某省電力公司身份認證系統(tǒng)應用案例

發(fā)布時間: 2016-03-18   來源:本站編輯

    案 例 簡 介

  隨著信息化不斷地發(fā)展,信息化建設已經(jīng)成為此電力公司發(fā)展戰(zhàn)略的重要組成部分。在信息化建設逐步成熟的背景下,信息系統(tǒng)的安全性也成為擺在某省電力公司面前的一大難題,解決信息安全問題已成為當務之急。本項目的建設目的在于設計一套某省電力公司身份認證技術體系,保證信息系統(tǒng)中用戶身份的真實性,實現(xiàn)以數(shù)字證書技術為基礎的統(tǒng)一身份認證和用戶管理,并基于統(tǒng)一身份認證之上,實現(xiàn)對應用系統(tǒng)的統(tǒng)一應用安全支撐和單點登錄。

  用 戶 名 稱 某省電力公司

  用 戶 類 型 能源

  用 戶 簡 介

  某省電力公司是某電網(wǎng)有限公司的全資子公司。承擔著全省的電力生產(chǎn)、建設、調(diào)度、經(jīng)營及電力規(guī)劃研究等任務?,F(xiàn)有所屬單位38個,其中供電單位19個,發(fā)電單位3個,直屬生產(chǎn)企業(yè)4個,施工修造企業(yè)15個,科研院校10個,其它單位5個。擁有資產(chǎn)585億元。共有員工6萬人。

  用 戶 需 求

  在企業(yè)目前建設的多個信息系統(tǒng)中,都是采用傳統(tǒng)的用戶名/密碼方式來實現(xiàn)身份認證。但這種方式早已被證明是不安全的。

  新一代基于數(shù)字證書的智能卡身份認證系統(tǒng)目前已成為安全認證的標準,在國內(nèi)各行業(yè)被廣泛采用,建立數(shù)字證書認證體系,能夠為用戶網(wǎng)絡訪問、應用系統(tǒng)訪問提供可信的身份識別方式。

  目前用戶在業(yè)務系統(tǒng)中進行的關鍵數(shù)據(jù)交換和關鍵操作,非??赡鼙粣阂庥脩暨M行竊聽或非法篡改,無法保證數(shù)據(jù)的安全性、完整性和不可否認性,存在安全隱患。而采用安全傳輸?shù)燃夹g,即可解決相關安全問題。

  總結目前的需求,主要有以下幾點:

  解決信息系統(tǒng)的身份鑒別問題

  原有應用系統(tǒng)采用“用戶名+口令”的方式認證,安全級別不高,存在著安全隱患。需要建立安全的身份認證系統(tǒng),保證應用域內(nèi)的實體(人員、設備)數(shù)字身份鑒別的高度安全性。

  解決信息傳輸加密問題

  目前網(wǎng)路傳輸?shù)臄?shù)據(jù)處于明文狀態(tài),沒有進行加密處理,容易被非法人員截取和篡改,同時也不利于開展遠程移動辦公。

  解決基于證書的統(tǒng)一用戶管理問題

  原有各個應用系統(tǒng)沒有統(tǒng)一的用戶身份表達形式,同一個人具有多個用戶名,不便于用戶記憶的同時,管理員對用戶的身份管理分散在各個系統(tǒng),也非常不便。

  采用數(shù)字證書作為用戶的唯一身份標識后,如何讓用戶采用唯一的一張數(shù)字證書體現(xiàn)出用戶的各種通用屬性,并且在不同應用系統(tǒng)間體現(xiàn)出不同的個性化身份,是統(tǒng)一用戶管理系統(tǒng)需要解決的問題。

  解決跨域的單點登錄問題

  同一用戶若需登錄多個應用系統(tǒng),需要多次輸入用戶名和密碼,操作繁瑣,因此需要采用單點登錄,方便用戶使用。

  由于目前的應用系統(tǒng)服務器都處于各自分散的環(huán)境中分別部署,因此身份驗證系統(tǒng)必須支持跨域。

  針對如上需求,建設基于pki技術的統(tǒng)一身份認證和用戶管理系統(tǒng),可有效的提高信息系統(tǒng)的安全性、易用性、穩(wěn)定性。在此體系上,一方面在技術上實現(xiàn)了用戶的統(tǒng)一認證和管理、實現(xiàn)了人員和數(shù)據(jù)的安全,另一方面在管理上做到了易于操作、權限清晰和責任明確,是提高信息安全水平的保障。統(tǒng)一身份認證和用戶管理系統(tǒng)將是促進信息化發(fā)展的重要保障措施。

  建設目標和要求

  根據(jù)本項目對身份認證系統(tǒng)的需求,應實現(xiàn)如下建設目標:

  建立此省電力公司身份認證和用戶管理體系、安全應用支撐平臺、桌面安全桌面系統(tǒng),為某省電力公司實現(xiàn)統(tǒng)一身份認證管理和應用系統(tǒng)、操作終端的系統(tǒng)單點登錄認證等功能。

  統(tǒng)一身份認證體系應包含ca中心、ra中心、kmc中心、ldap;安全支撐平臺應包含能夠實現(xiàn)主路、旁路身份認證的安全組件,并實現(xiàn)基于證書的終端登錄組件。

  實現(xiàn)oa、郵件等應用系統(tǒng)在技術上的整合,達到安全為應用服務的目的。

  制訂適合此省電力公司應用需求的管理策略,提出運行管理規(guī)范(包括但不限于某省電力公司數(shù)字證書應用接口規(guī)范,數(shù)字證書格式規(guī)范、認證系統(tǒng)安全運行管理規(guī)范、證書管理規(guī)范等)。

  在上述建設目標建設完成后,應實現(xiàn)如下技術要求:

  通過身份認證基礎平臺可以為某省電力公司內(nèi)部的人員、設備等應用安全域內(nèi)的物理或邏輯實體提供了統(tǒng)一的數(shù)字實體標識。

  在全省部署的范圍內(nèi)考慮,從pki的信任層次結構、ca機構、ra機構的擴展部署等幾方面來整體考慮此省電力公司身份認證體系,要求給出整體建設方案,說明以省公司本部為試點建設后的擴展方案。

  信任體系應支持向上、向下的擴展,能夠支持電網(wǎng)公司未來對于信任體系統(tǒng)一的要求。

  實施方案應考慮和整個電網(wǎng)公司整體信息工程中的統(tǒng)一用戶管理和目錄體系之間的兼容。

  實現(xiàn)一個用戶證書可以在各信息系統(tǒng)中訪問,達到單點登錄的訪問目的。

  以數(shù)字證書代替操作系統(tǒng)終端帳戶的登錄方式,并通過與操作系統(tǒng)的集成,實現(xiàn)了操作系統(tǒng)認證。

  操作系統(tǒng)層和應用層兩個層面認證的統(tǒng)一,本系統(tǒng)中的用戶身份證書必須能夠支持windows本地操作系統(tǒng)登錄認證和windows域(ad)登錄,并能夠和ad中的域用戶實現(xiàn)同步功能。

  制訂身份認證系統(tǒng)運行策略,制定符合某省電力公司安全系統(tǒng)運行標準規(guī)范,指導某省電力公司完成信息系統(tǒng)的統(tǒng)一身份認證工作。

    總體設計思路

  根據(jù)需求和建設目標,我們將以身份認證系統(tǒng)、應用安全支撐平臺為用戶構建基于數(shù)字證書的統(tǒng)一身份認證、統(tǒng)一用戶管理和應用安全支撐系統(tǒng)。

  全局范圍內(nèi),將建立統(tǒng)一的目錄服務體系,以完善的數(shù)據(jù)復制策略實現(xiàn)對應用系統(tǒng)的全面支撐。

  身份認證系統(tǒng)(pki基礎設施)

  1、 證書簽發(fā)系統(tǒng)(ca系統(tǒng))

  為所有的實體(設備、人員等)管理身份證書。

  2、 用戶管理系統(tǒng)(ums系統(tǒng))

  在身份認證系統(tǒng)之上,以數(shù)字證書為用戶標識實現(xiàn)統(tǒng)一的用戶管理、組織機構管理,為相關業(yè)務系統(tǒng)提供全局統(tǒng)一的用戶屬性信息。

  3、 密鑰管理系統(tǒng)(kmc系統(tǒng))

  對用戶的密鑰進行管理和備份,能夠通過嚴格的流程實現(xiàn)密鑰的恢復。

  4、 目錄服務系統(tǒng)(ldap系統(tǒng))

  實現(xiàn)證書的發(fā)布和crl的發(fā)布,并能夠實現(xiàn)和ad之間的用戶同步。

  應用安全支撐平臺

  以身份認證系統(tǒng)、用戶管理系統(tǒng)為基礎,采用應用安全支撐平臺的各產(chǎn)品組件實現(xiàn)應用系統(tǒng)的安全接入,使得身份認證、用戶管理、數(shù)字簽名等技術能夠方邊的整合到原有的業(yè)務系統(tǒng)中。

  在安全支撐平臺的支持下,能夠為用戶構建操作系統(tǒng)層和應用層的統(tǒng)一身份認證和單點登錄。

  標準規(guī)范體系

  根據(jù)實際業(yè)務特點,針對系統(tǒng)的運行維護、使用流程、應用接入標準等制訂一系列標準和規(guī)范,以利于業(yè)務的有序開展。

  如上所述,身份認證系統(tǒng)為內(nèi)部人員、設備等應用安全域內(nèi)的物理或邏輯實體提供了統(tǒng)一的數(shù)字實體標識,統(tǒng)一的用戶管理系統(tǒng)則根據(jù)具體的組織機構、用戶屬性、用戶級別等實際情況,對數(shù)字實體標識進行可定制的統(tǒng)一管理和授權,最后再通過應用安全支撐平臺為業(yè)務系統(tǒng)提供服務,實現(xiàn)了獨立于各應用系統(tǒng)的安全的、統(tǒng)一的身份認證和管理體系。

  總體設計思路示意圖如下所示:



  總體物理部署設計

  根據(jù)總體設計思路,基于性能和投資相平衡的原則,系統(tǒng)物理部署設計如下圖所示:


  如上圖所示,根據(jù)系統(tǒng)的不同功能,從網(wǎng)絡上以vlan方式劃分不同區(qū)域,包括核心區(qū)、服務區(qū)和應用區(qū)。

  身份認證核心區(qū)包括ca、kmc、ums等證書、用戶管理系統(tǒng),是整個系統(tǒng)的核心功能區(qū)。

  身份認證服務區(qū)包括ias和從目錄服務器,實現(xiàn)對外的身份驗證支持。

  應用系統(tǒng)區(qū)中部署身份認證網(wǎng)關,使應用系統(tǒng)與外界實現(xiàn)安全隔離。

  成 果

  通過以上各個系統(tǒng)的建設,對于此省電力公司的所有人員和設備都有一個標準的身份表達,達到了“一人一證”的效果;所有的應用系統(tǒng)都在統(tǒng)一的標準指引下獲得了高強度的身份認證功能;電力公司的管理人員只需集中的管理對應用戶的證書信息和屬性(權限)信息即可控制和管理對應人員在應用中的地位;所有的持證用戶在所有的應用系統(tǒng)中只需要一次登錄,無須在記憶太多的信息;體系符合電網(wǎng)總公司的整體規(guī)劃能和電網(wǎng)總公司現(xiàn)在的系統(tǒng)進行互聯(lián)。

      關鍵詞: 電力新聞

稿件媒體合作

  • 我們竭誠為您服務!
  • 我們竭誠為您服務!
  • 電話:010-58689070

廣告項目咨詢

  • 我們竭誠為您服務!
  • 我們竭誠為您服務!
  • 電話:010-63415404

投訴監(jiān)管

  • 我們竭誠為您服務!
  • 電話:010-58689065