教育数字证书应用支撑平台建设方案.docx
《教育数字证书应用支撑平台建设方案.docx》由会员分享,可在线阅读,更多相关《教育数字证书应用支撑平台建设方案.docx(61页珍藏版)》请在冰豆网上搜索。
教育数字证书应用支撑平台建设方案
教育数字证书
应用支撑平台建设方案
华翔腾数码科技有限公司
2016年2月
第1章概述
1.1前言
随着教育信息系统建设的逐步深入,将逐步形成覆盖全国各级各类教育信息资产等方面的海量信息,系统整体呈现数据信息规模庞大、数据海量、用户众多、分布范围广、传输数据路径复杂等特点,各级教育管理机构和各级各类的教育管理业务对管理信息系统的依赖程度也将会越来越高。
同时,教育信息系统面临着众多来自内部和外部网络的非授权访问、敏感数据泄露、恶意代码攻击、数据丢失等安全风险,对教育信息系统的信息安全保障提出了更高的要求。
从教育数字认证应用安全支撑系统的建设需求分析,其最终目的是基于数字认证的教育系统,为教育系统内各业务应用系统提供安全保障服务。
基于教育信息业务系统的实际情况,结合实际操作过程中的项目及案例经验,我们认为现阶段安全支撑系统的建设存在不同层面的重点,首先按照ITIF的“木桶”理论,安全建设核心是完整性,但结合目前我国信息系统发展的现状,更偏向系统业务性,而站在国家层面对信息安全又有明确的要求;从领导的视角,更注重整体的管理性;从安全体系本体出发,自身的持续性是制约信息安全常态化的关键所在,所以此次建设的安全体系从大方向来看,几个大的需求点:
1.2总体需求
1.2.1政策标准要求
为切实推进信息安全等级保护工作,公安部、国家保密局、国家密码管理局和原国务院信息办联合会签并印发了《信息安全等级保护管理办法》(公通字[2007]43号),发布了《信息系统安全等级保护基本要求》(以下简称《基本要求》),在《基本要求》中,各级信息系统安全保护的基本技术要求分别从物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复五个层面提出,并在每一层面给出了相应的安全控制点和安全要求项。
依照国家的相关精神,根据教育服务与监管体系信息化建设的顶层设计,教育信息系统的各业务管理与应用系统均按照等级保护三级系统要求进行设计、开发与建设。
根据国家信息安全等级保护相关政策、标准与规范的要求,须建立基于国产密码技术的教育数字认证安全保障体系,为教育信息系统的安全、稳妥运行提供保障。
1.2.2业务实际诉求
一、认证方式
传统的业务应用系统中采用传统的用户名/密码方式来实现身份认证。
但这种方式早已被证明是不安全的。
基于口令的认证方式是最常用的一种技术,也是现在普遍使用的认证方式。
基于口令的认证方式存在严重的安全问题,是攻击者最容易攻击的攻击目标。
它是一种单因素的认证,安全性仅依赖于口令,口令一旦泄露,用户即可被冒充。
更严重的是用户往往选择简单容易被猜测的口令,或者记录在明显位置,此类情况存在严重的系统安全隐患。
二、明文传输
目前无论从系统层面,客户端与服务端之间传输处于明文状态,还是从网络层面,没有进行加密处理,这样造成容易被非法人员截取和篡改,同时也不利于开展远程移动办公。
三、访问控制
目前各系统中,缺乏一个统一的访问控制入口,每个系统独立对外开放地址和端口以提供访问,随着系统的增多,无疑会增加非法人员进入系统的途径。
并且各个系统独立授权,用户权限分散,访问控制规则不一,给单位实施统一的安全策略造成了极大的障碍。
四、责任认定
目前用户在业务系统中进行的关键数据交换和关键操作,非常可能被恶意用户进行窃听或非法篡改,无法保证数据的安全性、完整性和不可否认性,存在安全隐患。
1.3应对思路
如何应对对于上文所述的诉求,综合目前业界先进的解决思路和成熟的技术手段,我们提出了应用安全支撑体系的概念,该体系的提出并不是泛泛而谈,而是根据实际诉求出发。
1.3.1以PKI体系为基础
应用安全支撑体系是为教育的核心业务系统提供基于数字证书应用的安全支撑服务,从应对角度,目前本项目明确提出建设安全基础设施,其目的是通过PKI体系作为保障全网的信任基础,提供基于基于统一身份的集中认证、数字签名、通信保密、责任认定等符合实际业务诉求的安全防护,所以此次设计的应用安全支撑体系应按照项目的要求以PKI为基础设施。
1.3.2以等保为合规依据
应用安全支撑体系以等保为参照,从主机安全、网络安全、应用安全、数据安全等按照事前监控、事中控制、事后审计的安全闭环思路,采取事前防范、事件发生时监控以及在事件发生后审计等方面层层把关构造一个完整的闭环安全体系。
从上图可以看出,应用安全支撑体系从PKI角度出发,从合规要求入手,应对合规功能点,诸如应用与主机层的身份鉴别、网络通讯安全、边界接入安全,数据保全等,与等级保护体系完全贴合,解决等级保护要求中对于主机、应用、数据、网络等四方面的一系列合规安全加固。
1.3.3以解决业务诉求为目标
应用安全支撑体系最终是为各业务系统提供安全保障,该体系的建设初衷即是服务应用、服务用户,所以该体系是综合分析了教育系统目前业务中所遇到的共性化需求,针对这些需求提供了安全保障手段,所以在业务贴合方面,安全支撑体系可以完全解决现存在的一些安全隐患,具体体现在:
一、提供身份认证的可信性、真实性
各业务系统,例如教系统、中小学学籍系统、校舍系统等业务系统,都有自己的认证规则,认证标准不一致、安全强度有高低。
规划的应用安全支撑体系,跟据安全需求,采用数字证书、密钥等的安全认证方式,可提高访问控制安全强度。
另一方面,应用安全支撑体系需要解决身份认证的可靠性问题,必须能够对登录系统的各类用户以及关键的业务操作的真实性进行有效鉴别。
二、数据保全及责任认定服务
研究设计的应用安全支撑体系对业务系统涉及的重要数据提供数字签名、责任认定功能,使得任何非法的数据修改过程能够被及时发现,保证数据从生成、流转、共享到存储整个生命周期内的完整性和一致性;
三、密码通用服务
明确以密码体系为基础,所以应以密码技术为手段,对现有系统中出现的适用密码技术解决的问题,提供通用的密码服务平台,提供加解密、签名及签名验证、数字信封服务、产生随机数和对数据进行数字摘要等多种密码服务
1.3.4以集中管理为核心
从管理的维度,我们提出“三观”理论,“三观论”是指对整个问题从宏观(Macro-view)、中观(Middle-view)、微观(Micro-view)三个层面来分析。
“三观论”是一个大思路、大观点。
从范围大小来看,宏观、中观和微观分别对应着全局、局部及单点。
微观是实现层,体现为安全部件,即安全模块和规范化的安全服务;中观是管理层,体现为对于安全功能的集成管理和各种安全任务的流程管理,宏观是决策层,包括策略目标,决策支持、以及顶尖上的“使命”。
从微观到中观是一个协调管理的过程。
从中观到宏观是一个总体监控的过程。
从宏观到中观是一个全局指导的过程,从中观到微观是一个控制和配置的过程。
为此我们将三观体系各层面的核心思想充分融合应用安全支撑体系的各环节中。
应用安全支撑体系的设计按照“三观”理论,对上不仅满足国家的政策层面的要求,对下满足业务实际诉求,更重要的从管理视角,对全网中出现的用户资源、授权资源、行为轨迹等进行汇总、整理、管理、审计,具体可以体现在:
一、统一用户管理
研究设计的应用安全支撑体系可以实现信息系统账户与实体的唯一绑定,每一个用户在所有系统中以统一的身份进行各种业务操作,无须记忆大量的账户名和口令。
同时,基于门户平台展示多个业务系统,实现单点登录功能,使得用户的业务操作更加便捷、高效。
二、集中认证与授权管理
研究设计的应用安全支撑体系能够对业务系统进行统一授权管理,系统可以实行粗粒度的授权管理即准入控制,为不同的部门和用户定义各自所能访问的业务系统访问控制列表,真正实现“各职其责,杜绝越权”。
系统管理员把所有业务系统的访问权限统一划分,分成不同的资源域,管理人员再定义一系列不同的访问规则,然后系统根据用户登录的信息,提供在用户权限之内的访问资源,有效的避免权限滥用,即要做到既不影响用户对合法业务系统的访问,又能防止用户越权访问其它重要系统资源,防止用户危害整个系统安全。
三、安全审计
在当今的信息管理中,更强调对参与人操作行为进行分析和控制,即:
谁何时进入了哪些系统?
访问了哪些资源?
做了哪些操作?
产生了哪些后果?
通过建立用户信息的集中统一管理、用户身份的统一认证、统一的用户访问控制以及集中的用户行为审计,使用户行为与实体身份形成关联,便于实现用户行为的有效责任认定,为系统应用安全打下良好的基础。
1.3.5以统一标准化为手段
标准化是制定标准并使其在社会一定范围内得以推广应用的一系列活动,这些活动主要包括制定、发布、实施及修改标准等过程。
信息化建设相关的标准化工作是推动信息化建设的重要基础性工作。
在信息化建设过程中,标准是规范技术开发、产品生产、工程管理等行为的技术法规。
统一标准是信息系统互通、互连、互操作的前提。
只有通过统一技术要求、业务要求和管理要求等标准化手段,才可以保障信息化建设的相关工程及相关环节的建设在全国范围内有章可循,有法可依,形成一个有机的整体,避免盲目和重复,降低成本,提高效益,从而规范和促进国家信息化建设有序、高效、快速和健康地发展,所以此次应用安全支撑体系不仅从技术层面进行安全加固的诠释,同时为了保证体系的可持续发展,会从行政层面、技术层面、日常运维层面进行标准的定义。
1.4建设方针
此次教育的应用安全支撑体系遵照着上述的应对思路,以“统一规划建设、全面综合防御、技术管理并重、保障运营安全”为建设总旨。
统一规划建设,突出了进行统筹规划的重要性,提供了的安全建设所需的统一技术标准、管理规范,以及实施步骤的安排,也保证了人员和资金的投入。
全面综合防御,是指在技术层面上,综合使用了多种安全机制,将不同安全机制的保护效果有机地结合起来,构成完整的立体防护体系。
技术管理并重,突出了安全管理在信息安全体系中的重要性,仅仅凭借安全技术体系,无法解决所有的安全问题,安全管理体系与技术防护体系相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷,实现了最佳的保护效果。
保障运营安全,突出了安全保障的重要性,利用多种安全保障机制,保障了网络和信息系统的运行安全,也保障了业务的持续性和业务数据的安全性。
第2章体系框架
根据《教育信息安全密码应用技术体系框架》确立的层次化的教育信息安全密码应用技术体系,确定了教育信息系统的教育数字认证安全保障体系的应用技术架构:
依托教育CA,建立基于国产密码技术的教育数字认证应用支撑平台,有效解决教育信息系统所面临的“系统安全、数据安全、存储安全、审计安全”等安全问题。
教育数字认证应用安全保障体系,采用层次化结构,由基础设施层、安全支撑层、业务应用层三个层次组成。
教育数字认证应用安全保障体系的应用体系架构如下图所示。
图略
教育数字认证应用安全保障体系架构
2.1基础设施层
“教育数字证书认证系统”,为各级各类教育信息系统及相关用户提供教育数字证书的签发、冻结、解冻、更新、注销、查询、验证等基础的安全服务。
教育数字认证系统是教育数字认证应用安全保障体系的基础设施,是国家电子政务电子认证服务体系的组成部分。
根据国家电子政务电子认证服务总体布局的要求,教育数字认证系统的体系架构如图3-2所示。
图略
教育数字认证系统采用了国家密码主管部门批准的“二级签发、三级服务”的新型电子认证服务体系,由教育部教育CA系统、各教育CA省级服务系统组成。
1、教育部教育CA系统
教育部教育CA系统接到国家电子政务电子认证源点,接受国家电子政务电子认证源点的管理。
教育部教育CA系统是教育数字认证服务体系的核心基础设施,包括证书管理系统、教育部教育CA二级服务系统两大部分。
证书管理系统实现对教育数字证书与证书撤销列表的管理与服务,主要包括证书的生成、更新、冻结、解冻、撤销,以及证书的发布、查询、验证等,以及证书撤销列表的签发、发布等。
教育部教育CA二级服务系统与其他教育CA省级服务系统相同,主要是面向教育信息系统提供教育数字证书的在线申请与服务。
同时,面向尚未建立本地化的教育CA省级服务系统的地区,提供教育数字证书的在线申请与服务。
2、教育CA省级服务系统
教育CA省级服务系统通过互联网,统一安全接入到教育部教育CA系统,接受教育部教育CA系统的认证与密钥管理,面向本地区或本单位的用户提供教育数字证书的在线申请与服务。
为提高教育数字证书服务的质量与效率,各行业性业务主管机构、各市、县教育管理部门,亦可申请建设本业务应用(或本地区、本单位)的教育CA二级服务系统,面向本地区或本单位的用户提供教育数字证书的在线申请与服务。
2.2应用支撑层
教育数字认证应用支撑层(亦称为“教育数字认证应用支撑平台”)是根据教育信息系统的安全保障需求,依托基础设施层的基础教育数字认证服务,采用国产密码技术,提供涵盖“系统访问安全、数据传输安全、数据存储安全、操作审计安全”等风险的安全服务支撑系统,是教育信息系统公共中间件平台的重要组成部分。
教育数字认证应用支撑平台是一个可动态扩展的安全服务系统。
根据目前国家教育管理信息安全保障的实际需要,教育数字认证应用支撑平台主要包括:
教育数字证书应用服务器、身份认证网关、签名验证服务器、数据库加密服务系统、电子签章系统、时间戳服务系统等安全组件系统。
后续根据国家教育管理信息化的应用需求,可不断增加其他的安全服务组件,例如,安全电子邮件系统、桌面数据安全管理系统等。
2.3业务应用层
业务应用层是各级各类教育信息系统。
各应用系统根据自身业务运行与管理的安全需要,集成教育数字认证应用支撑平台的相关安全组件系统,实现本应用系统的安全保障。
第3章平台整体设计
3.1方案概述
基于政策标准,以解决教育信息系统安全为目标,以信息安全管理体系为核心的专业应用安全管理平台——应用安全支撑平台。
提供基于数字证书应用的安全支撑服务、统一的管理服务;可以有效管理用户身份,保障信息系统及网络环境安全,合理控制用户访问资源;确保用户具有快速、可靠、安全访问信息资源和应用的能力。
3.2总体框架
应用安全支撑平台以一个教育数字认证基础设施平台为支撑,以两个中心为支持,以三个规范为标准,以四个支撑为手段,为信息系统提供五项服务。
一个平台
即教育数字认证基础设施平台,利用公钥技术提供一套符合标准的安全基础平台。
包括教育数字认证系统及级服务系统。
二个中心
安全管理中心,为平台提供认证、授权、监控、审计、实施访问控制策略等服务。
服务供应中心,以公钥基础设施为基础,以数字证书为基本认证要素,为信息系统提供目录存储与发布服务、在线查询服务以及责任认定服务。
三个规范
建立健全客户端统一规范,应用接入规范,产品接入规范。
四个支撑
网络安全支撑,基于PKI/CA“可信体系架构”下,基于统一安全策略构建网络接入全程可信、可控的立体防御体系。
主机安全支撑,基于国家保密终端安全管理理念的基础上,实现操作系统层面的全方位安全控制。
应用安全支撑,建立面向业务应用和数据的统一目录、统一身份、统一认证、统一授权的信任体系。
数据安全支撑,基于密码体制,结合数字证书、身份认证、授权访问等安全技术对敏感文件实现高度安全的保障。
3.3平台实现
华翔腾依托自身的技术实力及项目积累,吸收先进的信息安全理念,采用成熟的应用安全技术,将应用安全支撑平台的理念与实际产品相融合,使其真实可用,具备可实施性。
第4章平台详细设计
4.1教育数字证书应用系统设计
教育数字证书应用系统为国家教育管理信息化业务应用系统提供教育数字证书的在线申请、下载、同步、验证、查询等安全服务,实现教育CA与业务系统的集成与融合。
1、教育数字证书的在线申请
国家教育管理信息化的业务应用系统,通过集成该接口,可实现本业务系统的用户管理与教育数字证书管理的集成,例如,在增加用户时,同步申请教育数字证书;在撤销用户时,同步撤销用户的教育数字证书。
2、教育数字证书的在线验证
为国家教育管理信息化工程的业务应用系统提供教育数字证书的在线验证(CRL验证、OCSP验证等),简化业务应用系统为教育数字证书的验证流程,降低系统的开发复杂度。
3、教育数字证书的同步
为国家教育管理信息化工程的业务应用系统提供教育数字证书的同步服务。
用户证书发生变化时,教育数字证书应用服务器从教育CA下载最新的用户数字证书,简化业务应用系统对数字证书管理,提高数字证书的易用性。
4.2终端安全登录设计
4.2.1安全分析
系统登录认证采用微软传统的WINDOWS登录认证方式,即PAP(PasswordAuthenticateProtocol)方式,一旦PAP验证通过后,登录用户信息存放在本机或者域服务器的SAM数据库(SecurityAccountsManagement)中。
而SAM数据库内信息容易被窃取,另外根据保密安全规则用户密码必须满足复杂性要求(口令:
字符+数字+字母10位或者10位以上,密码需7天进行更改一次),同时基于用户账号和口令的身份认证机制有以下的弊端
不能非常明确地确认用户的身份,因为任何人都可以通过偷窃、猜测或利用用户的疏忽来发现口令,在这个问题上,无法用口令来确定用户的唯一性(即真实身份);
很容易被猜出来,许多人的习惯是用“password”、生日日期、孩子名称等用作口令;
用字典攻击手段和物理盗窃(从客户机器上复制)手段也很容易获得用户的账号和口令;
因为用户习惯将复杂的口令记在笔记本和身边可接触到的地方,所以他的账号和口令容易被窃;
用户不习惯定期更换口令。
我们可以看到原有的基于用户账号和口令身份认证是不安全的,因此在网络网中的网络登录控制要使用基于数字证书的USBKEY或智能卡来实现。
4.2.2选型设计
在本方案中推荐使用终端安全登录与文件保护系统(简称“网盾PC保护”)来实现PC操作系统安全保护。
4.2.3设计思路
操作系统层身份认证作为信息安全的第一道屏障,是后续安全手段的基础,必须要重点解决,因此需加强操作系统层的安全登录控制显得尤为重要,操作系统安全认证在基于PKI技术基础之上,针对本项目域登录应用,整合开发安全域登录系统,此系统基于硬件双因子增强验证技术来实现对Windows登录模块的加固,采用硬件(USBKEY)、数字证书以及微软UPN(主题备用名)等多种因素结合技术,真正实现了对包括安全模式在内的整个操作系统登录的加固与增强。
为Windows域登录提供有效的、安全的登录认证机制,保证信息系统域登录的安全。
华翔腾数字认证中心(CA)能够签发符合微软“智能卡登录”的证书,使用“智能卡登录”证书不仅可以在线的方式(即由域控制器验证证书,实现域登录)登录系统并访问域中的共享资源,还可以离线的方式(即在不能够访问AD服务器的情况下由本机验证证书,实现本地登录)登录系统。
4.2.4功能设计
网盾系统通过与数字认证中心(CA)签发微软“智能卡登录”的数字证书的结合,使用“智能卡登录”证书不仅可以在线的方式(即由域控制器验证证书,实现域登录)登录系统并访问域中的共享资源,还可以离线的方式(即在不能够访问AD服务器的情况下由本机验证证书,实现本地登录)登录系统。
使用智能密码钥匙(USBKEY)、数字证书登录计算机系统,没有USBKEY、合法数字证书无法登录计算机。
利用USBKEY锁定计算机,拔出USBKEY,计算机自动锁定键盘、鼠标、屏幕等外部设备,防止非法用户恶意操作计算机,对重要数据进行偷看、篡改或删除。
利用USBKEY锁定计算机,拔出USBKEY,计算机自动进入屏幕保护状态,用户使用计算机时,需要再次插入USBKEY确认身份。
Windows操作系统包括WindowsXP、2000、2003及Win7操作系统可以采用华翔腾的安全桌面套件中的PC保护功能模块进行防护,主要功能有
本地用户认证以及域用户认证;
有限用户通过硬件加密设备登录计算机;
拔出硬件加密设备锁定计算机;
限制计算机登录用户;
插入硬件加密设备解除锁定。
应用USBKEY的PC保护后,可以大大提高系统的易用性,用户无需再记忆原来系统登录的口令(可靠的口令字一般都在8位以上,有些用户为了增加安全性,口令长达20位以上),而只需要牢记USBKEY卡的PIN码,并保管好USBKEY即可。
4.2.5产品部署
在所有终端计算机上安装。
华翔腾网盾系统支持两种模式的登录方式。
其网盾系统登录流程如下:
模式一(基于数字证书封装域账户、口令登录方式)
首先在本地计算机上安装华翔腾PC安全登录系统,将数字证书与用户账号以及口令进行绑定,取得唯一关系,主要是利用数字信封对用户名、口令进行封装,当用户插入USBKEY登录操作系统时,首先验证用户数字证书信息是否为合法,其次验证USBUSBKEY中的数字证书是否为合法证书,通过证书与本地用户账号的关联项,验证用户账号的权限。
此种方式一般在工作组模式下使用,本项目当前采用域管理环境,不建议采用此种登录认证模式。
模式二(基于微软智能卡登录方式)
USBKEY登录AD域
USBKEY登录网络部署图如下图所示:
AD系统登录验证
域控制器配置
在本项目中部署完成CA中心后,通过CA将证书和证书吊销列表(CRL)发布到目录服务器上。
在域控制器中正确的配置证书的信任链和域控制器的机构证书。
客户端配置
在客户端安装USBKEY驱动和PC保护客户端,可以手动安装也可以通过域策略进行MSI包下发安装。
验证流程
PC保护的USBKEY证书域登录完全遵循微软的智能卡登录流程,完全符合域控制器的kerberos扩展协议中的认证流程,具体流程如下:
1.首先需要用户计算机加入到windows域;
2.用户启动计算机之后,系统提示用户将USBKEY插入客户端计算机的USB接口;
3.一旦系统读取USBKEY,屏幕就会显示一个请求输入卡PIN码的对话框。
用户输入PIN后按ENTER键。
如果用户输入正确,系统将解除KEY的锁定并允许继续进行远程访问登录过程的剩余部分;
4.安装在客户端计算机上的本地安全机构(LSA)使用用户PIN来访问USBKEY并提取用户证书;
5.客户端计算机将用户证书及用户签名从用户的USBKEY发送至Microsoft密钥发行中心(KDC),该中心对客户进行身份验证。
6.KDC将证书中的UPN(用户主要名称)与ActiveDirectory中的UPN进行比较。
KDC还验证证书上的签名以确保其是由ActiveDirectory林中的受信任的CA发出。
7.KDC首先验证用户的证书。
如果证书有效,那么KDC会验证预授权数据字段中的签名数据(该数据由用户在用户证书中使用公钥的初始请求中发送的)。
然后KDC使用随机产生的对称密钥加密授权票证(TGT),之后再用证书的公钥将其作为来自KDC响应预授权字段的一部分进行加密。
这就确保了仅具备正确私钥的客户才可解密登录会话密钥。
系统将密钥传输至客户端计算机。
客户端计算机通过收到的密钥来对远程访问服务器进行身份验证。
双方因此而进行了相互的身份验证。
8.用户退出登录时只需将KEY拔出,系统即可进入锁定状态,从而限制了他人对计算机的物理访问。
USBKEY登录工作组
除了可以结合微软的kerberos协议进行智能卡登录以外,还可以完全利用数字信封技术进行工作组方式的登录,实现的主要过程如下:
1.管理员使用USBKEY对系统的用户进行绑定,实质上是使用了数字信封技术对原有系统的用户名和密码进行了加密处理;
2.用户使用USBKEY进行登录,输入PIN码,进行证书解密释放用户名和密码,由华翔腾的PC保护产品进行代填用户名和密码;
3.用户直接登录操作系统,无需输入原用户名和密码。
4.
升级会员 