Research and Practice on Intelligent Security Platform Base on the Whole Process Identity Management of Airport Information Systems
摘要:信息技术的进步在推进机场业务发展的同时,也带来了网络安全的问题。随着我国把网络安全提升到国家安全战略高度,提升机场信息系统的安全管理能力已成为机场建设的重要内容。本文对标中华人民共和国网络安全法、网络安全等级保护基本要求等法律法规,以全流程身份管理(包含帐号管理、认证管理、授权管理、审计管理)为核心研究并实践了重庆机场信息系统的智能化安全平台(以下简称平台),解决机场信息系统安全管理的问题。
关键词:网络安全,身份管理,安全平台
Abstract: The progress of information technology has promoted the development of airport business with the problem of network security. To promote the security management capability of airport information systems has been the important content of airport construction as the network security has been upgraded to the height of the national security strategy by our country. The Chongqing airport information systems intelligent security platform (hereinafter referred to as platform) has been researching and practicing by this paper which benchmarks The Cybersecurity Law of the People's Republic of China and Baseline for classified protection of cybersecurity and so on, and bases on the whole identity management which includes account management, authentication management, authorization management and audit management to solve the problem of airport information security management.
Key Words: Network security, Identity management, Security platform
近年来,随着“维护网络安全”屡次被写进政府工作报告,我国的网络安全已上升到国家战略层次。在国家、行业对信息安全工作要求越来越高以及自身信息系统规模迅速增长的情况下,重庆机场面临巨大的信息安全管理压力,亟需通过相应技术措施提升信息安全管理能力。建立一个智能化安全平台对重庆机场信息系统和基础设施帐号权限进行集中管理、统一访问,有利于强化重庆机场信息安全管理职责,支撑国家和监管层面的网络安全构想,同时保障机场信息业务的安全运行。
一、背景研究
1.政策及法规要求。《中华人民共和国网络安全法》在制度、操作规程、网络安全措施、日志保存等方面,都明确了管理主体的各项网络安全保障责任和义务。根据《信息安全等级保护管理办法》相关要求,机场部分信息系统已定级为等保二级及三级,这对系统应用安全及系统安全提出了明确要求。
2.信息系统帐号管理不规范。机场信息系统具有数量众多、高度集成和网络关系复杂等特点。各个信息系统由不同业务部门管理,各部门对系统进行独立的帐号管理,存在帐号没有与使用者真实身份对应、核心帐号多人使用、一人拥有多个帐号的情况。当员工因人事变动离开原岗位,若是没有及时处理离职人员系统帐号,系统内残留僵尸帐号,可能出现失效帐号非授权访问信息系统、执行非法业务操作的情况。
3.信息系统帐号权限过大。当多个系统由同一部门管理时,因权限授予模式简单,存在多个信息系统使用同一个帐号管理的情况。运维人员因岗位职责划分对不同信息系统具有操作权限,但是使用的帐号是全权限帐号。当缺乏统一的权限授予机制导致帐号权限过大时,容易给信息系统带来安全风险。
4.信息系统缺乏统一的认证功能。目前各个机场信息系统使用的登录认证机制、技术以及强度存在不同,部分机场的信息系统使用帐号和密码的静态口令方式进行认证,这种认证方式强度低,并且容易受人为因素的影响。各个信息系统独立认证,运维人员对多系统的访问频繁切换,工作复杂程度成倍增加。
5.信息系统缺乏安全审计功能。目前部分机场信息系统缺乏安全审计功能。什么人、什么时间、从哪一个终端访问信息系统、做了什么操作等一系列的信息无日志记录,当信息系统因人为操作引起风险事件时,难以追溯到操作人员以及他具体做了哪些操作,给信息系统的安全管理带来风险。
二、平台构建
通过分析上述的国家导向和机场存在的各种问题,重庆机场搭建了基于机场信息系统全流程身份管理的智能化平台。平台总体上划分为接入层、应用层、核心服务层、安全管理以及业务系统层。接入层针对信息系统接入以及对外能力开放接入三种接入方式,兼容多项对接协议。应用层围绕机场用户的不同应用领域进行了整体划分。核心服务层由认证中心、身份中心、信任中心、身份核验中心四大核心模块组成。安全管理围绕数据安全、通讯安全、平台安全三方面的安全管控能力,提供对统一身份管理平台安全访问的安全管控服务,包括数据加密、解密、数据脱敏、隐私保护、黑白名单等各种安全防护措施。业务系统层具有数据平台、运维保障、数据共享等业务系统。
1.帐号管理系统。平台提供帐号管理模块,划分主帐号管理与从帐号管理。主帐号为唯一标识自然人的帐号以数据库的方式提供用户的基础信息;从帐号为具备信息系统访问权限的所有帐号,通过接口与信息系统的帐号完成同步。实现了系统帐号与用户的唯一对应以及系统帐号与信息系统访问权限的分离。
2.授权管理系统。平台提供授权管理功能,对系统资源和应用资源进行统一管理。平台通过制定主帐号使用系统资源、应用资源的权限必须通过平台授予的规则,设置“角色”作为中间方连接主帐号和从帐号,完成系统资源、应用资源使用权限对主帐号的分配。实现了权限集中管理、集中分配、集中展现人员帐号权限。
3.认证管理系统。平台提供认证服务管理和数字证书服务功能,为自然人访问资源提供身份真实性的鉴别。平台通过设定主帐号必须使用静态密码+CA证书双重认证策略,应用资源、系统资源必须由平台进行集中认证的,结合限制平台用户使用的单点登录模式访问信息系统的模式,实现高强度、统一的身份认证功能。
4.审计管理系统。平台日志审计管理模块主要采集五类日志,一是系统帐号授权管理日志,二是系统认证登录日志,三是系统管理日志,四是系统数据运营状态、系统资源关键操作日志,五是应用系统访问操作日志。平台根据审计信息类型标准和数据筛选策略,从日志中收集和展示安全相关信息,从而实现对所有用户操作行为和登录信息标准化记录和展示。除上述功能外,平台还具有门户管理、资源管理、报表管理、应急管理等功能共同运作,保障机场信息系统的安全运行。
三、实践效果
1.实现用户账号全流程安全管理。实现人员账号管理真实化、实名化,人与账号唯一对应。用户账号全流程管理,当发生人员入职、离职、调岗等,对应用系统和设备的账号及时变更,不留隐患,有效改善账号管理不规范现象。
2.实现用户权限精准化及细粒度管理。平台通过权限集中管理,减少账号权限过大、滥用等带来的安全隐患。贯彻最小化授权原则,提高系统的安全性。提供统一的账号权限管理流程,减少人员学习和时间的成本。针对特权账号进行专门管理、专人负责。权限集中管理、集中分配、集中展现人员账号权限,人员角色和权限一目了然。
3.实现用户帐号统一认证以及密码认证的安全性和便捷性。平台支持快速的用户账号申请、审批与创建操作。平台提供一次认证,全网通行的服务模式,无需用户多次认证。平台拥有统一的信息系统使用入口,无需用户记忆资源地址与密码。平台采用CA证书+静态密码双因素认证方式,一次一密保障系统登录安全性。管理员手动制订密码复杂度策略,系统自动管理,周期性更改。集中自动化管理设备/系统密码,密码管理大大简化。
4.实现用户操作可审计、可追溯。平台提供安全审计能力,弥补机场信息系统安全管理的审计缺失。审计日志集中管理,应用/设备日志集中化存储,各种类型访问日志全流程监管,用户操作内容透明可见。出现人为风险事件时,根据账号管理中的人员身份信息,就可根据风险操作、误操作日志直接定位到人。
四、结论
重庆机场集团从信息系统安全管理的痛难点出发,对标国家相关法律法规要求,建成了基于机场信息系统全流程身份管理的智能化安全平台。依托平台的系统认证、帐号管理、资源授权和安全审计等功能,重庆机场集团提升了信息系统的网络安全裕度,实现了“主动、智能、可控”的身份安全管理能力。平台的建成投用为机场的安全运行提供了可靠保障。
参考文献
[1] 刘凡,钟荣锋.4A技术在企业信息安全方面的应用研究[J].信息通信,2021(01):168-170
[2] 吴雁军,窦永旺.城轨云信息化系统统一用户登录与管理[J].都市快轨交通,2020(05):10-16
[3] 方兰英,韩兵,柴明建.基于4A信息安全管理系统的设计与实现[J].北方工业大学学报,2011(01):14-19
[4] 卢定.企业级4A安全管理平台的设计与实施[D].成都:电子科技大学,2008:6-14
来源:重庆机场信息通信网络有限公司,作者:戴治洪,秦逸舟,汪海,阳熊,张清
