基于用戶身份的信息安全管控平臺架構研究與應用

作者簡介：趙婷婷（1989—），女，工程師，碩士；研究方向：規劃和自然資源信息化。

摘要：等級保護20標準的發布對南京市規劃自然資源城域網的網絡安全和系統安全管理提出了更高的要求，文章通過研究基于用戶身份的信息安全管控平臺架構，建立集用戶賬號集中管理、身份識別集中認證、訪問控制集中授權、海量日志集中綜合審計于一體的安全管控平臺，以不動產登記檔案查詢系統為案例探索實現應用系統資源接入，為南京市規劃資源網提供基于用戶統一身份的安全管控服務，提升規劃資源信息化體系的安全性和管理能力，實現整體安全管理工作的可視、可控、可管。

關鍵詞：等級保護；信息安全；用戶體系；身份認證

中圖分類號：TP311文獻標志碼：A

0引言

隨著我國網絡安全法的出臺，等級保護工作成了國家網絡安全的基礎性工作，新版網絡安全等級保護20系列標準的正式實施［1］，對加強規劃資源網絡安全保障工作，提升網絡安全保護能力具有重要意義。南京市規劃資源網即南京市規劃和自然資源局城域網，南京市機構改革組建后形成，整合后的內部網絡包含多個應用系統，存在用戶信息不一致、管理分散等問題，人員入職、調崗或離職過程中缺乏統一高效的技術管理手段，無法對各系統中的用戶賬戶進行同步變更，容易出現僵尸賬號、孤兒賬號等異常賬號。等級保護20標準的實施對規劃資源信息化工作提出了更高要求，為滿足規劃資源信息系統登錄的安全性及用戶身份的唯一性，需建立一個統一集中、完善有效、持續運作的統一用戶身份信息的安全管控平臺，滿足等級保護合規性要求，實現對用戶身份全生命周期的集中控制，改善用戶體驗，促進應用系統的賬號管理規范化和標準化，實現規劃資源應用整體安全管理工作的可視、可控、可管。

1調研分析

11現狀調研

南京市規劃資源網內部虛擬化平臺、堡壘機、隔離網閘等各資源管理平臺以及不動產統一登記平臺、國土空間基礎信息平臺、“互聯網+”一體化政務服務平臺等各應用系統采用獨立管理用戶的方式，各自建立模塊實現用戶管理、認證，沒有實現統一登錄，在日常工作和管理過程中，用戶需要單獨登錄各管理平臺和應用系統，記錄和使用不同的登錄地址、用戶名和密碼，一定程度上增加了用戶操作的復雜性。另外，由于相關系統、子系統眾多，用戶難以記住每個系統的用戶名和密碼，容易造成弱口令等信息安全隱患，既增加了用戶管理上的困難，也提高了信息系統的安全風險。

12需求分析

根據南京市規劃資源業務發展和安全需要，對規劃資源應用系統登錄用戶進行具有唯一性的身份標識和具有復雜度要求的身份鑒別，采用口令、密碼技術、生物技術等2種或2種以上組合的鑒別技術進行用戶身份鑒別，結合已有用戶習慣，其中一種鑒別技術應使用密碼技術來實現。同時，對用戶統一分配、管理賬戶和權限，實現統一訪問控制，審計可以對用戶行為進行全覆蓋，也可以按需對重要用戶行為、重要安全事件進行重點審計，建設集全網集中賬號管理、認證管理、授權管理、審計管理于一體的基于用戶身份的信息安全管控平臺，以規范化為各應用系統提供統一用戶管理和支撐服務。

2平臺架構建設方案研究

基于用戶身份的信息安全管控平臺通過對系統資源和應用資源等IT（InformationTechnology）資源的集中管理，為南京市規劃資源網提供集中賬號（Account）、認證（Authentication）、授權（Authoriza-tion）、審計（Audit）［2］管理技術支撐及配套流程，提升規劃資源系統安全性和可控可管能力。基于用戶身份的信息安全管控平臺通過建立“自然人-賬號”關系實現對自然人、資源、資源賬號的集中管理，通過對“賬號-資源”關系的統一授權實現訪問權限控制，同時通過對授權人員的運維操作進行記錄、分析、展現，做到事前規劃預防、事中實時監控、違規行為響應、事后合規報告、事故追蹤回放［3］，加強規劃資源內部業務操作行為監管，實現規劃資源應用系統日常運維和業務使用的全過程可視、可控、可信，完善現有網絡安全管理體系。基于用戶身份的信息安全管控平臺架構如圖1所示。

21資源層

實現對規劃資源網絡中交換機、服務主機等各類系統資源和不動產統一登記業務系統等應用資源的統一安全管控。

22接口層

接口層通過向各系統提供賬號管理接口、認證接口、授權接口、審計接口、業務管理接口等，實現與各業務系統之間的數據傳輸。管理類接口主要包括WebService、LDAP等，實現與其他信息化管理平臺等系統的數據交互，功能類接口主要提供標準的Syslog、SNMP、LDAP、FTP等協議接口，用于采集平臺支撐組件的各種日志數據、賬號數據等。

23存儲層

存儲層包括用于存放賬號、密碼等數據的業務數據庫和用于存放各項日志數據的審計數據庫。二者獨立運行，提升存儲效率。

24功能層

功能層包括賬號管理、認證管理、授權管理、綜合審計和業務管理等功能，能有效解決規劃資源信息化系統中存在的賬號、認證、授權、審計等管理問題，保障用戶合法、安全、方便地使用整個系統的特定資源，既有效保障合法用戶權益，又有效提升業務系統運行的安全性和可靠性。

賬號管理實現對用戶身份、系統賬號和應用賬號的統一集中管理，包括按照密碼策略自動更改密碼、賬號雙向同步等，認證管理實現不同業務系統用戶身份認證的統一集中管理，采用SSO（SingleSignOn）方式實現用戶訪問資源的透明登錄，授權管理實現用戶對資源訪問的統一授權，建立“用戶賬號—資源—資源賬號”的對應關系，實現不同用戶對系統不同資源的訪問控制，綜合審計實現對授權人員的登錄、操作行為的記錄、分析、展現，加強內部業務操作行為監管，保護數據庫、服務器、網絡設備等核心資產，保障業務系統的正常運營［4］。業務管理實現平臺自身管理、用戶自服務等維護功能。

25展示層

展示層向信息安全管控平臺普通人員、運維管理員提供統一的使用、運維管理頁面，實現用戶賬號的身份認證，按系統分配的授權權限為普通用戶、運維管理員實現系統資源、有業務資源的單點登錄跳轉和集中審計信息展示。

3關鍵技術

31CAS認證和單點登錄

中央認證服務（CentralAuthenticationService，CAS）是一種獨立開放指令協議，為Web應用系統提供可靠的單點登錄方法。信息安全管控平臺作為CAS服務端實現用戶身份認證，應用系統作為CAS客戶端接入CAS認證中心，處理受保護資源的訪問請求，用戶通過信息安全管控平臺單點訪問、認證登錄相應應用系統。整個過程保持用戶賬號一致，通過賬號生成票據-瀏覽器傳遞票據-應用以票據對接信息安全管控平臺CAS進行票據驗證，從而完成用戶身份認證和單點登錄。

32基于RBAC的權限管理

信息安全管控平臺的訪問授權和自管理授權均基于角色的訪問控制（Role-BasedAccessControl，RBAC）模型實現，設置訪問授權時將應用系統角色同步至平臺，應用角色與權限的對應關系在應用系統維護，平臺創建新賬號時綁定角色再同步給應用，實現平臺賬號與應用角色權限關聯。設置平臺自管理授權時新建多個管理角色，每個角色可以單獨設置功能權限和數據權限，最終將用戶賬號與管理角色綁定，實現該用戶的自管理權限設置。

33多源日志采集技術

集中日志采集模塊實時采集管控平臺各組件監測到的業務訪問行為，對原始數據進行規范化、聚集化及初步關聯分析。對應用系統操作日志進行優化處理，提取所需的相關日志進行關聯分析和存儲，并能夠實時展現。數據源包括以SYSLOG、SNMPTrap、SMTP、DB等方式采集的主機、設備、應用系統日志，以交換機端口鏡像方式采集維護操作協議信息的網絡日志、現有安全管控平臺的自身操作日志和統一登錄的相關操作日志信息。

34基于Redis的數據緩存機制

基于用戶身份的信息安全管控平臺將系統配置、資源類型等靜態數據、系統權限配置存入Redis（遠程字典服務）緩存，在SQL查詢時無需讀取數據庫，而是直接從緩存中獲取，通過攔截器和Redis緩存的配合快速準確地實現權限控制。在面對大規模日志采集數據時，安全管控平臺利用Redis先將其存入內存，并對數據進行處理，避免直接寫入數據庫造成數據庫資源緊張而影響業務響應效率。

4平臺實現與應用探索

41基礎設施搭建

根據南京市規劃資源網已有資源和組網方式，采用虛擬化方式實現平臺各管控中心的搭建部署，將防火墻、堡壘機、安全準入等以系統資源方式接入信息安全管控平臺。

42用戶體系建設

梳理整合現有不動產統一登記平臺、國土空間基礎信息平臺、“互聯網+”一體化政務服務平臺等應用系統涉及的12套用戶體系，統一組織架構、組織名稱，建立涵蓋南京市規劃資源局全局4級部門架構的信息安全管控平臺用戶體系，并以此為基礎統一所有用戶登錄賬號。

43平臺應急部署

基于用戶身份的信息安全管控平臺集成了身份認證中心、應用管控中心和運維服務等組件，而應急服務系統應部署在與安全管控平臺不同的物理服務器設備上，獨立運行并保存主賬號、從賬號、授權關系、資源等信息，通過設置同步周期定時從安全管控平臺數據庫全量同步數據。當安全管控平臺發生故障時，由管理員開啟應急系統，用戶可以通過應急系統中保留的信息實現應用系統登錄。

44應用資源接入探索

南京市不動產登記信息管理平臺是規劃資源信息化最重要的應用系統之一，基于統一的基礎平臺、系統框架、接口標準和數據庫結構，為房產交易、金融機構、稅務等部門提供實時的登記信息共享服務，覆蓋登記業務、檔案查詢、共享查詢等多個業務子系統。本文以不動產登記檔案查詢子系統為例，將其作為應用資源接入安全管控平臺進行統一管理，基于平臺用戶體系及賬號，通過“靜態密碼+CA認證”雙因素強身份認證、訪問控制授權，用戶通過統一管理門戶單點登錄、跳轉至不動產登記檔案查詢子系統，相應的后臺數據庫、服務器、網絡安全設備等以系統資源方式接入統一管控平臺，實現基于用戶身份的統一賬號、統一認證、統一授權和統一審計，滿足等級保護20身份鑒別要求。不動產登記應用資源接入案例探索如圖2所示。

5結語

本文通過分析南京市規劃資源統一安全管控現狀和需求，研究基于用戶身份的信息安全管控平臺架構，以實現規劃資源、系統資源、應用資源等IT資源的集中管理，整合各應用資源已有用戶模式，梳理形成包含南京市規劃資源城域網所有用戶的賬號體系及組織架構，實現用戶的統一管理，并以不動產登記檔案查詢子系統為應用案例，探索應用資源接入模式及效果，驗證了統一應用登錄訪問門戶和雙因素強身份認證能力，提升了用戶訪問應用系統的安全防護。但更多新應用系統的建設完成，將產生更多業務系統、子系統與信息安全管控平臺的對接需求，需結合微服務、中臺開發等先進技術，繼續完善用戶體系，深化應用系統對接，深度擴展運維管控和數據管控，探索實現數據動態脫敏、指令金庫、賬號稽核等能力，提高平臺并發性能、認證效率以及應急處置恢復能力，進一步提升管控平臺的安全可靠性。

參考文獻

［1］張照靜.基于等級保護20的廣電信息系統安全防護研究［J］.數字化用戶，2023（6）：43-45.

［2］鄧順朝.企業4A管理平臺接口設計思路［J］.信息系統工程，2022（2）：13-16.

［3］石潔.淺談“雙控管理”建設的探索與實踐［J］.自動化博覽，2022（4）：42-45.

［4］楊超，程璐.濟南臺高清新聞制播網及融媒體平臺系統等保改造方案設計［J］.電視工程，2018（3）：13-15.

（編輯王雪芬）