邱梦凌，徐静保，李凤生

（淮河水利委员会水文局（信息中心），安徽 蚌埠 233001）

0 引言

近年来，信息安全事件频发，信息安全形势越来越严峻，信息系统的安全性亟待提高，为此国家高度重视网络信息安全工作，把保障网络信息安全上升为国家战略方向之一。

随着治淮事业的不断推进，淮河水利委员会（以下简称淮委）水利信息系统建设也得到了长足发展，目前已开发了淮委防汛抗旱综合业务应用、电子政务、水资源管理综合业务应用等系统，淮委网站，沂沭泗局电子政务系统，淮委沂沭泗防汛抗旱综合业务应用系统和沂沭泗局网站等诸多重要信息系统，分别部署在淮委政务外网、淮河数据容灾备份中心外域及淮委沂沭泗局外网，为淮河流域管理工作的开展提供了信息保障。但是，这些系统建设时在安全方面只做了一些简单设计，信息系统安全管理没有统一的策略，安全设备配备也不足。如内部站点只限定 IP 访问范围，但访问入口上未采取控制措施；外部站点采用“用户名 + 口令”的认证方式，未进行访问权限和角色划分，且认证消息采用明文交换和传输方式，未进行加密处理，存在着用户名和口令等敏感数据被截获和泄露的风险，整个系统存在着较大的安全隐患。

根据国家等级保护有关政策和技术标准的要求，在水利部的领导和指导下，以“自主定级”为原则，参照 GB/T 22240—2008《信息系统安全等级保护定级指南》对淮委重要信息系统进行了定级、备案，确定了 3 个三级信息系统和 4 个二级信息系统[1]。淮委防汛抗旱综合业务系统（以下简称业务应用系统）作为三级信息系统之一，其功能和架构必须满足国家三级等级保护的要求。由于业务应用系统是已经开发完成的成熟业务系统，需对其进行改造和完善，才能满足三级信息系统防护中的应用安全要求。根据 GB/T 22239—2008《信息系统安全等级保护基本要求》，三级信息系统等级保护应用安全包括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制 9 个方面，本研究重点分析身份鉴别的改造实现[2]。

1 总体设计

本着充分利用现有资源的原则，在具体应用改造过程中，利用现有身份认证体系完善软件安全保护功能，包括统一用户管理、目录服务等系统及身份认证网关。统一用户管理系统与目录服务系统相结合，对用户基本、社会属性进行管理，同时连接本地证书认证系统（CA），实现用户数字证书的申请、发放工作。身份认证网关为业务系统提供认证服务，为单独的应用提供相应的支撑服务，同时为基于门户实现整合的单点登录应用提供相应的服务。

业务应用系统采用吉大正元身份认证网关提供集中认证服务，替代原有传统的基于“用户名 + 口令”方式的身份认证机制，保证众多应用系统之间认证的权威性、安全性和用户身份的唯一性，实现基于数字证书的身份认证、传输加密、抗抵赖等功能。在此基础上细化权限管理，完善日志记录，清除客户端缓存和控制连接会话等，实现访问控制、安全审计、剩余信息保护和资源控制等安全保护[3]。根据技术路线设计，业务应用系统改造的逻辑结构如图1 所示。

图1 系统安全改造逻辑结构图

1.1 PKI/CA 系统

主要由密钥管理系统（KMC）、CA、证书注册系统（RA）组成。提供 PKI（公钥基础设施）通用的安全基础设施服务，包括认证、完整性、保密性等核心服务，为系统用户颁发数字证书，解决用户的身份标识问题，可以有效解决应用系统中信息的保密性、真实性、完整性、不可否认性和访问控制等安全问题。

1.2 目录服务系统

基于 LDAP 轻量目录访问协议，存储和管理组织机构和用户信息，支持复杂的过滤搜索，具有大范围复制信息功能，有较好的可用性和可靠性。目录服务系统主要负责发布数字证书和黑名单信息，结合设定的管理策略和规则，为用户身份的认证和授权提供基础，使得特定用户只能访问特定或者授权的应用系统。

1.3 统一用户管理系统

统一用户管理系统是所有应用系统标准化的用户管理基础设施，集中管理着所有应用系统的用户，包括用户帐号、属性的统一管理，以及用户整个生命周期的管理，可以为大规模、大数量的用户和用户群组提供高效集中的管理功能。利用统一用户管理系统，管理人员可以方便地制定用户管理的策略，并且非常容易和大量的用户、用户群组及应用系统建立起关系，从而简化用户属性管理和定义工作。

随着等级保护项目的实施，接入身份认证的应用系统越来越多，每个应用系统都要维护自己的一套用户信息，增加或删除用户都需要进入每个应用系统进行操作。既增加了管理员的工作负担，又存在着安全风险，如没有及时删除离职用户信息，将给应用系统带来很大的风险。借助统一用户管理系统，能够实现对应用系统用户的安全高效管理。

应用系统服务器上需要部署统一用户管理系统的适配器，将统一用户管理系统中用户信息同步至所有应用系统，便于统一用户管理系统对用户信息的集中式管理，为各个应用系统和单点登录提供基础支持。

1.4 身份认证网关

身份认证网关主要实现基于数字证书的身份认证，为业务应用系统提供认证服务。在完成身份认证后，将访问请求定位到应用系统，获取用户的身份、相关属性的信息及用户业务系统权限的描述，应用系统再根据上述信息形成请求响应返回至客户端。

该网关也支持单点登录的功能，身份认证网关需要在业务应用系统中部署相应的插件，该插件和身份认证网关之间进行通讯，实现单点登录的功能。

1.5 业务应用系统

业务应用系统为改造后的综合应用系统，包括淮河流域基础水信息、洪水预报和调度等系统的集成。业务应用系统基于身份认证系统进行用户身份识别，具有细粒度的权限和角色等访问控制能力，记录各种操作日志并支持安全事件分析功能，满足三级等级保护的访问控制、安全审计、剩余信息保护和资源控制等安全保护要求。

2 方案实现

业务应用系统包含淮河流域基础水信息平台及洪水预报和调度等 3 个子系统，改造工作主要包括身份鉴别、访问控制、安全审计和其它安全保护。主要以淮河流域基础水信息平台为例，说明采用吉大正元身份认证网关实现强身份鉴别及基于数字证书的身份认证，同时保证传输加密、抗抵赖等功能[4]。

2.1 功能结构

本次安全改造不改变原有系统的软件架构和功能模式，根据改造需求，仅在原系统配置模块增加用户和日志管理 2 个二级模块，结构如图2 所示，虚线边框圈出的内容即为改造重点建设的内容。

图2 系统功能结构图

2.2 业务流程

业务应用系统的业务流程图如图3 所示。

图3 系统业务流程图

具体流程分析如下：

1）用户在 IE 浏览器中输入 URL 地址或从应用门户点击系统入口访问基础水信息系统。

2）浏览器中身份认证插件截获用户的访问请求，判断其是否具有单点登录的认证凭据 ticket，对于具有凭证的请求，直接进入应用系统，对于未经过认证的用户，则进一步进行认证。

3）对于未经过认证的访问请求，客户端提出获取认证原文的请求，应用服务器将该访问请求自动重定向到身份认证网关。

4）身份认证网关生成认证原文，经服务器返回至客户端，客户端获得认证原文，并提示用户出示数字证书。

5）用户选择数字证书并输入相应的口令，生成认证信息并将认证信息提交至身份认证网关，认证网关与目录服务系统进行交互，完成用户身份的有效认证。

6）身份认证网关自动把用户请求重定向到用户需要的应用系统，浏览器的安全插件截获用户访问请求，确认用户身份的有效认证。

7）基础水信息应用系统获取到该用户的身份信息，并根据该用户信息获取相应的权限信息，跟据授权信息展现出符合用户权限的资源信息。

8）用户完成数据查询、日志审计和用户授权管理等一次业务周期的操作，系统记录该用户的操作日志记录，供以后安全审计使用。

9）退出系统。

2.3 技术实现

1）技术方法。对于应用系统用户的身份识别，可以借鉴操作系统身份鉴别策略，通过部署在安全管理区中的身份认证系统对用户的身份标识符进行统一的集中管理，确保用户身份在信息系统中的唯一和不可篡改性。

利用身份认证网关所提供的集中认证服务进行身份验证，通过验证识别后，将用户的身份信息传递至淮委水信息平台系统，应用系统获取到该用户的身份信息后，再到业务系统的用户表查询对应的权限信息，进入后续的访问控制环节。

数字证书由 PKI/CA 系统统一颁发并存放在硬件密钥 Key 中，密钥 Key 自身同时设置介质保护码。这种数字证书和介质保护码相结合的双因子验证认证方式，能够满足三级等级保护应用安全的要求，保证数据的保密性和完整性，可实现用户身份的高强度认证，安全性、可靠性远远大于“用户名 + 口令”的身份认证模式[5]。

2） 改造步骤。应用系统在进行集中认证接入改造时，需要将原有的认证流程改造成网关集中认证业务流程，改造过程通常需要 8 个步骤，具体流程如图4 所示。

图4 身份鉴别改造流程图

3） 报文代码示例。报文包括认证原文和服务的请求及响应过程的通讯报文，规定了几种报文定义格式。在具体的应用服务器或客户端改造时，可参考使用吉大正元提供的示例代码，也可自行编写代码，只要保证通讯报文与定义格式相同即可。

通信报文采用 XML 格式，分为报文头和体两部分内容。报文头存放通用信息，如服务类型、版本等信息；报文体存放业务数据。

a. 认证原文产生服务请求报文示例。

指报文版本信息。标准的 B/S 应用系统和已经具有会话管理的 C/S 应用系统改造时，客户端到应用服务器申请原文，版本号为 1.0；没有会话管理的 C/S 和没有服务端的 C/D（客户端/数据库）等应用系统改造时，客户端到网关申请原文，版本号为 1.1。

b. 认证原文产生服务响应报文示例。

3 结语

淮委防汛抗旱综合业务应用系统包括多个子系统，功能涵盖水情、气象、遥测等多项业务，为流域防汛抗旱工作提供了有力支撑，对保障系统应用安全意义重大。业务应用系统经过三级等级保护改造后，采用基于硬件 Key 增强身份鉴别的组合鉴别技术，在控制点上增加剩余信息保护和抗抵赖能力，记录和分析安全事件，并基于特定的密码技术对通信过程的完整性进行保护，进一步增强了应用软件自身的安全和容错能力，增加了自动保护功能，结合网络、主机系统的安全防护，形成了业务系统完整的安全防御体系。业务应用系统已经通过三级等级保护测评，满足了重要信息系统等级保护安全需求。身份鉴别是等级保护应用安全中的重要组成部分，在实际应用中，使用硬件 Key 增强身份鉴别能力的同时，也增加了使用的难度及时间成本，如何在增强系统安全的同时最大程度地确保系统使用的便捷性，是值得进一步探讨研究的问题。

参考文献：

[1] 高朝勤. 信息系统等级保护中的多级安全技术研究[D].北京：北京工业大学计算机学院，2012 (11): 72-83.

[2] 王文文，孙新召. 信息安全等级保护浅议[J]. 计算机安全，2013 (1): 68-71，77.

[3] 雷树梅. USB Key 身份认证技术及其在电子商务活动中的应用研究[J]. 电脑知识与技术，2007 (24): 74-75.

[4] 李雄. 多种环境下身份认证协议的研究与设计[D]. 北京：北京邮电大学网络技术研究院，2012 (1): 91-93.

[5] 全国信息安全标准化技术委员会. 信息安全技术 信息系统安全等级保护定级指南：GB/T 22240—2008[S]. 北京：中国标准出版社，2008.

[6] 全国信息安全标准化技术委员会. 信息安全技术 信息系统安全等级保护基本要求：GB/T 22239—2008[S]. 北京：中国标准出版社，2008.