第5个课题是“法院信息系统质效型安全运维与统一认证管理”,由上海鹏越惊虹信息技术发展有限公司牵头,上海格尔软件股份有限公司参与,主要研究目标是围绕法院信息系统质效型运维管理和四级法院身份认证的需求,研究全覆盖的运维监管技术,研究全要素可视化的运维支撑技术,研究跨层级跨平台的统一身份认证技术,构建相应的软件平台。该课题为法院系统运维和安全保障提供支持,对整个项目研究提供保障体系的支撑。
(1)研究目标
建立质效型运维保障体系。构建以基础设施、应用系统、数据资源、信息安全为支撑,以应急响应为保证的常态化运维保障体系;建设可视化运维平台,实现对四级法院直至人民法庭的信息化运行质效可视化管理;建立四级法院跨层级、跨平台的全网统一身份认证平台,实现指纹认证、人脸识别等认证技术与PKI的结合,基于数据证书实现法院业务全流程监管和追溯。
(2)主要研究内容
研究构建动态全覆盖的运维监测预警平台,研究全要素可视化的运维管理支撑工具,建立集中统一的应急处置平台。研究跨层级跨平台的统一身份认证技术,基于数字证书实现全流程的监管和追溯。
研究任务1:动态全覆盖的运维监测预警技术研究
研究覆盖基础设施、应用系统、数据管理和信息安全的动态监控技术。完善应用运维系统,对应用系统的运行状态及主要性能参数进行监控和管理。建设数据运维系统,实现对数据存储管理、传输交换等过程的实时监控和管理,开展数据质量管理和数据分析服务工作。建设安全运维系统,集中监控和管理安全设备,实现安全状态监控及全网安全态势分析。
研究任务2:全要素可视化的运维管理支撑技术研究
运用信息技术实现运维管理体系全要素的可视化,包括面向服务对象的应用成效、运维任务、运维服务过程、运维服务资源、运维服务内容、运维服务质效和运维对象等要素的可视化。通过建立运维可视化平台,实现信息系统动态监控、故障预警和效能评估等功能,全面提升运维质效。
研究任务3:集中统一的应急处置技术研究
建设法院信息系统应急处理平台,实现应急值守、监测防控、预测预警、辅助决策、应急处臵、模拟演练等功能,建设应急处理预案库,提高对各类突发事件的应急响应能力。结合威胁情报共享机制,在法院各个层级和三云五网间形成纵向和横向的协同联动,实现统一集中的应急处置。
研究任务4:跨层级跨平台的统一身份认证技术
针对目前身份认证跨层级的需要,研究法院体系中四个层级(最高法院、高级法院、中级法院、基层法院)对统一身份认证的需求,研究基于PKI的身份认证体系,采用公钥密码技术,建立从顶层根节点到下面各个节点的信任关系,满足跨层次需求。在跨平台方面,针对法院正在建设的“五大网系”和“三朵云”网络体系,研究各平台的针对性技术,除了采用传统信息技术的涉密内网、法院专网、外部专网、互联网,研究重点将放在云计算(针对三朵云)、移动互联(针对移动专网)和国产化方面。研究适用于云计算环境的PKI系统。研究移动互联环境下多种认证技术与PKI的结合。研发支持国产化平台的PKI体系。
研究任务5:基于数字证书的全流程认证追溯技术
针对目前业务流程中,缺少有效的认证追溯问题,研究立案、审判、执行各个环节中的认证追溯需求,研究基于数字证书的全流程认证和追溯技术,包括认证追溯、电子签名/签章服务、高性能签名验签服务、精确时间源等技术,利用PKI体系中私钥签名提供的抗抵赖性,为业务提供认证、电子签名、电子签章、签名验证等全方面的认证服务,从而支持业务系统实现全流程的认证和追溯。
(3)拟解决的重大科学问题或关键技术问题
关键技术1:智能的监测预警分析技术
本项目监测覆盖基础设施、应用系统、数据资源和信息安全,数据源空前丰富,需要在异构的跨平台的数据中发现问题,实现及时准确的预警。关键技术在于实现高灵活性的预警阈值的定义,实现对上下文条件和监测粒度的设置,能够识别问题的严重等级,并且对造成该问题的原因进行分析。根据对日常信息系统的历史运行数据的分析,发现异常情况,并对问题的发展趋势进行预测。
关键技术2:跨域的协同应急处置技术
本项目所监测的法院信息化基础设施涉及三个云环境五个专网,面临跨域网络攻击的威胁。对于监测到的网络攻击威胁,首先进行溯源和定位,重构网络入侵路径,所涉及的关键技术为发现作为跳板机的中间节点。然后根据网络拓扑、安全设备功能上的配合和部署位置,实现多层次的网络阻断,从而降低和消除网络入侵威胁。
关键技术3:多种认证技术与PKI结合的统一身份认证
利用PKI技术,可以建立一套自顶向下的统一身份认证,满足身份认证、签名(抗抵赖)、加密/密钥协商等安全需求。但传统的PKI一般都使用 USBKey,这种方式在其他场景,特别是移动专网中不太适合;而基于生物特征的认证技术,如指纹认证、人脸识别,虽然方便,但无法提供签名、加密等功能,所以二者如何有效结合是关键技术,包括:在移动场景下便于使用的、安全性高的私钥保护机制;将指纹认证、人脸识别等认证技术的易用性,与PKI的高安全、抗抵赖特性,二者有效结合,并支持以后扩展接入更多认证方式。
关键技术4:基于数字证书的全流程认证追溯
本项目范围涵盖法院从立案、审判到执行的各个环节与流程,需要保障这些流程中便捷地使用各种方式的认证功能。这方面关键技术包括:支持多平台的、基于服务的认证技术;结合认证追溯、电子签名/签章服务、高性能签名验签服务、精确时间源等方面的全流程认证追溯支撑。
(4)考核指标及评测手段/方法
功能指标:
1)动态全覆盖的运维监测预警技术,形成动态全覆盖的运维监测预警技术方案1套;支持对基础设施、应用系统、数据资源和信息安全4种类型的运维数据的监测预警;
2)全要素可视化的运维管理支撑技术,形成全要素可视化的运维管理支撑技术方案1套,支持对运维对象、运维过程、运维质效、应用成效等至少4类要素的可视化;
3)形成动态全覆盖的法院信息系统运维管理平台1套,支持审判信息资源质量管理、法院信息系统运行数据和运行态势智能分析、系统运行故障主动预警和定位、突发情况应急响应等不少于4类体系的监管功能;
4)集中统一的应急处置技术,形成集中统一的应急处置技术方案1套,支持纵向跨层级和横向跨专网的协同联动处置;构建支持跨域威胁处置的应急预案库,协同联动的应急预案大于40条。
5)跨层级跨平台的统一身份认证技术,制定跨层级跨平台的统一身份认证技术方案1套,支持法院4级管理层级,支持移动端、云计算和国产化等环境,支持指纹认证、人脸识别等至少2类认证方式和PKI结合的统一身份认证。
6)基于数字证书的全流程认证追溯技术,制定基于数据证书的全流程认证追溯技术方案,支持对审判流程中立案、审判、执行3个典型环节的认证追溯。
性能指标:
1)动态全覆盖的运维监测预警技术,事件告警准确率≥95%,漏报率≤10%;
2)全要素可视化的运维管理支撑技术,最大事件处理能力达到20,000条/分钟,事件反应速度≤5秒。
标准规范指标:
提交《统一身份认证技术要求FYB/T 52007-2017》修订版草案1份;
知识产权指标:
受理技术发明专利2件,获得软件著作权3项,发表论文2篇。
测评手段/方法:
1)系统原型通过第三方软件测评机构测试报告评测,技术方案提供文本;
2)行业标准的修订通过向专业标准化技术归口单位提交报批稿
3)知识产权指标的评测通过专利受理通知书、软件著作权证书、论文收录证明。
(5)参加单位任务分工
上海鹏越惊虹信息技术发展有限公司:课题牵头单位,负责动态全覆盖的运维监测预警技术研究;全要素可视化的运维管理支撑技术研究;统一集中的应急处置技术研究;研发动态全覆盖的法院信息系统运维管理平台;发表论文2篇,获得软件著作权2项,受理技术发明专利1件。
上海格尔软件股份有限公司:负责全网统一身份认证技术研究和原型系统建设,研究基于数据证书的全流程认证追溯。获得软件著作权1项,受理技术发明专利1件。提交《统一身份认证技术要求FYB/T 52007-2017》修订版草案1份。