某人力资源和社会保障局
建设背景
某区人社局档案管理涉及大量人事和社会保障数据,传统纸质档案和影像化存储模式存在效率低、查阅慢、跨部门共享困难及安全隐患。为实现档案管理现代化,局方启动数字档案知识库建设,引入OCR与AI技术实现智能录入和检索,同时开展商用密码应用改造,确保系统身份认证、数据加密和完整性保护符合国家等级保护三级要求,为档案安全管理提供全面支撑。
建设内容
1. 网络与通信安全建设
部署运维SSL VPN网关、业务SSL VPN网关及国密安全浏览器,通过SM2算法进行身份鉴别,结合SM4及HMAC-SM3实现数据传输加密与完整性保护。密码改造确保档案在局内访问及跨部门共享过程中的数据不被篡改或泄露,同时可追溯访问行为。
2. 设备与计算安全建设
在服务器密码机、SSL VPN 网关等密码产品中引入智能密码钥匙,基于 SM2 数字签名实现运维人员强身份鉴别;堡垒机采用“账号+口令+动态口令”方式进行身份认证。应用服务器、数据库服务器及数据库管理系统仅允许通过 VPN 接入并经堡垒机统一运维管理。远程管理过程采用 TLCP、SSHv2 等加密协议进行保护。改造后,设备访问与管理操作安全可控,有效降低未授权访问和运维风险,提升系统整体可信度。
3. 应用与数据安全建设
系统管理员采用符合 GM/T 0027 标准的智能密码钥匙和基于 SM2 的数字证书进行身份鉴别;业务用户通过账号密码结合动态口令实现双因子认证。敏感个人信息、重要业务数据及日志数据在存储过程中通过服务器密码机采用 SM4 加密和 HMAC-SM3 完整性保护。数据在传输过程中依托网络与通信安全层面的密码措施保障机密性和完整性,实现应用与数据的安全可控。
建设亮点
提升档案数据安全可信度
通过全流程密码加密和身份鉴别,确保档案数据在传输、存储和访问环节的机密性和完整性,有效防止数据泄露、篡改和非法访问,显著提升档案管理的安全水平。
强化系统身份与操作审计能力
密码改造后,系统管理员通过智能密码钥匙完成强身份鉴别,结合日志审计机制实现操作可追溯,为系统审计和合规检查提供技术支撑。
支撑跨部门安全共享与业务协同
基于密码改造的安全通信与访问控制机制,使数字档案知识库能够在保证数据安全的前提下,实现跨部门快速调阅和安全共享,减少人工查找和验证时间,提高档案使用效率,同时降低安全事件风险。