市电子政务信息安全平台项目建议书.doc

厦门市电子政务信息安全项目建议书 第 1 页 厦门市电子政务 信息安全平台项目建议书 厦门市人民政府政务信息中心 2006 年 7 月 厦门市电子政务信息安全平台项目建议书 2 目 录 第一章第一章项目简介项目简介 4 第一节 项目情况概述 4 第二节 项目申请单位 4 第三节 项目建议书编制依据 5 第四节 鸣谢 6 第二章第二章项目需求分析项目需求分析 6 第一节项目建设的必要性 6 第二节项目建设的可行性 7 第三节信息安全总体需求 9 第三章第三章建设目标建设目标 15 第一节项目建设总体目标 15 第二节项目一期目标 16 第四章第四章项目技术设计项目技术设计 18 第一节建设原则 18 第二节安全架构总体设计 19 第三节活动目录设计 21 第四节安全证书服务 34 第五节智能卡认证系统 42 第六节服务提供层 46 第七节桌面管理系统设计 49 第五章第五章项目的运行维护和培训项目的运行维护和培训 72 第一节项目运行维护 72 第二节系统培训 74 第六章第六章项目建设组织实施和进度安排项目建设组织实施和进度安排 76 第一节项目实施策略 76 第二节项目组织结构及规划 76 第三节项目进度计划 78 1 1项目计划 78 1 2实施风险分析 79 1 3工作量评估 79 第七章第七章项目投资概算项目投资概算 81 第一节投资估算依据 81 第二节第一期资金预算 82 第八章第八章项目保障项目保障 85 第一节项目保障方法简介 85 厦门市电子政务信息安全平台项目建议书 3 第二节IT 系统运维团队模型 86 第三节IT 系统运维过程模型 88 第四节IT 系统运维风险管理 89 第九章第九章项目效益分析项目效益分析 89 第一节社会效益分析 89 第二节经济效益分析 90 厦门市电子政务信息安全平台项目建议书 第 4 页 第一章第一章 项目简介项目简介 第一节第一节 项目情况概述项目情况概述 本项目名称为 厦门市电子政务信息安全平台厦门市电子政务信息安全平台 随着信息化进程的加快 厦门市电子政务也得到了蓬勃的发展 从深度上 来看 电子政务从最初的政府信息上网向政务公开 网上办事及网上行政审批乃 至网上办公等深层次应用转化 各政务部门的信息系统应用日益增多 如 电子 政务门户网站 重点项目管理系统 网上行政审批系统 网上征信系统 邮件系 统等等 从广度上来看 越来越多的部门通过互联网来交换业务数据 实现跨部 门的数据交换和业务流程 目前各个政务部门开发的信息系统应用是各自为政地 处理客户端 服务器及数据库等系统的认证授权等安全问题 随着电子政务应用 深度和广度的不断拓展 各政务部门间数据交换的要求不断增加 这些系统和应 用越来越需要一个从整体上进行规划 设计 包括户认证和数据加密 网络传输 和信息安全监测等通用的 并且安全可靠的统一信息安全平台 厦门市电子政务信息安全平台主要为厦门市电子政务应用提供一个统一的 全面的信息安全服务 其建设的总体目标是 设计 规划和部署整个电子政务平台的信息安全架构 实施基本的安全功 能 建立统一 完善的身份认证 权限管理 网络监测 漏洞扫描 灾难备份和 恢复机制 利用活动目录组策略部署用户设置管理机制 实现统一桌面管理功能 第二节第二节 项目申请单位项目申请单位 项目申请单位为 厦门市政务信息中心 厦门市政务信息中心的主要职责是承担厦门市政务信息网的建设和管理 实 现党政机关网络互联互通和信息资源共享 组织开发信息资源上网 开展数据库 建设 信息技术服务 信息技术培训和国际合作交流活动 厦门市电子政务信息安全平台项目建议书 第 5 页 厦门政务信息中心拥有大批优秀的专业计算机应用及开发技术人才 现有 技术人员共 人 本科以上学历 人 其中博士 人 硕士 人 具有很强的研发 能力 第三节第三节 项目建议书编制依据项目建议书编制依据 1中共中央办公厅 国务院办公厅 关于转发 国家信息化领导小组关于我国电子 政务建设指导意见 的通知 中办发 2002 17 号 2 关于加强信息资源开发利用工作的若干意见 2004 年 10 月 27 日 国家信息 化领导小组第四次会议 3 国务院办公厅关于印发全国政府系统政务信息化建设 2001 2005 年规划纲要的 通知 国办发 2001 25 号 4 国务院办公厅关于实施电子政务试点示范工程的通知 国办函 2002 74 号 5 国民经济和社会发展第十个五年计划信息化重点专项规划 6 国家计委关于印发国民经济和社会发展第十个五年计划信息化重点专项规划的 通知 计规划 2001 1172 号 7 国家发展改革委关于国家电子政务外网 一期工程 项目建议书的批复 发 改高技 2004 2135 号 8 国家发展改革委关于国家电子政务外网 一期工程 第一阶段中央部分建设项 目可行性研究报告的批复 发改高技 2004 2412 号 9 厦门市国民经济和社会发展 十一五 规划 10 厦门市 2003 2010 电子政务总体规划设计研究 2003 11 信息处理系统 开放系统互连基本参考模型第 2 部分 安全体系结构 12 信息技术 安全技术 带消息恢复的数字签名方案 13 计算机病毒防治产品评级准则 14 信息技术 安全技术 实体鉴别第 3 部分 用非对称签名的机制 15 信息技术设备 包括电气事务设备 的安全 IEC 950 16 计算机信息系统安全保护等级划分准则 17 信息技术 安全技术 实体鉴别第 3 部分 用非对称签名的机制 18 国家电子政务标准化指南 19 电子政务信息共享互联互通平台总体框架技术指南 20 中国政府网站建设要求 21 电子政务主题词表编制规则 GB 22 电子政务数据元 GB 23 电子政务业务流程设计方法通用规范 征求意见稿 24 门户网站建设的规范 25 应用平台数据交换规范 26 应用平台服务处理流程规范 厦门市电子政务信息安全平台项目建议书 第 6 页 第四节第四节 鸣谢鸣谢 在方案的形成和文档编制过程中得到了各方领导及专家的指导 以及微软 公司的大力支持 特在此表示感谢 第二章第二章 项目需求分析项目需求分析 第一节第一节 项目建设的必要性项目建设的必要性 电子政务所涵盖的信息系统是政府机构用于执行政府职能的信息系统 政府 机构从事的行业性质跟国家紧密联系 所涉及的众多信息都带有保密性 所以信 息安全问题尤其重要 例如敏感信息的泄露 黑客的侵扰 网络资源的非法使用 以及计算机病毒等 都将对电子政务系统的正常运行构成威胁 为保证电子政务 的信息安全 有必要对其信息和网络系统进行专门的安全设计 在厦门市电子政务系统建设过程中 虽然采取了一定的信息安全措施 但是 随着各个应用系统的实施 逐渐暴露了一些存在的问题 缺乏整体规划和统一部署 应用系统安全管理分散 目前在电子政务外网中已经有多个应用系统投 入使用 但这些系统的用户身份管理和验证机制均自成一体 没有统一 而安全的身份管理方式 导致 用户需要记忆多套系统的用户名和口令 增加使用难度 验证机制质量难于控制 某些应用可能存在验证漏洞 同一用户需要在多套应用系统中注册和维护 增大管理成本 降低管 理效率 内部信息交换不畅 由于多个政务部门的业务网之间未建立连接且未建 立统一可靠的身份验证机制 目前内部文件交换主要通过在公网上基于 web 的文件交换系统实现 使用麻烦且安全性难以得到保证 客户端安全问题突出 经过调查发现 存在的客户端安全问题主要体现 在以下层面 物理防护 由于各政务部门来访人员较多较杂 当工作人员离开计算 厦门市电子政务信息安全平台项目建议书 第 7 页 机而未锁定屏幕或设置屏幕保护时 未授权用户很容易对计算机进行 操作从而获取机密信息或进行破坏活动 缺乏完整有效的补丁管理能力 补丁不能及时安装 给病毒 蠕虫 木马等恶意程序带来可乘之机 此外 缺乏工具对补丁的分发给出及 时有效地分析和监控 缺乏 IT 管理相应的手段 政策和制度 桌面计算机用户随意安装软 件 甚至自己格式化计算机硬盘 重新安装操作系统 缺乏进行桌面资产完整统计的工具 缺乏整体的 层次化的安全防御体系设计 网络出口多 一些桌面计 算机用户直接通过 ADSL 接入 Internet 缺乏相应的监视监管工具 缺乏对于内部网络上支撑桌面系统运行的 平台和关键桌面计算机的监视工具 需要考虑桌面计算机软硬件标准化 很多用户桌面计算机由于配置较 低无法接受有效管理 缺乏对于系统出现严重问题时的相应机制 受病毒感染的桌面不能及 时隔离和处理 成为病毒源 波及整个网络安全 为解决厦门市电子政务建设中存在的信息安全问题 保障电子政务管理 和服务职能的有效实现 必须建立完善的信息安全体系 选择符合国家信息 安全主管部门认证的安全技术和产品 在电子政务系统的建设中实施信息安 全工程 从而建设一个先进 完备 统一的信息安全平台 第二节第二节 项目建设的可行性项目建设的可行性 随着厦门市经济的飞速发展 信息化水平也不断提高 在电子政务基础设 施和应用上都取得了一定的成果 这些都为厦门市电子政务信息安全平台的 建设奠定了坚实的基础 2 2 1 已具备的基础和条件已具备的基础和条件 一 厦门市电子政务网络平台建设按敏感级别和业务类型 划分为涉密 机要专网 电子政务业务专网和电子政务外网 电子政务外网是为市民提供 厦门市电子政务信息安全平台项目建议书 第 8 页 政务公开信息和网上服务场所的媒介 直接同因特网连接 政务专网上运行 关键的政务应用 是为公务员提供协同办公 信息传输交互和业务数据处理 的网络平台 涉密机要专网与电子政务专网实行物理隔离 与政府外网实行 物理隔离 这种网络物理结构的设置为信息安全的实施提供了良好的网络保 障 二 厦门市电子政务网络平台的建设已采用了信息安全技术 具备了一 定的信息安全建设的基础 如屏蔽布线和屏蔽机房 病毒防范 安全审计等 三 设置了专门的技术部门来负责厦门市各电子政务网络平台的建设和 运行维护 为信息安全平台的建设提供了专业技术人才的保障 四 技术保障 微软作为全球著名的软件商 在信息安全领域具有世界 领先的技术和人才 根据厦门市政府与微软 中国 签定的合作备忘录 微 软 中国 将参与信息化规划 为电子政务供技术支撑 厦门市电子政务信 息安全平台将邀请微软作为技术顾问 为平台建设提供成熟的技术方案 2 2 2 存在的风险存在的风险 电子政务安全是一个复杂的系统工程 仅从安全威胁的来源看 可以分 为内 外两部分 来自于外部的威胁有病毒传染 黑客攻击 信息间谍 信 息恐怖活动 信息战争 自然灾害等 而来自内部的威胁则包括内部人员恶 意破坏 管理人员滥用职权 执行人员操作不当 内部管理疏漏 软硬件缺 陷等 这些安全问题都急需解决 而且政府部门设置多 部门之间的职能 交叉以及政府职能转变等 都为电子政务系统的安全构建带来了困难 而部 门设置越细 部门之间的职能交叉的概率越高 电子政务信息安全的控制难 度越大 同时电子政务安全系统的实施也是一个长期的 逐步推进的过程 这些都给电子政务信息平台的建设带来了困难和风险 只有通过建立科学 严密的安全管理体系 不断完善管理行为 形成一个动态的安全过程 才能 为电子政务网络提供制度上的保证 它包括 安全方针 安全组织 资产分 类与控制 人员安全 物理与环境的安全 通信与运行的管理操作过程与职 责 访问控制 系统开发与维护 业务连续性管理 遵循性与法律要求的一 厦门市电子政务信息安全平台项目建议书 第 9 页 致性 第三节第三节 信息安全总体需求信息安全总体需求 2 3 1 物理安全物理安全需求需求 屏蔽机房 厦门市电子政务网络需要进行屏蔽布线和屏蔽机房建设 确保网络系统的安 全保密性 机房的选址以及机房的布线 装修等工程均应参照国家保密局的有关 要求进行 介质管理 对于涉密网络系统 需要对各类涉密介质 包括电子文档的存储介质和有关 纸面介质 进行严格的管理 严格防止因介质而发生的泄密 对介质的管理措施 需要同时考虑到安全保护和自然灾害预防等方面的要求 设备安全 重点加强对涉密系统运行服务器的安全管理 防止对设备的各种破坏 严格 做好设备的防盗 防毁 防电磁信息辐射泄漏 防止线路截获 抗电磁干扰及电 源保护等方面的保护 2 3 2 系统安全系统安全的需求的需求 操作系统安全 系统安全主要是针对服务器设备和用户终端设备的操作系统环境的安全威胁 而言的 其安全问题主要将通过对操作系统平台的配置管理以及系统安全漏洞的 检测与补丁安装等措施来完成 操作系统因为设计和版本的问题 存在许多的安全漏洞 同时因为在使用中 安全设置不当 也会增加安全漏洞 带来安全隐患 在没有其它更高安全级别的 商用操作系统可供选择的情况下 安全关键在于操作系统的安全管理 为了加强操作系统的安全管理 要从物理安全 登录安全 用户安全 文件 厦门市电子政务信息安全平台项目建议书 第 10 页 系统和打印机安全 注册表安全 RAS 安全 数据安全 各应用系统安全等方 面制定强化安全的措施 数据库安全 数据库管理系统应具有如下能力 自主访问控制 DAC DAC 用来决定用户是否有权访问数 据库对象 验证 保证只有授权的合法用户才能注册和访问 授权 对不同的用户访问数据库授予不同的权限 审计 监视各用户对数据库施加的动作 数据库管理系统应能够提供与安全相关事件的审计能力 试图改变访问控制许可权 试图创建 拷贝 清除或执行数据库 系统应提供在数据库级和纪录级标识数据库信息的能力 2 3 3 网络安全需求网络安全需求 网络边界防护 同密级的系统根据其信息密级和重要程度划分为不同的安全域 在不同安全 域的交界处即为边界网络系统 在同一安全域内部 由于安全需求大致相当 一 般可采用相同的安全策略和安全机制 由于边界网络系统是整个内部网络和外部 网络的唯一交互通道 也是网络安全防护的重点 边界网络防护的基本措施是访问控制 即根据安全策略对跨越安全域边界的 网络访问进行授权和管理 确保只有经过授权的用户才能使用网络资源 防火墙 是实现网络边界防护最基本 最经济 最有效的安全措施之一 防火墙通过制定 严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制 并 且防火墙可以实现单向或双向控制 对一些高层协议实现较细的访问控制 如利 用防火墙实现涉密计算机信息系统内部各级网络层次间的访问控制 实现局域网 内不同信任区之间的隔离和访问控制 实现对公开服务器的安全保护以及对远程 用户的安全认证与访问权限控制 并且能够实现对专线资源的流量管理与控制和 防攻击 厦门市电子政务信息安全平台项目建议书 第 11 页 网络设备安全 网络层的安全控制机制将主要通过 VLAN 划分来实现 可作为网络边界防 护措施的一种补充 VLAN 可以对用户的网络资源访问权限进行控制 确保网 络系统的运行效率 将安全级别不同的部门 设备分割在不同的虚拟子网中 从 而提高了系统的安全性 例如信息中心存放着各类服务器 数据库 关键网络设 备 需要防止内部用户有意或无意的破坏 就可以将其单独设立为一个子网 与 其他部门分割开来 从而达到提高系统安全性的目的 若有些虚拟子网之间需要 互相访问 则可以通过部署支持第三层交换技术交换机来实现 另一方面 需要通过对网络设备的配置管理和漏洞扫描及时发现和纠正设备 配置中存在的安全漏洞 确保网络系统的运行安全 网络传输安全 电子政务网络以及为其提供支撑的相关基础设施必须受到更深层次的保护 保卫电子政务系统和基础设施的总的策略是 使用安全性较高的专线和密码技术 来传输系统网络节点之间的机密数据 加密方式采用国家相关部门批准的算法 2 3 4 应用安全应用安全 应用安全主要是针对应用系统的安全保护 根据政务网应用和服务的要求 我们采用身份认证技术 防病毒技术 以及对各种应用服务的安全性增强配置服 务来保障网络系统在应用层的安全 主要内容包括以下 身份认证及访问控制 身份认证的访问控制是应用安全的关键 包括标识和命名 密钥管理 权 限管理等 需要重点解决 三个统一 统一身份认证 统一授权 统一审计 用户通过电子政务外网在门户网站进行统一身份认证 完成单点登录 并根据用 户的权限实施统一授权 在目录服务器中存储用户注册资料和门户配置信息等 用户在系统中所做的工作都由日志详细记录在案 并由该平台进行统一审计管理 病毒防护 由于在网络环境下 计算机病毒有不可估量的威胁性和破坏力 因此计算 厦门市电子政务信息安全平台项目建议书 第 12 页 机病毒的防范也是网络安全建设中应该考虑的重要的环节之一 病毒防护主要是 防止计算机病毒在用户网络系统内部的传播和扩散 从而确保用户信息资源的安 全性和可用性 建立一个完整的计算机病毒防护体系 通过对各类网络服务 主要是邮件 服务 进行病毒监测和杀灭处理 同时在所有终端上安装桌面病毒防护软件 确 保涉密信息的安全 同时应在网络中心设置病毒管理服务器 提供病毒定义更新 和病毒疫情通告等服务 安全审计 系统安全审计是对系统运行过程中所产生的大量状态参数进行事后的分析 以便发现入侵检测系统中所遗漏的攻击行为 以便能及时发现系统中现存的问题 和安全漏洞 并对已发生的安全事故进行事故原因和责任追查工作 这是安全审 计功能中的事后功能部分 由于不受实时性要求的限制 能获得较高的检测准确 度 具体的安全审计数据来源主要包括两部分 系统安全漏洞扫描 系统安全漏洞扫描主要是对关键的网络设备 安全设 备和服务器的操作系统及常见网络服务的配置情况进行扫描检测 并根据检测的 结果向系统管理员提供改进的意见 系统入侵检测 系统入侵检测是在系统运行过程中不断搜集网络及关键服 务器的运行状态参数信息 并与正常的活动基准模式加以比较分析以确定是否发 生了异常的网络活动 系统备份 建立备份系统的主要目标 避免由于各种情况造成的网络 数据 系统的 不可用给网络中运行的业务造成影响 一旦灾难发生 可以通过该系统为网络的 恢复提供有力的保证 备份措施要保证主要线路 关键设备 重要数据 重要系 统等要素的可用性 从而保证电子政务系统的稳定运行 提高其对各类事件的免 疫能力 灾难恢复 灾难恢复是在发生计算机系统灾难后 可利用在本地或远离灾难现场的地 厦门市电子政务信息安全平台项目建议书 第 13 页 方的备份系统重新组织系统运行和恢复业务的过程 灾难恢复的目标是 保护数 据的完整性 使电子政务数据损失最少 甚至没有数据损失 快速恢复工作 使 业务停顿时间最短 甚至不中断业务 2 3 5 信息安全服务的需求信息安全服务的需求 风险评估 信息安全管理体系是建立在风险分析和评估的基础上的 风险分析是指确 定资产的安全威胁和脆弱性 并估计可能由此造成的损失或影响的过程 其结果 是制定安全政策的重要依据 可以按照资产列表制定相应的安全政策 风险分析 与评估基本包括准备阶段 培训阶段 资产确定阶段 风险评估阶段 风险策略 阶段 安全应急服务 对于网络中的突发事件能够及时地响应 减少业务停顿的时间 避免非法 入侵对数据破坏 避免主页被黑造成影响 对于已经破坏的数据采取相应的技术 手段进行恢复 通过培训提高人员对突发事件的处理能力 追踪非法入侵人员 2 3 6 安全规范和措施安全规范和措施的需求的需求 安全管理是安全系统建设成败的关键 仅仅依靠技术上的安全手段 但没 有相应的管理措施作为保障 是不能保证安全系统的正常运作的 因此必须制定 和实施统一的 覆盖全系统的安全策略 制定安全策略 完整的安全策略是提供企业级安全机制的基本前提 典型的安全策略将根 据组织运作的目标对组织内部的各类网络资源和系统资源 数据资源的使用进行 控制和管理 安全策略是各类安全设备充分发挥其功能的关键 也是安全管理的 一个重要内容 拟定安全管理部门的职责 为加强对网络系统的统一管理和控制 应确定一个的安全管理部门 全权 厦门市电子政务信息安全平台项目建议书 第 14 页 负责整个政务网系统的安全管理工作 其主要职责应包括 根据工作的重要程度确定系统的安全级别及潜在的安全威胁 根据系统的安全级别及安全风险确定所需的安全保护水平 制定关键设备及资源的使用授权规则 制定与安全相关的操作规程 制定完备的系统维护制度 制定系统应急处理计划 对操作人员进行安全操作培训 制定安全管理规范 安全管理部门应根据安全管理工作及安全系统工程建设的需要制定以下的 安全管理规范 系统访问权限管理规范 口令和账户管理规范 信息保密管理规范 涉密机房的管理规范 信息安全防范岗位责任规范 信息安全用户培训制度 安全应急计划 2 3 7 本期项目的任务需求和服务对象本期项目的任务需求和服务对象 电子政务信息安全的建设和实施是一个系统的工程 需要一个长期的过程 针对厦门市电子政务系统的现状 微软企业技术支持服务建议在原有信息安全建 设基础上 以微软活动目录为基础技术平台 以建立统一的用户身份验证机制为 突破口 采取分期建设的策略 以较小的资金和人员投入 在较短的时间内迅速 提高电子政务系统的安全水准 本期项目的主要任务包括 厦门市电子政务信息安全平台项目建议书 第 15 页 在电子政务网络平台范围内实施企业级的活动目录 建立统一而完善的 用户帐号 权限管理机制 并利用活动目录组策略部署用户设置管理机 制 实施证书服务 建立公钥体系 部署智能卡系统 为每个用户分发一张智能卡 迅速实施有效的软件更新管理机制 堵塞操作系统漏洞 利用微软安全审核专项服务 检查关键服务器和客户端配置的安全性 建立桌面管理中心可以统一对桌面计算机硬件 操作系统 以及应用系 统客户端的管理 厦门市电子政务信息安全平台由厦门市信息中心负责技术支持和提供长期 运行维护 主要的服务对象为电子政务外网的各政务部门及相关单位 2 3 8 本期项目所涉及的相关单位和部门本期项目所涉及的相关单位和部门 所涉及的单位和部门为电子政务外网平台覆盖的单位和部门 CA 服务器 集中部署在厦门市政务信息中心数字证书服务器中心机房 活动目录和桌面管理 服务器一级中心部署在厦门市政务信息中心的中心机房 各二级中心部署在思明 湖里 集美 海沧 同安 翔安和杏林各区信息中心的中心机房 需要调研 第三章第三章 建设目标建设目标 第一节第一节 项目建设总体目标项目建设总体目标 厦门市电子政务信息安全平台主要为厦门市电子政务应用提供一个统一的 全面的信息安全服务 其建设的总体目标是 设计 规划和部署整个电子政务平台的信息安全架构部 及实施基本的安 全功能 建立统一而完善的身份认证 权限管理 网络监测 漏洞扫描 灾难备 份和恢复机制 利用活动目录组策略部署用户设置管理机制 实现统一桌面管理 功能 厦门市电子政务信息安全平台项目建议书 第 16 页 本项目的实施原则是分阶段逐步实施 主要是从实施的区域范围和功能范围 来划分阶段 第一阶段将部署安全架构及实施基本的安全功能 第二节第二节 项目一期目标项目一期目标 架构平台的设计 这个阶段最重要的目标是设计和规划整个电子政务的安全架构 这个架构对 于今后项目的开展将具有重大的指导作用 1 集中式结构化的管理 根据电子政务网络的实际情况 将用户和 Windows 平台的服务器 客户机按 照部门和管理方式组织起来 对用户的管理通过用户组进行 结构化的人员管理 是实现系统管理目标的基础 2 统一的资源管理 包括 文件服务 打印服务 DHCP Web 和其它应用服务 文件服务需要进行授权管理和配额管理 配额管理是指对特定用户可以使用 的存储空间 硬盘 进行限制 不同类型的用户可以分配不同的配额 如果超过 配额 用户将无法继续使用该介质 使得存储更有效率 打印服务需要进行授权 管理 其他应用服务可以根据具体的情况进行定制 3 信息资源的灵活授权 为了对信息和设备 例如 打印机 进行保护 避免对敏感信息或者重要设 备的非法访问和使用 增强系统的安全性 需要对用户授权 只有授权用户才可 以访问重要的资源 对用户授权应该可以按照不同的方式来进行 1 按照部门来授权 2 按照级别来授权 3 按照职务来授权 安全身份认证 建设专门的认证服务器 部署企业证书服务 实现统一身份认证和权限管理 由专门安全服务机构给每个用户颁发一张智能卡 用户可以用卡进行身份认证 如登录到 Windows 平台 VPN 拔号 安全 Email 等 厦门市电子政务信息安全平台项目建议书 第 17 页 活动目录 活动目录通过使用对象和用户凭据的访问控制 提供对用户帐户和组信息的 保护存储 由于活动目录不仅存储用户凭据还存储访问控制信息 因此登录到网 络的用户将同时获得访问系统资源的身份验证和授权 活动目录服务可以实现由网络中心对整个目录资源进行管理控制 减少管理 新平台的投资和维护成本 可扩展 以适应业务不断发展的需要 提高网络效率 和缩短系统反应时间 桌面管理 IT 基础设施管理的目标是使内部的桌面系统能置于统一的管理之下 从而 降低成本 整个效率 所以桌面管理系统首先要保证用户使用桌面系统的方便 不能影响应用程序的整个可操作性和性能 在此基础上再达到管理和控制的目标 同时 桌面管理系统也应该采用开放的系统结构 使得桌面应用程序可以在桌面 管理系统的基础上做更紧密的集成 使桌面管理系统更好的控制和管理用户的工 作环境 1 岗位化的桌面管理 按照用户部门 职务 级别等对用户的桌面环境进行定制和自动的更新 一 般来说 用户的部门不同 职务不同 级别不同 对系统的要求也不一样 我们 需要针对不同用户的需要为他们建立不同的界面风格 安装合适的应用程序 同 时 当用户的身份发生变化 例如 升职或者调动 可以按照用户新的身份来 自动的对用户的桌面进行更新 2 自动化的软件分发 实现软件的自动安装与升级 当我们需要对用户使用的软件进行升级或者安 装新的应用时 只需要在服务器上进行适当的配置 系统会自动的在客户端上安 装相应的软件 为实现上述建设目标 厦门市电子政务信息安全平台建设将采用微软信息 安全技术进行的设计 开发和实施中 厦门市电子政务信息安全平台项目建议书 第 18 页 第四章第四章 项目技术设计项目技术设计 第一节第一节 建设原则建设原则 为了保证质量 在进行信息安全平台的设计 开发 部署和运行管理规划 时将遵循如下原则 先进性 采用国际上最先进和成熟的体系结构 使系统能够适应今后的业务发展变 化需要 可靠性 本系统在设计时将充分考虑电子政务外网平台对可靠性的要求 采用微软 公司的多种高可靠 高可用性技术以使系统能够保证高可靠性 尤其是保证关键 业务的连续不间断运作和对非正常情况的可靠处理 可管理易维护性 由于信息安全平台系统使用面广 系统稳定性可用性要求高 因此系统平 台还必须具有良好的可管理和易于维护的特点 在本方案中 我们将充分考虑到 可管理性对本系统的重要性 在设计中充分利用微软平台提供的多种管理手段 以保证微软平台易管理易维护的特点得到充分发挥 以满足本系统的需要 可伸缩和可扩展性 系统应该真正符合多层浏览器 服务器体系结构 应能满足新增的需求 而 系统的体系结构不需做较大的改变 并能保证系统今后的平滑升级 可行性 在风险分析的基础之上 发掘重要 关键的资源进行保护 做到适量投入 有效防护 标准化 遵循技术标准 国家相关规范 厦门市电子政务信息安全平台项目建议书 第 19 页 第二节第二节 安全架构总体安全架构总体设计设计 信息安全平台主要由三个部分组成 活动目录 active directory 简称 AD 服务平台 统一身份认证 CA 和桌面管理系统 一 活动目录服务 AD 目录代表存储在网络上对象信息的一种层次结构 这些对象包括 共享资源 如 服务器 打印机 网络用户和计算机帐户等 域 应用程序 服务 安 全策略等 目录服务是能够通过各种方式把目录中存储的信息提供给管理员 用 户 网络服务或应用程序的服务 正是因为该服务在整个 IT 系统中的重要作用 有人将目录服务比作企业网络的 灵魂 活动目录通过使用对象和用户凭据的访问控制 提供了对用户帐户和组信息 的保护存储 由于活动目录不仅存储用户凭据还存储访问控制信息 因此登录到 网络的用户将同时获得访问系统资源的身份验证和授权 活动目录服务的目标是 1 集中管理 网络中心可以对整个目录资源进行管理控制 2 容易管理 减少管理新平台的投资和维护成本 3 扩展性强 目录服务可扩展 以适应业务不断发展的需要 4 提高网络效率和缩短系统反应时间 二 安全身份认证 CA 部署企业证书服务和分发智能卡 实现统一身份认证和权限管理 安全身份认证方案基于 Windows 平台的 PKI 公钥体系 提供 RSA DES 等 加密算法的支持以及 X 509 系列证书的分析功能 并集成智能卡技术 将智能卡 作为证书的载体并执行加解密操作 Windows 2000 2003 PKI 由许多组件组成 1 启用公钥的应用程序和服务 2 用户和主机证书存储 3 用于进行证书管理的证书 MMC 管理单元 MMC Snap In 4 公钥策略 5 证书服务 三 桌面管理 厦门市电子政务信息安全平台项目建议书 第 20 页 建立桌面管理中心 统一对桌面计算机硬件 操作系统 以及应用系统客户 端的管理 通过桌面计算机标准化的实施 可以极大地提高系统维护管理的效率 降低维护成本 提高系统安全性 集中实现的桌面系统管理功能 1 补丁 也可称作更新 管理 桌面计算机操作系统的版本更新 可采用 集中管理 集中分发的方式实现 这可以大大减少桌面维护人员的工作量 也减 小了桌面管理 维护方面的支出 2 软件分发管理 功能和上述补丁管理想类似 只不过是对于包括办公软 件和更新以及应用系统客户端的安装和更新在内 保证了内部各种软件的版本统 一 提高了工作效率 保证了各种新业务系统 应用系统的推广工作 3 资产管理 定期统计 汇总内部各种 Windows 平台桌面计算机资产的使 用情况 产生统计报告 还可以及时发现非法软件的安装和使用 以便及时采取 措施 一方面可以减小相应的法律风险 另一方面又可以减少安全隐患 提高系 统安全性 4 远程支持 实现对故障桌面计算机的远程诊断 一方面可以提高对员工 的及时响应 提高员工的工作效率和对 IT 服务的满意程度 另一方面也可从某 种程度上减小了 IT 维护人员的工作量 5 软件度量 本方案同时具有对于软件使用频率的统计分析能力 厦门市电子政务信息安全平台项目建议书 第 21 页 AD目录服务 系统 管理 SMS 图 安全架构解决方案 系统 开发 VS NET CA证书服务智能卡系统 操作 系统 登录 认证 VPN 信息 权限 管理 补丁 管理 软件 分发 资产 管理 系统提供服务桌面管理服务 在信息安全架构的三个组成部件中 AD 是整个平台的基石 负责用户和密 码的管理 识别和存储数字证书格式 CA 负责证书申请 证书查询 证书废除 和证书签发 智能卡提供用户的身份认证服务 桌面管理系统实现对桌面计算机 硬件 操作系统 以及应用系统客户端的集中管理 第三节第三节 活动目录设计活动目录设计 4 3 1 AD 基础架构基础架构 AD 基础架构将从以下四个角度来论述 概念角度 物理模型角度 逻辑模型角度 服务设计角度 厦门市电子政务信息安全平台项目建议书 第 22 页 4 3 2 AD 概念及作用概念及作用 4 3 2 1 目录服务的基本概念目录服务的基本概念 目录是用来存储有用对象的信息源 例如电话目录存储关于电话用户的信息 在文件系统中 目录存储关于文件的信息 在分布式计算机系统或者象 Internet 这样的公用计算机网络中 有许多有用 的对象 例如打印机 传真机 应用软件 数据库和其它用户 用户希望寻找并 使用这些对象 而管理员则希望管理这些对象的使用 术语 directory 目录 和 directory service 目录服务 指在公用和专用网络 中的目录 目录服务 不同于 目录 在于它既是目录信息源 也是使用户可 以使用这些信息的服务者 为什么使用目录服务 目录服务是一个扩展的计算机系统最重要的组件之一 用户和管理员经常不 知道他们感兴趣的对象的确切名字 但他们可能知道对象的一些属性 这样就能 够查询目录并得到与这些属性匹配的对象的列表 例如 查找在 26 楼中所有的 双面打印机 则目录服务将为用户找到所有具有此属性的对象 什么是活动目录 活动目录是指 Windows 2000 2003 Server 的目录服务 它扩展了以前基于 Windows 的目录服务的功能 并增加了一些全新的功能 活动目录是安全的 分布式 可分区和可复制的 它的设计保证能在任何规模的安装中正常工作 从 只有几百个对象 一台服务器的小系统到拥有数百万对象 上千台服务器的庞大 系统它都支持 活动目录增加了许多新功能 这些功能使浏览并管理大量信息变 得更容易 为管理员和终端用户都节约了时间 目录服务可以完成下列内容 厦门市电子政务信息安全平台项目建议书 第 23 页 1 统一的帐号管理 2 在网络中的多个计算机上分布目录 3 对一个目录进行复制以使其可供更多的用户访问并对故障有抵抗能力 4 将一个目录划分到多个存储当中以使其能够存储数量非常多的对象 目录服务既是一个管理工具 也是一个开发者和最终用户的工具 随着网络 中对象的数目的增加 目录服务变得越来越重要 目录服务是一个中心 一个大 型的分布式系统围绕着它运作 域的定义域的定义 域定义了安全界限 目录包含一个或多个域 每个域均有自己的安全策略以 及与其他域的信任关系 域有几个优点 安全策略和设置 如管理权利和访问控制表 不会从一个域移至另一个 域 向域或组织单位委派管理权限消除了对具有广泛管理授权的大量管理员 的需要 域可帮助组织您的网络以更好的反映您单位的组织结构 每个域仅存储该域中各对象的有关信息 通过这样区分目录 Active Directory 可将规模扩展到拥有大量对象 域是复制的单位 特定域中的所有域控制器可接收更改内容并将这些内 容复制到域中的所有其他域控制器中 单域可跨越多个物理位置或站点 使用单域极大地简化了管理的开销 域树和树林简介域树和树林简介 多个域构成树林 域也可合并为称作域树的层次结构 域树 域树中的第一个域称作根域 相同域树中的其他域为子域 相同域树中直接 在另一个域上层的域称为子域的父 具有公用根域的所有域构成连续名称空间 这意味着子域的域名就是添加到 父域名中的那个子域的名称 在此例中 为 厦门市电子政务信息安全平台项目建议书 第 24 页 的子域及 的父域 域为 的父域 它也是该域树的根域 域树中的 Windows 2000 域通过双向可传递信任关系连接在一起 由于这 些信任关系是双向的而且是可传递的 因此在域树或树林中新创建的 Windows 2000 域可以立即与域树或树林中每个其他的 Windows 2000 域建立信任关系 这些信任关系允许单一登录过程在域树或树林中的所有域上对用户进行身份验证 这不一定意味着经过身份验证的用户在域树的所有域中都拥有相应的权利和权限 因为域是安全界限 所以必须在每个域的基础上指派权利和权限 树林 树林包括多个域树 树林中的域树不形成邻接的名称空间 例如 虽然两个 域树 和 都具有称作 support 的子域 而子域 的 DNS 名称为 和 没有共享 的名称空间 然而 树林都有根域 树林的根域是树林中创建的第一个域 树林中所有域 树的根域与树林的根域建立可传递的信任关系 在上图中 是树 林的根域 其他域树的根域 和 与 具有可传递的信任关系 对于在整个树林的所有域树中建立的信 任关系 这是必要的 详细信息 请参阅域信任 树林内所有域树中的所有 Windows 2000 域都共享下列特征 1 域之间的可传递信任关系 2 域树之间的可传递信任关系 3 公用架构 4 公用配置信息 5 公用全局编录 使用域树和树林提供了连续和非连续的命名约定的灵活性 例如 如果有多 个独立的部门而且每个部门必须保留自己的 DNS 名称 那么这种灵活性非常有 用 厦门市电子政务信息安全平台项目建议书 第 25 页 4 3 2 2 Active Directory 的功能的功能 数据存储 也称为目录 它存储着与 Active Directory 对象有关的信息 这些对象通常包括共享资源 如服务器 文件 打印机 网络用户和计 算机帐户 一套规则 即架构 定义了包含在目录中的对象类和属性 这些对象实 例的约束和限制及其名称的格式 包含目录中每个对象信息的全局编录 允许用户和管理员查找目录信息 而与目录中实际包含数据的域无关 查询和索引机制的建立 可以使网络用户或应用程序发布并查找这些对 象及其属性 通过网络分发目录数据的复制服务 域中的所有域控制器参与复制并包 含它们所控制的域的所有目录信息的完整副本 对目录数据所做的任何 更改都被复制到域中的所有域控制器 与网络安全登录过程的安全子系统的集成 以及对目录数据查询和数据 修改的访问控制 为获得 Active Directory 的所有功能 通过网络访问 Active Directory 的 计算机必须运行正确的客户软件 对于没有运行 Active Directory 客户 软件的计算机 目录的显示形式将与 Windows NT 的目录相似 4 3 2 3 Active Directory 的好处的好处 信息安全性 安全性完全与 Active Directory 集成 不仅可在目录中的每个对象上定义访 问控制 而且还可在每个对象的属性上定义 详细信息 请参阅安全性 Active Directory 提供安全策略的存储和应用范围 安全策略可包含帐户信 息 如域范围内的密码限制或对特定域资源的访问权 通过组策略设置执行安全 策略 基于策略的管理 Active Directory 目录服务包括数据存储和逻辑分层结构 作为逻辑结构 它为策略应用程序提供分层的环境 作为目录 它存储着分配给特定环境的策略 厦门市电子政务信息安全平台项目建议书 第 26 页 称为组策略对象 组策略对象表示了一套商务规则 它包括与要应用的环境 有关的设置 可确定 1 目录对象和域资源的访问 2 用户可使用什么域资源 如应用程序 3 这些域资源是如何配置使用的 例如 组策略对象可以决定当用户登录时用户在他们的计算机上看到什么应 用程序 当它在服务器上启动时有多少用户可连接至 Microsoft SQL Server 以 及当用户转移到不同的部门或组时他们可访问什么文件或服务 组策略对象使您 可以管理少量的策略而不是大量的用户和计算机 通过 Active Directory 您可 将组策略设置应用于适当的环境中 不管它是您的整个单位还是您单位中的特定 部门 可扩展性 Active Directory 可进行扩展 即管理员可将新的对象类添加到架构中 而 且可将新的属性添加到现有的对象类中 例如 您可以为 User 对象添加 Purchase Authority 属性 然后存储每个 用户的购买权利限制 并将其作为用户帐户的一部分 可以通过以下两种方法将对象和属性添加至目录中 使用 Active Directory 架构 通过 Active Directory 服务接口 ADSI 或者 LDIFDE 或 CSVDE 命令 行实用程序创建脚本 可伸缩性 Active Directory 包含一个或多个域 每个域具有一个或多个域控制器 以 便您可以调整目录的规模以满足任何网络的需要 多个域可合并为域树 多个域 树可合并为树林 目录将其架构和配置信息分发给目录中所有的域控制器 该信息存储在域的 第一个域控制器中 并且复制到域中任何其他域控制器 当该目录配置为单个域 时 添加域控制器将改变目录的规模 而不影响其他域的管理开销 将域添加到目录使您可以针对不同策略环境划分目录 并调整目录的规模以 厦门市电子政务信息安全平台项目建议书 第 27 页 容纳大量的资源和对象 信息的复制 复制为目录提供了信息可用性 容错 负载平衡和性能优势 Active Directory 使用多主机复制 允许您在任何域控制器上而不是单个主域控制器上 更新目录 多主机模式具有更大容错的优点 因为使用多域控制器 即使任何单 独的域控制器停止工作 也可继续复制 虽然用户可能没有意识到这一点 但是由于进行了多主机复制 它们将更新 目录的单个副本 在域控制器上创建或修改目录信息后 新创建或更改的信息将 发送到域中的所有其他域控制器 所以其目录信息是最新的 域控制器需要最新的目录信息 但是要做到高效率 必须把自身的更新限制 在只有新建或更改目录信息的时候 在域控制器之间不加选择地交换目录信息能 够迅速搞垮任何网络 Active Directory 已经设计成只复制更改的目录信息 进行多主机复制时 可能经常会出现完全相同的目录更改发生在多个域控制 器的情况 Active Directory 还设计用于跟踪和仲裁对目录的冲突更改 并自动 解决几乎所有情况中的冲突 在一个域中配置多个域控制器能提供容错和负载平衡能力 如果域中的一个 域控制器变慢 停止或失败 相同域中的其他域控制器可提供必要的目录访问 因为它们包含相同的目录数据 灵活的查询 用户和管理员可使用 开始 菜单 网上邻居 或 Active Directory 用户 和计算机 上的 搜索 命令 通过对象属性快速查找网络上的对象 例如 您 可通过名字 姓氏 电子邮件名 办公室位置或用户帐户的其他属性来查找用户 4 3 2 4 基于基于 AD 的的 IT 基础设施基础设施 基于 AD 目录架构 我们将构建一个规范的 IT 基础设施 企业级安全 通过提供对安全的 Internet 标准协议和身份验证机制的内 建支持 如 Kerberos 公开密钥基础设施 PKI 和安全套接字协议层 厦门市电子政务信息安全平台项目建议书 第 28 页 SSL 之上的轻便目录访问协议 LDAP 企业级管理 统一的桌面管理规划 企业级服务 提供标准的 DHCP DNS 文件服务等企业服务 企业级应用开发 提供业务应用的开发平台 4 3 2 5 AD 与与 PKI 体系的结合体系的结合 Active Directory 支持 Microsoft 证书服务的不同组件 总体来说 Active Directory 具有以下属性 1 用作颁发证书 CA 证书和 CRL 的发布点 2 存储企业 CA 使用的证书模板 3 定义哪些组策略在域中有效 是公钥策略的一部分 4 可以利用它将证书映射给用户 当用户使用证书向 IIS 验证自己时 首 先使用此映射 4 3 3 AD 的物理模型的物理模型 Active Directory 的物理模型主要包括 Site Site Link Site Link Bridge DC GC 等方面 Active Directory 物理模型的规划与实际的网络物理拓 扑结构密切相关 4 3 3 1Site 设计设计 简单地说 Site 是被一个或多个 TCP IP 子网指定的网络中某位置 Site 是 一个或多个良好连接的 TCP IP 子网 其中良好连接批网络连接可靠性高 并且 连接速度相当快 4 3 3 2 Site Link GC 方案方案 考虑到 GC 可以实现整个森林中所有对象进行快速查询 所有建议在每个 Site 放置一