沂沭泗水利管理局政務外網身份認證體系建設的思考

張煜煜，于百奎

（沂沭泗水利管理局水文局（信息中心），江蘇 徐州 221018）

0 引言

沂沭泗局本部及各直屬局目前僅部分員工擁有數字身份證書，且由淮委統一制作并維護，證書適用范圍僅支持沂沭泗局綜合辦公系統登錄使用。隨著數字孿生技術工作的不斷推進，具有“四預”功能的水旱災害防御管理系統、水資源管理與調配系統及工程運行管理系統即將投入使用，為進一步全方位保障沂沭泗局業務應用系統的安全管理，按照水利部整體統一身份認證的建設規劃與設計，依據水利政務外網身份認證體系標準規范，在沂沭泗局本級建設政務外網身份認證體系，實現本地化的證書管理和密碼服務迫在眉睫。

1 可行性研究

1.1 符合國家政策及統一信任體系要求

中央辦公廳、國務院辦公廳針對重要領域密碼應用工作提出了明確的要求，要求對新建網絡和信息系統采用密碼進行保護，對已建網絡和信息系統進行必要改造。2016 年，中辦督查組到水利部開展指導意見貫徹落實情況實地督查，督查反饋意見建議水利部進一步加強水利重要信息系統密碼應用推進力度，盡快完成密碼應用改造任務。水利部、淮委機關按照統一PKI/CA 建設標準積極建立統一認證體系，水利部建設標準規范中要求各流域機構建設流域CA，負責下轄機關的數字用戶的注冊、證書申請、審核、簽發等管理功能，下轄機關可建設LRA系統與上級RA 系統按照標準接口實現對接。

1.2 水利部及淮委已有認證基礎

2010 年，水利部建設了水利政務外網身份認證體系，在部機關建設根CA，在各流域機構建設流域CA 及RA 系統，淮河水利委員建有CA 系統、RA 系統、目錄服務系統和安全認證網關等，按照水利部政務外網的需求，需要接入到水利部外網身份認證系統，當前已實現了證書的本地化服務、認證的本地化服務。水利部及淮委身份認證體系的建設為國家防汛抗旱指揮系統、水利財務管理信息系統、國家水資源管理系統、水利部網站系統等信息系統提供身份鑒別、數字簽名等服務。

2 整體設計

2.1 設計需求

隨著沂沭泗局本部及各直屬單位業務的不斷發展，對身份認證證書需求越來越高，依照目前發證體系架構，將帶來巨大的工作量及挑戰。同時隨著證書業務與應用系統的不斷深度整合，應用其自身安全性對證書體系的依賴性不斷加強，對CA 系統自身的穩定性及證書申請的便利性也提出了新的需求，因此在沂沭泗水利管理局本地建設LRA 實現本地的證書申請與管理，不僅能夠更好地滿足本地證書服務，提升工作效率，同時能夠更好地應對監管部門的密碼應用合規性審查，增強沂沭泗局對關鍵信息基礎設施網絡安全防護標準。

2.2 邏輯架構

沂沭泗局政務外網身份認證體系邏輯架構總體分為部級、淮委、沂沭泗水利管理局三層，每層均按照相關規范及指南進行規劃建設。沂沭泗局政務外網身份認證體系LRA 證書注冊中心受理點系統與淮委RA 系統對接，實現證書的申請與管理等功能；LDAP 目錄服務系統與淮委目錄服務系統對接，同步CRL 吊銷列表；新建身份認證網關設備與應用系統集成對接，實現基于數字證書的身份認證。通過在沂沭泗水利管理局單機部署LRA 系統及目錄服務系統（LDAP），同時雙機部署身份認證網關設備。LRA 系統服務器通過防火墻與淮委政務外網RA 中心相連，證書申請信息通過淮委RA 中心上報到水利部電子政務外網CA 進行審核簽發證書。

2.3 設計方案

從沂沭泗水利管理局人員分布特點及業務應用實際出發，在保證沂沭泗水利管理局信息系統安全可靠高效運行的前提下，綜合考慮多方面因素進行方案設計。沂沭泗局身份認證體系設計方案以政務外網身份認證系統建設為核心，包含安全保障、故障恢復與災難備份、應用系統、安全支撐及身份認證體系等。設計方案有縱深防御、快速響應、組織管理和監督檢查的作用，全面保障網絡基礎設施、應用和數據安全。沂沭泗局身份認證體系設計方案圖見圖1。

圖1 沂沭泗局身份認證體系設計方案圖

3 建設內容

3.1 建立證書注冊受理點

證書的管理主要以證書的發放為核心，涉及證書從生命周期開始到結束的各個環節，對應于證書的申請、審核、下載、更新、注銷等各個具體的流程。證書申請審核是為了保證沂沭泗局全體員工數字證書申請的嚴肅性、正確性。證書注冊受理點系統LRA 是以軟件客戶端的形式部署在用戶終端，負責用戶信息錄入和審核，連接上級淮委RA 系統，實現本地用戶數字證書的申請、凍結、解凍、更新、注銷、查詢等管理服務。LRA 主要完成申請信息的錄入和審核并提供制作和下載接口，沂沭泗局LRA 系統需要在淮委RA中心注冊后方可被允許接入，淮委RA 中心的管理員通過RA的管理模塊對沂沭泗LRA機構信息進行維護。

3.2 目錄服務管理

目錄服務系統是基于國際LDAPV3、LDAPV2 標準構建，為沂沭泗局安全存儲PKI/PMI 以及用戶身份、屬性、權限等信息提供幫助和支持。它與PKI/PMI/IPC 等體系配合，提供完整的身份管理、身份認證、權限控制解決方案。目錄服務系統具有查詢效率高、互通性高、支持多種認證方式、可分布式部署以及靈活訪問控制等特點，使它能廣泛地應用于沂沭泗局基礎性、關鍵性信息的管理。

沂沭泗局目錄服務系統通過與淮委中間目錄服務系統同步證書及證書吊銷列表CRL 數據信息，實現證書及CRL 信息的發布和查詢能力。為身份認證網關提供證書有效性校驗，從而驗證用戶證書狀態。

3.3 部署身份認證網關

身份認證網關是通過在沂沭泗局網絡機房內部署硬件設備為沂沭泗局各業務系統提供統一的登錄入口，提供基于數字證書的身份鑒別及訪問控制能力，實現用戶訪問業務系統時涉及的身份驗證、信息保密等安全需求。

在沂沭泗局部署身份認證網關是為了實現沂沭泗局全體人員接入水利專網時實現強身份認證和審計服務功能。從而解決使用各應用系統時涉及的身份驗證、信息保密、權限控制等安全問題。身份認證網關主要功能包括用戶身份認證、動態CRL 更新、單點登錄、應用級訪問控制、應用認證策略配置、證書DN 規則控制、黑白名單、狀態監控、日志審計、分權管理、統一門戶、信息傳遞、備份恢復、雙機熱備及故障應急等。

4 對實際工作產生的效益

沂沭泗局統一身份認證體系使得用戶和應用系統之間形成一道安全屏障，與目錄服務系統LDAP交互，完成用戶的身份認證，為沂沭泗局信息安全體系及業務系統應用整合提供強有力的支持。通過對數字孿生平臺、沂沭泗水情信息服務系統、沂沭局水政執法監控等應用系統的整合達到促進各個應用系統在正常業務及突發事件時流暢、及時的信息流轉和業務協作的目的。

5 結語

沂沭泗局水利信息化建設規劃明確提出建設流域信息匯聚整合平臺，統一用戶管理是其中一項重要工作。沂沭泗水利管理局政務外網身份認證體系的建設在提高信息安全的基礎上，將沂沭泗各個應用系統在界面展現、業務應用、功能實現、數據集成等多個方面形成一個符合總體設計規范標準的一個有機整體，滿足沂沭泗水利信息化發展規劃要求■