附件二：

云計算安全經典示范項目闡明書（暨評審材料）

一、概述

1、項目名稱、起止時間、重要功能、投資狀況、目前運行狀況

項目名稱：基于動態(tài)密碼的云身份管理系統(tǒng)及其在XXXX集團AAA系統(tǒng)動態(tài)認證改造中

的應用。

起止時間：

重要功能：

?統(tǒng)一帳號管理：是建立在虛擬化的資源池上II勺應用接口層，為云顧客提供了一種統(tǒng)

一II勺帳號和單點登錄窗口，防止了在訪問資源過程中頻繁的帳號切換。

?統(tǒng)?認證管理：處理身份憑證管理、強認證（一般為多原因身份認證）、委派身份

認證、及跨越所有云服務類型的信任管理。由于云計算環(huán)境下，資源分布具有很

大日勺動態(tài)變化特性，靜態(tài)密碼的安全性已經很建滿足規(guī)定，動態(tài)密碼以其特有的隨

機性、一次性而愈加適合云計算環(huán)境。

?統(tǒng)一授權管理：根據多種資源對賬號、角色、權限及各類關系口勺不一樣定義，抽象

成統(tǒng)一H勺數(shù)據定義，采用關系型數(shù)據庫存儲方式，對賬號/密碼信息、、系統(tǒng)及應用

資源信息、角色及方略管理信息以及各信息之間的關聯(lián)關系信息進行加密寄存。并

基于顧客、主機、網段等參數(shù)添加訪問控制方略，完全模擬主機與顧客發(fā)起方，發(fā)

送拆連祈求，到達網絡訪問的控制。

?統(tǒng)一審計管理：當顧客根據授權訪問資源時，系統(tǒng)顧客'IK務行為進行實時解析，建

立日志，事后處理歸并，并為安全審計人員提供了視頻、圖標等以多種查詢方式。，

并且我司可認為顧客提供資深日勺審計專家真實分析、展現(xiàn)審計成果。

投資狀況：

?XX企業(yè)在云身份管理系統(tǒng)研發(fā)的投入合計已經超過200萬，為XXXX集團實行改

造而投入的研發(fā)、測試成本超過20萬。

?XXXX集團AAA系統(tǒng)動態(tài)認證改造投入總計：2023萬元。

目前運行狀況：

2、簡述項目有關領域日勺現(xiàn)實狀況、研究目的、意義及國內外技術

概況

項目有關領域的現(xiàn)實狀況

2023年6月，胡錦濤總書記在兩院院士大會上就指巴，“互聯(lián)網、云計算、物聯(lián)網、知

識服務、智能服務的迅速發(fā)展為個性化制造和服務創(chuàng)新提供了有力工具和環(huán)境”，將云計算

應用提上了創(chuàng)新生產方式的高度。10月，國家發(fā)展和改革委員會、工業(yè)和信息化部聯(lián)合公

布《有關做好云計算服務創(chuàng)新發(fā)展試點示范工作的告知》，確定在北京、上海、深圳、杭州、

無錫五個都市先行開展云計算服務創(chuàng)新發(fā)展試點示范工作，深入明確了國家發(fā)展云計算H勺總

體思緒和戰(zhàn)略布局。

身份管理是實現(xiàn)云環(huán)境下按需計算服務戰(zhàn)略的先導，也是云計算安全日勺基礎。

身份管理的研究工作在國外開展口勺較早，最初是某些行業(yè)組織與企業(yè)開展的商業(yè)布署方

案。微軟在20世紀末推廣日勺“Passport”項目，就是互聯(lián)網業(yè)務單點登錄的初期應用。然

而，由于大家緊張微軟會搜集大量的顧客個人信息，因此咳項目并沒有得到業(yè)內的廣泛支持,

最終以失敗告終。

后來微軟企業(yè)又啟動了WindowsCardspace研究項目，致力于身份元系統(tǒng)的研究，即為

不一樣的數(shù)字身份系統(tǒng)提供一種統(tǒng)一H勺抽象表達層，而這個系統(tǒng)可以取代老式的顧客名和密

碼認證方式，可以提供更好的反釣魚功能，防止其他網絡犯罪等。

2023年，為了抗衡微軟的Passport,由SUN牽頭成立了自由聯(lián)盟(LibertyAlliar.ee),

致力于研究開放日勺、具有引導與實踐性的聯(lián)邦身份管理機制。自由聯(lián)盟重點處理企業(yè)之間身

份系統(tǒng)的可互操作性問題,定義某些在企業(yè)內部和企業(yè)之間使用日勺統(tǒng)一身份技術和流程H勺公

共規(guī)范。

近幾年，Mb2.0應用的J蓬勃發(fā)展，個人參與互聯(lián)網應用日勺發(fā)明與使用愈發(fā)廣泛，一種

顧客也許有十兒乃至上百個個人ID,極大地影響到了顧客日勺多業(yè)務體驗，OPonlD就是處理

跨業(yè)務域的單點認證問題，為顧客提供一種全球惟一標識，進行一次認證，即可實現(xiàn)多業(yè)務

的使用與體驗。

伴隨多種網絡、服務與業(yè)務系統(tǒng)逐漸向云上遷移，目前彼此獨立設置、缺乏可互操作性

的身份管理系統(tǒng)也需要遷移。為了實現(xiàn)全球一體U勺通用身份管理架構目的，ITU-T在2023

年啟動了身份管理原則化班究工作，鼓勵全球所有的ICT領域的專家共同參與、推進通用身

份管理架構的I研究工作。在ITU-T的研究活動中，美國是研究工作的主導力量，目前已經同

意公布了X.1250《全球可互操作H勺身份管理需求》，其他的配套原則也在加緊完善過程中。

在X.1250的公布過程中，以德國為首的歐洲國家與美國展開了劇烈且微妙的博弈。大家關

網絡和業(yè)務融合日勺飛速發(fā)展正在形成對于“獨立的第三方身份管理”的I需求，形成顧

客、業(yè)務服務提供商和身份服務提供商三方互動，有效協(xié)同以網絡為中心、業(yè)務為中心口勺身

份管理機制。這樣一種可信任、可共享的第三方數(shù)據信息，可以提供跨業(yè)務領域、跨國家行

政部門公共身份數(shù)據信息，增強顧客體驗，諸如單點登錄認證、統(tǒng)一賬單服務等，既可有效

保障顧客隱私，又能提高多業(yè)務環(huán)境中監(jiān)管的有效性。

3、承擔單位與聯(lián)合單位概況以及任務分工

XXXX集團AAA系統(tǒng)動態(tài)認證改造項目中，XX網絡安全技術有限企業(yè)是技術提供方和集

成實行方。

XX網絡安全技術有限企業(yè)的云身份管理系統(tǒng)擁有完整的自主知識產權，包括雙原因動

態(tài)認證系統(tǒng)等在內的12項專利?？刹际鹪诼?lián)想服務器和國產linux操作系統(tǒng)之上。

目前，XX網絡安全技術有限企業(yè)正在持續(xù)改善和完善云身份管理系統(tǒng)，以便滿足未來

擴容和推廣及I規(guī)定。以實現(xiàn)統(tǒng)一管理、身份認證，從而統(tǒng)一系統(tǒng)管理員、開發(fā)廠商對后臺業(yè)

務網絡系統(tǒng)的I動態(tài)密碼認證接口，控制其訪問權限并進行對應的審計工作。實現(xiàn)如下安全目

的：

1、搭建起統(tǒng)一的安全管理技術和平臺

根據網絡現(xiàn)實狀況的分析，研究集中統(tǒng)一的安全管理技術和平臺，使得系統(tǒng)和安全管理

人員可以對業(yè)務網絡系統(tǒng)的顧客和多種資源進行集中權限分派、集中認證，從技術層面上保

證業(yè)務網絡系統(tǒng)安全方略的實行。

2、搭建起全網統(tǒng)一身份認證系統(tǒng)的框架

通過實現(xiàn)分布式管理模式布署全網日勺框架滿足如下規(guī)定：對所有顧客身份認證都必須進

行統(tǒng)一身份認證基r動態(tài)密碼、硬件令牌和顧客名密碼，同步硬件令牌結合保護密碼；當合

法顧客訪問被保護FI勺應用系統(tǒng)之前，必須通過一種統(tǒng)一H勺客戶端軟件或WEB頁面進行注冊；

顧客身份的產生、發(fā)放、生效以及暫停、中斷都簡樸可行；傳播合法顧客身份的過程必須采

用加密技術，以保證認證過程不被惡意窺視。

3、制止內部合法顧客的違法操作

原先也許出現(xiàn)的狀況，即系統(tǒng)維護員、操作員、廠商開發(fā)人員等這些具有系統(tǒng)較高權限

的人員，在其權限范圍內或越權也許進行某些非法操作，例如修改數(shù)據庫數(shù)據?、更改網絡配

置、獲取企業(yè)機密信息等夕亍為，此后將得到有效地控制。目前，所有針對被保護應用系統(tǒng)打勺

訪問和操作，都將與顧客身份緊緊結合，非法的訪問將被立即發(fā)現(xiàn)并記錄，負責人也會被迅

速貫徹，這種系統(tǒng)的威懾力將大大減少內部違規(guī)操作H勺也許。

4、實現(xiàn)對登錄應用系統(tǒng)口勺過程進行審計的規(guī)定

由于網絡設備、主機系統(tǒng)、數(shù)據庫等日勺訪問方式多種多樣，有些服務器提供了部分審計

功能，但有些敏感的I、關例的I維護操作卻無法審計下來（例如：telnet.FTP、數(shù)據庫的訪

問等），或者說從系統(tǒng)自身的海量審計數(shù)據中，很難查找到有關的信息，這對事后的取證分

析和責任界定都帶來了很大困難。新11勺安全系統(tǒng)將很好I向提供這項功能。

5、及時響應非法操作

原先對于重要服務器的非法訪問，服務器并不能做出判斷，也許要等到事后很長時間后

才會暴露，或許永遠也不會有人懂得，雖然查出了非法訪問，但后果已經形成，無法彌補，

新系統(tǒng)將可以在非法訪問時同步做出響應。

二、項目關鍵技術

1、項目重要研發(fā)內容及到達的技術和性能指標

XXXX集團AAA系統(tǒng)動態(tài)認訐改造是針對集中管理的數(shù)百臺網絡設備的應用項目,目

前集團管理人員和各個集成商/廠商等多種機構的不一樣人員同步使用這個系統(tǒng)，對網絡進

行平常運行維護。

伴隨XX業(yè)務支撐系統(tǒng)口勺迅速發(fā)展，多種支撐應用和顧客數(shù)量的不停增長，網絡規(guī)模迅

速擴大，信息安全問題愈見突出，對系統(tǒng)之間的整合提出了更高的規(guī)定。系統(tǒng)整合的一?種重

要基礎是賬號數(shù)據的統(tǒng)一、授權的集中、單點登錄認證、安全審計。原有日勺賬號、權限、認

證、審計方面H勺安全措施已不能滿足XX目前及未來業(yè)務系統(tǒng)發(fā)展打勺規(guī)定。重要問題表目前

如下方面：

1＞信息孤島林立。

2、分散的權限管理。

3、自然人身份和業(yè)務系統(tǒng)賬號重疊。

4、靜態(tài)密碼安全性低。

5、獨立的審計，缺乏關聯(lián)分析。

XX網絡安全技術有限企業(yè)提供的技術，使XXXX可以在既有基礎I：平穩(wěn)地整合運維網絡資

源，建立一種統(tǒng)一日勺基礎安全服務系統(tǒng)，為各應用資源提供精確組織人員數(shù)據，并可以高效、

以便的進行數(shù)據安全管理，

動態(tài)密碼H勺應用既有效地保障和以便了合法顧客日勺訪問及操作，又能有效地保障業(yè)務支

撐系統(tǒng)安全可靠地運行。

XX網絡安全技術有限企業(yè)的云身份管理系統(tǒng)歐I重要功能包括：

?統(tǒng)一帳號管理：是建立在虛擬化的資源池上的應用接口層，為云顧客提供了一種統(tǒng)一H勺

帳號和單點登錄窗口，防止了在訪問資源過程中頻繁H勺帳號切換。

?統(tǒng)一認證管理：處理身份憑證管理、強認證（一般為多原因身份認證）、委派身份認證、

及跨越所有云服務類型的信任管理。由于云計算環(huán)境下，資源分布具有很大的動態(tài)變

化特性，靜態(tài)密碼的安全性已經很難滿足規(guī)定，動態(tài)密碼以其特有的隨機性、一次性而

愈加適合云計算環(huán)境，

?統(tǒng)一授權管理：根據多種資源對賬號、角色、權限及各類關系的不一樣定義，抽象成統(tǒng)

一時數(shù)據定義，采用關系型數(shù)據庫存儲方式，對賬號/密碼信息、系統(tǒng)及應用資源信息、

角色及方略管理信息以及各信息之間的關聯(lián)關系信息進行加密寄存。并基于顧客、主機、

網段等參數(shù)添加訪問控制方略，完全模擬主機與顧客發(fā)起方，發(fā)送拆連祈求，到達網絡

訪問時控制。

?統(tǒng)一審計管理：當顧客根據授權訪問資源時，系統(tǒng)顧客業(yè)務行為進行實時解析，建立日

志，事后處理歸并，并為安全審計人員提供了視頻、圖標等以多種查詢方式。，并且我

司可認為顧客提供資深的審計專家真實分析、展現(xiàn)審計成果。

XX網絡安全技術有限企業(yè)U勺云身份管理系統(tǒng)認證服務器性能參數(shù)

認證系統(tǒng)技術參數(shù)

可容納顧客數(shù)1千萬

短連接4000次/秒(測試認證服務器：del16850；CPU：4核

單認證服務器處理能力

Intel(R)Xeon(TM)CPU3.00GHz*4個；內存：8GB)

認證響應時間〈10()亳秒

認證帶寬占用<10()M

認證數(shù)據冗災集群式備份

帶外認證支持帶外認證

Radius等原則協(xié)議、iKEY認證協(xié)議(支持TCP、SOAP承載方

支持協(xié)議

式)和定制客戶接口協(xié)議

認證穩(wěn)定性最高持續(xù)滿功率運行認證次數(shù)1,000,000,000次

認證對的性持續(xù)滿功率運行時對時率不小T99.9999999%

支持操作系統(tǒng)Windows>Linux,Unix

支持數(shù)據庫Oracle、Db2、MySQL、MSSQLServer

支持動態(tài)密碼長度6-8位

PIN碼功能支持

密鑰自助寫入支持

XX網絡安全技術有限企業(yè)的云身份管理系統(tǒng)令牌硬件參數(shù)

項目指標描述

算法支持國家密碼局授權安全算法、OATH組織國際TOTP原則算法

工作溫度、濕度-1()℃―+50℃,10%RH?90%RH

防干擾符合GB4343.1-2023

防塵、防水達IP67等級

可承受震動頻率上限3001IZ,振幅上限3mm,水平振動及垂直震動1小

抗震

時

抗擠壓可承受上限液壓1000N或氣壓1000N擠壓1小時

抗跌落可承受高1m,混凝土地表，自由跌落，產品各面各為底面跌落1次.

抗電磁干擾可抗工頻50Hz,1安/米（A/m）持續(xù)磁場的干擾

抗靜電可抗空隙式放電8kV,接觸式放電4kV

外殼有害材質符合ROHS原則對6種有害物質規(guī)定

晶振頻率晶振頻率在3276811Z偏差W20Ppm

電池年限23年

明拆令牌內部所有用膠料填充，無法拆解得到內部電路

注膠低壓注塑

XX網絡安全技術有限企業(yè)的云身份管理系統(tǒng)授權控制系統(tǒng)技術指標:

授權控制系統(tǒng)技術參數(shù)

最大同步在線管理員賬號20（同步在線管理應用系統(tǒng)數(shù)）

最大支持顧客數(shù)1000()

最大網絡會話數(shù)15000

最大網絡流量1000Mbps

最大審計方略數(shù)30000

最大事務處理能力5000eps

最大日志規(guī)則數(shù)1000

最低查詢響應速度5秒

最大存儲速度8000條/秒

平均無端障時間10000小時

平均故障修復時間4小時

XX網絡安全技術有限企業(yè)的云身份管理系統(tǒng)審計系統(tǒng)技術指標

網絡審計系統(tǒng)技術參數(shù)

最大網絡會話數(shù)15000

最大網絡流量1000Mbps

最大審計方略數(shù)30000

最低查詢響應時間5秒

最大存儲速度8000條/秒

平均無端障時間10000小時

平均故障修復時間4小時

2、項目波及的關鍵技術分析（例如laaS、DaaS、PaaS、SaaS等虛

擬化、分布式計算、并行計算、大規(guī)模數(shù)據存儲與管理、服務交付技

術等）

xx云身份管理系統(tǒng)為顧客提供了跨系統(tǒng)、跨域、跨資源的安全認證和安全管理能力。

使得顧客可以在虛擬化的安全架構上布署和運行自己口勺操作系統(tǒng)和應用軟件，是一種經典口勺

云基礎設施作為服務（laaS）模型。

XX云身份管理系統(tǒng)通過設備資產管理功能提供了將資源抽象化的能力，并交付連接到

這些資源的物理或邏輯網絡連接。并提供了一組API,容許顧客與基礎設施進行管理和其他

形式的交互。

XX云身份管理系統(tǒng)日勺關鍵技術重要包括

動態(tài)密碼技術

動態(tài)密碼認證可以有效日勺防止密碼泄露而引起日勺危險危險，動態(tài)密碼只能一次有效，

使用過的動態(tài)密碼不能反復使用。因此雖然動態(tài)密碼被偷看或竊聽了也沒有危險。它具有如

下長處：

（1）動態(tài)性：令牌產生的密碼每分鐘變化一次，不一樣步刻使用不一樣密碼登錄，

每個密碼都只在其產生的時間范圍內有效。

（2）隨機性：動態(tài)密碼每次都是隨機產生H勺，不可預測。

（3）一次性：每個動態(tài)密碼使用過一次后，不能再反復使用。

（4）抗偷看竊聽性：由于動態(tài)性和一次性的J特點，雖然某?種動態(tài)密碼被人偷看或

竊聽了，也無法使用。

（5）不可復制性：動態(tài)密碼的I產生可與事件因子緊密有關，因此也就保證只有特定

顧客才能使用動態(tài)密碼，其他顧客無法獲得、無法共享,

3、系統(tǒng)總體架構（包括必要的架構設計圖）及實行方案

XX云身份管理系統(tǒng)架構設計如下圖所示:

展

現(xiàn)審計報表展現(xiàn)會話回放展現(xiàn)審計日志展現(xiàn)

層

統(tǒng)一身份管埋主帳號管理組織流程帳號策略認證配置

核系統(tǒng)帳號管理從帳號管理賬號密碼代填密碼更新計劃

心

業(yè)操作授權管理從帳號角色策略主帳號角色策略

務

層訪問控制管理

安全審計管理y

基

登：Te坐1電信模塊IRDP通信模塊

礎

錄

話,

結

管SSH通信模塊X11/VNC通信模塊

構官：

理

:、通信模塊、通信模塊

、FTP/SFTPB/SC7S

S

在這些功能設計時，我們采用了模塊化和組件化的設計思想，將整個運維平臺分為5

個功能子系統(tǒng)，結合顧客接口、系統(tǒng)接口來完畢圖示時所有功能。

系統(tǒng)布署示意圖

實行闡明

?在XXXX集團企業(yè)SOC系統(tǒng)中布署身份認證平臺用來實現(xiàn)顧客身份認證、動態(tài)密碼

驗證、權限的分析匹配、SSO單點登錄，合法顧客登錄身份認證平臺后即可根據對

應權限點擊對應資源訪問，同步無需再次輸入系統(tǒng)的I顧客名及密碼大大以便顧客

時訪問，也可以規(guī)避密碼的風險。

?在XXXX集團企業(yè)SOC系統(tǒng)中布署賬號管理平臺實現(xiàn)網絡中日勺賬號搜集、賬號管理,

管理員可以在賬號管理平臺上實現(xiàn)對網絡設備、主機、各系統(tǒng)中日勺現(xiàn)存顧客及新

添加顧客信息搜集、分派、權限的管理平常維護等有關日勺管理。

?為XXXX集團企業(yè)配發(fā)顧客授權500個：擬配置硬件令牌100個、軟件令牌10。個,

短信動態(tài)密碼許可30()個；

?在XXXX集團企業(yè)S0C系統(tǒng)的兩臺關鍵互換機上分別以旁路接入方式布署二臺安全

服務器，通過互換機的鏡像功能將業(yè)務系統(tǒng)中的數(shù)據提供應XX風信子安全服務器

以實現(xiàn)強身份認證、訪問控制以及網絡行為審計口勺功能。安全服務器同步通過互

換機的鏡像功能運用業(yè)務系統(tǒng)中的數(shù)據實現(xiàn)強身份認證、訪問控制以及網絡行為

審計的功能。

?在方案中布署的審計服務器具有數(shù)據記錄H勺功能，可以將系統(tǒng)審計下來的成果統(tǒng)一

記錄在數(shù)據庫中便于管理員查詢。

?顧客可以根據所要審計的重點和要點，在授權管理中心上靈活配置方略來實現(xiàn)顧客

時強身份認證、訪問控制和行為審計。

?本方案中的審計控制平臺可以安裝在審計管理員的維護終端上，通過審計控制平臺

可以迅速查詢審計成果、輸出各類豐需的審計報表。

?本方案中將監(jiān)控中心軟件安裝到管理員辦公PC上，可以實時監(jiān)控系統(tǒng)運行狀況和

監(jiān)控顧客違法操作，一旦系統(tǒng)出現(xiàn)問題或顧客有違法操作時可以第一時間反應給

管理員可以讓管理及時處理問題。

4、項目中波及的重要國產關鍵軟硬件產品及知識產權狀況。

本共采用服務器4臺，均采用國產服務器，使用Linux操作系統(tǒng)。

關鍵軟件“XX云身份管理系統(tǒng)”是XX企業(yè)自主研發(fā)的新一代安全基礎軟件。包括了動

態(tài)密碼、身份認證、授權管理、安全審計等模塊。

上海XX網絡安全技術有限企業(yè)是國家密碼管理局正式同意日勺商用密碼產品生產定點單

位和銷出許可單位，重要致力于擁有完全自主知識產權的“iKEY雙原因動態(tài)密碼身份認證

系統(tǒng)（SRT0901動態(tài)口令系統(tǒng)）”日勺研發(fā)、生產、銷售和服務。

該系統(tǒng)成為國內首款由國密局頒發(fā)口勺商用密碼產品型號證書日勺動態(tài)密碼身份認證產

品。該產品采用國密局授權的國密安全算法，產品系列覆蓋全，包括基廣時間型、挑戰(zhàn)碼、

智能k式、與SIM卡或SD卡相結合、數(shù)字證書與動態(tài)密碼相結合等動態(tài)密碼身份認證技

術，可以根據客戶不一樣需求定制端到端的處理方案，滿足客戶多種信息安全需求。

XX科技作為XX信息安全行業(yè)的先鋒者，已申報國家發(fā)明專利12項，并受國密局委托

參與編制我國動態(tài)密碼產品有關技術原則。同步，XX科技忖前是國家信息安全原則化委員

會等原則化組織U勺組員單位，并協(xié)助參與信息安全有關的國家及行業(yè)原則編制工作。

5、方案的科學性、合理性、先進性、可行性分析評價

?滿足IT內控、SOX.COBIT等法案法規(guī)合規(guī)性規(guī)定

?規(guī)范管理，梳理管理數(shù)據流和業(yè)務數(shù)據流，做到對管理數(shù)據流進行操作審計，處理

安全管理領域“人”日勺問題。

?處理操作管理、重要應用、機密資料安全審il難題，通過“操作機”將使用者電腦

變?yōu)椤笆菘蛻魴C”，防止使用者電腦通過網絡直接接觸重要應用和機密資料，減少

木馬、間諜、內部安全威肋，。

?建立統(tǒng)一資源操作管理平臺，完畢服務器集群統(tǒng)一操作管理。管理行為不再“隨時

隨地”，操作審計不再“若有若無”，顧客行為不再“無法無天”，管理員從此掙脫

網絡管理“黑匣子”時代，對服務器上管理行為“了然于胸二

?操作審計方案完備，處理審計“死角”，處理圖形審計難題，處理服務器間跳轉操

作（WINDOWS跳轉到UNIX）進而逃避審計行為，不留審計漏洞，惡意顧客無法逃

避監(jiān)控。

?減輕管理員工作壓力，提高工作效率，保證管理制度的順利實行

?完畢對第三方代維、系統(tǒng)集成商現(xiàn)場施工口勺規(guī)范化管理，防備外來風險

?假如發(fā)生事故，迅速、精確H勺進行責任鑒定和安全事件追溯，采用補救措施

?精確審計數(shù)據庫SQL操作語句,防備ORACLE、SYBASE>MSSQL、INFORMIX等數(shù)據

庫安全風險

三、項目實行的措施、條件

1、項目實行的政策環(huán)境需求（國家“十二五”規(guī)劃、國發(fā)4號

文，新興戰(zhàn)略性產業(yè)規(guī)劃、兩化融合戰(zhàn)略等對項目實行的影響和推進

增進作用）

在黨和政府制定日勺一系列政策指導下，我們認識到云計算本質上是軟硬件技術發(fā)展到

一定階段后，必然要出現(xiàn)的一種資源整合模式。本項目中XXXX集團口勺需求即代表了這種趨

勢和時尚。

同步，云計算不僅僅是一種技術問題，更多的是一種商業(yè)模式或者管理模式的創(chuàng)新，

可認為企業(yè)減少成本、提商管理水平、帶來經營業(yè)績的增長，也能協(xié)助政府改善投資環(huán)境、

提高都市信息化建設水平，滿足日益發(fā)展的公眾信息服務需求。XX云身份管理系統(tǒng)的推出

就是為了推進云計算的普及而做出的努力。

黨中央和政府制定的政策協(xié)助我們認清了云計算產業(yè)的關鍵價值，鑒定了我們參與、

推進云計算產業(yè)日勺決心，消除了后顧之憂。

2、項目運行的設備條件

本共采用服務器4臺，其中2臺配置4顆4核CPU、16GB內存、4塊300GB以上硬盤，

用于認證服務器以及保留審計數(shù)據，二臺認證服務器實現(xiàn)雙機熱備；

此外2臺配置2顆CPU,8GB以上內存，用于控制分析服務器。二臺控制分析服務器分

別接入到S0C系統(tǒng)擴容后的兩臺熱備關鍵互換機上，并在互換機上完畢端口鏡像配置，將

SOC系統(tǒng)的訪問數(shù)據流分別鏡像至二臺控制分析服務器上。

3、項目成功日勺技術基礎條件，包括試驗場地、測試手段等。

項目的建設根據XX集團給出的動態(tài)密碼系統(tǒng)建設規(guī)范指導，并親密結合XXXX集團企

業(yè)的實際狀況和詳細壞境；動態(tài)密碼系統(tǒng)建設不對既有系統(tǒng)的川用性、可靠性和性能帶來負

面影響。

系統(tǒng)的各個構成部件選用符合國際、國內原則的硬件和軟件技術搭建支撐平臺，采用

規(guī)范的接口和協(xié)議，保證系統(tǒng)各構成部分協(xié)同一致，構成可兼容、易移植的系統(tǒng)安全支撐平

臺。并遵照如下原則

?充足運用既有系統(tǒng)資源，深入挖潛，保護既有投資。

?運用先進的安全審計技術和平臺，防止低水平反復建設。

?充足考慮系統(tǒng)應變能力、容錯能力和完善的安全機制。

?在設備的選型中堅持高可靠性、高性能、原則化、開放性、安仝性、易擴充性、先

進性、實用性和易維護性。

?系統(tǒng)在滿足現(xiàn)實狀況日勺狀況下，充足考慮未來和發(fā)展，安全系統(tǒng)總體能力留有余地。

?安全系統(tǒng)設計充足考慮服務器、網絡設備、網管系統(tǒng)、各類數(shù)據庫系統(tǒng)、應用系統(tǒng)

的J互相關聯(lián)性，并充足考慮這些設備和系統(tǒng)在未來H勺擴展性及兼容性。

系統(tǒng)建設遵照口勺原則

ISO原則:

?設計原則(￡015408、IS017799.IS07498-2)

?實行原則(SSE-CMM>IS09001)

GB原則:

?《計算機網絡系統(tǒng)安全保護等級劃分準則》

?《開放系統(tǒng)互連基本參照模型第2部分安全體系構造》

?《信息技術安全技術信息技術安全性評估準則》

?《商用密碼管理條例》

?《計算機病毒防治管理措施》

?《計算機網絡系統(tǒng)國際聯(lián)網保密管理規(guī)定》

?《計算機信息網絡國際聯(lián)網安全保護管理措施》

?《中華人民共和國計算機網絡系統(tǒng)安全保護條例》

?《中華人民共和國計算機信息網絡國際聯(lián)網管理暫行規(guī)定》

?《計算機網絡系統(tǒng)安全專用產品檢測和銷售許可證管理措施》

?《計算機網絡系統(tǒng)安全專用產品檢測和銷售許可證管理措施》

?《中華人民共和國計算機信息網絡國際聯(lián)網管理暫行規(guī)定實行措施》

項目布署范圍

本項目將在XXXX集團企業(yè)中心機房布署對應R勺動態(tài)密碼云身份管理系統(tǒng)，以對顧客訪

問受保護資源日勺行為進行認證和控制，并審計其操作，同步可以有效H勺管理和審計員工H勺操

作行為，做到出現(xiàn)問題有據可查。

本次項目布署實行過程中，我司將負責項目集成與安全系統(tǒng)實行日勺工作。需要詳細業(yè)

務部門，如業(yè)務中心配合網絡調整等工作，將網絡數(shù)據鏡像提供應本系統(tǒng)。

根據需求擴展原有XXXX集團企業(yè)原有FI勺iKI:Y動態(tài)認證系統(tǒng)服務范圍，將東四機房SOC

平臺的網絡設備及服務器納入統(tǒng)一管理。因此擬新增系統(tǒng)服務器4臺。

設備連接位置：SOC平臺熱備以太網互換機二臺，分別通過端口鏡像配置將數(shù)據流鏡

像至控制審計服務器的數(shù)據鏡像端口。同步4臺服務器的通訊口均接入互換機。

同SOC平臺對接

為了提高XXXX網絡安全管理能力，實現(xiàn)XXXX網絡集中化、體系化、層次化的安全管

理，XXXX集團已經針對ChinaNet在集團企業(yè)（北京）和江蘇兩地完畢了網絡安全管理平臺

（SOC）日勺試點建設。SOC平臺可以在全局層面實現(xiàn)IP網安全方略日勺統(tǒng)一，對全局資源進行

統(tǒng)一調度，協(xié)同對■多種網絡安全問題進行有效的I防備和處理，同步實現(xiàn)了對C網分組域和部

分C網業(yè)務平臺的安全管理，有助于XXXXIP網網絡的健康、穩(wěn)定、安全運行。在目前試點

SOC平臺順利開展工作、XXXXIP網的網絡安全管理水平有了長足進步口勺同步，網絡安全技術

的發(fā)展對網絡安全管理平臺的功能提出了新的需求。

目前SOC平臺管理全網2023多臺路由器、多種業(yè)務平臺、多種網管系統(tǒng)，對這些系統(tǒng)

的帳號管理比較分散，帳號和口令分派、回收、增長、刪除等操作較為混亂，帶來不少安全

隱患，并且對于外來人員內帳號口令也缺乏有效的管理。因此本期工程需要對S0C平臺升級

集中的顧客認證、口令管理功能，采用動態(tài)密碼技術，加強密碼管理歐I安全性。同步根據工

信部規(guī)定，需要具有較強的審計功能，以便事后追溯。

本系統(tǒng)可以同XXXX集團企業(yè)既有『'JSOC平臺對接，實現(xiàn)單點登錄功能。管理員通過控

制中心界面可認為顧客配置和S0C平臺對?應的從賬號，匚授權顧客登錄系統(tǒng)顧客界面后即可

看到S0C平臺的訪問鏈接，點擊打開即可實現(xiàn)無需反復登錄使用S0C平臺。以上功能需要

S0C平臺的提供商配合，在完畢一定二次開發(fā)的前提下實現(xiàn)

4、項目服務保障措施及推廣應用方略

針對本項目，我司共建立了如下服務保障措施：

?建立項目專題管理制度，針對XXXX集團的需求進行了專門的調研，搜集了大量一

手資料，為可靠、安全、平檢地實彳丁項目奠定了基礎。

?配合XXXX進行了詳細歐J方案論證，提出了完整的定制需求，減小了項目實行日勺風

險，保證了系統(tǒng)平穩(wěn)地遷移。

?組織實行了嚴格的J仿真測試和壓力測試，通過科學地分析,制定了嚴密日勺優(yōu)化方案,

保證了項目目的啊順利實現(xiàn)。

?為本項目配置了專職維護與技術支持力量，建立了備品備件庫，制定了嚴格的維護

與服務保障計劃，隨時響應XXXXH勺規(guī)定。

與此同步，我司還借鑒項目實行中獲得的經驗，優(yōu)化了推廣應用方略：

?優(yōu)化應用加載模板，提高顧客應用業(yè)務整合口勺效率。

?豐富了訪問控制方略庫，為顧客提供更多的方略支持。

?為了更快地推廣和普及，正在計劃推出租用服務模式，減小顧客初次投入成本。

四、重要應用成果展示

對項目應用過程中獲得的成果進行圖文并茂的展示。

本項目時實行使得管理層次愈加科學、愈加分明，有助于提高運維管理水平。

項目布署后

五、市場需求狀況分析及經濟、社會效益預測

1、項目目前已經獲得日勺經濟效益及社會效益分析；

通過項目的實行，XXXX構建一種統(tǒng)一的安全管理平臺基礎設施，處理了敏感數(shù)據安全

管理問題，同步兼顧了后期向統(tǒng)一安全管理平臺建設日勺平滑過渡。

已經獲得社會效益有：

1、實現(xiàn)對業(yè)務支撐系統(tǒng)、DCN網運行管理系統(tǒng)以及操作系統(tǒng)、數(shù)據庫、網絡設備等多

種IT資源的帳號、認證、授權和審計的集中控制和管理。有效地保障業(yè)務支撐系統(tǒng)安全可

靠地運行。為業(yè)務支撐系統(tǒng)提供機制統(tǒng)一、多樣化的認證與授權安全服務，實現(xiàn)平滑過渡并

實現(xiàn)與其他統(tǒng)一安全管理平臺之間H勺數(shù)據交互。

2、實現(xiàn)集中化、基于角色的的主從帳號管理，實現(xiàn)角色屬性級別H勺細粒度權限分派和

管理。自然人與其擁有的主帳號關聯(lián)，統(tǒng)一規(guī)劃顧客身份信息和角色，對不一樣系統(tǒng)中的帳

號進行創(chuàng)立、分派、同步，最終建立業(yè)務支撐系統(tǒng)中自然人的單一視圖（主帳號管理）、建

立業(yè)務支撐系統(tǒng)中資源的單一視圖（從帳號管理）。

3、實現(xiàn)集中化的動態(tài)身份認證和統(tǒng)一訪問入口。根據安全需要選擇不一樣的身份認證

方式，在不更改或只對應用進行有限更改的狀況下，即可在本來只有弱身份認證手段的應用

上，增長強身份認證手段，最終實現(xiàn)認證手段和應用口勺相對隔離和靈活使用。

4、實現(xiàn)集中訪問授權，基于集中管控安全方略II勺訪問控制和角色的授權管理。對顧客

使用業(yè)務支撐系統(tǒng)中資源的詳細狀況進行合理分派，實現(xiàn)不一樣顧客對不一樣部分實體資源

的訪問。最終建立完善的資源對自然人的授權管理。

5、實現(xiàn)集中安全審計管理，搜集、記錄顧客對業(yè)務支撐系統(tǒng)關鍵重要資源H勺使用狀況。

便于記錄自然人對資源的訪問狀況，在出現(xiàn)安全事故時，可.以責任追蹤。對人員的登錄過程、

操作行為進行審計和處理。最終建立完善針對“自然人一資源”訪問過程日勺完整審計。

2、國內外市場推廣應用前景和市場需求狀況分析預測；

今天人們訪問云計算技術端數(shù)據所依賴的認證手段非常弱，也許還重要是顧客名和密

碼。我們需要更強有力的手段，對于接入云計算技術服務的顧客進行認證。身份的戰(zhàn)略有某

些關鍵的元素，首先，身份證必須是基于親自辦理、或者說親自證明。

第二，正如在現(xiàn)實生活中同樣，每個人的身份也許會有多種形式，也就有更多的身份

識別的證件，例如身份證、銀行卡、企業(yè)證件等等。而這些卡大部分在辦理時都要通過本人

親自到場。

第三，必須讓使用者可以控制自己信息的流向，他能決定自己什么樣的信息能給什么

樣的人。全世界的顧客，都非常關注自己的I隱私，容許他們有能力來控制和什么樣口勺人分享

什么樣的隱私信息，這點非常重要。

通過一次性密碼(OTP)令牌、軟件(OTP)、短信(OTP)、基于證書H勺(PKI)認證器

的廣泛產品組合提供了全面支持，使組織在目前可認為遠程訪問布署OTP,在未來可以無縫

擴展以支持更先進R勺安全處理方案。

多原因身份驗證對于組織的關鍵業(yè)務來說已變得越來越關鍵，這種趨勢已被云計算的

采用和保證遠程顧客訪問企業(yè)系統(tǒng)和數(shù)據(無論保留在何處)的需要而放大，通過提供一種從

單個平臺管理所有訪問政策的集中化方式，協(xié)助客戶最大程度地保證認證安全并減少成本。

以云計算為基礎日勺新IT體開始變化目前H勺應用方式。無論何時何地只要有網絡和終端,

通過安全認證就可以在任意終端實現(xiàn)個性化及廉價應用服務日勺需求。身份的識別和認證就成

為其中的關鍵?？诹?、密瑪、證書、指紋、虹網膜等相信多種認證H勺融合應用將成為驗證技

術的嘗試和創(chuàng)新。安全認證處理已成為必然。

云計算商業(yè)模式的迅速發(fā)展將對XX【T業(yè)產生重要的影響，波及服務器、存儲、網絡等

基礎架構以及中間件、操作系統(tǒng)、應用軟件、網絡服務在內的諸多領域，從而開創(chuàng)一種全新

的IT應用前景。

在我國現(xiàn)階段ICT環(huán)境中，由于網絡和業(yè)務區(qū)隔不明確，因此無論是XX運行商還是互

聯(lián)網服務提供商都承擔若干角色，并且一般意義上講，顧客身份及身份管理與業(yè)務或者應用

緊耦合，這樣就導致同一顧客在不一樣應用環(huán)境中使用不一樣身份、不一樣身份認證機制以

及帶來的潛在H勺顧客安全隱患；

這種狀況下，顧客身份和身份管理實際上被網絡或者業(yè)務應用實體身份所替代，不能

提供針對顧客身份『、J特定服務，例如為顧客提供個性化的3P服務(Presence,Preference,

Profile)等；跨域場景中，例如跨不一樣運行商網絡不能為顧客提供一致的顧客身份及身

份管理。

網絡和業(yè)務融合H勺飛速發(fā)展正在形成對于“獨立的第三方身份管理”的需求，形成顧

客、業(yè)務服務提供商和身份服務提供商三方互動，有效協(xié)同以網絡為中心、業(yè)務為中心H勺身

份管理機制。這樣一種可信任、可共享的第三方數(shù)據信息，可以提供跨業(yè)務領域、跨國家行

政部門公共身份數(shù)據信息，增強顧客體驗，諸如單點登錄認證、統(tǒng)一賬單服務等，既可有效

保障顧客隱私，又能提高多業(yè)務環(huán)境中監(jiān)管的有效性。

3、預期經濟和社會效益，以及對既有服務模式的提高等。

身份管理系統(tǒng)在未來云時代H勺作用

1、身份管理是網絡資源和業(yè)務資源虛擬化H勺基石

云時代網絡資源和業(yè)務資源口勺虛擬化波及到XX運行商內部不一樣系統(tǒng)、跨XX運行商之

間、與服務提供商之間、與內容提供商之間、家鄉(xiāng)屬地和漫游屬地之間等不一樣網絡層面:

業(yè)務層面的虛擬化，身份管理完全可以充當其中的虛擬化橋梁，實現(xiàn)跨系統(tǒng)、跨域、跨平臺

之間的虛擬化基礎；

2、身份管理能對云協(xié)境中的網絡資源和業(yè)務資源進行有效監(jiān)管

通過引入統(tǒng)一的身份和身份管理機制，諸如單點登陸認證和統(tǒng)