四川省德阳市电子政务网络安全整体解决方案建议书

四川省德阳市电子政务网络安全整体解决方案建议书内容摘要：

信任域所采集的业务数据，负责对底层的信 任域提供系统管理和信任服务，通过分层管理可以构建范围更广的网络信任域。 综上所述，网络信任域以先进的 PKI 及 PMI 技术，以 PKI 身份认证为基础，以基于网元的设备认证为手段，以 “ 可信接入、可信传输 ” 为具体实现，以网络信任域综合管理系统为核心，构建了全网一致可信的网络信任环境，为网络提供了 “ 可管理、可控制 ”的安全网络环境支撑。 构建网络信任域的关键设备主要包括接入环节采用的网络接入认证交换机、在数据通信环节采用的 PKI 网关、网络用户 /终端采用的实体鉴别密码器以及服务器端 采用的网络信任域管理服务平台。 网络接入认证交换机 作为组成网络信任域的必要部分，网络接入认证交换机对传统的交换机做了突破性的改进。 传统的交换机通常允许未经授权或未经验证可信的设备接入本地的网络基础设施环境，或者允许未经验证合法的访问者通过已经接入的设备访问网络资源而为网络带来不安全的隐患，同时，它也不能采集终端接入设备的使用情况信息，实现对端口的远程控制和管理。 网络接入认证交换机实现了符合 IEEE 标准的基于证书、基于端口访问控制，它除了具有传统网络交换机的基本功能外，还可负 责对相应的用户群和设备提供身份验证和业务控制，确保只有合法的用户和设备才能接入网络，是创建智能化网络信任域的基础。 网络接入认证交换机采用了基于 PKI 数字证书技术的接入身份验证，主要思想是通过信任域服务管理平台给用户或终端颁发 PKC (包括用户序列号、 IP 地址、 MAC 地址等信息 )和 AC 属性证书 (包括用户的属性信息 )。 将用户或终端的 PKC、 AC 证书与接入认证交换机的端口绑定。 通过信任域管理平台实现对端口的远程管理和监控，实现分布式网络环境中对终端用户和设备的身份识别与验证，确保只有合法的用户设备才能接入网络。 同时，通过接入认证交换机采集端口使用信息，实现基于用户身份的网络接入服务质量控制。 接入认证交换机的功能特性如下： （ 1）交换功能模块 （ 2）控制和授权管理功能模块 （ 3）网络管理功能模块 PKI 网关 PKI 网关是实现网络信任域可信通信的设备，负责在不可信的开放网络环境中实现用户端网络系统（可信）到远端服务器系统的安全接入，在不可信的网络环境建立起安全通信通道，保护机密信息在通信中的安全传输。 PKI 网关采用了基于 PKI 的用户身份认证机制来实现终端用户的身份鉴别，并采用了基于证书的虚拟专网功 能，在对用户身份鉴别的基础上进行虚拟专用网的访问授权和密钥协商，基于 IKE 的在两个 PKI 网关间构建一个端对端的加密安全通道。 PKI 网关全面支持 IPSec 和 IKE 密钥交换协议，而且真正实现基于证书的配置、认证和密钥交换，即 “ 一机一证 ”。 设备在运行时能够自动更新证书、自动使用证书验证对方的身份，并以 PKI 技术确保信息传输的 “ 机密性 ” 、 “ 完整性 ” 等问题。 同时， PKI 网关还实现了基于证书的网络管理功能，通过对通信用户的 AC 属性证书进行验证，并根据证书信息分配网络带宽，实行对通信流量的监控，以多种管理界面为不同等级 的通信要求实现 QoS 控制。 PKI 网关的功能如下： (1) VPN 功能模块 ， 提供局域网到广域网之间的路由，并在 IP 层提供信息加 /解密、访问控制等安全功能 (2) 网络管理模块 网络信任域管理服务平台通过基于刀片式集群服务器来实现网络的可信管理功能，并采用模块化、分层服务的系统设计模型，具有灵活的模块配置等特点。 网络信任域管理服务平台通过 SNMP 网管协议实现对信任域内所有被管信任设备的配置与运行管理，并可进一步通过信任接入设备实现对全网范围内所有设备的接入管理，确保只有具有 合法证书（身份）的设备和终端用户才能接入网络信任域。 网络信任域管理服务平台通过将用户的证书和信任接入设备的接入端口号进行唯一的绑定来建立对网络空间端口、 IP 地址资源的分配和管理，从而建立起一整套类似于电信中的资源管理和业务管理模式。 网络信任域管理服务平台主要包括 Web 服务单元、应用服务单元、数据采集服务单元、资源管理维护服务单元、地理信息服务单元和数据库服务单元等。 Web 服务单元和应用服务单元提供了整个平台的对外 Web 服务功能，主要负责进行用户业务的受理和查询处理。 数据采集服务单元负责接收和采集来 自各网络接入认证交换机设备的业务运行数据，供资源维护服务单元显示和处理。 资源管理维护服务单元负责提供整个网络信任域的资源管理功能，包括对用户资源和端口资源提供类似于电信网络资源管理的功能，并提供了丰富的图形化管理功能和界面以方便管理员使用。 地理信息服务单元主要向资源维护服务单元提供地理信息的支持，而数据库服务单元则保存了信任域管理所需的各类业务数据和系统工作参数。 实体鉴别密码器是用户终端 PKI安全服务调用的支持设备。 它采用基于 PKI数字证书的强认证方式，实现了 “ 一实体一 证 ” ， “ 一机一证 ” 的实体证书身份鉴别机制，以其安全、便携等特点成为用户终端 PKI安全服务调用的专用支持设备。 实体鉴别密码器主要有两种，一种是袖珍型，一种是键盘型。 袖珍型实体鉴别密码器可以存储信息，并提供密钥的生成和管理、实体鉴别、数字签名 的生成和验证、证书管理和 RSA运算等功能，它比一般基于智能卡的 RSA运算要快得多 , 同时采用了基于 PKI数字证书的强认证方式，以其安全、便携等特点成为用户终端 PKI 身份认证的专用支持设备。 键盘型实体鉴别密码器内置国家密码管理办公室批准的高强度密码算法，并以硬件的方 式实现，很好地解决了客户端加 /解密速度慢的瓶颈。 密码键盘可同时支持多个和多种证书载体形式的使用，很好地解决了基于 PKI技术的应用需求。 密码键盘支持标准 RS232口扩展，可外接手持键盘型密码器或条码阅读器等。 密码键盘不仅能与普通的 PC机连接，而且支持各种工业计算机等多种操作终端。 政府 信息中心 网络信任域体系结构 如图 53 所示为德阳市政府信息中心网络信任域结构示意图，从中可以看出 德阳市政府 信息 中心网络信任域主要解决政府 信息 中心专网和政府 信息 中心内网在终端设备的安全可信接入、设备的安全可信管理、数 据信息的安全可信传输等问题，特别是在全域网的结构中可以有效避免木桶效应。 图 53 德阳市 政府 信息 中心网络信任域结构示意图 在德阳市政府信息中心内网，通过网络接入认证交换机在网络层提供了系统合法受控接入功能，对接入系统的设备实施有效管理和控制，可在对政务内网每个接入终端严格验证身份的基础上实现真正意义上的 “ 文责自负 ” ，从而防止内部发起的恶意破坏和攻击，确保内部政务业务的正常开展。 在德阳市政府信息中心专网，通过 PKI 网关在网络层提供了数据加密通信环境，防止信息被非 法窃取篡改。 PKI 网关之间所构建的虚拟专网同时也能灵活适应政府内部结构的变化，并可针对不同的资源共享需求来配置相应的虚拟专网结构，以实现对不同安全级别信息的分级保护。 网络信任域管理服务平台则对信任域内的接入设备进行管理，确保信任域内的所有设备是安全可信的，并可在整个政务内网范围内实施统一的安全策略。 这样便从接入、信息传输和设备管理三个方面构建了一个可信的德阳市政府信息中心网络信任域。 政务专网是连接各级政府和政府组成部门的信息传输网，是政府系统的主干网络。 各级政府和政府组成 部门通过政务专网进行相互间的信息传输。 政务专网应采用 VPN 的组网方式，以确保设备数据的安全传输。 政务专网与政务内联网的接口应提供虚拟专网 VPN 接入，以保证信息传输的 “ 机密性 ” 、 “ 完整性 ”。 在政务专网与每个内联网的接口处放置一台 PKI 网关池，配合政务内联网内的 PKI安全网关，就能建立起一条 “ 安全通道 ” ，从而保证政府单位内部信息、各种各级政府单位间信息的安全传送。 在政务内网中，网络接入认证交换机确保政务内网用户或设备的可信接入。 本地网络信任域管理系统在负责管理本地设备的同时， 作为审核注册代理向 CA 中心申请证书。 在由网络信任域管理系统代理 PKC 时，接入政务内网的设备的 MAC 地址被写在 PKC中。 在网络接入交换机上通过系统的设置，使交换机上的每个端口都与对应的设备的 MAC地址进行一对一的绑定。 当某个设备接入网络时，向接入认证交换机提交 PKC，接入认证交换机对提交的 PKC 进行有效性检查。 确认证书有效后，对证书进行解密，获取设备信息，扫描交换机的端口，寻找与用户终端设备 MAC 地址一致的端口，与之建立连接。 这样，网络接入认证交换机结合网络信任域管理系统就构建了一个可信的基本信任域，保证 了政务内网的安全可信。 网络信任域管理服务平台作为网络信任域的网管系统，在底层的信任与授权服务基础设施提供的信任与授权服务的基础上，实现整个网络信任域的安全管理、业务管理以及资源管理。 网络信任域管理服务平台体系结构如下图 5－ 4 所示： 图 54 网络信任域管理服务平台体系结构 网络信任域管理服务平台采用统一发证、分布式逐级管理的模式来组织。 所谓统一发证是指： 利用省市级 政府信息中心 的 设备证 书认证管理中心，负责签发德阳市政府信息中心系统中设备的数字证书 PKC，即构建设备信任服务系统。 而分布式逐级管理是指：网络信任域按实际的责任和管理范围来划分，每个政务内网为一个基本信任域，每个基本信任域都有自己的网络信任域管理服务平台负责本信任域的管理，而基本信任域管理平台则由上一级 省市 级政府信息中心系统网络信任域管理服务平台管理，这样就可以构筑一个责任明确、管理方便、覆盖全系统的安全可信的网络信任域管理体系。 网络信任域管理服务平台提供了对所属网络系统的服务配置信息和全部接入用户的服务配置信息。 作为网管服务 器的网络设备状态监控的基准，平台采用了基于 SNMP 的网络管理接口，通过该接口对所属的网络设备进行运行监测和控制，确保只有指定的网络设备即颁发了证书的网络设备才能按照预定的模式运行。 当发现未经授权的网络设备进入网络运行时，即通过网管接口调整相关网络设备的运行模式将非授权网络设备隔离。 当监测到网络设备的运行状态与其预定模式不相符合时，即通过网管接口启用备份设备或安全告警。 通过提供上述的设备管理机制，从而建立一个可信任的网络管理平台。 六、 建立可信的政务应用开发平台 随着 Inter（互联网）应 用技术的发展与深入，原来基于客户机 /服务器结构的网络应用系统正逐渐向着基于 Web 的分布式多层应用模型发展，即形成所谓的 “ 浏览器 /服务器 ” 结构的新型应用计算模式。 这种新型的计算模式的出现，极大地方便了系统的开放、维护和系统集成，将网络计算的范围拓展到整个 Inter 环境，为实现跨平台、跨系统、跨地域的应用计算系统提供了实现的可能。 与此同时，开放的分布式计算环境对信息安全提出了新的要求：与传统的客户机 /服务器的封闭式网络应用系统不同，新型分布式计算系统在用户的身份确认、安全通信、数据保密性、数据完整性以及授 权访问等方面面临着更大的挑战。 因此，解决分布式计算环境下的信息安全问题已经成为这些分布式网络计算平台构建的关键因素。 传统的信息安全解决方案停留在对网络系统的安全防范层面，通过防火墙、入侵检测、漏洞扫描、安全审计等手段进行被动防御，因此基于传统的信息安全解决方案的分布式计算平台实现方式中存在两大安全问题：第一是由于采用大量国外产品，在核心技术方面无自主知识产权，在信息安全方面受制、受控、受限于人；第二是无法有效解决信任与授权问题，即解决 “ 你是谁 ” 和 “ 你能干什么 ” 的问题。 基于公钥基础设施 PKI以及授权基础设 施 PMI的分布式可信计算平台就是充分考虑了信息安全因素，并采用严格基于 EJB/J2EE 平台架构的分布式多层计算模型，实现了信息安全和流行分布式计算平台的有机融合。 基于 PKI/PMI 技术的信息安全是 J2EE 安全性的高强度实现。 由于 J2EE基于组件技术的广泛灵活性以及其跨平台的优势， Wellhope公司的可信计算平台不仅实现了高度的安全性，同时还提供了方便开发、部署、运行和管理的基于多层结构的应用支撑系统。 可信计算平台的核心组件包括 TrustWEB可信 Web服务平台， TrustAPP可信 APP应用服务平台与 TrustDB 可信 DB 数据库服务平台三部分，分别对应于分布式三层计算模型的数据表示层、业务逻辑层以及数据层。 基于 EJB/J2EE的可信计算平台结构如下图 6－ 2所示。 图 62 基于 EJB/J2EE的可信计算平台结构 TrustAPP可信 APP应用服务平台处于可信计算平台的业务逻辑层，提供了 J2EE架构下的应用开发环境以及应用服务程序的运行环境，在底层 PKI以及 PMI基础服务的支持下，可信 APP应用服务平台实现了业务逻辑的可信部署和 J2EE 安全模型中的各种安全服务，并为上层具体的业务逻辑提供可信的安全服务中间层，是可信计算平台的安全应用中间件系统。 TrustAPP可信 APP应用服务平台总体架构 TrustAPP可信应用服务平台是建立在信任服务平台之上的安全 J2EE应用平台，从总体架构上分为 J2E。