邱夢(mèng)凌，徐靜保，李鳳生

（淮河水利委員會(huì)水文局（信息中心），安徽 蚌埠 233001）

0 引言

近年來(lái)，信息安全事件頻發(fā)，信息安全形勢(shì)越來(lái)越嚴(yán)峻，信息系統(tǒng)的安全性亟待提高，為此國(guó)家高度重視網(wǎng)絡(luò)信息安全工作，把保障網(wǎng)絡(luò)信息安全上升為國(guó)家戰(zhàn)略方向之一。

隨著治淮事業(yè)的不斷推進(jìn)，淮河水利委員會(huì)（以下簡(jiǎn)稱淮委）水利信息系統(tǒng)建設(shè)也得到了長(zhǎng)足發(fā)展，目前已開(kāi)發(fā)了淮委防汛抗旱綜合業(yè)務(wù)應(yīng)用、電子政務(wù)、水資源管理綜合業(yè)務(wù)應(yīng)用等系統(tǒng)，淮委網(wǎng)站，沂沭泗局電子政務(wù)系統(tǒng)，淮委沂沭泗防汛抗旱綜合業(yè)務(wù)應(yīng)用系統(tǒng)和沂沭泗局網(wǎng)站等諸多重要信息系統(tǒng)，分別部署在淮委政務(wù)外網(wǎng)、淮河數(shù)據(jù)容災(zāi)備份中心外域及淮委沂沭泗局外網(wǎng)，為淮河流域管理工作的開(kāi)展提供了信息保障。但是，這些系統(tǒng)建設(shè)時(shí)在安全方面只做了一些簡(jiǎn)單設(shè)計(jì)，信息系統(tǒng)安全管理沒(méi)有統(tǒng)一的策略，安全設(shè)備配備也不足。如內(nèi)部站點(diǎn)只限定 IP 訪問(wèn)范圍，但訪問(wèn)入口上未采取控制措施；外部站點(diǎn)采用“用戶名 + 口令”的認(rèn)證方式，未進(jìn)行訪問(wèn)權(quán)限和角色劃分，且認(rèn)證消息采用明文交換和傳輸方式，未進(jìn)行加密處理，存在著用戶名和口令等敏感數(shù)據(jù)被截獲和泄露的風(fēng)險(xiǎn)，整個(gè)系統(tǒng)存在著較大的安全隱患。

根據(jù)國(guó)家等級(jí)保護(hù)有關(guān)政策和技術(shù)標(biāo)準(zhǔn)的要求，在水利部的領(lǐng)導(dǎo)和指導(dǎo)下，以“自主定級(jí)”為原則，參照 GB/T 22240—2008《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》對(duì)淮委重要信息系統(tǒng)進(jìn)行了定級(jí)、備案，確定了 3 個(gè)三級(jí)信息系統(tǒng)和 4 個(gè)二級(jí)信息系統(tǒng)[1]?；次姥纯购稻C合業(yè)務(wù)系統(tǒng)（以下簡(jiǎn)稱業(yè)務(wù)應(yīng)用系統(tǒng)）作為三級(jí)信息系統(tǒng)之一，其功能和架構(gòu)必須滿足國(guó)家三級(jí)等級(jí)保護(hù)的要求。由于業(yè)務(wù)應(yīng)用系統(tǒng)是已經(jīng)開(kāi)發(fā)完成的成熟業(yè)務(wù)系統(tǒng)，需對(duì)其進(jìn)行改造和完善，才能滿足三級(jí)信息系統(tǒng)防護(hù)中的應(yīng)用安全要求。根據(jù) GB/T 22239—2008《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，三級(jí)信息系統(tǒng)等級(jí)保護(hù)應(yīng)用安全包括身份鑒別、訪問(wèn)控制、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、資源控制 9 個(gè)方面，本研究重點(diǎn)分析身份鑒別的改造實(shí)現(xiàn)[2]。

1 總體設(shè)計(jì)

本著充分利用現(xiàn)有資源的原則，在具體應(yīng)用改造過(guò)程中，利用現(xiàn)有身份認(rèn)證體系完善軟件安全保護(hù)功能，包括統(tǒng)一用戶管理、目錄服務(wù)等系統(tǒng)及身份認(rèn)證網(wǎng)關(guān)。統(tǒng)一用戶管理系統(tǒng)與目錄服務(wù)系統(tǒng)相結(jié)合，對(duì)用戶基本、社會(huì)屬性進(jìn)行管理，同時(shí)連接本地證書認(rèn)證系統(tǒng)（CA），實(shí)現(xiàn)用戶數(shù)字證書的申請(qǐng)、發(fā)放工作。身份認(rèn)證網(wǎng)關(guān)為業(yè)務(wù)系統(tǒng)提供認(rèn)證服務(wù)，為單獨(dú)的應(yīng)用提供相應(yīng)的支撐服務(wù)，同時(shí)為基于門戶實(shí)現(xiàn)整合的單點(diǎn)登錄應(yīng)用提供相應(yīng)的服務(wù)。

業(yè)務(wù)應(yīng)用系統(tǒng)采用吉大正元身份認(rèn)證網(wǎng)關(guān)提供集中認(rèn)證服務(wù)，替代原有傳統(tǒng)的基于“用戶名 + 口令”方式的身份認(rèn)證機(jī)制，保證眾多應(yīng)用系統(tǒng)之間認(rèn)證的權(quán)威性、安全性和用戶身份的唯一性，實(shí)現(xiàn)基于數(shù)字證書的身份認(rèn)證、傳輸加密、抗抵賴等功能。在此基礎(chǔ)上細(xì)化權(quán)限管理，完善日志記錄，清除客戶端緩存和控制連接會(huì)話等，實(shí)現(xiàn)訪問(wèn)控制、安全審計(jì)、剩余信息保護(hù)和資源控制等安全保護(hù)[3]。根據(jù)技術(shù)路線設(shè)計(jì)，業(yè)務(wù)應(yīng)用系統(tǒng)改造的邏輯結(jié)構(gòu)如圖1 所示。

圖1 系統(tǒng)安全改造邏輯結(jié)構(gòu)圖

1.1 PKI/CA 系統(tǒng)

主要由密鑰管理系統(tǒng)（KMC）、CA、證書注冊(cè)系統(tǒng)（RA）組成。提供 PKI（公鑰基礎(chǔ)設(shè)施）通用的安全基礎(chǔ)設(shè)施服務(wù)，包括認(rèn)證、完整性、保密性等核心服務(wù)，為系統(tǒng)用戶頒發(fā)數(shù)字證書，解決用戶的身份標(biāo)識(shí)問(wèn)題，可以有效解決應(yīng)用系統(tǒng)中信息的保密性、真實(shí)性、完整性、不可否認(rèn)性和訪問(wèn)控制等安全問(wèn)題。

1.2 目錄服務(wù)系統(tǒng)

基于 LDAP 輕量目錄訪問(wèn)協(xié)議，存儲(chǔ)和管理組織機(jī)構(gòu)和用戶信息，支持復(fù)雜的過(guò)濾搜索，具有大范圍復(fù)制信息功能，有較好的可用性和可靠性。目錄服務(wù)系統(tǒng)主要負(fù)責(zé)發(fā)布數(shù)字證書和黑名單信息，結(jié)合設(shè)定的管理策略和規(guī)則，為用戶身份的認(rèn)證和授權(quán)提供基礎(chǔ)，使得特定用戶只能訪問(wèn)特定或者授權(quán)的應(yīng)用系統(tǒng)。

1.3 統(tǒng)一用戶管理系統(tǒng)

統(tǒng)一用戶管理系統(tǒng)是所有應(yīng)用系統(tǒng)標(biāo)準(zhǔn)化的用戶管理基礎(chǔ)設(shè)施，集中管理著所有應(yīng)用系統(tǒng)的用戶，包括用戶帳號(hào)、屬性的統(tǒng)一管理，以及用戶整個(gè)生命周期的管理，可以為大規(guī)模、大數(shù)量的用戶和用戶群組提供高效集中的管理功能。利用統(tǒng)一用戶管理系統(tǒng)，管理人員可以方便地制定用戶管理的策略，并且非常容易和大量的用戶、用戶群組及應(yīng)用系統(tǒng)建立起關(guān)系，從而簡(jiǎn)化用戶屬性管理和定義工作。

隨著等級(jí)保護(hù)項(xiàng)目的實(shí)施，接入身份認(rèn)證的應(yīng)用系統(tǒng)越來(lái)越多，每個(gè)應(yīng)用系統(tǒng)都要維護(hù)自己的一套用戶信息，增加或刪除用戶都需要進(jìn)入每個(gè)應(yīng)用系統(tǒng)進(jìn)行操作。既增加了管理員的工作負(fù)擔(dān)，又存在著安全風(fēng)險(xiǎn)，如沒(méi)有及時(shí)刪除離職用戶信息，將給應(yīng)用系統(tǒng)帶來(lái)很大的風(fēng)險(xiǎn)。借助統(tǒng)一用戶管理系統(tǒng)，能夠?qū)崿F(xiàn)對(duì)應(yīng)用系統(tǒng)用戶的安全高效管理。

應(yīng)用系統(tǒng)服務(wù)器上需要部署統(tǒng)一用戶管理系統(tǒng)的適配器，將統(tǒng)一用戶管理系統(tǒng)中用戶信息同步至所有應(yīng)用系統(tǒng)，便于統(tǒng)一用戶管理系統(tǒng)對(duì)用戶信息的集中式管理，為各個(gè)應(yīng)用系統(tǒng)和單點(diǎn)登錄提供基礎(chǔ)支持。

1.4 身份認(rèn)證網(wǎng)關(guān)

身份認(rèn)證網(wǎng)關(guān)主要實(shí)現(xiàn)基于數(shù)字證書的身份認(rèn)證，為業(yè)務(wù)應(yīng)用系統(tǒng)提供認(rèn)證服務(wù)。在完成身份認(rèn)證后，將訪問(wèn)請(qǐng)求定位到應(yīng)用系統(tǒng)，獲取用戶的身份、相關(guān)屬性的信息及用戶業(yè)務(wù)系統(tǒng)權(quán)限的描述，應(yīng)用系統(tǒng)再根據(jù)上述信息形成請(qǐng)求響應(yīng)返回至客戶端。

該網(wǎng)關(guān)也支持單點(diǎn)登錄的功能，身份認(rèn)證網(wǎng)關(guān)需要在業(yè)務(wù)應(yīng)用系統(tǒng)中部署相應(yīng)的插件，該插件和身份認(rèn)證網(wǎng)關(guān)之間進(jìn)行通訊，實(shí)現(xiàn)單點(diǎn)登錄的功能。

1.5 業(yè)務(wù)應(yīng)用系統(tǒng)

業(yè)務(wù)應(yīng)用系統(tǒng)為改造后的綜合應(yīng)用系統(tǒng)，包括淮河流域基礎(chǔ)水信息、洪水預(yù)報(bào)和調(diào)度等系統(tǒng)的集成。業(yè)務(wù)應(yīng)用系統(tǒng)基于身份認(rèn)證系統(tǒng)進(jìn)行用戶身份識(shí)別，具有細(xì)粒度的權(quán)限和角色等訪問(wèn)控制能力，記錄各種操作日志并支持安全事件分析功能，滿足三級(jí)等級(jí)保護(hù)的訪問(wèn)控制、安全審計(jì)、剩余信息保護(hù)和資源控制等安全保護(hù)要求。

2 方案實(shí)現(xiàn)

業(yè)務(wù)應(yīng)用系統(tǒng)包含淮河流域基礎(chǔ)水信息平臺(tái)及洪水預(yù)報(bào)和調(diào)度等 3 個(gè)子系統(tǒng)，改造工作主要包括身份鑒別、訪問(wèn)控制、安全審計(jì)和其它安全保護(hù)。主要以淮河流域基礎(chǔ)水信息平臺(tái)為例，說(shuō)明采用吉大正元身份認(rèn)證網(wǎng)關(guān)實(shí)現(xiàn)強(qiáng)身份鑒別及基于數(shù)字證書的身份認(rèn)證，同時(shí)保證傳輸加密、抗抵賴等功能[4]。

2.1 功能結(jié)構(gòu)

本次安全改造不改變?cè)邢到y(tǒng)的軟件架構(gòu)和功能模式，根據(jù)改造需求，僅在原系統(tǒng)配置模塊增加用戶和日志管理 2 個(gè)二級(jí)模塊，結(jié)構(gòu)如圖2 所示，虛線邊框圈出的內(nèi)容即為改造重點(diǎn)建設(shè)的內(nèi)容。

圖2 系統(tǒng)功能結(jié)構(gòu)圖

2.2 業(yè)務(wù)流程

業(yè)務(wù)應(yīng)用系統(tǒng)的業(yè)務(wù)流程圖如圖3 所示。

圖3 系統(tǒng)業(yè)務(wù)流程圖

具體流程分析如下：

1）用戶在 IE 瀏覽器中輸入 URL 地址或從應(yīng)用門戶點(diǎn)擊系統(tǒng)入口訪問(wèn)基礎(chǔ)水信息系統(tǒng)。

2）瀏覽器中身份認(rèn)證插件截獲用戶的訪問(wèn)請(qǐng)求，判斷其是否具有單點(diǎn)登錄的認(rèn)證憑據(jù) ticket，對(duì)于具有憑證的請(qǐng)求，直接進(jìn)入應(yīng)用系統(tǒng)，對(duì)于未經(jīng)過(guò)認(rèn)證的用戶，則進(jìn)一步進(jìn)行認(rèn)證。

3）對(duì)于未經(jīng)過(guò)認(rèn)證的訪問(wèn)請(qǐng)求，客戶端提出獲取認(rèn)證原文的請(qǐng)求，應(yīng)用服務(wù)器將該訪問(wèn)請(qǐng)求自動(dòng)重定向到身份認(rèn)證網(wǎng)關(guān)。

4）身份認(rèn)證網(wǎng)關(guān)生成認(rèn)證原文，經(jīng)服務(wù)器返回至客戶端，客戶端獲得認(rèn)證原文，并提示用戶出示數(shù)字證書。

5）用戶選擇數(shù)字證書并輸入相應(yīng)的口令，生成認(rèn)證信息并將認(rèn)證信息提交至身份認(rèn)證網(wǎng)關(guān)，認(rèn)證網(wǎng)關(guān)與目錄服務(wù)系統(tǒng)進(jìn)行交互，完成用戶身份的有效認(rèn)證。

6）身份認(rèn)證網(wǎng)關(guān)自動(dòng)把用戶請(qǐng)求重定向到用戶需要的應(yīng)用系統(tǒng)，瀏覽器的安全插件截獲用戶訪問(wèn)請(qǐng)求，確認(rèn)用戶身份的有效認(rèn)證。

7）基礎(chǔ)水信息應(yīng)用系統(tǒng)獲取到該用戶的身份信息，并根據(jù)該用戶信息獲取相應(yīng)的權(quán)限信息，跟據(jù)授權(quán)信息展現(xiàn)出符合用戶權(quán)限的資源信息。

8）用戶完成數(shù)據(jù)查詢、日志審計(jì)和用戶授權(quán)管理等一次業(yè)務(wù)周期的操作，系統(tǒng)記錄該用戶的操作日志記錄，供以后安全審計(jì)使用。

9）退出系統(tǒng)。

2.3 技術(shù)實(shí)現(xiàn)

1）技術(shù)方法。對(duì)于應(yīng)用系統(tǒng)用戶的身份識(shí)別，可以借鑒操作系統(tǒng)身份鑒別策略，通過(guò)部署在安全管理區(qū)中的身份認(rèn)證系統(tǒng)對(duì)用戶的身份標(biāo)識(shí)符進(jìn)行統(tǒng)一的集中管理，確保用戶身份在信息系統(tǒng)中的唯一和不可篡改性。

利用身份認(rèn)證網(wǎng)關(guān)所提供的集中認(rèn)證服務(wù)進(jìn)行身份驗(yàn)證，通過(guò)驗(yàn)證識(shí)別后，將用戶的身份信息傳遞至淮委水信息平臺(tái)系統(tǒng)，應(yīng)用系統(tǒng)獲取到該用戶的身份信息后，再到業(yè)務(wù)系統(tǒng)的用戶表查詢對(duì)應(yīng)的權(quán)限信息，進(jìn)入后續(xù)的訪問(wèn)控制環(huán)節(jié)。

數(shù)字證書由 PKI/CA 系統(tǒng)統(tǒng)一頒發(fā)并存放在硬件密鑰 Key 中，密鑰 Key 自身同時(shí)設(shè)置介質(zhì)保護(hù)碼。這種數(shù)字證書和介質(zhì)保護(hù)碼相結(jié)合的雙因子驗(yàn)證認(rèn)證方式，能夠滿足三級(jí)等級(jí)保護(hù)應(yīng)用安全的要求，保證數(shù)據(jù)的保密性和完整性，可實(shí)現(xiàn)用戶身份的高強(qiáng)度認(rèn)證，安全性、可靠性遠(yuǎn)遠(yuǎn)大于“用戶名 + 口令”的身份認(rèn)證模式[5]。

2） 改造步驟。應(yīng)用系統(tǒng)在進(jìn)行集中認(rèn)證接入改造時(shí)，需要將原有的認(rèn)證流程改造成網(wǎng)關(guān)集中認(rèn)證業(yè)務(wù)流程，改造過(guò)程通常需要 8 個(gè)步驟，具體流程如圖4 所示。

圖4 身份鑒別改造流程圖

3） 報(bào)文代碼示例。報(bào)文包括認(rèn)證原文和服務(wù)的請(qǐng)求及響應(yīng)過(guò)程的通訊報(bào)文，規(guī)定了幾種報(bào)文定義格式。在具體的應(yīng)用服務(wù)器或客戶端改造時(shí)，可參考使用吉大正元提供的示例代碼，也可自行編寫代碼，只要保證通訊報(bào)文與定義格式相同即可。

通信報(bào)文采用 XML 格式，分為報(bào)文頭和體兩部分內(nèi)容。報(bào)文頭存放通用信息，如服務(wù)類型、版本等信息；報(bào)文體存放業(yè)務(wù)數(shù)據(jù)。

a. 認(rèn)證原文產(chǎn)生服務(wù)請(qǐng)求報(bào)文示例。

指報(bào)文版本信息。標(biāo)準(zhǔn)的 B/S 應(yīng)用系統(tǒng)和已經(jīng)具有會(huì)話管理的 C/S 應(yīng)用系統(tǒng)改造時(shí)，客戶端到應(yīng)用服務(wù)器申請(qǐng)?jiān)?，版本?hào)為 1.0；沒(méi)有會(huì)話管理的 C/S 和沒(méi)有服務(wù)端的 C/D（客戶端/數(shù)據(jù)庫(kù)）等應(yīng)用系統(tǒng)改造時(shí)，客戶端到網(wǎng)關(guān)申請(qǐng)?jiān)模姹咎?hào)為 1.1。

b. 認(rèn)證原文產(chǎn)生服務(wù)響應(yīng)報(bào)文示例。

3 結(jié)語(yǔ)

淮委防汛抗旱綜合業(yè)務(wù)應(yīng)用系統(tǒng)包括多個(gè)子系統(tǒng)，功能涵蓋水情、氣象、遙測(cè)等多項(xiàng)業(yè)務(wù)，為流域防汛抗旱工作提供了有力支撐，對(duì)保障系統(tǒng)應(yīng)用安全意義重大。業(yè)務(wù)應(yīng)用系統(tǒng)經(jīng)過(guò)三級(jí)等級(jí)保護(hù)改造后，采用基于硬件 Key 增強(qiáng)身份鑒別的組合鑒別技術(shù)，在控制點(diǎn)上增加剩余信息保護(hù)和抗抵賴能力，記錄和分析安全事件，并基于特定的密碼技術(shù)對(duì)通信過(guò)程的完整性進(jìn)行保護(hù)，進(jìn)一步增強(qiáng)了應(yīng)用軟件自身的安全和容錯(cuò)能力，增加了自動(dòng)保護(hù)功能，結(jié)合網(wǎng)絡(luò)、主機(jī)系統(tǒng)的安全防護(hù)，形成了業(yè)務(wù)系統(tǒng)完整的安全防御體系。業(yè)務(wù)應(yīng)用系統(tǒng)已經(jīng)通過(guò)三級(jí)等級(jí)保護(hù)測(cè)評(píng)，滿足了重要信息系統(tǒng)等級(jí)保護(hù)安全需求。身份鑒別是等級(jí)保護(hù)應(yīng)用安全中的重要組成部分，在實(shí)際應(yīng)用中，使用硬件 Key 增強(qiáng)身份鑒別能力的同時(shí)，也增加了使用的難度及時(shí)間成本，如何在增強(qiáng)系統(tǒng)安全的同時(shí)最大程度地確保系統(tǒng)使用的便捷性，是值得進(jìn)一步探討研究的問(wèn)題。

參考文獻(xiàn)：

[1] 高朝勤. 信息系統(tǒng)等級(jí)保護(hù)中的多級(jí)安全技術(shù)研究[D].北京：北京工業(yè)大學(xué)計(jì)算機(jī)學(xué)院，2012 (11): 72-83.

[2] 王文文，孫新召. 信息安全等級(jí)保護(hù)淺議[J]. 計(jì)算機(jī)安全，2013 (1): 68-71，77.

[3] 雷樹梅. USB Key 身份認(rèn)證技術(shù)及其在電子商務(wù)活動(dòng)中的應(yīng)用研究[J]. 電腦知識(shí)與技術(shù)，2007 (24): 74-75.

[4] 李雄. 多種環(huán)境下身份認(rèn)證協(xié)議的研究與設(shè)計(jì)[D]. 北京：北京郵電大學(xué)網(wǎng)絡(luò)技術(shù)研究院，2012 (1): 91-93.

[5] 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì). 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南：GB/T 22240—2008[S]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2008.

[6] 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì). 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求：GB/T 22239—2008[S]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2008.