信息安全认证与数据安全管控平台技术方案

企业信息安全认证与数据安全管控平台

技术方案TOC\o"1-5"\h\z\o"CurrentDocument"可信认证中心建设 3示范要点 3建设内容 6建设规模 22技术设计方案. 22数据安全交换与管控平台建设 41业务系统数据安全解决方案. 41生产环境数据安全解决方案. 53非生产环境数据安全解决方案 81可信认证中心建设示范要点在信息安全体系中，用户安全是非常重要的一个方面。对于企业信息系统来说，用户安全漏洞可能导致企业信息系统用户账号被盗用，被破解；进而导致民航旅客数据，配载数据等被篡改；从而带来更加严重的国家安全问题。因此，加强企业信息系统的用户安全迫在眉睫。可信认证中心的建设要求主要分为以下几个方面：(1)用户身份管理平台能够实现集中管理分布在多个系统中的用户帐号信息，例如：数据库和LDAP库中的用户信息。能够支持应用系统的自治用户管理模式，应用端自治用户管理的结果在IAM端可见。例如：应用端可以保留并通过自己的用户管控模块创建和变更帐号，但IAM平台可以通过帐号回收等机制，定时从应用端获得采集其帐号配置信息，更新到IAM系统的用户管理数据库中。提供WEB环境的用户身份管理与注册功能。提供开放的API,支持Java或WebServices等技术。支持对现有资源中用户信息的整合和同步，例如实时同步存放于数据库中的用户信息。能够管理用户的身份信息，可以集中管理应用系统中的用户，包括批量建立、删除用户等。能够提供用户身份的建立、更新、注销的全生命周期管理机制与功能。提供工作流管理的信息同步、用户密码管理以及密码的自助式服务，用户可以通过Web界面修改其在多个系统中帐号ID的密码，并可做到多帐号ID的密码同步。对于同一个用户在不同系统中使用不同帐号ID的情况，能够按需要提供统一的用户和密码管理功能。提供用户与数据库的身份同步，能够将权威数据源系统中的用户信息同步至目录服务系统。能够根据制定的策略将用户信息下发至各应用系统，实现帐号的自动创建、变更、销户，取代现有的人工方式的帐号管理模式。支持从应用系统将大量用户信息通过批量导入的方式导入至身份管理系统。提供必要的单向不可逆加密算法，用于保证用户密码口令的安全性。提供必要的加密方法，用于保证在用户信息传播过程中通讯的安全性。针对身份管理中用户身份信息的创建、修改、更新、删除、查询检索、同步等管理操作都须被审计，审计信息保存于后台数据库中便于统计分析。支持多种操作系统，包括Unix、Windows和Linux平台。能够提供并支持集群的管理、控制与同步功能，支持负载均衡与实时故障切换的高可用配置，保证系统的高可靠性和高可用性。提供用户帐号配置信息查询接口，在信息安全策略的限制下，供应用系统提取用户信息。能够提供用户的分级管理功能。统一认证系统能够支持或扩展支持包括PKI/CA认证(X.509V3)、动态口令、智能卡、生理特征、用户名和密码等多种认证方式，能够正确地识别访问操作的主体身份，提供合适身份信息。统一认证系统能够与PKI/CA体系实现结合，采用基于数字证书技术进行身份认证，实现统一身份认证与高强度的安全性要求。统一认证系统能够提供跨域的联合与级联认证功能，用户可以跨域进行身份信息认证并访问门户和应用系统资源，能够支持联邦用户身份认证功能(FederatedIdentity)的扩展能力。•认证服务提供主路与旁路两种整合模式，为应用系统实现认证和单点登录功能提供灵活多样的整合手段。能够提供管理、认证的服务及API,支持Java,C/C++语言。能够提供基于时间和IP对资源的访问控制策略。支持多种客户端的接入，例如：Web浏览器、移动终端应用等。能够提供并支持集群的管理、控制与同步功能，支持负载均衡与实时故障切换的高可用配置，认证可以支持目录服务器集群，当其中一台LDAP服务器无法访问时自动切换到另外一台，保证系统的高可靠性和高可用性。支持通过外部认证接口开发定制认证模块。能够跟踪用户的登录过程，并使用安全认证策略来提高登录的安全性，如定义允许登录尝试失败的次数，若超过尝试次数，用户即被锁死。(2)单点登录要求支持B/S应用的单点登录功能，支持航信业务应用单点登录功能。提供B/S应用的单点登录功能，支持跨域单点登录。提供开放的API,支持Java、JavaScript等。支持不同类型的用户验证方法，如PKI/CA认证(X.509V3)、IP地址、用户名和密码等。提供全面的审计记录与应用程序访问日志。•单点登录能够提供并支持集群的管理、控制与同步功能，支持负载均衡与实时故障切换的高可用配置，保证系统的高可靠性和高可用性。审计与监控要求统一身份认证体系平台的审计与监控系统能够提供统一身份认证系统的审计功能，记录系统的错误、报警等异常事件及帐户的创建、更改和注销等操作事件，并自动生成可阅读的审计日志。统一身份认证体系平台能够提供日志信息的查看、检索与分析功能，提供丰富的查询功能，可以基于操作类型、日期范围、用户ID、服务类型等对日志进行的查询，并绐出报表。统一身份认证体系平台的审计与监控系统相关审计日志能够在本地存储保存至少一年。(4)访问控制要求支持角色管理和授权管理支持角色的定制管理，支持角色的嵌套运算和排斥运算支持授权时进行排斥角色检查支持基于角色的访问控制(5)加解密支持要求基于数字证书提供各种加解密需求支持SM系列国产加密算法支持三级密钥管理模式1.1.2.建设内容LL2.1用户管理平台建设内容从用户管理和认证的全流程来看，为保证用户和账号全生命周期的管控和跟踪，完整的用户管理体系建设目标由下面几部分组成：帐号EB

管理系统访问应用第用户信息权威数据源图3-错误!文档中没有指定样式的文字。-1帐号EB

管理系统访问应用第用户信息权威数据源图3-错误!文档中没有指定样式的文字。-1用户管理体系建设示意图(1)用户账号申请审核系统在操作人员使用航信系统前，必须对其账号的申请进行备案和审核，只有经过批准的用户才可以拥有航信IT系统的合法账号。持有合法账号的操作人员才能给登陆航信系统进行相关的业务行为。申请和审核系统需要对用户的申请进行备案，并按照不同企业的业务要求对审批流程进行配置，支持不同等级的账号申请有不同的审核流程。经过批准的账号申请单将流转到账号配置管理系统。(2)账号配置管理系统账号配置管理系统以管理用户账号的生命周期为核心，并将所发生的管理操作行为最终传播到目录服务和应用系统为结果。账号配置管理系统帮助IT系统维持了一个及时准确的核心用户身份和帐号数据源，这个帐号数据源服务于认证和授权服务平台，最终供应用系统所使用。而用户管理的生命周期可以通过业务系统发起，也可以由用户通过自服务发起，在经历一些人工或自动化的帐号配置供应和管控工作流程后，最终这些用户的帐号得以创建。而发起这些应用帐号创建的应用系统我们通常称为身份供应的上游系统，这些上游用户帐号的供应者发起了帐号的创建、禁用和销毁等操作，决定了用户帐号的状态。在用户生命周期中还涉及到使用这些用户帐号的应用系统，它们不决定这些帐号的状态，但需要使用这些帐号，甚至需要将这些帐号同步到应用系统的内部，我们把消费使用用户帐号数据的应用系统成为下游应用系统。身份管理系统涉及与上游身份供应源和下游应用系统的整合，这部分整合的工作则通过用户供应接口来进行约束和定义。这其中具体定义了对接的流程、模式及接口形态，通常提供多样化的选择以满足不同企业、不同平台产品、不同应用系统的多样化要求。系统应提供不同的接入方式，满足用户在不同环境对系统访问的要求，在符合安全规范的情况下，提供更灵活和访问的服务给用户，提升用户感知。(3)认证系统认证服务则面向信息环境中的各类应用，为它们提供不同级别强度的认证服务。B/S架构应用系统与认证服务平台进行整合时，提供多种形态的支持：•基于中间件容器环境的认证整合应用遵循中间件容器的安全接口规范，当中间件容器层面解决与IAM平台的整合后，应用系统则间接的完成了认证整合。例如在Java提供中JEESecurity开发规范等。此类整合基本不涉及应用端的改造，但需要应用开发遵循相关的中间件平台规范。•基于应用的认证整合应用自行利用IAM平台提供的接口完成对接，从而将应用纳入到IAM平台的管控下，享受平台提供的所有安全功能。认证服务则可以为包括B/S和C/S架构应用提供多样和标准化的认证服务，也为包括移动手持终端设备提供认证服务，包括单点登录服务功能。例如典型的认证服务协议：SAML、Oauth.Kerberos/SPNEGO.LTPA。认证服务也可以支持和扩展广泛的认证方法，例如：短信、动态令牌卡、数字证书、生物特征等。(4)审计系统IAM平台的审计服务服务于用户管理、认证服务和授权服务等核心组件，这些组件运行时的各类审计事件遵从审计服务的接口模式实现信息的记录和存储。随着企业对安全合规、治理和风险控制的平台建设的不断深入，大量的企业开始部署实施SIEM(SecwityIiifonnationandEventManagement-安全信息事件管理)平台。这些平台可以汇聚和采集IT环境中各个层面、各个系统的审计和安全事件，并对这些事件做关联和安全规则分析，为信息系统的安全治理和风险控制提供有效的支撑。因此，IAM平台审计功能的重点在于对发生事件的记录，并支持事件向S正M平台的上报。图中的开账计费系统虽然与用户账号管理体系有密切联系，但因为开账计费系统主要使用用户账号管理体系的数据进行账务分割等业务操作，不纳入用户管理体系范畴建设。LL2.2数字证书系统建设内容企业信息系统的用户管理长期以来主要采用口令认证方式。近几年来，前端系统发展迅速，出现了针对细分市场的多种前端，比如针对代理人市场的TravelWeb、BhieSky、航旅天空，针对航空公司市场的航空公司控制前端NewSky,还有针对机场的NewApp、Music等产品，这些产品大部分都延续了口令或者IP认证方式。随着互联网的发展，通过Internet接入航信的后台系统已成为一种主要方式,航空公司等用户的日常工作也越来越依赖于IT。另一方面，随着民航新一代旅客服务信息系统建设工作的逐步开展，未来的用户前端系统都是图形化方式，操作简单，一旦用户帐户被窃，没有专业背景的人员都可能修改航空公司的数据。多家航空公司已经提出，在采用新的航空公司控制前端时，希望加强用户的安全认证方式，避免帐户失窃导致损失。(1)风险分析网络应用系统的安全隐患，主要体现在如下几个方面:图3-错误!文档中没有指定样式的文字。-2网络安全隐患示意图目前航信采用的简单的用户认证方式已经不能适应于市场的发展。一方面，近几年来，陆续暴露出一些帐户丢失导致的一些商务损失现象。虽然有些行为我们通过IP追查到用户，但损失已经发生，后继处理也很困难，另外很多通过国外连接的IP,也无法进行追查。另外，web应用系统的增多也加大了假冒网站、钓鱼网站的风险。用户可能会出现航信的应用被仿冒，从而登录不安全网站的风险。通过互联网被窃听，导致信息泄漏。目前业界部分前端系统都是采用明文传输，甚至用户名和密码也是如此。如果用户在不安全的网络上输入这些数据，或者获取一些关键数据。则信息有可能被泄露。信息被篡改，导致信息不完整。当用户的信息被截取，黑客可以通过修改数据达到不法目的。用户对发送信息进行抵赖，没有抗抵赖的依据。一些关键交易和操作，比如涉及到航班配载或者支付等，目前没有有效的手段进行监控，如果发生问题，只能是通过查看log的方式进行追踪。但这种方式用户可以否认，不能形成绝对的证据。(2)需求分析10针对以上情况，企业信息系统亟需需要建立统一的基于PKI的数字证书认证系统，使用目前被认为最为安全的硬件证书，为航信的客户提供安全性更高的数字证书认证服务。近年来，随着业务的不断发展，航信业务系统大量增加、业务人员同步增长，内外部业务系统安全访问、内外部业务人员身份认证与流程管理成为当前业务系统的建设的重要环节。业务系统安全要求：唯一的身份标识航信当前拥有4000内部员工，并且拥有大量的业务系统外部使用人员，如机票订座系统使用人员分布于各航空公司与代理公司；当前航信业务系统大部分采用传统的用户ID的方式标识用户身份，由于用户ID存在被窃听、盗用等风险，从而造成业务系统出现末授权访问、恶意破坏等非法行为；通过技术手段为内部员工、外部用户颁发可信的、唯一的、不可复制身份标识成为建设安全业务系统的基础。严格的身份认证航信拥有大量的业务系统，大多业务系统拥有内、外部使用人员，采用传统的用户名/口令的认证方式，无法真正实现对用户身份的严格认证（如口令破解等），从而使业务系统访问控制完全失效；对业务系统使用者的身份进行严格的认证、确保访问者身份的真实性，是保证业务系统对用户进行授权管理与访问控制的前提。安全的数据访问航信业务系统包含C/S、B/S类型应用，大部分应用访问直接采用的明文协议传输（如B/S应用中使用的HTTP协议），由于采用明文传输极其容易造成机密数据的丢失与破坏，从而采用安全的传输方式，保证数据传输的机密性、完整性为业务系统安全建设的要点。安全的数据存储数据需要进行安全存储，黑客即使拿到了敏感的业务数据，也无法使用，数据加密可以达到这种效果。另外需要防范内部工作人员，如运维人员和在线测试11人员这些能够直接接触生产数据的角色，对敏感数据进行加