張煜煜，于百奎

（沂沭泗水利管理局水文局（信息中心），江蘇 徐州 221018）

0 引言

沂沭泗局本部及各直屬局目前僅部分員工擁有數(shù)字身份證書，且由淮委統(tǒng)一制作并維護，證書適用范圍僅支持沂沭泗局綜合辦公系統(tǒng)登錄使用。隨著數(shù)字孿生技術(shù)工作的不斷推進，具有“四預(yù)”功能的水旱災(zāi)害防御管理系統(tǒng)、水資源管理與調(diào)配系統(tǒng)及工程運行管理系統(tǒng)即將投入使用，為進一步全方位保障沂沭泗局業(yè)務(wù)應(yīng)用系統(tǒng)的安全管理，按照水利部整體統(tǒng)一身份認證的建設(shè)規(guī)劃與設(shè)計，依據(jù)水利政務(wù)外網(wǎng)身份認證體系標準規(guī)范，在沂沭泗局本級建設(shè)政務(wù)外網(wǎng)身份認證體系，實現(xiàn)本地化的證書管理和密碼服務(wù)迫在眉睫。

1 可行性研究

1.1 符合國家政策及統(tǒng)一信任體系要求

中央辦公廳、國務(wù)院辦公廳針對重要領(lǐng)域密碼應(yīng)用工作提出了明確的要求，要求對新建網(wǎng)絡(luò)和信息系統(tǒng)采用密碼進行保護，對已建網(wǎng)絡(luò)和信息系統(tǒng)進行必要改造。2016 年，中辦督查組到水利部開展指導(dǎo)意見貫徹落實情況實地督查，督查反饋意見建議水利部進一步加強水利重要信息系統(tǒng)密碼應(yīng)用推進力度，盡快完成密碼應(yīng)用改造任務(wù)。水利部、淮委機關(guān)按照統(tǒng)一PKI/CA 建設(shè)標準積極建立統(tǒng)一認證體系，水利部建設(shè)標準規(guī)范中要求各流域機構(gòu)建設(shè)流域CA，負責(zé)下轄機關(guān)的數(shù)字用戶的注冊、證書申請、審核、簽發(fā)等管理功能，下轄機關(guān)可建設(shè)LRA系統(tǒng)與上級RA 系統(tǒng)按照標準接口實現(xiàn)對接。

1.2 水利部及淮委已有認證基礎(chǔ)

2010 年，水利部建設(shè)了水利政務(wù)外網(wǎng)身份認證體系，在部機關(guān)建設(shè)根CA，在各流域機構(gòu)建設(shè)流域CA 及RA 系統(tǒng)，淮河水利委員建有CA 系統(tǒng)、RA 系統(tǒng)、目錄服務(wù)系統(tǒng)和安全認證網(wǎng)關(guān)等，按照水利部政務(wù)外網(wǎng)的需求，需要接入到水利部外網(wǎng)身份認證系統(tǒng)，當前已實現(xiàn)了證書的本地化服務(wù)、認證的本地化服務(wù)。水利部及淮委身份認證體系的建設(shè)為國家防汛抗旱指揮系統(tǒng)、水利財務(wù)管理信息系統(tǒng)、國家水資源管理系統(tǒng)、水利部網(wǎng)站系統(tǒng)等信息系統(tǒng)提供身份鑒別、數(shù)字簽名等服務(wù)。

2 整體設(shè)計

2.1 設(shè)計需求

隨著沂沭泗局本部及各直屬單位業(yè)務(wù)的不斷發(fā)展，對身份認證證書需求越來越高，依照目前發(fā)證體系架構(gòu)，將帶來巨大的工作量及挑戰(zhàn)。同時隨著證書業(yè)務(wù)與應(yīng)用系統(tǒng)的不斷深度整合，應(yīng)用其自身安全性對證書體系的依賴性不斷加強，對CA 系統(tǒng)自身的穩(wěn)定性及證書申請的便利性也提出了新的需求，因此在沂沭泗水利管理局本地建設(shè)LRA 實現(xiàn)本地的證書申請與管理，不僅能夠更好地滿足本地證書服務(wù)，提升工作效率，同時能夠更好地應(yīng)對監(jiān)管部門的密碼應(yīng)用合規(guī)性審查，增強沂沭泗局對關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護標準。

2.2 邏輯架構(gòu)

沂沭泗局政務(wù)外網(wǎng)身份認證體系邏輯架構(gòu)總體分為部級、淮委、沂沭泗水利管理局三層，每層均按照相關(guān)規(guī)范及指南進行規(guī)劃建設(shè)。沂沭泗局政務(wù)外網(wǎng)身份認證體系LRA 證書注冊中心受理點系統(tǒng)與淮委RA 系統(tǒng)對接，實現(xiàn)證書的申請與管理等功能；LDAP 目錄服務(wù)系統(tǒng)與淮委目錄服務(wù)系統(tǒng)對接，同步CRL 吊銷列表；新建身份認證網(wǎng)關(guān)設(shè)備與應(yīng)用系統(tǒng)集成對接，實現(xiàn)基于數(shù)字證書的身份認證。通過在沂沭泗水利管理局單機部署LRA 系統(tǒng)及目錄服務(wù)系統(tǒng)（LDAP），同時雙機部署身份認證網(wǎng)關(guān)設(shè)備。LRA 系統(tǒng)服務(wù)器通過防火墻與淮委政務(wù)外網(wǎng)RA 中心相連，證書申請信息通過淮委RA 中心上報到水利部電子政務(wù)外網(wǎng)CA 進行審核簽發(fā)證書。

2.3 設(shè)計方案

從沂沭泗水利管理局人員分布特點及業(yè)務(wù)應(yīng)用實際出發(fā)，在保證沂沭泗水利管理局信息系統(tǒng)安全可靠高效運行的前提下，綜合考慮多方面因素進行方案設(shè)計。沂沭泗局身份認證體系設(shè)計方案以政務(wù)外網(wǎng)身份認證系統(tǒng)建設(shè)為核心，包含安全保障、故障恢復(fù)與災(zāi)難備份、應(yīng)用系統(tǒng)、安全支撐及身份認證體系等。設(shè)計方案有縱深防御、快速響應(yīng)、組織管理和監(jiān)督檢查的作用，全面保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施、應(yīng)用和數(shù)據(jù)安全。沂沭泗局身份認證體系設(shè)計方案圖見圖1。

圖1 沂沭泗局身份認證體系設(shè)計方案圖

3 建設(shè)內(nèi)容

3.1 建立證書注冊受理點

證書的管理主要以證書的發(fā)放為核心，涉及證書從生命周期開始到結(jié)束的各個環(huán)節(jié)，對應(yīng)于證書的申請、審核、下載、更新、注銷等各個具體的流程。證書申請審核是為了保證沂沭泗局全體員工數(shù)字證書申請的嚴肅性、正確性。證書注冊受理點系統(tǒng)LRA 是以軟件客戶端的形式部署在用戶終端，負責(zé)用戶信息錄入和審核，連接上級淮委RA 系統(tǒng)，實現(xiàn)本地用戶數(shù)字證書的申請、凍結(jié)、解凍、更新、注銷、查詢等管理服務(wù)。LRA 主要完成申請信息的錄入和審核并提供制作和下載接口，沂沭泗局LRA 系統(tǒng)需要在淮委RA中心注冊后方可被允許接入，淮委RA 中心的管理員通過RA的管理模塊對沂沭泗LRA機構(gòu)信息進行維護。

3.2 目錄服務(wù)管理

目錄服務(wù)系統(tǒng)是基于國際LDAPV3、LDAPV2 標準構(gòu)建，為沂沭泗局安全存儲PKI/PMI 以及用戶身份、屬性、權(quán)限等信息提供幫助和支持。它與PKI/PMI/IPC 等體系配合，提供完整的身份管理、身份認證、權(quán)限控制解決方案。目錄服務(wù)系統(tǒng)具有查詢效率高、互通性高、支持多種認證方式、可分布式部署以及靈活訪問控制等特點，使它能廣泛地應(yīng)用于沂沭泗局基礎(chǔ)性、關(guān)鍵性信息的管理。

沂沭泗局目錄服務(wù)系統(tǒng)通過與淮委中間目錄服務(wù)系統(tǒng)同步證書及證書吊銷列表CRL 數(shù)據(jù)信息，實現(xiàn)證書及CRL 信息的發(fā)布和查詢能力。為身份認證網(wǎng)關(guān)提供證書有效性校驗，從而驗證用戶證書狀態(tài)。

3.3 部署身份認證網(wǎng)關(guān)

身份認證網(wǎng)關(guān)是通過在沂沭泗局網(wǎng)絡(luò)機房內(nèi)部署硬件設(shè)備為沂沭泗局各業(yè)務(wù)系統(tǒng)提供統(tǒng)一的登錄入口，提供基于數(shù)字證書的身份鑒別及訪問控制能力，實現(xiàn)用戶訪問業(yè)務(wù)系統(tǒng)時涉及的身份驗證、信息保密等安全需求。

在沂沭泗局部署身份認證網(wǎng)關(guān)是為了實現(xiàn)沂沭泗局全體人員接入水利專網(wǎng)時實現(xiàn)強身份認證和審計服務(wù)功能。從而解決使用各應(yīng)用系統(tǒng)時涉及的身份驗證、信息保密、權(quán)限控制等安全問題。身份認證網(wǎng)關(guān)主要功能包括用戶身份認證、動態(tài)CRL 更新、單點登錄、應(yīng)用級訪問控制、應(yīng)用認證策略配置、證書DN 規(guī)則控制、黑白名單、狀態(tài)監(jiān)控、日志審計、分權(quán)管理、統(tǒng)一門戶、信息傳遞、備份恢復(fù)、雙機熱備及故障應(yīng)急等。

4 對實際工作產(chǎn)生的效益

沂沭泗局統(tǒng)一身份認證體系使得用戶和應(yīng)用系統(tǒng)之間形成一道安全屏障，與目錄服務(wù)系統(tǒng)LDAP交互，完成用戶的身份認證，為沂沭泗局信息安全體系及業(yè)務(wù)系統(tǒng)應(yīng)用整合提供強有力的支持。通過對數(shù)字孿生平臺、沂沭泗水情信息服務(wù)系統(tǒng)、沂沭局水政執(zhí)法監(jiān)控等應(yīng)用系統(tǒng)的整合達到促進各個應(yīng)用系統(tǒng)在正常業(yè)務(wù)及突發(fā)事件時流暢、及時的信息流轉(zhuǎn)和業(yè)務(wù)協(xié)作的目的。

5 結(jié)語

沂沭泗局水利信息化建設(shè)規(guī)劃明確提出建設(shè)流域信息匯聚整合平臺，統(tǒng)一用戶管理是其中一項重要工作。沂沭泗水利管理局政務(wù)外網(wǎng)身份認證體系的建設(shè)在提高信息安全的基礎(chǔ)上，將沂沭泗各個應(yīng)用系統(tǒng)在界面展現(xiàn)、業(yè)務(wù)應(yīng)用、功能實現(xiàn)、數(shù)據(jù)集成等多個方面形成一個符合總體設(shè)計規(guī)范標準的一個有機整體，滿足沂沭泗水利信息化發(fā)展規(guī)劃要求■