案 例 簡 介
隨著信息化不斷地發(fā)展,信息化建設已經(jīng)成為此電力公司發(fā)展戰(zhàn)略的重要組成部分。在信息化建設逐步成熟的背景下,信息系統(tǒng)的安全性也成為擺在某省電力公司面前的一大難題,解決信息安全問題已成為當務之急。本項目的建設目的在于設計一套某省電力公司身份認證技術體系,保證信息系統(tǒng)中用戶身份的真實性,實現(xiàn)以數(shù)字證書技術為基礎的統(tǒng)一身份認證和用戶管理,并基于統(tǒng)一身份認證之上,實現(xiàn)對應用系統(tǒng)的統(tǒng)一應用安全支撐和單點登錄。
用 戶 名 稱 某省電力公司
用 戶 類 型 能源
用 戶 簡 介
某省電力公司是某電網(wǎng)有限公司的全資子公司。承擔著全省的電力生產(chǎn)、建設、調度、經(jīng)營及電力規(guī)劃研究等任務?,F(xiàn)有所屬單位38個,其中供電單位19個,發(fā)電單位3個,直屬生產(chǎn)企業(yè)4個,施工修造企業(yè)15個,科研院校10個,其它單位5個。擁有資產(chǎn)585億元。共有員工6萬人。
用 戶 需 求
在企業(yè)目前建設的多個信息系統(tǒng)中,都是采用傳統(tǒng)的用戶名/密碼方式來實現(xiàn)身份認證。但這種方式早已被證明是不安全的。
新一代基于數(shù)字證書的智能卡身份認證系統(tǒng)目前已成為安全認證的標準,在國內各行業(yè)被廣泛采用,建立數(shù)字證書認證體系,能夠為用戶網(wǎng)絡訪問、應用系統(tǒng)訪問提供可信的身份識別方式。
目前用戶在業(yè)務系統(tǒng)中進行的關鍵數(shù)據(jù)交換和關鍵操作,非??赡鼙粣阂庥脩暨M行竊聽或非法篡改,無法保證數(shù)據(jù)的安全性、完整性和不可否認性,存在安全隱患。而采用安全傳輸?shù)燃夹g,即可解決相關安全問題。
總結目前的需求,主要有以下幾點:
解決信息系統(tǒng)的身份鑒別問題
原有應用系統(tǒng)采用“用戶名+口令”的方式認證,安全級別不高,存在著安全隱患。需要建立安全的身份認證系統(tǒng),保證應用域內的實體(人員、設備)數(shù)字身份鑒別的高度安全性。
解決信息傳輸加密問題
目前網(wǎng)路傳輸?shù)臄?shù)據(jù)處于明文狀態(tài),沒有進行加密處理,容易被非法人員截取和篡改,同時也不利于開展遠程移動辦公。
解決基于證書的統(tǒng)一用戶管理問題
原有各個應用系統(tǒng)沒有統(tǒng)一的用戶身份表達形式,同一個人具有多個用戶名,不便于用戶記憶的同時,管理員對用戶的身份管理分散在各個系統(tǒng),也非常不便。
采用數(shù)字證書作為用戶的唯一身份標識后,如何讓用戶采用唯一的一張數(shù)字證書體現(xiàn)出用戶的各種通用屬性,并且在不同應用系統(tǒng)間體現(xiàn)出不同的個性化身份,是統(tǒng)一用戶管理系統(tǒng)需要解決的問題。
解決跨域的單點登錄問題
同一用戶若需登錄多個應用系統(tǒng),需要多次輸入用戶名和密碼,操作繁瑣,因此需要采用單點登錄,方便用戶使用。
由于目前的應用系統(tǒng)服務器都處于各自分散的環(huán)境中分別部署,因此身份驗證系統(tǒng)必須支持跨域。
針對如上需求,建設基于pki技術的統(tǒng)一身份認證和用戶管理系統(tǒng),可有效的提高信息系統(tǒng)的安全性、易用性、穩(wěn)定性。在此體系上,一方面在技術上實現(xiàn)了用戶的統(tǒng)一認證和管理、實現(xiàn)了人員和數(shù)據(jù)的安全,另一方面在管理上做到了易于操作、權限清晰和責任明確,是提高信息安全水平的保障。統(tǒng)一身份認證和用戶管理系統(tǒng)將是促進信息化發(fā)展的重要保障措施。
建設目標和要求
根據(jù)本項目對身份認證系統(tǒng)的需求,應實現(xiàn)如下建設目標:
建立此省電力公司身份認證和用戶管理體系、安全應用支撐平臺、桌面安全桌面系統(tǒng),為某省電力公司實現(xiàn)統(tǒng)一身份認證管理和應用系統(tǒng)、操作終端的系統(tǒng)單點登錄認證等功能。
統(tǒng)一身份認證體系應包含ca中心、ra中心、kmc中心、ldap;安全支撐平臺應包含能夠實現(xiàn)主路、旁路身份認證的安全組件,并實現(xiàn)基于證書的終端登錄組件。
實現(xiàn)oa、郵件等應用系統(tǒng)在技術上的整合,達到安全為應用服務的目的。
制訂適合此省電力公司應用需求的管理策略,提出運行管理規(guī)范(包括但不限于某省電力公司數(shù)字證書應用接口規(guī)范,數(shù)字證書格式規(guī)范、認證系統(tǒng)安全運行管理規(guī)范、證書管理規(guī)范等)。
在上述建設目標建設完成后,應實現(xiàn)如下技術要求:
通過身份認證基礎平臺可以為某省電力公司內部的人員、設備等應用安全域內的物理或邏輯實體提供了統(tǒng)一的數(shù)字實體標識。
在全省部署的范圍內考慮,從pki的信任層次結構、ca機構、ra機構的擴展部署等幾方面來整體考慮此省電力公司身份認證體系,要求給出整體建設方案,說明以省公司本部為試點建設后的擴展方案。
信任體系應支持向上、向下的擴展,能夠支持電網(wǎng)公司未來對于信任體系統(tǒng)一的要求。
實施方案應考慮和整個電網(wǎng)公司整體信息工程中的統(tǒng)一用戶管理和目錄體系之間的兼容。
實現(xiàn)一個用戶證書可以在各信息系統(tǒng)中訪問,達到單點登錄的訪問目的。
以數(shù)字證書代替操作系統(tǒng)終端帳戶的登錄方式,并通過與操作系統(tǒng)的集成,實現(xiàn)了操作系統(tǒng)認證。
操作系統(tǒng)層和應用層兩個層面認證的統(tǒng)一,本系統(tǒng)中的用戶身份證書必須能夠支持windows本地操作系統(tǒng)登錄認證和windows域(ad)登錄,并能夠和ad中的域用戶實現(xiàn)同步功能。
制訂身份認證系統(tǒng)運行策略,制定符合某省電力公司安全系統(tǒng)運行標準規(guī)范,指導某省電力公司完成信息系統(tǒng)的統(tǒng)一身份認證工作。
總體設計思路
根據(jù)需求和建設目標,我們將以身份認證系統(tǒng)、應用安全支撐平臺為用戶構建基于數(shù)字證書的統(tǒng)一身份認證、統(tǒng)一用戶管理和應用安全支撐系統(tǒng)。
全局范圍內,將建立統(tǒng)一的目錄服務體系,以完善的數(shù)據(jù)復制策略實現(xiàn)對應用系統(tǒng)的全面支撐。
身份認證系統(tǒng)(pki基礎設施)
1、 證書簽發(fā)系統(tǒng)(ca系統(tǒng))
為所有的實體(設備、人員等)管理身份證書。
2、 用戶管理系統(tǒng)(ums系統(tǒng))
在身份認證系統(tǒng)之上,以數(shù)字證書為用戶標識實現(xiàn)統(tǒng)一的用戶管理、組織機構管理,為相關業(yè)務系統(tǒng)提供全局統(tǒng)一的用戶屬性信息。
3、 密鑰管理系統(tǒng)(kmc系統(tǒng))
對用戶的密鑰進行管理和備份,能夠通過嚴格的流程實現(xiàn)密鑰的恢復。
4、 目錄服務系統(tǒng)(ldap系統(tǒng))
實現(xiàn)證書的發(fā)布和crl的發(fā)布,并能夠實現(xiàn)和ad之間的用戶同步。
應用安全支撐平臺
以身份認證系統(tǒng)、用戶管理系統(tǒng)為基礎,采用應用安全支撐平臺的各產(chǎn)品組件實現(xiàn)應用系統(tǒng)的安全接入,使得身份認證、用戶管理、數(shù)字簽名等技術能夠方邊的整合到原有的業(yè)務系統(tǒng)中。
在安全支撐平臺的支持下,能夠為用戶構建操作系統(tǒng)層和應用層的統(tǒng)一身份認證和單點登錄。
標準規(guī)范體系
根據(jù)實際業(yè)務特點,針對系統(tǒng)的運行維護、使用流程、應用接入標準等制訂一系列標準和規(guī)范,以利于業(yè)務的有序開展。
如上所述,身份認證系統(tǒng)為內部人員、設備等應用安全域內的物理或邏輯實體提供了統(tǒng)一的數(shù)字實體標識,統(tǒng)一的用戶管理系統(tǒng)則根據(jù)具體的組織機構、用戶屬性、用戶級別等實際情況,對數(shù)字實體標識進行可定制的統(tǒng)一管理和授權,最后再通過應用安全支撐平臺為業(yè)務系統(tǒng)提供服務,實現(xiàn)了獨立于各應用系統(tǒng)的安全的、統(tǒng)一的身份認證和管理體系。
總體設計思路示意圖如下所示: