1应用安全平台建设背景
经过多年的建设,无线电管理机构先后建设了频率台站管理系统、设备检测系统、办公OA等应用系统,推动了无线电管理工作的精细化、科学化。作为各类应用系统运行的安全基础,建设了以CA和AAA系统为基础的旧的应用安全平台,为业务系统提供接入认证、权限控制和审计操作等功能。但旧的应用安全平台存在技术过时、对跨域访问的支持功能有限、与应用系统整合困难等问题,亟待改造升级。2013年国家将旧的应用平台中的AAA系统升级为4A系统,提供更加强大的安全功能。升级后的应用安全平台提供用户身份管理、接入认证、单点登录、统一授权、日志审计和跨域访问等基础服务,保障一体化平台的各信息系统安全运行。
2应用安全平台架构
应用安全平台是一体化平台的基础支撑平台之一,由CA系统和4A系统组成。CA系统为一体化平台中的各类应用系统提供数字证书,满足应用系统的强身份认证;4A系统为一体化平台中的应用系统提供身份管理、单点登录、认证、授权、审计等服务,国家中心4A系统中的国家中心用户信息库包含了全国无线电管理机构所有用户的身份信息、证书信息和组织机构信息,是全网范围内最完整、准确的中央身份库。应用安全平台与一体化平台的关系如图1所示。由图1可以看出,应用安全平台由CA系统和4A系统组成,CA系统由国家统一建设实施。CA系统由CA签发系统、密钥管理系统、RA和LRA组成,其中CA签发系统、密钥管理系统、RA部署在国家中心,而LRA部署在各省级无线电管理机构。CA系统按组织机构实施管理:第一级为全国CA中心,第二级为全国审核受理中心(RA中心),第三级为省级LRA中心。全国CA中心为体系的最高管理机构,全国RA中心为CA证书系统的下级分支机构,接受全国CA中心直接管辖。全国RA中心作为省级LRA中心的上级业务管理部门,对LRA中心直接行使管辖权。其分级结构如图2所示。4A系统由国家和各省级机构分别自行建设实施。国家和省级机构通过在一体化平台上搭建4A,为本地的应用系统提供单点登录、认证、授权、审计等服务,遵循“谁的资源谁授权、谁的资源谁审计”的原则。用户信息库用来存储用户信息。国家中心建立国家中心用户信息库,存储国家中心的组织机构信息、用户身份信息和全国的用户证书数据以及各省级机构上报的组织机构和用户身份数据,作为无线电管理专网范围内最完整、准确的中央身份库。省级机构建立本省范围内的省级用户信息库,存储本省范围内的组织机构信息、用户身份信息和用户证书数据,其中用户证书数据需从国家中心用户信息库中读取;省级机构的用户身份信息和组织机构信息如有变动,需将变动后的信息提交给国家中心,及时更新国家中心用户信息库的信息,保证中央身份库的权威性。
3应用安全平台存在的问题
目前,应用安全平台仍处于建设阶段,国家中心的应用安全平台需升级完善CA系统的功能,各省(区、市)需建设4A系统。建设过程中面临着一些困难和问题:(1)应用安全平台是“一体化平台”的重要组成部分,但由于各省级中心的“一体化平台”建设刚起步,多数省份尚未建成本省的4A系统,用户信息库之间信息交互流程无法实现。(2)由于国家中心的CA系统被防火墙隔离,国家中心CA系统和4A系统之间的证书信息的同步过程中,“CA系统将颁发完成的用户证书同步到国家中心用户信息库中”的步骤无法自动实现。(3)“一体化平台”的建设要遵循服务化的标准,应用安全平台同样需将其可提供的服务挂载到“一体化平台”的服务总线上。由于一体化平台应用系统尚未大规模建设,这些系统要求应用安全平台提供哪些服务无法确定,目前应用安全平台仅能提供一些通用的安全服务,后期需对应用安全平台对各类应用系统提供服务的需求进行进一步梳理。
4建设过程中需要注意的问题
在应用安全平台的下一步建设过程中,需重点考虑以下因素:(1)应用安全平台需要在“一体化平台”这个总体框架下设计和建设,在建设过程中需要充分考虑“一体化平台”的各种需求。(2)国家中心的4A系统已经建设完毕,各省级机构的4A系统在建设过程中不仅要满足4A系统身份管理、认证、授权、审计的基本功能,还要充分考虑和国家中心4A系统的对接。(3)将应用安全平台的部分功能封装到“一体化平台”的服务总线上,能最大限度地减少异构平台带来的不兼容现象,提高了业务系统调用服务的效率。(4)由于各省级机构“一体化平台”和应用安全平台产品选型的差异性,如何使不同的应用安全平台为不同的“一体化平台”提供高效、稳定的基础安全服务,需进一步探索。
5总结
应用安全平台是无线电信息系统“一体化平台”的重要组成部分,向各类应用系统提供身份管理、认证、授权、审计等基础安全服务。国家中心将和各省级机构密切配合,共同完成应用安全平台的建设,支撑各类信息系统建设,提升无线电管理的科学化、精细化水平,服务国民经济建设。
作者:胡莹莹 赵千里 单位:国家无线电监测中心