某省電力公司身份認(rèn)證系統(tǒng)應(yīng)用案例

發(fā)布時間： 2016-03-18   來源：本站編輯

    案　例　簡　介

　　隨著信息化不斷地發(fā)展，信息化建設(shè)已經(jīng)成為此電力公司發(fā)展戰(zhàn)略的重要組成部分。在信息化建設(shè)逐步成熟的背景下，信息系統(tǒng)的安全性也成為擺在某省電力公司面前的一大難題，解決信息安全問題已成為當(dāng)務(wù)之急。本項(xiàng)目的建設(shè)目的在于設(shè)計(jì)一套某省電力公司身份認(rèn)證技術(shù)體系，保證信息系統(tǒng)中用戶身份的真實(shí)性，實(shí)現(xiàn)以數(shù)字證書技術(shù)為基礎(chǔ)的統(tǒng)一身份認(rèn)證和用戶管理，并基于統(tǒng)一身份認(rèn)證之上，實(shí)現(xiàn)對應(yīng)用系統(tǒng)的統(tǒng)一應(yīng)用安全支撐和單點(diǎn)登錄。

　　用　戶　名　稱　某省電力公司

　　用　戶　類　型 能源

　　用　戶　簡　介

　　某省電力公司是某電網(wǎng)有限公司的全資子公司。承擔(dān)著全省的電力生產(chǎn)、建設(shè)、調(diào)度、經(jīng)營及電力規(guī)劃研究等任務(wù)。現(xiàn)有所屬單位38個，其中供電單位19個，發(fā)電單位3個，直屬生產(chǎn)企業(yè)4個，施工修造企業(yè)15個，科研院校10個，其它單位5個。擁有資產(chǎn)585億元。共有員工6萬人。

　　用　戶　需　求

　　在企業(yè)目前建設(shè)的多個信息系統(tǒng)中，都是采用傳統(tǒng)的用戶名/密碼方式來實(shí)現(xiàn)身份認(rèn)證。但這種方式早已被證明是不安全的。

　　新一代基于數(shù)字證書的智能卡身份認(rèn)證系統(tǒng)目前已成為安全認(rèn)證的標(biāo)準(zhǔn)，在國內(nèi)各行業(yè)被廣泛采用，建立數(shù)字證書認(rèn)證體系，能夠?yàn)橛脩艟W(wǎng)絡(luò)訪問、應(yīng)用系統(tǒng)訪問提供可信的身份識別方式。

　　目前用戶在業(yè)務(wù)系統(tǒng)中進(jìn)行的關(guān)鍵數(shù)據(jù)交換和關(guān)鍵操作，非?？赡鼙粣阂庥脩暨M(jìn)行竊聽或非法篡改，無法保證數(shù)據(jù)的安全性、完整性和不可否認(rèn)性，存在安全隱患。而采用安全傳輸?shù)燃夹g(shù)，即可解決相關(guān)安全問題。

　　總結(jié)目前的需求，主要有以下幾點(diǎn)：

　　解決信息系統(tǒng)的身份鑒別問題

　　原有應(yīng)用系統(tǒng)采用“用戶名+口令”的方式認(rèn)證，安全級別不高，存在著安全隱患。需要建立安全的身份認(rèn)證系統(tǒng)，保證應(yīng)用域內(nèi)的實(shí)體(人員、設(shè)備)數(shù)字身份鑒別的高度安全性。

　　解決信息傳輸加密問題

　　目前網(wǎng)路傳輸?shù)臄?shù)據(jù)處于明文狀態(tài)，沒有進(jìn)行加密處理，容易被非法人員截取和篡改，同時也不利于開展遠(yuǎn)程移動辦公。

　　解決基于證書的統(tǒng)一用戶管理問題

　　原有各個應(yīng)用系統(tǒng)沒有統(tǒng)一的用戶身份表達(dá)形式，同一個人具有多個用戶名，不便于用戶記憶的同時，管理員對用戶的身份管理分散在各個系統(tǒng)，也非常不便。

　　采用數(shù)字證書作為用戶的唯一身份標(biāo)識后，如何讓用戶采用唯一的一張數(shù)字證書體現(xiàn)出用戶的各種通用屬性，并且在不同應(yīng)用系統(tǒng)間體現(xiàn)出不同的個性化身份，是統(tǒng)一用戶管理系統(tǒng)需要解決的問題。

　　解決跨域的單點(diǎn)登錄問題

　　同一用戶若需登錄多個應(yīng)用系統(tǒng)，需要多次輸入用戶名和密碼，操作繁瑣，因此需要采用單點(diǎn)登錄，方便用戶使用。

　　由于目前的應(yīng)用系統(tǒng)服務(wù)器都處于各自分散的環(huán)境中分別部署，因此身份驗(yàn)證系統(tǒng)必須支持跨域。

　　針對如上需求，建設(shè)基于pki技術(shù)的統(tǒng)一身份認(rèn)證和用戶管理系統(tǒng)，可有效的提高信息系統(tǒng)的安全性、易用性、穩(wěn)定性。在此體系上，一方面在技術(shù)上實(shí)現(xiàn)了用戶的統(tǒng)一認(rèn)證和管理、實(shí)現(xiàn)了人員和數(shù)據(jù)的安全，另一方面在管理上做到了易于操作、權(quán)限清晰和責(zé)任明確，是提高信息安全水平的保障。統(tǒng)一身份認(rèn)證和用戶管理系統(tǒng)將是促進(jìn)信息化發(fā)展的重要保障措施。

　　建設(shè)目標(biāo)和要求

　　根據(jù)本項(xiàng)目對身份認(rèn)證系統(tǒng)的需求，應(yīng)實(shí)現(xiàn)如下建設(shè)目標(biāo)：

　　建立此省電力公司身份認(rèn)證和用戶管理體系、安全應(yīng)用支撐平臺、桌面安全桌面系統(tǒng)，為某省電力公司實(shí)現(xiàn)統(tǒng)一身份認(rèn)證管理和應(yīng)用系統(tǒng)、操作終端的系統(tǒng)單點(diǎn)登錄認(rèn)證等功能。

　　統(tǒng)一身份認(rèn)證體系應(yīng)包含ca中心、ra中心、kmc中心、ldap;安全支撐平臺應(yīng)包含能夠?qū)崿F(xiàn)主路、旁路身份認(rèn)證的安全組件，并實(shí)現(xiàn)基于證書的終端登錄組件。

　　實(shí)現(xiàn)oa、郵件等應(yīng)用系統(tǒng)在技術(shù)上的整合，達(dá)到安全為應(yīng)用服務(wù)的目的。

　　制訂適合此省電力公司應(yīng)用需求的管理策略，提出運(yùn)行管理規(guī)范(包括但不限于某省電力公司數(shù)字證書應(yīng)用接口規(guī)范，數(shù)字證書格式規(guī)范、認(rèn)證系統(tǒng)安全運(yùn)行管理規(guī)范、證書管理規(guī)范等)。

　　在上述建設(shè)目標(biāo)建設(shè)完成后，應(yīng)實(shí)現(xiàn)如下技術(shù)要求：

　　通過身份認(rèn)證基礎(chǔ)平臺可以為某省電力公司內(nèi)部的人員、設(shè)備等應(yīng)用安全域內(nèi)的物理或邏輯實(shí)體提供了統(tǒng)一的數(shù)字實(shí)體標(biāo)識。

　　在全省部署的范圍內(nèi)考慮，從pki的信任層次結(jié)構(gòu)、ca機(jī)構(gòu)、ra機(jī)構(gòu)的擴(kuò)展部署等幾方面來整體考慮此省電力公司身份認(rèn)證體系，要求給出整體建設(shè)方案，說明以省公司本部為試點(diǎn)建設(shè)后的擴(kuò)展方案。

　　信任體系應(yīng)支持向上、向下的擴(kuò)展，能夠支持電網(wǎng)公司未來對于信任體系統(tǒng)一的要求。

　　實(shí)施方案應(yīng)考慮和整個電網(wǎng)公司整體信息工程中的統(tǒng)一用戶管理和目錄體系之間的兼容。

　　實(shí)現(xiàn)一個用戶證書可以在各信息系統(tǒng)中訪問，達(dá)到單點(diǎn)登錄的訪問目的。

　　以數(shù)字證書代替操作系統(tǒng)終端帳戶的登錄方式，并通過與操作系統(tǒng)的集成，實(shí)現(xiàn)了操作系統(tǒng)認(rèn)證。

　　操作系統(tǒng)層和應(yīng)用層兩個層面認(rèn)證的統(tǒng)一，本系統(tǒng)中的用戶身份證書必須能夠支持windows本地操作系統(tǒng)登錄認(rèn)證和windows域(ad)登錄，并能夠和ad中的域用戶實(shí)現(xiàn)同步功能。

　　制訂身份認(rèn)證系統(tǒng)運(yùn)行策略，制定符合某省電力公司安全系統(tǒng)運(yùn)行標(biāo)準(zhǔn)規(guī)范，指導(dǎo)某省電力公司完成信息系統(tǒng)的統(tǒng)一身份認(rèn)證工作。

    總體設(shè)計(jì)思路

　　根據(jù)需求和建設(shè)目標(biāo)，我們將以身份認(rèn)證系統(tǒng)、應(yīng)用安全支撐平臺為用戶構(gòu)建基于數(shù)字證書的統(tǒng)一身份認(rèn)證、統(tǒng)一用戶管理和應(yīng)用安全支撐系統(tǒng)。

　　全局范圍內(nèi)，將建立統(tǒng)一的目錄服務(wù)體系，以完善的數(shù)據(jù)復(fù)制策略實(shí)現(xiàn)對應(yīng)用系統(tǒng)的全面支撐。

　　身份認(rèn)證系統(tǒng)(pki基礎(chǔ)設(shè)施)

　　1、　證書簽發(fā)系統(tǒng)(ca系統(tǒng))

　　為所有的實(shí)體(設(shè)備、人員等)管理身份證書。

　　2、　用戶管理系統(tǒng)(ums系統(tǒng))

　　在身份認(rèn)證系統(tǒng)之上，以數(shù)字證書為用戶標(biāo)識實(shí)現(xiàn)統(tǒng)一的用戶管理、組織機(jī)構(gòu)管理，為相關(guān)業(yè)務(wù)系統(tǒng)提供全局統(tǒng)一的用戶屬性信息。

　　3、　密鑰管理系統(tǒng)(kmc系統(tǒng))

　　對用戶的密鑰進(jìn)行管理和備份，能夠通過嚴(yán)格的流程實(shí)現(xiàn)密鑰的恢復(fù)。

　　4、　目錄服務(wù)系統(tǒng)(ldap系統(tǒng))

　　實(shí)現(xiàn)證書的發(fā)布和crl的發(fā)布，并能夠?qū)崿F(xiàn)和ad之間的用戶同步。

　　應(yīng)用安全支撐平臺

　　以身份認(rèn)證系統(tǒng)、用戶管理系統(tǒng)為基礎(chǔ)，采用應(yīng)用安全支撐平臺的各產(chǎn)品組件實(shí)現(xiàn)應(yīng)用系統(tǒng)的安全接入，使得身份認(rèn)證、用戶管理、數(shù)字簽名等技術(shù)能夠方邊的整合到原有的業(yè)務(wù)系統(tǒng)中。

　　在安全支撐平臺的支持下，能夠?yàn)橛脩魳?gòu)建操作系統(tǒng)層和應(yīng)用層的統(tǒng)一身份認(rèn)證和單點(diǎn)登錄。

　　標(biāo)準(zhǔn)規(guī)范體系

　　根據(jù)實(shí)際業(yè)務(wù)特點(diǎn)，針對系統(tǒng)的運(yùn)行維護(hù)、使用流程、應(yīng)用接入標(biāo)準(zhǔn)等制訂一系列標(biāo)準(zhǔn)和規(guī)范，以利于業(yè)務(wù)的有序開展。

　　如上所述，身份認(rèn)證系統(tǒng)為內(nèi)部人員、設(shè)備等應(yīng)用安全域內(nèi)的物理或邏輯實(shí)體提供了統(tǒng)一的數(shù)字實(shí)體標(biāo)識，統(tǒng)一的用戶管理系統(tǒng)則根據(jù)具體的組織機(jī)構(gòu)、用戶屬性、用戶級別等實(shí)際情況，對數(shù)字實(shí)體標(biāo)識進(jìn)行可定制的統(tǒng)一管理和授權(quán)，最后再通過應(yīng)用安全支撐平臺為業(yè)務(wù)系統(tǒng)提供服務(wù)，實(shí)現(xiàn)了獨(dú)立于各應(yīng)用系統(tǒng)的安全的、統(tǒng)一的身份認(rèn)證和管理體系。

　　總體設(shè)計(jì)思路示意圖如下所示：

　　總體物理部署設(shè)計(jì)

　　根據(jù)總體設(shè)計(jì)思路，基于性能和投資相平衡的原則，系統(tǒng)物理部署設(shè)計(jì)如下圖所示：


　　如上圖所示，根據(jù)系統(tǒng)的不同功能，從網(wǎng)絡(luò)上以vlan方式劃分不同區(qū)域，包括核心區(qū)、服務(wù)區(qū)和應(yīng)用區(qū)。

　　身份認(rèn)證核心區(qū)包括ca、kmc、ums等證書、用戶管理系統(tǒng)，是整個系統(tǒng)的核心功能區(qū)。

　　身份認(rèn)證服務(wù)區(qū)包括ias和從目錄服務(wù)器，實(shí)現(xiàn)對外的身份驗(yàn)證支持。

　　應(yīng)用系統(tǒng)區(qū)中部署身份認(rèn)證網(wǎng)關(guān)，使應(yīng)用系統(tǒng)與外界實(shí)現(xiàn)安全隔離。

　　成　果

　　通過以上各個系統(tǒng)的建設(shè)，對于此省電力公司的所有人員和設(shè)備都有一個標(biāo)準(zhǔn)的身份表達(dá)，達(dá)到了“一人一證”的效果;所有的應(yīng)用系統(tǒng)都在統(tǒng)一的標(biāo)準(zhǔn)指引下獲得了高強(qiáng)度的身份認(rèn)證功能;電力公司的管理人員只需集中的管理對應(yīng)用戶的證書信息和屬性(權(quán)限)信息即可控制和管理對應(yīng)人員在應(yīng)用中的地位;所有的持證用戶在所有的應(yīng)用系統(tǒng)中只需要一次登錄，無須在記憶太多的信息;體系符合電網(wǎng)總公司的整體規(guī)劃能和電網(wǎng)總公司現(xiàn)在的系統(tǒng)進(jìn)行互聯(lián)。