网络信息安全认证系统包括哪些方面
网络信息安全认证系统包括以下方面:
统一的PKI基础设施:采用数字证书的手段来实现用户身份的描述,通过建设PKI基础设施来实现集团企业的用户、设备的权威、统一描述,为整个行业提供权威的实体身份管理。统一的PKI基础设施保证能够平滑地纳入集团部分公司已经建设的CA系统,同时又要满足未来的信息化建设、整合对PKI基础设施的需求。在业务系统需要时PKI基础设施需要和集团企业范围之外的其他行业或国家部委之间实现互联互通。在未来国家信任体系建设完成后,可以方便地融入国家PKI基础设施中。
全面的应用安全支撑体系:统一的应用安全支撑体系通过对底层PKI基础设施的高度抽象,采用组件化服务器的方式向业务系统提供统一的、体系化的安全支撑服务。为业务系统提供用户身份认证、传输加密、数字签名、单点登录等安全服务。业务系统通过调用应用安全支撑提供的服务,可以经过简单的配置或少量的代码更改就实现安全功能的嵌入,实现和数字证书的结合。通过应用安全支撑体系,能够实现对用户终端、内部网络、业务系统、内部文档的统一安全认证。
统一的审计和责任认定:针对用户的身份状态、授权状态应能够进行统一的查询统计,使管理者能够在统一的平台中掌握任意用户的身份状态以及任意用户在各业务系统中的授权状况。分布在各种业务系统上的用户行为数据采集到统一审计系统中,进行审计、分析,保证行为数据的可信性、抗抵赖性和有效性,便于日后的责任认定。责任认定功能为责任认定对象提供身份确认、责任认定信息的完整性和真实性服务,保证了责任认定的公正性和权威性。
建立安全管理体系:集团企业安全认证系统作为集团企业信息化建设的信息安全基础设施,肩负着为集团企业提供信息安全保障的重任。任何一个安全认证系统其设计、建设非常重要,但是更为重要的是后期的管理,只有管理跟得上,安全认证系统才能够真正用得好,才可以真正发挥其应有的效益。因此,一个完善的安全管理体系,是安全认证系统不可或缺的一部分。
技术标准体系:在工程建设过程中,逐步形成系统建设、系统推广使用等各种规范,并且本着“理论指导实践、实践修正理论”的原则,最终形成符合集团企业需求的标准规范,以保证安全认证系统的全行业建设和全行业的应用安全开展。具体的标准规范包括:PKI应用接口、管理制度、目录服务建设、数字证书格式、系统建设、系统命名、运行管理、证书存储介质、证书管理。