8-1安全生产应急平台安全认证体系技术规范(验收修改稿).doc

应指技装201224号附件8安全生产应急平台安全认证体系技术规范（试行）国家安全生产应急救援指挥中心二一二年八月安全生产应急平台安全认证体系技术规范（试行）1 范围本技术规范规定了安全生产应急平台在国家安全生产监督管理总局涉密网和政务网上部署时应遵循的安全身份认证体系结构，及对各级安全生产应急平台的建设要求和使用规范。本技术规范适用于国家安全生产应急救援指挥中心、省级和市（地）级安全生产应急救援机构开展安全生产应急平台安全认证体系标准化工作；其他安全生产应急救援指挥机构可参照执行。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。BMB17-2006 涉及国家秘密的信息系统分级保护技术要求BMB20-2007 涉及国家秘密的信息系统分级保护管理规范GB/T 20269-2006 信息安全技术 信息系统安全管理要求GB/T 21053-2007 信息安全技术 公钥基础设施PKI系统安全等级保护技术要求GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南GB/T 25070-2010 信息安全技术 信息系统等级保护安全设计技术要求国保发200516号 涉及国家秘密的信息系统分级保护管理办法国家政务外网注册服务点（RA）建设指南 v8.13 术语和定义下列术语和定义适用于本标准。3.1国家安全生产监督管理总局涉密网按照国家保密局有关涉密信息系统分级保护建设标准建设，采用独立布线，用于国家安全生产监督管理总局（简称“总局”）、国家煤矿安全监察局、国家安全生产应急救援指挥中心（简称“应急指挥中心”）及部分直属单位处理机密级及以下级别信息的网络，简称“总局涉密网”。3.2国家安全生产监督管理总局政务网依托国家电子政务外网和其它公共网络资源，连接各级安全生产监管和煤矿安全监察机构的全国安全生产系统信息化综合应用的专用广域网络，与互联网逻辑隔离，简称“总局政务网”。总局政务网包括总局节点、省级节点、市（地）级节点。3.3安全生产应急平台各级安全生产应急救援管理机构、中央企业应急救援机构及国家安全生产应急救援基地所建立的用于应急救援业务的综合信息系统均称为安全生产应急平台，包括国家安全生产应急平台、省级安全生产应急平台、市（地）级安全生产应急平台、中央企业应急救援机构及国家安全生产应急救援基地应急平台。3.4国家安全生产应急平台依托国家安全生产监督管理总局政务网及其信息系统和其它公共网络资源，与国务院应急平台、有关部门和各地安全生产应急管理机构、中央企业应急救援机构及国家安全生产应急救援基地应急平台互联互通和信息共享的应急管理业务系统。国家安全生产应急平台部署在总局涉密网、总局政务网总局节点以及互联网上，部署在总局涉密网的业务系统分级保护级别为机密，部署在总局政务网总局节点的业务系统等级保护级别为第三级。3.5省级安全生产应急平台依托国家安全生产监督管理总局政务网和其它公共网络资源，与国家安全生产应急平台和各市（地）级安全生产应急平台交换数据，满足本省安监局或煤监局管辖范围内安全生产应急值守的需要的应急管理业务系统。省级安全生产应急平台部署在省级涉密网、总局政务网省级节点以及互联网上。3.6市（地）级安全生产应急平台依托国家安全生产监督管理总局政务网和其它公共网络资源，与省级安全生产应急平台交换数据，满足本地安监局或煤监分局管辖范围内安全生产应急值守的需要的应急管理业务系统。市（地）级安全生产应急平台部署在总局政务网市（地）级节点、互联网上。3.7安全认证体系为了信息系统的安全运行，在信息系统的整体安全框架下，实现对实体身份验证的技术体系，包括身份认证系统结构、身份认证管理等。4 安全生产应急平台安全认证体系概述各级安全生产应急救援机构应根据国家保密局有关涉密信息系统分级保护建设标准确定本级安全生产应急平台所处理的国家秘密的范围、密级并构建相应的安全认证体系；根据信息系统安全等级保护定级指南（GB/T 22240-2008）和信息系统安全等级保护基本要求（GB/T 22239-2008）确定本级应急平台所包含的业务系统的等级保护级别并构建相应的安全认证体系。国家安全生产应急平台处理涉密信息的系统应部署在总局涉密网上，省级安全生产应急平台处理涉密信息的系统应部署在满足上述要求的本省涉密网上。国家安全生产应急平台处理非涉密信息的系统应部署在总局政务网上，省级安全生产应急平台处理非涉密信息的系统应部署在省级安全监管监察机构的政务网上。向社会公众发布信息或提供服务的系统部署在各级安全监管监察机构的互联网区域。安全生产应急平台安全认证体系主要由总局涉密网安全认证系统和总局政务网安全认证系统组成。根据安全生产应急平台总体规划，部署在总局涉密网上的国家安全生产应急平台子系统利用总局涉密网的安全认证系统，部署在总局政务网上的各级应急平台子系统将利用总局政务网的安全认证系统。按照总局涉密网的管理规定，总局涉密网基于数字证书的身份认证体系不在本标准规范中详细描述。5 总局涉密网基于数字证书的身份认证体系5.1终端安全认证系统的结构（略）。5.2终端安全认证系统的建设要求（略）。5.3终端安全认证系统的客户端认证介质要求（略）。6 总局政务网双因素身份认证体系6.1双因素身份认证技术在双因素身份认证系统中，用户登录时，必须同时验证静态口令（称之为PIN码）和动态口令，只有两者均正确才能确认用户身份。双因素身份认证系统主要由三个模块组成：动态口令产生模块、客户端代理模块和验证服务器模块。这三个模块协同工作，验证服务器在选定的网络节点之间建立一个保护的环境。每个受保护的网络节点都是一个客户端，必须运行客户端代理软件模块。无论什么时候访问网络节点，客户端软件都会启动一个会话过程，要求验证用户身份。如果用户提供的用户名、PIN码和动态密码均正确，则允许访问网络资源，否则拒绝。双因素身份认证系统部署范围包括总局政务网总局节点和省级节点，管理方式为本地管理。6.2总局节点的建设要求信息系统安全等级保护基本要求（GB/T 22239-2008）的安全等级保护第三级对网络设备、主机和应用系统的用户身份认证的主要要求为：应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别；应提供登录失败处理功能，采取结束会话、限制非法登录次数和自动退出等措施。总局政务网总局节点的网络设备、主机和应用系统的用户身份认证已经按照上述要求建设完成。总局节点下联各省级节点的链路为国家电子政务外网的网络连接，总局节点与各省级节点之间通过安全生产应急平台的专用数据交换软件进行数据传输。在总局政务网总局节点的安全管理域已经部署双因素身份认证服务器，在其上安装双因素身份认证服务器软件和管理软件，作为响应总局政务网用户身份认证请求的认证服务器。在总局节点需要保护的网络设备和应用系统上安装代理软件，在支持RADIUS协议的网络设备中将认证服务指向双因素认证服务器。在总局节点所有固定用户和移动办公用户的客户端上，通过USB Key软件令牌，安装认证令牌，解决固定终端和VPN客户端的身份认证要求。6.3省级节点的建设要求信息系统安全等级保护基本要求（GB/T 22239-2008）的安全等级保护第二级对网络设备、主机和应用系统的用户身份认证的主要要求为：应提供用户身份标识唯一性的检查功能，保证不存在重复用户身份标识，用户身份鉴别信息应具有不易被冒用的特点；应提供登录失败处理功能，采取结束会话、限制非法登录次数和自动退出等措施。总局政务网省级节点的网络设备、主机和应用系统的用户身份认证已经按照上述要求建设完成。各省级节点上联总局节点的链路为本省电子政务外网的网络连接，下联市（地）级节点的链路为市（地）电子政务外网的网络连接。在总局政务网省级节点中已经部署一台双因素身份认证服务器，安装双因素身份认证服务器软件和管理软件，作为响应省级节点用户身份认证请求的认证服务器。在各省级节点需要保护的网络设备和应用系统上安装代理软件，在支持RADIUS协议的网络设备中将认证服务指向本省双因素认证服务器。在各省级节点所有固定用户和移动办公用户的客户端上，通过USB Key软件令牌，安装认证令牌，解决固定终端和VPN客户端的身份认证要求。总局政务网省级节点应根据部署在本省节点上的省级安全生产应急平台的等级保护要求以及双因素身份认证系统的服务对象和接口规范，补充建设本省节点对网络设备、主机和应用系统的用户身份认证系统。6.4市（地）级节点的建设要求各市（地）级节点上联省级节点的链路为本市（地）电子政务外网的网络连接。对于不具备接入政务外网条件或缺乏建设资金无法进行本市（地）级节点建设的市（地）级节点，采用基于互联网的VPN客户端过渡方案。总局政务网市（地）级节点应根据部署在本市（地）节点上的市（地）级安全生产应急平台的等级保护要求以及双因素身份认证系统的服务对象和接口规范，补充建设本市（地）节点对网络设备、主机和应用系统的用户身份认证系统。6.5双因素身份认证系统的服务对象和接口规范双因素身份认证系统支持以下对象：网络设备、网络安全设备、服务器、数据库、应用系统和邮件系统。网络设备双因素身份认证系统要求网络设备支持RADIUS第三方认证协议，并且网络设备是通过远程登录进行维护的。网络安全设备主流的VPN厂商已经在VPN设备中集成了双因素身份认证代理软件。对于其它网络安全设备，双因素身份认证系统要求安全设备支持RADIUS第三方认证协议，部署时需要将安全设备的认证模式设置为RADIUS，并设置认证服务器的IP地址和通讯端口。服务器双因素身份认证系统支持安装主流UNIX操作系统的服务器，包括IBM-AIX、HP-UX和SUN Solaris，还支持Linux上的代理软件。数据库双因素身份认证系统支持与主流数据库的对接，将数据库用户身份认证配置成通过RADIUS认证的方式，并把认证指向双因素认证服务器。应用系统双因素身份认证系统支持基于Microsoft IIS、Domino、Apache、Websphere、Weblogic和iPlanet的Web应用。邮件系统双因素身份认证系统与邮件系统的对接支持四种方式：采用微软的Exchange构建企业的邮件系统，只要将认证指向双因素认证服务器；采用Lotus Notes建立企业的OA系统，只要在Lotus Notes上安装认证插件；在Linux上开发的邮件系统，应该通过使用认证API将双因素身份认证代理软件嵌入到邮件系统。7 总局政务网基于国家电子政务外网CA系统的身份认证体系7.1国家电子政务外网CA系统整体结构国家电子政务外网CA系统主要包括根CA、运行CA、密钥管理中心和节点RA、外网公共RA、相关服务系统及应用。节点RA是设在部委、省（市）的RA，负责为本部委、省（市）管辖范围内的最终用户提供证书管理服务的注册中心。外网公共RA是设在国家电子政务外网中心的RA，负责为不自建节点RA的部委、省（市）的最终用户提供证书管理服务的注册中心。7.2总局节点的建设内容及要求总局政务网将在国家电子政务外网CA的基础上建设RA系统，完成以数字证书认证服务为核心的总局政务网信任体系建设，解决总局政务网中的身份认证、传输机密性、完整性、抗抵赖性等安全问题。总局政务网RA系统通过国家电子政务外网与国家电子政务外网CA系统通信。总局政务网RA系统部署在总局政务网。总局政务网RA系统结构符合国家密码管理局的相关规定。依据国家政务外网注册服务点（RA）建设指南 v8.1，在总局政务网总局节点部署相应的服务器、防火墙、加密机等硬件设备，安装RA管理系统、目录服务系统、小型数据库系统等软件设备，建设国家电子政务外网CA系统的RA系统。RA系统通过防火墙与国家电子政务外网公共区域实现逻辑隔离，防火墙只开放必要的端口。在RA系统中注册服务时，采用加密机服务器负责保存RA系统的密钥，并用加密机实现与国家电子政务外网运行CA的安全通讯。从目录服务系统通过国家电子政务外网与国家电子政务外网主目录服务系统相连，以实现与国家电子政务外网目录服务数据同步、复制、查询。采用存储设备对RA系统的数据进行备份处理。RA系统中用于系统管理和审计、录入、审核和证书制作的服务器可以根据实际的管理方式实现共用。依据国家政务外网注册服务点（RA）建设指南 v8.1，在总局政务网总局节点部署总局政务网RA系统的安全认证网关，提供基于数字证书的身份认证、单点登录服务、应用级控制、统一门户和日志审计的功能。安全认证网关的功能要求如下：能够支持国家电子政务外网CA发放的证书；能够独自完成基于证书的身份认证；提供支持多证书链功能，同时支持多个证书颁发机构颁发的证书；提供双向身份验证功能。总局政务网RA系统颁发的数字证书的序列号（SN）是唯一的、长度不大于20字节的非负整数，数字证书的机构单位（OU）从1级组织机构名称到10级组织机构名称均为可选，具体按照总局和省级安全监管监察机构的实际组织层级结构进行定义。7.3省级节点的建设要求总局政务网RA系统的省级节点安全认证网关通过本省电子政务外网与总局政务网RA系统通信。省级节点安全认证网关部署在总局政务网的省级节点。依据国家政务外网注册服务点（RA）建设指南 v8.1，在总局政务网各省级节点部署总局政务网RA系统的安全认证网关，提供基于数字证书的身份认证、单点登录服务、应用级控制、统一门户和日志审计的功能。省局节点安全认证网关的功能要求与总局节点安全认证网关的功能要求相同。7.4总局政务网RA系统的数字证书应用接口数字证书应用接口体系结构如图1所示：图1 总局政务网RA系统的数字证书应用接口体系结构RA系统的数字证书应用接口位于应用系统和密码设备之间，应用程序通过调用安全生产应急平台政务网数字证书应用接口实现身份认证、实现信息的保密性、完整性和不可否认性；数字证书应用接口通过标准接口，在密码设备中实现具体的密码运算和密钥使用。数字证书应用接口通过支持PKCS11和CSP接口方式，屏蔽各类密码设备（加密机、加密卡、智能IC卡和智能USB KEY等）的密码应用接口的差异性，实现应用程序与密码设备无关性。数字证书应用接口由环境函数、设备管理函数、证书函数、密码服务函数、消息函数组成。数字证书应用接口提供的函数符合PKCS7格式。数字证书应用接口证书格式按DB11/T XXXX.1-2004执行，证书解码按ISO/IEC 8825-1执行，黑名单