军工企业园区网身份鉴别及访问控制解决方案

关键字：身份鉴别　　访问控制　　身份认证

1         背景描述

随着信息技术的不断发展，信息化建设已经成为军工行业发展战略的重要组成部分，是提升军工单位竞争力的有效手段。随着信息化建设的不断深入，信息系统的安全性已经成为军工行业必须面对的一个重要问题。

2003年7月，国家信息化领导小组颁发了27号文件，对我国信息安全保障工作做出了原则性战略性的规定，要求坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，保护公众利益，维护国家安全。

2006年1月，国家保密局颁发了BMB17-2006，对相关单位在涉密信息系统的等级划分准则、基本保护要求和相应等级的安全保密技术要求方面作出了规定。

2007年，国家保密局颁发了BMB20-2007，对相关单位在涉密信息系统的建设、使用和管理，规定了涉密信息系统分级保护管理过程、管理要求和管理内容。

我们以自主知识产权的产品为主，从客户的技术安全需求、管理安全需求、综合效益需求等多方面考虑，提出了有针对性的、先进的、能够满足国家相关规定、提升客户竞争力、适合军工行业企业园区网的身份鉴别及访问控制解决方案。

2         需求分析

随着军工企业园区网信息化的发展，应用系统在我们日常的工作中发挥着重要的作用，在大部分军工单位，相关设计、管理等业务都实现了信息化。信息系统数量众多，包括PDM、OA、邮件等系统已经成为日常工作中不可分割的一部分。随着对信息技术的依赖程度越来越高，其安全的相关问题也日益突显出来。特别是在军工行业，大部分的业务都是涉密的，因此安全对军工企业的信息系统来讲至关重要，不仅关系到企业自身的安全问题，也关系到国家的安全问题。

就目前大部分军工企业的信息化安全的现状，主要解决以下安全问题：

           解决信息系统的身份鉴别问题。

           解决单点登录问题。

           解决各业务系统用户统一管理问题

           解决终端桌面的安全登录问题

3         解决方案

吉大正元军工企业园区网身份鉴别及访问控制解决方案将以统一身份认证系统、统一用户管理平台、应用安全支撑平台、和桌面安全平台，为军工企业园区网构建基于操作系统层、应用层的身份鉴别及访问控制体系。通过这一体系，我们能够实现用户、设备等各种实体的数字标识的产生、管理和使用的完整过程。总体设计框架如图所示：

方案总体设计框架示意图

4         应用效果

通过部署身份鉴别及访问控制解决方案，军工行业企业园区网可以：

1、     符合国家相关规定

我国相关部门已经制订了一系列的关于信息安全的法律法规，对安全策略、密码与安全设备选用、网络互联、安全管理等做出了规定，军工企业园区网身份鉴别及访问控制解决方案的建设符合这些法律法规，确保国家信息安全。

2、     统一的身份认证体系

本方案采用数字证书的手段来实现用户身份的描述，统一的身份认证体系不仅在园区网内实现了用户身份的统一表达和管理，对人员、设备等应用安全域内的物理或逻辑实体也提供了统一的实体标识。

3、     统一的应用安全支撑平台

由于各种业务应用系统能使用一致的模式获取、验证和解析证书，证书管理不受某个具体业务系统的应用模式和访问控制模式的影响。证书本质上降低了实体标识管理系统和业务应用系统的耦合度，非常有利于促进应用域内的实体管理和业务系统各自向着规范化的方向发展。这也为建立既有独立体系又能与应用紧密集成的应用安支撑服务提供了可能。

统一的应用安全支撑平台通过对底层身份认证体系的高度抽象，采用组件化的服务器的方式向业务系统提供的统一的、体系化的安全支撑服务。为业务系统提供用户身份认证、传输加密、入门级访问控制等相关服务。

4、     统一认证的安全桌面系统

为实现操作系统层和应用层两个层面认证的统一，安全桌面系统中的用户能够实现基于数字证书Windows本地操作系统登录认证和Windows域（AD）登录，实现文件加密共享、虚拟磁盘等终端安全功能。

5、     实用、高效、可扩展

本方案所采用的产品便于操作、实用高效。同时，随着IT技术的不断发展，可能会发生各种变化，因此系统在设计时便考虑了如何能适应这种变化。

6、     技术与管理相结合

各个安全系统是社会大环境下的一个系统工程，单靠技术或管理都不可能实现。信息网络的安全同样也不仅仅是一个技术问题，各种安全技术应该与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合，从社会系统工程的角度综合考虑。为此，本方案也为技术与管理相结合提供了一个良好的平台，使各项管理手段更容易通过技术来落实。

7、     技术开放

各个安全系统服务于整个信息系统，技术开放的原则可以使安全系统和其他信息系统相互之间能更好的交流与服务沟通。

详细方案可访问网站：http://www.jit.com.cn 。