一、用户背景

某物资集团前身是铁道兵后勤部，1984年随铁道兵集体改制并入铁道部，1990年更名为某建筑总公司物资局，2003年3月建立现代企业制度，定名为某物资集团有限公司。企业注册资本金30亿元，主营铁路建设所需钢轨及配件、油料、火工品等相关物资的采购、加工、供应服务和钢材、水泥、煤炭、矿粉等大宗物资的贸易、加工、运输、配送等供应链集成服务，是国内最大的铁路工程物流服务商和第二大铁路物资供应商。

二、用户需求

用户需求如下：

1. 对强身份认证的需求，确保访问者身份的真实性

目前物资管理平台系统通过用户名/口令来确认用户的身份，登录后开展相关业务。这种方式简便易行但是存在着诸多的隐患。首先，口令在网络上以明文的方式传送容易被截获；其次，一旦口令泄密，所有安全机制即失效。

2. 对数据传输安全性的需求

物资管理平台的数据信息在铁路内网、外网传递全部基于网络传输。这种基于TCP/IP协议的网络传输造成了数据信息的开放性，信息很容易被人截获，信息内容极易被人破解。为了弥补这个安全漏洞有必要对通信通道进行加密传输的保护。

3. 对访问控制的需求

在身份认证的基础上，对不同身份的用户赋予不同的访问权限，禁止用户越权访问。内外网用户都有这个要求。

4. 加强数据审计的需求

通过详细的应用层日志，可以记录用户访问系统资源和应用数据资源的历史，达到初步的系统抗抵赖的要求。抗抵赖是指指令发出者不能在事后抵赖曾经发出的指令。这对于规范业务，追查事件责任，避免纠纷起着很大的作用。

5. 单点登录的需求

安全传输系统的登录和物资管理平台的登录有单点登录的需求。为了增加系统的易用性，尤其是今后具有多套应用系统时候的易用性。如果每套系统都有一套自己的登录机制，将大大提高系统使用和管理的复杂度。

6. 统一身份管理的需求

安全应用系统和物资管理平台需要统一身份管理的需求。用户的身份信息要有一套合理的管理机制，安全应用系统、物资管理平台、其它业务系统通过对统一管理机制的支持来实现初步的统一身份管理，提高系统的易用性和可维护性。

三、解决方案

1. 建设数字证书系统

建设数字证书系统，解决强身份认证的问题，确保登录安全系统和应用系统的人和设备的身份真实性，作为物资管理平台信息安全平台的底层基础设施，根密钥存储于加密机，个人证书存储于USB KEY。

2. 建设安全认证网关

建设安全认证网关，确保铁路物资管理平台业务数据信息在铁路内网、外网传输时均在应用层进行安全传输。并对用户的访问权限给予细粒度的控制。

3. 建设目录服务器统一存放用户的账号信息

数字证书系统发放的证书和CRL列表统一存储于目录服务器，安全认证传输服务器中维护的账号信息也统一来自目录服务器，物资管理平台的用户名账号信息也存储于目录服务器。

4. 单点登录的开发

通过开发实现安全认证网关和物资管理平台单点登录，提高系统的易用性。

四、网络拓扑

图 应用安全设备部署拓扑图

五、用户收益

1. 确保了用户身份真实性。无论是登录传输系统还是应用系统的用户，由于采用了双因素的强身份认证方式，确保了登录用户身份的真实性。
2. 保证了数据传输安全性。无论是内外网，所有的数据传输确保无法被侦听和窃取，保证了传输中数据的安全性。
3. 加强了用户访问资源的访问控制的力度。安全系统配合业务系统，在身份认证的基础上，对不同身份的用户授予不同的访问权限，禁止用户越权访问，确保用户在授权范围内访问。
4. 加强了数据审计的力度。安全系统配合业务系统，通过详细的应用层日志，可以记录用户访问系统资源和应用数据资源的历史，加强了数据审计的力度。这对于规范业务，追查事件责任，避免纠纷起着很大的作用。
5. 系统易用性大幅度提高，维护成本降低。通过单点登录、统一身份管理、统一账号管理的设计，系统的易用性大幅度提高，维护成本降低。