名，从而保证了数据的安全传输；实施集中密钥管理方案，负责整个结算系统的密钥管理，每一个节点都设置多级、多种密钥，提供不同的用途，实现信息报文的安全传输。

　　3 某券商网上交易平台CA系统

　　某券商网络包括兰州和上海两个管理总部，其中兰州总部下有8个营业部，上海总部下有两个营业部，北京和深圳各有一个营业部。拟建立网上交易平台，开展网上的交易委托业务，同时宣传自身的服务，吸引更多的客户。网上交易平台CA系统由中兴承建。

　　中兴CA系统方案：

　　在兰州总部建立一个根CA，作为认证系统的信任源，为下级子CA、根CA系统各服务器颁发证书。根CA物理上与网络隔离，任何通信都采用人工干预的方式。根CA服务器上安装SJW29网络密码卡硬件、CA中心证书服务系统软件和数据库系统。

　　在兰州中心和上海中心分别建立子CA，均由兰州根CA颁发，作为兰州根CA的下一级CA。子CA服务器上安装SJW29网络密码卡硬件、CA中心证书服务系统软件和数据库系统。各子CA系统中还包括一个Web服务器，建立子CA的证书服务站点。Web服务器的证书由子CA颁发。子CA的证书服务站点面向其下的各营业部和股民用户，提供在线证书服务，包括证书申请、下载和查询等。

　　兰州中心下属8个营业部、上海中心下属2个营业部、北京营业部和深圳营业部都作为注册机构RA，直接面向股民，接受股民的书面证书申请，对股民进行面对面的审核。各营业部（RA）系统中安装SJW29网络密码卡硬件、客户端证书管理程序。RA对股民审核合格后，利用SJW29网络密码卡为股民生成密钥，私钥加密导出成私钥文件，公钥生成证书申请，通过上级子CA的证书服务站点在线提交证书申请。同时RA将用户私钥拷贝到软盘、连同用户序列号和用户密码装入密码信封交给股民，在一个工作日后子CA颁发好用户证书，股民在任何联网的机器上，下载颁发好的用户证书。

原文转自：http://www.ltesting.net