孫毅

摘要：電子政務(wù)在政府提高行政效率、推動(dòng)職能轉(zhuǎn)變方面發(fā)揮了重要作用，其應(yīng)用系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越重要。該文闡述了江蘇省發(fā)改委通過(guò)身份認(rèn)證系統(tǒng)的建設(shè)，提升了其電子政務(wù)平臺(tái)網(wǎng)絡(luò)和系統(tǒng)的安全性。

關(guān)鍵詞：身份認(rèn)證;數(shù)字證書(shū);PKl技術(shù);電子政務(wù)

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）34-0263-01

近年來(lái)隨著我國(guó)電子政務(wù)的飛速發(fā)展，信息系統(tǒng)的安全問(wèn)題日益重要。中共中央辦公廳在《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》中明確提出要“加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)，要建立協(xié)調(diào)管理機(jī)制，規(guī)范和加強(qiáng)以身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定等為主要內(nèi)容的網(wǎng)絡(luò)信任體系建設(shè)”。

江蘇省電子政務(wù)江蘇省發(fā)展和改革委員會(huì)（以下簡(jiǎn)稱(chēng)省發(fā)改委），是研究擬訂經(jīng)濟(jì)和社會(huì)發(fā)展政策、指導(dǎo)經(jīng)濟(jì)體制改革的綜合經(jīng)濟(jì)調(diào)節(jié)部門(mén)，電子政務(wù)平臺(tái)建設(shè)早、發(fā)展快，其相應(yīng)的業(yè)務(wù)系統(tǒng)無(wú)論服務(wù)公眾或是對(duì)內(nèi)辦公，都發(fā)揮了重要作用。為了能夠進(jìn)一步提高業(yè)務(wù)系統(tǒng)安全性，遂依托省電子政務(wù)外網(wǎng)的電子認(rèn)證基礎(chǔ)設(shè)施，建設(shè)省發(fā)政委的應(yīng)用安全認(rèn)證系統(tǒng)。

1 建設(shè)環(huán)境

目前江蘇省電子政務(wù)外網(wǎng)及業(yè)務(wù)系統(tǒng)已開(kāi)展建設(shè)，作為基礎(chǔ)性支撐系統(tǒng)的電子認(rèn)證體系，也將完成部署，為網(wǎng)絡(luò)、應(yīng)用系統(tǒng)提供可靠的安全保障。江蘇省電子政務(wù)外網(wǎng)電子認(rèn)證基礎(chǔ)設(shè)施包含電子認(rèn)證服務(wù)中心、電子認(rèn)證發(fā)證中心、安全認(rèn)證網(wǎng)關(guān)以及移動(dòng)辦公身份認(rèn)證建設(shè)等方面，統(tǒng)一用戶(hù)管理系統(tǒng)包含統(tǒng)一用戶(hù)管理、統(tǒng)一授權(quán)管理及目錄服務(wù)等。

省發(fā)改委的“陽(yáng)光發(fā)改”平臺(tái)于2013年開(kāi)通，2015年移動(dòng)辦公平臺(tái)上線(xiàn)，在“互聯(lián)網(wǎng)+電子政務(wù)”移動(dòng)端應(yīng)用方面進(jìn)行了初步嘗試。目前應(yīng)用系統(tǒng)采用的是“用戶(hù)名+弱口令”方式，這種認(rèn)證模式存在極大的隱患：口令一旦丟失，系統(tǒng)將完全暴露在使用者面前，系統(tǒng)中所涉及的密級(jí)文件和敏感信息將被使用者一覽無(wú)余;系統(tǒng)日志也將形同虛設(shè)，賬號(hào)持有者也會(huì)以密碼丟失為由，任何操作都可以被抵賴(lài);后臺(tái)系統(tǒng)需要維護(hù)大量的用戶(hù)口令列表并負(fù)責(zé)口令的保存安全，管理起來(lái)相當(dāng)困難。

針對(duì)以上隱患，省發(fā)改委業(yè)務(wù)系統(tǒng)需要建立一套安全可信的認(rèn)證系統(tǒng)，為日常辦公或外出使用手機(jī)端的本單位用戶(hù)提供統(tǒng)一、安全的身份認(rèn)證服務(wù)，以滿(mǎn)足應(yīng)用保護(hù)、身份鑒別、訪(fǎng)問(wèn)控制等需求。并能夠與省電子政務(wù)外網(wǎng)電子認(rèn)證基礎(chǔ)設(shè)施信任體系對(duì)接.保障體系一致。

2 系統(tǒng)建設(shè)

系統(tǒng)應(yīng)用以PKI體系為基礎(chǔ)，結(jié)合相應(yīng)的管理軟件，針對(duì)省發(fā)改委用戶(hù)、互聯(lián)網(wǎng)接人用戶(hù)、專(zhuān)線(xiàn)接入用戶(hù)進(jìn)行針對(duì)性的身份鑒別，整體提升本單位業(yè)務(wù)系統(tǒng)在身份認(rèn)證、訪(fǎng)問(wèn)控制方面的安全性。

省發(fā)改委業(yè)務(wù)系統(tǒng)的身份認(rèn)證建設(shè)包含四個(gè)部分內(nèi)容：

（1）數(shù)字證書(shū)的申請(qǐng)、發(fā)放與管理。省發(fā)改委用戶(hù)的數(shù)字證書(shū)由省電子政務(wù)外網(wǎng)電子認(rèn)證發(fā)證中心實(shí)現(xiàn)證書(shū)的申請(qǐng)、發(fā)放與管理。數(shù)字證書(shū)在RA系統(tǒng)申請(qǐng)通過(guò)后由用戶(hù)下載至US-BKey中，用戶(hù)每人均持有綁定了數(shù)字證書(shū)的USBKey。

（2）基于數(shù)字證書(shū)實(shí)現(xiàn)應(yīng)用的身份認(rèn)證。在訪(fǎng)問(wèn)應(yīng)用系統(tǒng)時(shí)，將本人的USBKey插入本地計(jì)算機(jī)USB接口中，通過(guò)安全認(rèn)證網(wǎng)關(guān)實(shí)現(xiàn)應(yīng)用系統(tǒng)的數(shù)字證書(shū)身份鑒別。移動(dòng)用戶(hù)通過(guò)申請(qǐng)下載軟證書(shū)至自己的移動(dòng)設(shè)備中，由安全認(rèn)證網(wǎng)關(guān)實(shí)現(xiàn)應(yīng)用系統(tǒng)訪(fǎng)問(wèn)的身份鑒別。

安全認(rèn)證架構(gòu)如下：

在省發(fā)改委信息系統(tǒng)劃分應(yīng)用認(rèn)證服務(wù)區(qū)和移動(dòng)辦公認(rèn)證服務(wù)區(qū)。應(yīng)用認(rèn)證服務(wù)區(qū)部署兩臺(tái)安全認(rèn)證網(wǎng)關(guān)，采取雙機(jī)部署模式，提高應(yīng)用身份認(rèn)證的可靠性，為單位內(nèi)部用戶(hù)訪(fǎng)問(wèn)本單位業(yè)務(wù)系統(tǒng)提供身份鑒別、訪(fǎng)問(wèn)控制等;移動(dòng)辦公認(rèn)證服務(wù)區(qū)部署一臺(tái)安全認(rèn)證網(wǎng)關(guān)、移動(dòng)終端制證系統(tǒng)和移動(dòng)終端證書(shū)中間件系統(tǒng)。整合VPN接口、移動(dòng)終端數(shù)字證書(shū)發(fā)放體系、身份認(rèn)證體系，形成統(tǒng)一的APP，為單位移動(dòng)辦公用戶(hù)提供身份鑒別、訪(fǎng)問(wèn)控制。

（3）省發(fā)改委信息系統(tǒng)與省政務(wù)外網(wǎng)的邊界安全，除了已部署的一臺(tái)網(wǎng)閘，需要在此基礎(chǔ)上增設(shè)一臺(tái)安全綜合網(wǎng)關(guān)，實(shí)現(xiàn)訪(fǎng)問(wèn)控制、入侵防御及防病毒。

（4）應(yīng)用系統(tǒng)與安全認(rèn)證網(wǎng)關(guān)的對(duì)接。省發(fā)改委可依托省電子政務(wù)外網(wǎng)統(tǒng)一用戶(hù)管理平臺(tái)，并對(duì)現(xiàn)有應(yīng)用系統(tǒng)的用戶(hù)進(jìn)行梳理，與統(tǒng)一用戶(hù)管理平臺(tái)數(shù)據(jù)進(jìn)行對(duì)接，并提供數(shù)據(jù)的接口。通過(guò)目錄服務(wù)實(shí)現(xiàn)“一次登錄，全網(wǎng)通行”實(shí)現(xiàn)部門(mén)、用戶(hù)關(guān)系的角色管理和分級(jí)管理機(jī)制，管理員可以管理自己?jiǎn)挝坏牟块T(mén)、用戶(hù)等相關(guān)信息;通過(guò)與其他組件的協(xié)同，實(shí)現(xiàn)統(tǒng)一身份認(rèn)證、單點(diǎn)登錄、用戶(hù)資源授權(quán)訪(fǎng)問(wèn)。

3 應(yīng)用分析

省發(fā)改委的業(yè)務(wù)系統(tǒng)有工作流控制，每步的責(zé)任要具體落實(shí)到個(gè)人，身份認(rèn)證系統(tǒng)的建設(shè)，對(duì)委系統(tǒng)的安全性提供了更可靠的保障。

（1）提高本委用戶(hù)賬號(hào)的安全性

用戶(hù)在操作系統(tǒng)時(shí)必須插入U(xiǎn)SBKey，輸入PIN碼后，系統(tǒng)會(huì)將輸入的PIN碼與USBKey中的PIN碼進(jìn)行比對(duì)，如果兩者不同，那么系統(tǒng)拒絕登陸，用戶(hù)名、密碼在傳輸時(shí)被監(jiān)聽(tīng)和截獲的可能性幾乎為零。即便PIN碼泄露，但如果沒(méi)有Key -樣無(wú)法登陸系統(tǒng)。移動(dòng)端辦公的用戶(hù)，在移動(dòng)設(shè)備丟失后及時(shí)向管理員報(bào)備，可以廢止其移動(dòng)端的證書(shū)，并通過(guò)后臺(tái)系統(tǒng)對(duì)辦公APP進(jìn)行資料清除。

（2）減少登陸多系統(tǒng)的煩瑣、簡(jiǎn)化了工作程序

委里系統(tǒng)繁多，每個(gè)系統(tǒng)都有一套自己的賬號(hào)，將身份認(rèn)證系統(tǒng)集成入統(tǒng)一認(rèn)證平臺(tái)，減少了逐個(gè)登陸各平臺(tái)的煩瑣，也減少了用戶(hù)的操作步驟，大大提高了工作效率。

（3）規(guī)范了賬號(hào)的身份管理

身份認(rèn)證系統(tǒng)應(yīng)用前，部分用戶(hù)因?yàn)槌霾罨蛘卟僮鞑皇炀毘?huì)把賬號(hào)交給他人來(lái)操作，最終導(dǎo)致賬號(hào)被很多人知曉，一旦出問(wèn)題將難以追責(zé)。系統(tǒng)應(yīng)用后，嚴(yán)格遵循一人一 Key的管理模式，誰(shuí)操作誰(shuí)負(fù)責(zé)，有效減少了操作抵賴(lài)，有效消除了多人共用賬號(hào)的問(wèn)題。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)身份認(rèn)證技術(shù)的廣泛運(yùn)用，其運(yùn)算能力和易用性也將不斷提高。隨著江蘇省電子政務(wù)外網(wǎng)建設(shè)和部署的不斷完善，將會(huì)為電子政務(wù)平臺(tái)的運(yùn)行提供更可靠的安全保障。

【通聯(lián)編輯：代影】