沂沭泗水利管理局政務(wù)外網(wǎng)身份認(rèn)證體系建設(shè)的思考

張煜煜，于百奎

（沂沭泗水利管理局水文局（信息中心），江蘇 徐州 221018）

0 引言

沂沭泗局本部及各直屬局目前僅部分員工擁有數(shù)字身份證書，且由淮委統(tǒng)一制作并維護(hù)，證書適用范圍僅支持沂沭泗局綜合辦公系統(tǒng)登錄使用。隨著數(shù)字孿生技術(shù)工作的不斷推進(jìn)，具有“四預(yù)”功能的水旱災(zāi)害防御管理系統(tǒng)、水資源管理與調(diào)配系統(tǒng)及工程運(yùn)行管理系統(tǒng)即將投入使用，為進(jìn)一步全方位保障沂沭泗局業(yè)務(wù)應(yīng)用系統(tǒng)的安全管理，按照水利部整體統(tǒng)一身份認(rèn)證的建設(shè)規(guī)劃與設(shè)計(jì)，依據(jù)水利政務(wù)外網(wǎng)身份認(rèn)證體系標(biāo)準(zhǔn)規(guī)范，在沂沭泗局本級(jí)建設(shè)政務(wù)外網(wǎng)身份認(rèn)證體系，實(shí)現(xiàn)本地化的證書管理和密碼服務(wù)迫在眉睫。

1 可行性研究

1.1 符合國(guó)家政策及統(tǒng)一信任體系要求

中央辦公廳、國(guó)務(wù)院辦公廳針對(duì)重要領(lǐng)域密碼應(yīng)用工作提出了明確的要求，要求對(duì)新建網(wǎng)絡(luò)和信息系統(tǒng)采用密碼進(jìn)行保護(hù)，對(duì)已建網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行必要改造。2016 年，中辦督查組到水利部開展指導(dǎo)意見貫徹落實(shí)情況實(shí)地督查，督查反饋意見建議水利部進(jìn)一步加強(qiáng)水利重要信息系統(tǒng)密碼應(yīng)用推進(jìn)力度，盡快完成密碼應(yīng)用改造任務(wù)。水利部、淮委機(jī)關(guān)按照統(tǒng)一PKI/CA 建設(shè)標(biāo)準(zhǔn)積極建立統(tǒng)一認(rèn)證體系，水利部建設(shè)標(biāo)準(zhǔn)規(guī)范中要求各流域機(jī)構(gòu)建設(shè)流域CA，負(fù)責(zé)下轄機(jī)關(guān)的數(shù)字用戶的注冊(cè)、證書申請(qǐng)、審核、簽發(fā)等管理功能，下轄機(jī)關(guān)可建設(shè)LRA系統(tǒng)與上級(jí)RA 系統(tǒng)按照標(biāo)準(zhǔn)接口實(shí)現(xiàn)對(duì)接。

1.2 水利部及淮委已有認(rèn)證基礎(chǔ)

2010 年，水利部建設(shè)了水利政務(wù)外網(wǎng)身份認(rèn)證體系，在部機(jī)關(guān)建設(shè)根CA，在各流域機(jī)構(gòu)建設(shè)流域CA 及RA 系統(tǒng)，淮河水利委員建有CA 系統(tǒng)、RA 系統(tǒng)、目錄服務(wù)系統(tǒng)和安全認(rèn)證網(wǎng)關(guān)等，按照水利部政務(wù)外網(wǎng)的需求，需要接入到水利部外網(wǎng)身份認(rèn)證系統(tǒng)，當(dāng)前已實(shí)現(xiàn)了證書的本地化服務(wù)、認(rèn)證的本地化服務(wù)。水利部及淮委身份認(rèn)證體系的建設(shè)為國(guó)家防汛抗旱指揮系統(tǒng)、水利財(cái)務(wù)管理信息系統(tǒng)、國(guó)家水資源管理系統(tǒng)、水利部網(wǎng)站系統(tǒng)等信息系統(tǒng)提供身份鑒別、數(shù)字簽名等服務(wù)。

2 整體設(shè)計(jì)

2.1 設(shè)計(jì)需求

隨著沂沭泗局本部及各直屬單位業(yè)務(wù)的不斷發(fā)展，對(duì)身份認(rèn)證證書需求越來越高，依照目前發(fā)證體系架構(gòu)，將帶來巨大的工作量及挑戰(zhàn)。同時(shí)隨著證書業(yè)務(wù)與應(yīng)用系統(tǒng)的不斷深度整合，應(yīng)用其自身安全性對(duì)證書體系的依賴性不斷加強(qiáng)，對(duì)CA 系統(tǒng)自身的穩(wěn)定性及證書申請(qǐng)的便利性也提出了新的需求，因此在沂沭泗水利管理局本地建設(shè)LRA 實(shí)現(xiàn)本地的證書申請(qǐng)與管理，不僅能夠更好地滿足本地證書服務(wù)，提升工作效率，同時(shí)能夠更好地應(yīng)對(duì)監(jiān)管部門的密碼應(yīng)用合規(guī)性審查，增強(qiáng)沂沭泗局對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)。

2.2 邏輯架構(gòu)

沂沭泗局政務(wù)外網(wǎng)身份認(rèn)證體系邏輯架構(gòu)總體分為部級(jí)、淮委、沂沭泗水利管理局三層，每層均按照相關(guān)規(guī)范及指南進(jìn)行規(guī)劃建設(shè)。沂沭泗局政務(wù)外網(wǎng)身份認(rèn)證體系LRA 證書注冊(cè)中心受理點(diǎn)系統(tǒng)與淮委RA 系統(tǒng)對(duì)接，實(shí)現(xiàn)證書的申請(qǐng)與管理等功能；LDAP 目錄服務(wù)系統(tǒng)與淮委目錄服務(wù)系統(tǒng)對(duì)接，同步CRL 吊銷列表；新建身份認(rèn)證網(wǎng)關(guān)設(shè)備與應(yīng)用系統(tǒng)集成對(duì)接，實(shí)現(xiàn)基于數(shù)字證書的身份認(rèn)證。通過在沂沭泗水利管理局單機(jī)部署LRA 系統(tǒng)及目錄服務(wù)系統(tǒng)（LDAP），同時(shí)雙機(jī)部署身份認(rèn)證網(wǎng)關(guān)設(shè)備。LRA 系統(tǒng)服務(wù)器通過防火墻與淮委政務(wù)外網(wǎng)RA 中心相連，證書申請(qǐng)信息通過淮委RA 中心上報(bào)到水利部電子政務(wù)外網(wǎng)CA 進(jìn)行審核簽發(fā)證書。

2.3 設(shè)計(jì)方案

從沂沭泗水利管理局人員分布特點(diǎn)及業(yè)務(wù)應(yīng)用實(shí)際出發(fā)，在保證沂沭泗水利管理局信息系統(tǒng)安全可靠高效運(yùn)行的前提下，綜合考慮多方面因素進(jìn)行方案設(shè)計(jì)。沂沭泗局身份認(rèn)證體系設(shè)計(jì)方案以政務(wù)外網(wǎng)身份認(rèn)證系統(tǒng)建設(shè)為核心，包含安全保障、故障恢復(fù)與災(zāi)難備份、應(yīng)用系統(tǒng)、安全支撐及身份認(rèn)證體系等。設(shè)計(jì)方案有縱深防御、快速響應(yīng)、組織管理和監(jiān)督檢查的作用，全面保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施、應(yīng)用和數(shù)據(jù)安全。沂沭泗局身份認(rèn)證體系設(shè)計(jì)方案圖見圖1。

圖1 沂沭泗局身份認(rèn)證體系設(shè)計(jì)方案圖

3 建設(shè)內(nèi)容

3.1 建立證書注冊(cè)受理點(diǎn)

證書的管理主要以證書的發(fā)放為核心，涉及證書從生命周期開始到結(jié)束的各個(gè)環(huán)節(jié)，對(duì)應(yīng)于證書的申請(qǐng)、審核、下載、更新、注銷等各個(gè)具體的流程。證書申請(qǐng)審核是為了保證沂沭泗局全體員工數(shù)字證書申請(qǐng)的嚴(yán)肅性、正確性。證書注冊(cè)受理點(diǎn)系統(tǒng)LRA 是以軟件客戶端的形式部署在用戶終端，負(fù)責(zé)用戶信息錄入和審核，連接上級(jí)淮委RA 系統(tǒng)，實(shí)現(xiàn)本地用戶數(shù)字證書的申請(qǐng)、凍結(jié)、解凍、更新、注銷、查詢等管理服務(wù)。LRA 主要完成申請(qǐng)信息的錄入和審核并提供制作和下載接口，沂沭泗局LRA 系統(tǒng)需要在淮委RA中心注冊(cè)后方可被允許接入，淮委RA 中心的管理員通過RA的管理模塊對(duì)沂沭泗LRA機(jī)構(gòu)信息進(jìn)行維護(hù)。

3.2 目錄服務(wù)管理

目錄服務(wù)系統(tǒng)是基于國(guó)際LDAPV3、LDAPV2 標(biāo)準(zhǔn)構(gòu)建，為沂沭泗局安全存儲(chǔ)PKI/PMI 以及用戶身份、屬性、權(quán)限等信息提供幫助和支持。它與PKI/PMI/IPC 等體系配合，提供完整的身份管理、身份認(rèn)證、權(quán)限控制解決方案。目錄服務(wù)系統(tǒng)具有查詢效率高、互通性高、支持多種認(rèn)證方式、可分布式部署以及靈活訪問控制等特點(diǎn)，使它能廣泛地應(yīng)用于沂沭泗局基礎(chǔ)性、關(guān)鍵性信息的管理。

沂沭泗局目錄服務(wù)系統(tǒng)通過與淮委中間目錄服務(wù)系統(tǒng)同步證書及證書吊銷列表CRL 數(shù)據(jù)信息，實(shí)現(xiàn)證書及CRL 信息的發(fā)布和查詢能力。為身份認(rèn)證網(wǎng)關(guān)提供證書有效性校驗(yàn)，從而驗(yàn)證用戶證書狀態(tài)。

3.3 部署身份認(rèn)證網(wǎng)關(guān)

身份認(rèn)證網(wǎng)關(guān)是通過在沂沭泗局網(wǎng)絡(luò)機(jī)房?jī)?nèi)部署硬件設(shè)備為沂沭泗局各業(yè)務(wù)系統(tǒng)提供統(tǒng)一的登錄入口，提供基于數(shù)字證書的身份鑒別及訪問控制能力，實(shí)現(xiàn)用戶訪問業(yè)務(wù)系統(tǒng)時(shí)涉及的身份驗(yàn)證、信息保密等安全需求。

在沂沭泗局部署身份認(rèn)證網(wǎng)關(guān)是為了實(shí)現(xiàn)沂沭泗局全體人員接入水利專網(wǎng)時(shí)實(shí)現(xiàn)強(qiáng)身份認(rèn)證和審計(jì)服務(wù)功能。從而解決使用各應(yīng)用系統(tǒng)時(shí)涉及的身份驗(yàn)證、信息保密、權(quán)限控制等安全問題。身份認(rèn)證網(wǎng)關(guān)主要功能包括用戶身份認(rèn)證、動(dòng)態(tài)CRL 更新、單點(diǎn)登錄、應(yīng)用級(jí)訪問控制、應(yīng)用認(rèn)證策略配置、證書DN 規(guī)則控制、黑白名單、狀態(tài)監(jiān)控、日志審計(jì)、分權(quán)管理、統(tǒng)一門戶、信息傳遞、備份恢復(fù)、雙機(jī)熱備及故障應(yīng)急等。

4 對(duì)實(shí)際工作產(chǎn)生的效益

沂沭泗局統(tǒng)一身份認(rèn)證體系使得用戶和應(yīng)用系統(tǒng)之間形成一道安全屏障，與目錄服務(wù)系統(tǒng)LDAP交互，完成用戶的身份認(rèn)證，為沂沭泗局信息安全體系及業(yè)務(wù)系統(tǒng)應(yīng)用整合提供強(qiáng)有力的支持。通過對(duì)數(shù)字孿生平臺(tái)、沂沭泗水情信息服務(wù)系統(tǒng)、沂沭局水政執(zhí)法監(jiān)控等應(yīng)用系統(tǒng)的整合達(dá)到促進(jìn)各個(gè)應(yīng)用系統(tǒng)在正常業(yè)務(wù)及突發(fā)事件時(shí)流暢、及時(shí)的信息流轉(zhuǎn)和業(yè)務(wù)協(xié)作的目的。

5 結(jié)語

沂沭泗局水利信息化建設(shè)規(guī)劃明確提出建設(shè)流域信息匯聚整合平臺(tái)，統(tǒng)一用戶管理是其中一項(xiàng)重要工作。沂沭泗水利管理局政務(wù)外網(wǎng)身份認(rèn)證體系的建設(shè)在提高信息安全的基礎(chǔ)上，將沂沭泗各個(gè)應(yīng)用系統(tǒng)在界面展現(xiàn)、業(yè)務(wù)應(yīng)用、功能實(shí)現(xiàn)、數(shù)據(jù)集成等多個(gè)方面形成一個(gè)符合總體設(shè)計(jì)規(guī)范標(biāo)準(zhǔn)的一個(gè)有機(jī)整體，滿足沂沭泗水利信息化發(fā)展規(guī)劃要求■