张煜煜，于百奎

（沂沭泗水利管理局水文局（信息中心），江苏 徐州 221018）

0 引言

沂沭泗局本部及各直属局目前仅部分员工拥有数字身份证书，且由淮委统一制作并维护，证书适用范围仅支持沂沭泗局综合办公系统登录使用。随着数字孪生技术工作的不断推进，具有“四预”功能的水旱灾害防御管理系统、水资源管理与调配系统及工程运行管理系统即将投入使用，为进一步全方位保障沂沭泗局业务应用系统的安全管理，按照水利部整体统一身份认证的建设规划与设计，依据水利政务外网身份认证体系标准规范，在沂沭泗局本级建设政务外网身份认证体系，实现本地化的证书管理和密码服务迫在眉睫。

1 可行性研究

1.1 符合国家政策及统一信任体系要求

中央办公厅、国务院办公厅针对重要领域密码应用工作提出了明确的要求，要求对新建网络和信息系统采用密码进行保护，对已建网络和信息系统进行必要改造。2016 年，中办督查组到水利部开展指导意见贯彻落实情况实地督查，督查反馈意见建议水利部进一步加强水利重要信息系统密码应用推进力度，尽快完成密码应用改造任务。水利部、淮委机关按照统一PKI/CA 建设标准积极建立统一认证体系，水利部建设标准规范中要求各流域机构建设流域CA，负责下辖机关的数字用户的注册、证书申请、审核、签发等管理功能，下辖机关可建设LRA系统与上级RA 系统按照标准接口实现对接。

1.2 水利部及淮委已有认证基础

2010 年，水利部建设了水利政务外网身份认证体系，在部机关建设根CA，在各流域机构建设流域CA 及RA 系统，淮河水利委员建有CA 系统、RA 系统、目录服务系统和安全认证网关等，按照水利部政务外网的需求，需要接入到水利部外网身份认证系统，当前已实现了证书的本地化服务、认证的本地化服务。水利部及淮委身份认证体系的建设为国家防汛抗旱指挥系统、水利财务管理信息系统、国家水资源管理系统、水利部网站系统等信息系统提供身份鉴别、数字签名等服务。

2 整体设计

2.1 设计需求

随着沂沭泗局本部及各直属单位业务的不断发展，对身份认证证书需求越来越高，依照目前发证体系架构，将带来巨大的工作量及挑战。同时随着证书业务与应用系统的不断深度整合，应用其自身安全性对证书体系的依赖性不断加强，对CA 系统自身的稳定性及证书申请的便利性也提出了新的需求，因此在沂沭泗水利管理局本地建设LRA 实现本地的证书申请与管理，不仅能够更好地满足本地证书服务，提升工作效率，同时能够更好地应对监管部门的密码应用合规性审查，增强沂沭泗局对关键信息基础设施网络安全防护标准。

2.2 逻辑架构

沂沭泗局政务外网身份认证体系逻辑架构总体分为部级、淮委、沂沭泗水利管理局三层，每层均按照相关规范及指南进行规划建设。沂沭泗局政务外网身份认证体系LRA 证书注册中心受理点系统与淮委RA 系统对接，实现证书的申请与管理等功能；LDAP 目录服务系统与淮委目录服务系统对接，同步CRL 吊销列表；新建身份认证网关设备与应用系统集成对接，实现基于数字证书的身份认证。通过在沂沭泗水利管理局单机部署LRA 系统及目录服务系统（LDAP），同时双机部署身份认证网关设备。LRA 系统服务器通过防火墙与淮委政务外网RA 中心相连，证书申请信息通过淮委RA 中心上报到水利部电子政务外网CA 进行审核签发证书。

2.3 设计方案

从沂沭泗水利管理局人员分布特点及业务应用实际出发，在保证沂沭泗水利管理局信息系统安全可靠高效运行的前提下，综合考虑多方面因素进行方案设计。沂沭泗局身份认证体系设计方案以政务外网身份认证系统建设为核心，包含安全保障、故障恢复与灾难备份、应用系统、安全支撑及身份认证体系等。设计方案有纵深防御、快速响应、组织管理和监督检查的作用，全面保障网络基础设施、应用和数据安全。沂沭泗局身份认证体系设计方案图见图1。

图1 沂沭泗局身份认证体系设计方案图

3 建设内容

3.1 建立证书注册受理点

证书的管理主要以证书的发放为核心，涉及证书从生命周期开始到结束的各个环节，对应于证书的申请、审核、下载、更新、注销等各个具体的流程。证书申请审核是为了保证沂沭泗局全体员工数字证书申请的严肃性、正确性。证书注册受理点系统LRA 是以软件客户端的形式部署在用户终端，负责用户信息录入和审核，连接上级淮委RA 系统，实现本地用户数字证书的申请、冻结、解冻、更新、注销、查询等管理服务。LRA 主要完成申请信息的录入和审核并提供制作和下载接口，沂沭泗局LRA 系统需要在淮委RA中心注册后方可被允许接入，淮委RA 中心的管理员通过RA的管理模块对沂沭泗LRA机构信息进行维护。

3.2 目录服务管理

目录服务系统是基于国际LDAPV3、LDAPV2 标准构建，为沂沭泗局安全存储PKI/PMI 以及用户身份、属性、权限等信息提供帮助和支持。它与PKI/PMI/IPC 等体系配合，提供完整的身份管理、身份认证、权限控制解决方案。目录服务系统具有查询效率高、互通性高、支持多种认证方式、可分布式部署以及灵活访问控制等特点，使它能广泛地应用于沂沭泗局基础性、关键性信息的管理。

沂沭泗局目录服务系统通过与淮委中间目录服务系统同步证书及证书吊销列表CRL 数据信息，实现证书及CRL 信息的发布和查询能力。为身份认证网关提供证书有效性校验，从而验证用户证书状态。

3.3 部署身份认证网关

身份认证网关是通过在沂沭泗局网络机房内部署硬件设备为沂沭泗局各业务系统提供统一的登录入口，提供基于数字证书的身份鉴别及访问控制能力，实现用户访问业务系统时涉及的身份验证、信息保密等安全需求。

在沂沭泗局部署身份认证网关是为了实现沂沭泗局全体人员接入水利专网时实现强身份认证和审计服务功能。从而解决使用各应用系统时涉及的身份验证、信息保密、权限控制等安全问题。身份认证网关主要功能包括用户身份认证、动态CRL 更新、单点登录、应用级访问控制、应用认证策略配置、证书DN 规则控制、黑白名单、状态监控、日志审计、分权管理、统一门户、信息传递、备份恢复、双机热备及故障应急等。

4 对实际工作产生的效益

沂沭泗局统一身份认证体系使得用户和应用系统之间形成一道安全屏障，与目录服务系统LDAP交互，完成用户的身份认证，为沂沭泗局信息安全体系及业务系统应用整合提供强有力的支持。通过对数字孪生平台、沂沭泗水情信息服务系统、沂沭局水政执法监控等应用系统的整合达到促进各个应用系统在正常业务及突发事件时流畅、及时的信息流转和业务协作的目的。

5 结语

沂沭泗局水利信息化建设规划明确提出建设流域信息汇聚整合平台，统一用户管理是其中一项重要工作。沂沭泗水利管理局政务外网身份认证体系的建设在提高信息安全的基础上，将沂沭泗各个应用系统在界面展现、业务应用、功能实现、数据集成等多个方面形成一个符合总体设计规范标准的一个有机整体，满足沂沭泗水利信息化发展规划要求■