内蒙古财政身份认证与授权管理系统升级建设实施方案

实施方案项目名称： 内蒙古自治区财政厅身份认证与授权管理系统升级加固建设实施方案 编制：审批：日期：长春吉大正元信息技术股份有限公司 序号编制/修改人修改日期备注（原因、进一步的说明等） 目 录2引言52.1项目背景52.2建设目标52.3建设内容62.4网络拓扑63产品清单84实施流程设计94.1基础硬件、网络系统集成94.1.1机房选择94.1.2机柜部署94.1.3IP地址分配104.1.4防火墙配置114.1.5交换机配置124.1.6基础软硬件部署124.2系统软件部署154.2.1用户属性管理系统系统安装配置154.2.2证书注册管理系统安装配置164.2.3身份认证网关安装配置164.2.4数字签名服务器安装配置174.2.5负载均衡安装配置174.2.6密码机安装配置174.2.7存储服务器安装配置184.2.8目录服务从LDAP安装配置184.2.9运行监控管理系统安装配置184.2.10证书综合管理系统安装配置194.3系统联调195标准与规范206工程实施管理216.1组织结构216.1.1内蒙古财政项目组216.1.1.1内蒙古财政信息中心216.1.1.2内蒙古财政项目实施小组216.1.1.3吉大正元项目组226.1.1.4产品供应商226.2工程实施06.2.1实施筹备06.2.2项目启动06.2.3系统部署06.2.4系统培训16.2.5项目验收16.2.6项目移交16.2.7系统维护11 引言1.1 项目背景财政身份认证与授权管理系统为财政业务系统提供基础安全支撑服务，自投入使用以来，在全国财政系统已经得到了大规模的应用。截至目前，财政身份认证与授权管理系统在业务专网已发放近15万张证书，证书用户涵盖了财政、预算单位、代理银行等与财政业务相关的人员和机构。在应用接入方面，部机关接入的系统数量已接近20个，全国接入应用累计接近100个。 通过这些证书的签发及应用，不仅保证了各业务系统中用户身份标识的鉴别，同时也起到关键、敏感操作的抗抵赖作用，并对重要的数据进行了加密及完整性保护，大大提高了整个应用安全水平，达到了预期项目效果。随着国库支付电子改革、政府采购安全加固等项目在全国范围内的推广，财政身份认证与授权管理系统的安全保障作用将得到更加突出的体现。结合内蒙古自治区财政使用情况的调研，经过与厅信息中心各领导等多次交流讨论，决定对省级身份认证与授权管理系统进行加固、扩容，提高现有系统的稳定性、健壮性及高可用性，并在功能模块及部署范围上进行扩展，使之满足国库电子支付改革项目中财政、预算单位、人行及代理银行端的安全接入需求，以保证国库电子支付业务的快捷、方便、安全开展。1.2 建设目标建设内蒙古财政一体化安全支撑平台，通过统一认证、统一用户、统一签名，提高内蒙古财政一体化平台的安全性，实现财政业务系统”左右集中、上下贯通“的目标，以加强内蒙古自治区财政业务的规范化、加强区厅对盟市和预算单位的管控。 提高身份认证网关、签名服务器的服务健壮性 增加证书管理机制 确保备份数据的可恢复性 解决设备的单点故障问题 建设安全监管平台1.3 建设内容1、 软件部分在现有财政身份认证与授权管理系统基础上，建设证书综合管理系统、电子印章系统、运行监控系统，对现有身份认证网关、签名服务器进行升级和扩容。2、 硬件部分新增核心软件硬件设备，建立身份认证网关和数字签名服务器集群。同时为了提高一体化安全支撑平台对外服务的稳定性及查询效率，增加负载均衡设备。增加密码设备。1.4 网络拓扑本方案在原财政身份认证与授权管理系统上调整，在最下层增加用户属性管理系统，作为原用户属性管理系统的从系统，使用负载均衡分担服务压力。第二层增加证书综合管理系统服务器、电子签章系统服务器、运行监控系统服务器，部署1台密码机为证书综合管理系统提供密钥服务；增加备份服务器。在应用层，配合对应用系统的支撑，部署2台身份认证网关、2台数字签名服务器，保证应用系统的稳定性及访问效率。考虑到一期设备充分利用问题，将运行监控管理系统、证书综合审计系统、授权管理系统和授权管理系统主从目录部署在一期服务器上。一期采购的防火墙、交换机、密码机等设备仍继续使用。图表 14内蒙古自治区财政厅身份认证与授权管理系统升级加固网络拓扑图2 产品清单序号货物名称生产厂家、品牌、规格型号数量及单位备注1证书综合管理系统吉大正元/吉大正元证书综合管理系统/JIT FCMS V2.01套2运行监控系统吉大正元/吉大正元集中监控管理系统/JIT CMS V5.01套3数字证书及电子印章制作吉大正元50套4身份认证网关吉大正元/身份认证网关/G5000-E-S2台5签名服务器吉大正元/数字签名服务器/V5000-C4台6密码机吉大正元/吉大正元服务器密码机/SJJ1412服务器密码机3台7负载均衡信诺瑞得/慧敏应用交付网关/ADC50002台8服务器浪潮/英信服务器/NF5240M310台9存储浪潮/在线集中存储系统/AS500N61台10短信网关玉笛/金笛八口USB猫池/MU-1061台11可视化安全终端吉大正元/吉大正元智能密码钥匙可视化终端财政部1407版/SJK1424智能密码钥匙50套12个人USBKEY海泰方圆/智能密码钥匙/HaiKey3000-UH50套3 实施流程设计3.1 基础硬件、网络系统集成3.1.1 机房选择内蒙古财政身份认证与授权管理系统升级加固涉及的设备将在内蒙古自治区财政厅现有信息中心机房环境下部署，机房内装饰、机房屏蔽系统、监控及门禁系统、电气照明及地线系统、机房适应性空调系统、消防系统都需要符合国家相关技术规范的要求。3.1.2 机柜部署内蒙古财政身份认证与授权管理系统部署在单独的机柜中，其部署情况如下图：机柜采用42U的标准机柜，承重达到550KG以上，在部署设备时，按照从下到上的顺序完成，机柜电源采用标准220V市电，并使用双路电源，电流16A，所有插线板和电源插座要采用标准的三相带保护插座。3.1.3 IP地址分配1. 应用安全组件IP地址分配服务器IP地址备注身份认证网关*.*.*.*3个业务专网地址，前两个地址是两台网关的本机地址，后一个是双机部署后的浮动地址*.*.*.*.*.*.*数字签名服务器*.*.*.*3个业务专网地址，前两个地址是两台签名服务器的本机地址，后一个是双机部署后的浮动地址*.*.*.*.*.*.*负载均衡*.*.*.*3个业务专网地址，前两个地址是两台负载均衡的本机地址，后一个是双机部署后的浮动地址*.*.*.*.*.*.*2. 服务区IP地址分配服务器子系统IP地址备注身份认证系统从LDAP服务器身份认证系统从LDAP192.168.1.101192.168.1.102192.168.1.103101和102是两台服务器的本机地址，103是双机部署后的浮动地址10.68.19.242防火墙映射后的专网IP证书综合管理系统服务器证书综合管理系统192.168.1.109服务器IP192.168.20.101与密码机直连*.*.*.*防火墙映射后的专网IP证书综合管理系统密码机密钥服务192.168.20.102与证书综合管理系统通信电子印章系统服务器电子印章系统192.168.1.110服务器IP*.*.*.*防火墙映射后的专网IP运行监控系统服务器运行监控系统192.168.1.111服务器IP*.*.*.*防火墙映射后的专网IP存储服务器存储192.168.1.112服务器IP*.*.*.*防火墙映射后的专网IP3. 工作区IP地址分配服务器子系统IP地址备注用户属性管理系统服务器UMS192.168.2.101192.168.2.102服务器IP192.168.2.103双机后的虚拟IP10.68.19.245映射后的专网IP3.1.4 防火墙配置默认所有端口阻断，对业务专网DMZ区做地址转换，开放身份认证系统从LDAP、用户属性管理系统（UMS）、运行监控系统（CMS）及证书管理系统（FCMS）四个服务向业务专网提供服务，防火墙NAT规则如下：防火墙地址服务器源IP地址NAT后IP地址服务端口身份认证系统从LDAP服务器192.168.1.10310.68.19.2423892008用户属性管理系统192.168.2.101192.168.2.10310.68.19.24510.68.19.XXX8000800180028123812481258802运行监控管理系统192.168.1.11110.X.X.X2244322440证书综合管理系统192.168.20.10210.X.X.X49000说明：上表中源IP地址指身份认证与授权管理系统独立网络中各服务器的局域网私有地址，NAT后IP地址指通过防火墙NAT到业务专网的IP地址，以便向外提供访问服务。3.1.5 交换机配置交换机采用默认配置即可。3.1.6 基础软硬件部署用户属性管理系统、证书注册管理系统、目录服务系统、运行监控管理系统分别采用服务器进行部署，均安装红旗Linux RedFlag Asianux Server 3（32位）操作系统。证书综合管理系统服务器安装windows2008 R2 64位操作系统。具体的安装配置过程如下： 用户属性管理系统及安全审计系统服务器：1. 确认环境硬件环境: 浪潮NF5240M3（2台）软件环境: 红旗Linux RedFlag Asianux Server 3（32位）,oracle 10g for Linux 2. 安装Linux RedFlag Asianux Server 3（32位），划定磁盘分区如下：分区大小/30GSwap4G/opt20G (UMS安装目录)/tmp5G/var 10G/oradata剩余空间，（存放UMS数据）3. 打操作系统补丁4. 配置oracle数据库5. 操作系统性能优化 证书注册管理系统服务器：1. 确认环境硬件环境: 浪潮NF5240M3（1台）软件环境: 红旗Linux RedFlag Asianux Server 3（32位）,oracle 10g for Linux 2. 安装Linux RedFlag Asianux Server 3（32位），划定磁盘分区如下：分区大小/30GSwap4G/opt20G (RA安装目录)/tmp5G/var 10G/oradata剩余空间，（存放RA数据）3. 打操作系统补丁4. 配置oracle数据库5. 操作系统性能优化 目录服务LDAP服务器：1. 确认环境硬件环境: 浪潮NF5240M3（2台）软件环境: 红旗Linux RedFlag Asianux Server 3（32位） 2. 安装Linux RedFlag Asianux Server 3（32位），划定磁盘分区如下：分区大小/30GSwap4G/opt20G (LDAP安装目录)/tmp5G/var 10G/data 剩余空间，（存放目录数据）3. 打操作系统补丁4. 配置oracle数据库5. 操作系统性能优化 运行监控管理系统服务器：1. 确认环境硬件环境: 浪潮NF5240M3（1台）软件环境: 红旗Linux RedFlag Asianux Server 3（32位）,oracle 10g for Linux 2. 安装Linux RedFlag Asianux Server 3（32位），划定磁盘分区如下：分区大小/30GSwap4G/opt20G (CMS安装目录)/tmp5G/var 10G/oradata剩余空间，（存放CMS数据）3. 打操作系统补丁4. 配置oracle数据库5. 操作系统性能优化 证书综合管理系统服务器：1. 确认环境硬件环境: 浪潮NF5240M3（1台）软件环境: windows2008 R2（64位）,SQL server2008 2. 安装windows2008 R2（64位），划定磁盘分区如下：分区大小C100G(系统安装目录)D100（程序安装目录）E剩余空间 (数据空间)3. 打操作系统补丁4. 安装SQL server20085. 操作系统性能优化3.2 系统软件部署3.2.1 用户属性管理系统系统安装配置安装环境l 硬件环境：浪潮NF5240M3（2台）。l 软件环境：操作系统 ，Linux RedFlag Asianux Server 3（32位）数据库：oracle 10g for Linux用户属性管理系统，吉大正元UMS软件UMS安装配置 备份原刀片服务器中UMS系统及数据库并拷贝到新服务器上 使用tar命令解压程序包并恢复数据库 运行UMS系统，登陆管理界面，检查测试系统是否恢复完整3.2.2 证书注册管理系统安装配置安装环境l 硬件环境：浪潮NF5240M3（1台）。l 软件环境：操作系统 ，Linux RedFlag Asianux Server 3（32位）数据库：oracle 10g for Linux证书注册管理系统，吉大正元RA软件RA安装配置 备份原刀片服务器中RA系统及数据库并拷贝到新服务器上 使用tar命令解压程序包并恢复数据库 运行RA系统，登陆管理界面，检查测试系统是否恢复完整3.2.3 身份认证网关安装配置安装环境l 硬件环境：身份认证网关身份认证网关安装配置 将身份认证网关部署到业务专网的核心交换区。 网关初始化，配置访问IP地址、管理员证书、信任根证等。 访问身份认证网关，登陆管理界面，检查测试系统是否部署正确。3.2.4 数字签名服务器安装配置安装环境l 硬件环境：数字签名服务器数字签名服务器安装配置 将数字签名服务器部署到业务专网的核心交换区。 数字签名服务器初始化，配置访问IP地址、管理员证书、信任根证等。 访问数字签名服务器，登陆管理界面，检查测试系统是否部署正确。3.2.5 负载均衡安装配置安装环境l 硬件环境：负载均衡身份认证网关安装配置 将负载均衡部署到业务专网的核心交换区。 负载均衡初始化，配置访问IP地址、网关负载配置、签名负载配置、目录负载配置、UMS负载配置等。 访问负载均衡，登陆管理界面，检查测试系统各个负载服务是否正常。3.2.6 密码机安装配置安装环境l 硬件环境：密码机密码机安装配置 将密码机部署到业务专网的核心交换区。 密码机初始化，配置IP地址等。 检查测试密码机是否部署正确。3.2.7 存储服务器安装配置安装环境l 硬件环境：存储服务器密码机安装配置 将存储服务器部署到业务专网的核心交换区。 存储服务器初始化，配置IP地址等。 检查测试存储服务器是否部署正确。3.2.8 目录服务从LDAP安装配置安装环境l 硬件环境：浪潮NF5240M3（2台）。l 软件环境：操作系统 ，Linux RedFlag Asianux Server 3（32位）数据库：oracle 10g for Linux目录服务系统，南大通用LDAP软件目录安装配置 备份原刀片服务器中ldap系统并拷贝到新服务器上 使用tar命令解压程序包即可 配置目录复制进程 运行ldap系统，登陆管理界面，检查测试系统是否恢复完整3.2.9 运行监控管理系统安装配置安装环境l 硬件环境：浪潮NF5240M3（1台）。l 软件环境：操作系统 ，Linux RedFlag Asianux Server 3（32位）数据库：oracle 10g for Linux运行监控管理系统，吉大正元CMS软件CMS安装配置 按照CMS软件说明文档进行安装 初始化程序及数据库 运行CMS系统，登陆管理界面，检查测试系统是否正常3.2.10 证书综合管理系统安装配置安装环境l 硬件环境：浪潮NF5240M3（1台）。l 软件环境：操作系统 ，windows2008 R2（64位）数据库：SQL Server 2008证书综合管理系统，吉大正元FCMS软件CMS安装配置 按照FCMS软件说明文档进行安装 初始化程序及数据库 运行FCMS系统，登陆管理界面，检查测试系统是否正常3.3 系统联调1、 使用证书综合管理系统进行制证2、 制证完成后登陆统一用户管理系统进行授权3、 使用制作完成的USBKEY登陆国库支付系统4 标准与规范财政身份认证与授权管理系统在建设过程中，由部信息网络中心统一组织编制了12个标准和3个规范以指导省级财政部门的建设工作，同时也将指导地市级财政部门系统的建设。为此内蒙古财政身份认证与授权管理系统在建设过程中要严格遵从这些标准和规范，并在这些指导文件的基础上增加自己特别是管理层面一些相关要求，因为在吉林省节点的实施过程中，其中数字证书管理规范就是结合厅信息中心的人力情况、管理职能要求进行定制，在长春市这个规范也同样需要进行地方版修订。12标准为：系统建设标准、系统命名标准、授权策略标准、数字证书格式标准、属性证书格式标准、目录服务建设标准、应用接口标准、应用系统编码标准、职务编码标准、职级编码标准、职称编码标准、组织机构编码标准。3个规范为：数字证书管理规范、系统运行管理规范、应用接入管理规范以上相关标准和规范以及省厅建设过程中形成的相关修订会一并下发给各地市。5 工程实施管理5.1 组织结构为了加强项目组织协调和管理，有效推进项目建设，确保项目顺利实施，在组织机构上遵从财政部的统一要求，即内蒙古财政信息中心组织机构下设立内蒙古财政身份项目实施小组，负责内蒙古财政信息一体化安全支撑平台的建设。项目组织结构图如下：图表 41项目组织结构图5.1.1 内蒙古财政项目组5.1.1.1 内蒙古财政信息中心内蒙古信息中心负责审定全省范围系统建设工作的总体部署、总体计划和组织落实；统筹协调项目资源，对内蒙古财政项目实施小组进行统一管理和协调；负责审议项目建设工作的重大意见方案；负责牵头组织对省财政实施情况和各组工作情况的检查。 5.1.1.2 内蒙古财政项目实施小组内蒙古财政项目实施小组接受信息中心的领导，具体负责项目的实施建设工作，向省财政信息中心汇报项目进展情况。负责制定项目计划，并依据项目计划对项目的范围、质量、进度和成本进行跟踪和控制，完成项目计划至收尾阶段的各项工作任务；负责省财政系统实施建设的所有相关事务。内蒙古财政项目实施小组成员表：角色名单职责备注组长王忠厚审定项目建设计划；定期检查全省项目建设工作；总体协调全省项目建设进度。协调人、财、物等各项资源，配合项目实施建设，协调跨部门的工作事宜。成员永胜负责制定项目计划，并依据项目计划对项目的范围、质量、进度和成本进行跟踪和控制，完成项目计划至收尾阶段的各项工作任务。 5.1.1.3 吉大正元项目组吉大正元是内蒙古财政信息一体化安全支撑平台系统的设计方和实施方，负责组织内蒙古财政信息一体化安全支撑平台系统建设设计方案、实施方案、系统相关标准与管理规范的制定，负责本公司所有产品的安装、部署、调试，负责制定应用系统安全接入方案，提供应用改造接口，配合完成指定应用系统的安全接入，对财政用户进行系统培训和技术指导，系统建设完成后负责系统的运行维护。人员组成如下：姓名职务联系电话工作内容黄庆华售前经理售前管理工作张忠孝售前支持售前支持工作邹建平项目经理项目的管理工作李向辉工程师项目具体实施工作5.1.1.4 产品供应商产品供应商包括服务器及配套软硬件厂商、安全设备厂商、密码机厂商、目录服务系统厂商，各厂商负责各自产品在系统建设过程中的安装、调试工作，协助吉大正元公司完成系统实施建设，向项目相关人员就各自产品进行技术培训。 内蒙古自治区财政厅身份认证与授权管理系统升级加固建设实施方案 5.2 工程实施5.2.1