張利娟

北京時(shí)代凌宇科技股份有限公司 北京 100045

經(jīng)過十余年的建設(shè)，業(yè)務(wù)系統(tǒng)在為用戶提供方便的同時(shí)，也顯現(xiàn)出較多棘手的問題。首先，業(yè)務(wù)系統(tǒng)數(shù)量多，功能分散，業(yè)務(wù)系統(tǒng)管理難度大；其次，用戶數(shù)量增加，信息安全問題愈加突出；第三，技術(shù)支撐團(tuán)隊(duì)多，運(yùn)維難度大。

政務(wù)信息化業(yè)務(wù)系統(tǒng)一般包括三類，即面向內(nèi)部人員使用的日常辦公系統(tǒng)；面向公眾使用的業(yè)務(wù)辦理系統(tǒng)；面向城市管理、執(zhí)法監(jiān)督等領(lǐng)域的專業(yè)系統(tǒng)。所以，就出現(xiàn)用戶需要記錄多個(gè)系統(tǒng)、多個(gè)賬號(hào)的情況；賬號(hào)有可能是手機(jī)號(hào)、數(shù)字、字母等不同形式，記憶難度大。對(duì)于業(yè)務(wù)系統(tǒng)管理部門來說，常常面臨的是，多個(gè)業(yè)務(wù)系統(tǒng)，多套數(shù)據(jù)源，用戶信息數(shù)據(jù)需要多個(gè)位置更新，或更新時(shí)效不及時(shí)等各種情況，因此，如何解決用戶統(tǒng)一管理、統(tǒng)一登錄的問題，將成為提升政務(wù)信息化水平的關(guān)鍵技術(shù)。本文將研究從以下兩個(gè)方面，實(shí)現(xiàn)用戶管理與業(yè)務(wù)系統(tǒng)的統(tǒng)一認(rèn)證：

圖1 統(tǒng)一認(rèn)證系統(tǒng)

首先，需要對(duì)上圖中的人員管理系統(tǒng)A、系統(tǒng)B到E，進(jìn)行統(tǒng)一認(rèn)證改造，能夠?qū)崿F(xiàn)基于數(shù)字證書、手機(jī)號(hào)驗(yàn)證碼、用戶名密碼等的強(qiáng)身份認(rèn)證功能，但大部分系統(tǒng)仍然使用用戶名、密碼方式登錄，且所有業(yè)務(wù)系統(tǒng)都有各自一套獨(dú)立的賬號(hào)、認(rèn)證、授權(quán)和審計(jì)機(jī)制，并且由相應(yīng)的系統(tǒng)管理員負(fù)責(zé)維護(hù)和管理。各應(yīng)用系統(tǒng)分別管理所屬的系統(tǒng)資源和應(yīng)用資源，并為本系統(tǒng)的用戶分配權(quán)限，缺乏集中統(tǒng)一的資源授權(quán)管理平臺(tái)。另外，隨著用戶數(shù)量的增加，權(quán)限管理任務(wù)越來越重，系統(tǒng)的安全性無法得到充分保證。

從以上信息安全問題和現(xiàn)實(shí)需求出發(fā)，可考慮建設(shè)一套統(tǒng)一認(rèn)證管理平臺(tái)，實(shí)現(xiàn)包括賬戶管理、統(tǒng)一認(rèn)證、集中授權(quán)、透明審計(jì)及應(yīng)用管控在內(nèi)的全體系統(tǒng)防護(hù)功能，來解決不同信息系統(tǒng)的整體融合。

統(tǒng)一認(rèn)證和認(rèn)證管理平臺(tái)是面向不同用戶的應(yīng)用系統(tǒng)，構(gòu)建統(tǒng)一的信息系統(tǒng)訪問控制和管理平臺(tái)，通過對(duì)目前業(yè)務(wù)系統(tǒng)的用戶、組織機(jī)構(gòu)、應(yīng)用系統(tǒng)和各類應(yīng)用系統(tǒng)資源的規(guī)范化、標(biāo)準(zhǔn)化管理，在與各類已建業(yè)務(wù)應(yīng)用系統(tǒng)授權(quán)管理功能有效對(duì)接的基礎(chǔ)上，健全統(tǒng)一、靈活、多維度的門戶訪問控制機(jī)制，對(duì)應(yīng)用訪問權(quán)限進(jìn)行全流程監(jiān)管。

同時(shí)，統(tǒng)一認(rèn)證管理平臺(tái)可配合數(shù)字證書認(rèn)證登錄系統(tǒng)、電子簽章配套使用，為用戶提供了訪問門戶的集中認(rèn)證，并結(jié)合數(shù)字證書實(shí)現(xiàn)信任傳遞機(jī)制，從而實(shí)現(xiàn)單點(diǎn)登錄后的全網(wǎng)業(yè)務(wù)系統(tǒng)直接登錄服務(wù)及電子簽章服務(wù)[1]。

1 實(shí)現(xiàn)功能

1.1 賬戶管理

統(tǒng)一認(rèn)證管理平臺(tái)實(shí)現(xiàn)了不同應(yīng)用環(huán)境下的用戶身份管理，包括用戶基本信息管理、組織機(jī)構(gòu)信息管理、認(rèn)證憑證管理、賬號(hào)生命周期管理等功能，實(shí)現(xiàn)對(duì)原有應(yīng)用系統(tǒng)的用戶信息進(jìn)行整合，構(gòu)建完整、統(tǒng)一、可信的新用戶資源信息庫(kù)，可根據(jù)應(yīng)用需要進(jìn)行數(shù)據(jù)同步。

1.2 統(tǒng)一認(rèn)證

身份認(rèn)證服務(wù)為各應(yīng)用系統(tǒng)內(nèi)各類用戶提供身份信息注冊(cè)、憑證發(fā)布、用戶資料管理及銷毀、登錄認(rèn)證功能。同時(shí)支持口令方式和數(shù)字證書兩種方式的身份認(rèn)證機(jī)制。另外，系統(tǒng)應(yīng)具有擴(kuò)展接口，可快速實(shí)現(xiàn)其他身份憑證認(rèn)證模式。

1.3 統(tǒng)一授權(quán)

統(tǒng)一認(rèn)證平臺(tái)提供了針對(duì)各業(yè)務(wù)系統(tǒng)的信息資源管理、用戶角色定義和劃分、權(quán)限分配和管理、權(quán)限認(rèn)證等功能。權(quán)限管理主要是由管理員進(jìn)行資源分類配置、用戶角色定義及授權(quán)等操作；權(quán)限認(rèn)證主要是根據(jù)用戶身份對(duì)其進(jìn)行權(quán)限判斷，以決定該用戶是否具有訪問相應(yīng)資源的權(quán)限。

1.4 安全審計(jì)

本套系統(tǒng)對(duì)接入認(rèn)證的業(yè)務(wù)系統(tǒng)以及用戶提供安全審計(jì)功能，包括日志管理、日常審計(jì)、分組日志管理等功能，審計(jì)日志包括：序號(hào)、管理員名稱、操作類別、操作日期、操作描述。同時(shí)，日志內(nèi)容可以記錄用戶不成功登錄的信息，可以記錄用戶的重要業(yè)務(wù)操作行為，如：對(duì)用戶、角色的增加、刪除、修改和授權(quán)關(guān)系的調(diào)整等操作[2]。

1.5 應(yīng)用管理

統(tǒng)一認(rèn)證系統(tǒng)提供不同類別的應(yīng)用管理服務(wù)，并且可將應(yīng)用分為不同的類別，方便管理，并提供應(yīng)用管理界面，對(duì)應(yīng)用的授權(quán)方式、集成方式進(jìn)行管理。

2 應(yīng)用效果及總結(jié)

統(tǒng)一用戶管理及認(rèn)證平臺(tái)目前已經(jīng)在各領(lǐng)域大范圍采用，大大提升了多系統(tǒng)的登錄和管理便利性。主要表現(xiàn)在以下三方面：

（1）統(tǒng)一認(rèn)證平臺(tái)提供了集中統(tǒng)一的服務(wù)。目前，各個(gè)層級(jí)單位的電子政務(wù)信息系統(tǒng)，分屬不同的開發(fā)服務(wù)商、運(yùn)維團(tuán)隊(duì)，并且由于人員流動(dòng)性，系統(tǒng)運(yùn)維支撐力度參差不齊，用戶滿意度及系統(tǒng)使用體驗(yàn)得不到保證。針對(duì)新入職用戶，可以在統(tǒng)一認(rèn)證平臺(tái)管理授權(quán)后，就可實(shí)現(xiàn)所屬權(quán)限內(nèi)執(zhí)法業(yè)務(wù)系統(tǒng)的授權(quán)、登錄、訪問。

（2）統(tǒng)一認(rèn)證平臺(tái)實(shí)現(xiàn)了業(yè)務(wù)系統(tǒng)的全過程監(jiān)控。能夠檢測(cè)到不同業(yè)務(wù)系統(tǒng)登錄狀態(tài)、訪問量、訪問高峰時(shí)段等各項(xiàng)數(shù)據(jù)，方便業(yè)務(wù)部門及信息部門的日常管理，掌握系統(tǒng)使用情況。

（3）統(tǒng)一的服務(wù)支撐。該領(lǐng)域產(chǎn)品一般采用了標(biāo)準(zhǔn)的接口及調(diào)用協(xié)議，因此，可以實(shí)現(xiàn)不同情況下的系統(tǒng)接入擴(kuò)容，并且系統(tǒng)接入方式固定、方便，大大減少了二次開發(fā)的概率。

（4）系統(tǒng)融合。針對(duì)不同的業(yè)務(wù)系統(tǒng)，未使用統(tǒng)一認(rèn)證系統(tǒng)前，管理和使用十分分散，需要記錄每個(gè)業(yè)務(wù)系統(tǒng)的登錄網(wǎng)址、用戶名、密碼，使用體驗(yàn)特別不好。統(tǒng)一認(rèn)證平臺(tái)投入使用后，為所有用戶提供了所有業(yè)務(wù)系統(tǒng)登錄的統(tǒng)一入口，并避免多次輸入用戶名密碼信息，大大提升了業(yè)務(wù)系統(tǒng)的集成和融合[3]。

通過以上分析，電子政務(wù)信息可集成統(tǒng)一用戶管理和認(rèn)證平臺(tái)的建設(shè)和使用，大大推動(dòng)了電子政務(wù)信息系統(tǒng)的融合應(yīng)用。