孫毅

摘要：電子政務(wù)在政府提高行政效率、推動職能轉(zhuǎn)變方面發(fā)揮了重要作用，其應(yīng)用系統(tǒng)的網(wǎng)絡(luò)安全問題也越來越重要。該文闡述了江蘇省發(fā)改委通過身份認(rèn)證系統(tǒng)的建設(shè)，提升了其電子政務(wù)平臺網(wǎng)絡(luò)和系統(tǒng)的安全性。

關(guān)鍵詞：身份認(rèn)證;數(shù)字證書;PKl技術(shù);電子政務(wù)

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2019）34-0263-01

近年來隨著我國電子政務(wù)的飛速發(fā)展，信息系統(tǒng)的安全問題日益重要。中共中央辦公廳在《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》中明確提出要“加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)，要建立協(xié)調(diào)管理機(jī)制，規(guī)范和加強(qiáng)以身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定等為主要內(nèi)容的網(wǎng)絡(luò)信任體系建設(shè)”。

江蘇省電子政務(wù)江蘇省發(fā)展和改革委員會（以下簡稱省發(fā)改委），是研究擬訂經(jīng)濟(jì)和社會發(fā)展政策、指導(dǎo)經(jīng)濟(jì)體制改革的綜合經(jīng)濟(jì)調(diào)節(jié)部門，電子政務(wù)平臺建設(shè)早、發(fā)展快，其相應(yīng)的業(yè)務(wù)系統(tǒng)無論服務(wù)公眾或是對內(nèi)辦公，都發(fā)揮了重要作用。為了能夠進(jìn)一步提高業(yè)務(wù)系統(tǒng)安全性，遂依托省電子政務(wù)外網(wǎng)的電子認(rèn)證基礎(chǔ)設(shè)施，建設(shè)省發(fā)政委的應(yīng)用安全認(rèn)證系統(tǒng)。

1 建設(shè)環(huán)境

目前江蘇省電子政務(wù)外網(wǎng)及業(yè)務(wù)系統(tǒng)已開展建設(shè)，作為基礎(chǔ)性支撐系統(tǒng)的電子認(rèn)證體系，也將完成部署，為網(wǎng)絡(luò)、應(yīng)用系統(tǒng)提供可靠的安全保障。江蘇省電子政務(wù)外網(wǎng)電子認(rèn)證基礎(chǔ)設(shè)施包含電子認(rèn)證服務(wù)中心、電子認(rèn)證發(fā)證中心、安全認(rèn)證網(wǎng)關(guān)以及移動辦公身份認(rèn)證建設(shè)等方面，統(tǒng)一用戶管理系統(tǒng)包含統(tǒng)一用戶管理、統(tǒng)一授權(quán)管理及目錄服務(wù)等。

省發(fā)改委的“陽光發(fā)改”平臺于2013年開通，2015年移動辦公平臺上線，在“互聯(lián)網(wǎng)+電子政務(wù)”移動端應(yīng)用方面進(jìn)行了初步嘗試。目前應(yīng)用系統(tǒng)采用的是“用戶名+弱口令”方式，這種認(rèn)證模式存在極大的隱患：口令一旦丟失，系統(tǒng)將完全暴露在使用者面前，系統(tǒng)中所涉及的密級文件和敏感信息將被使用者一覽無余;系統(tǒng)日志也將形同虛設(shè)，賬號持有者也會以密碼丟失為由，任何操作都可以被抵賴;后臺系統(tǒng)需要維護(hù)大量的用戶口令列表并負(fù)責(zé)口令的保存安全，管理起來相當(dāng)困難。

針對以上隱患，省發(fā)改委業(yè)務(wù)系統(tǒng)需要建立一套安全可信的認(rèn)證系統(tǒng)，為日常辦公或外出使用手機(jī)端的本單位用戶提供統(tǒng)一、安全的身份認(rèn)證服務(wù)，以滿足應(yīng)用保護(hù)、身份鑒別、訪問控制等需求。并能夠與省電子政務(wù)外網(wǎng)電子認(rèn)證基礎(chǔ)設(shè)施信任體系對接.保障體系一致。

2 系統(tǒng)建設(shè)

系統(tǒng)應(yīng)用以PKI體系為基礎(chǔ)，結(jié)合相應(yīng)的管理軟件，針對省發(fā)改委用戶、互聯(lián)網(wǎng)接人用戶、專線接入用戶進(jìn)行針對性的身份鑒別，整體提升本單位業(yè)務(wù)系統(tǒng)在身份認(rèn)證、訪問控制方面的安全性。

省發(fā)改委業(yè)務(wù)系統(tǒng)的身份認(rèn)證建設(shè)包含四個部分內(nèi)容：

（1）數(shù)字證書的申請、發(fā)放與管理。省發(fā)改委用戶的數(shù)字證書由省電子政務(wù)外網(wǎng)電子認(rèn)證發(fā)證中心實現(xiàn)證書的申請、發(fā)放與管理。數(shù)字證書在RA系統(tǒng)申請通過后由用戶下載至US-BKey中，用戶每人均持有綁定了數(shù)字證書的USBKey。

（2）基于數(shù)字證書實現(xiàn)應(yīng)用的身份認(rèn)證。在訪問應(yīng)用系統(tǒng)時，將本人的USBKey插入本地計算機(jī)USB接口中，通過安全認(rèn)證網(wǎng)關(guān)實現(xiàn)應(yīng)用系統(tǒng)的數(shù)字證書身份鑒別。移動用戶通過申請下載軟證書至自己的移動設(shè)備中，由安全認(rèn)證網(wǎng)關(guān)實現(xiàn)應(yīng)用系統(tǒng)訪問的身份鑒別。

安全認(rèn)證架構(gòu)如下：

在省發(fā)改委信息系統(tǒng)劃分應(yīng)用認(rèn)證服務(wù)區(qū)和移動辦公認(rèn)證服務(wù)區(qū)。應(yīng)用認(rèn)證服務(wù)區(qū)部署兩臺安全認(rèn)證網(wǎng)關(guān)，采取雙機(jī)部署模式，提高應(yīng)用身份認(rèn)證的可靠性，為單位內(nèi)部用戶訪問本單位業(yè)務(wù)系統(tǒng)提供身份鑒別、訪問控制等;移動辦公認(rèn)證服務(wù)區(qū)部署一臺安全認(rèn)證網(wǎng)關(guān)、移動終端制證系統(tǒng)和移動終端證書中間件系統(tǒng)。整合VPN接口、移動終端數(shù)字證書發(fā)放體系、身份認(rèn)證體系，形成統(tǒng)一的APP，為單位移動辦公用戶提供身份鑒別、訪問控制。

（3）省發(fā)改委信息系統(tǒng)與省政務(wù)外網(wǎng)的邊界安全，除了已部署的一臺網(wǎng)閘，需要在此基礎(chǔ)上增設(shè)一臺安全綜合網(wǎng)關(guān)，實現(xiàn)訪問控制、入侵防御及防病毒。

（4）應(yīng)用系統(tǒng)與安全認(rèn)證網(wǎng)關(guān)的對接。省發(fā)改委可依托省電子政務(wù)外網(wǎng)統(tǒng)一用戶管理平臺，并對現(xiàn)有應(yīng)用系統(tǒng)的用戶進(jìn)行梳理，與統(tǒng)一用戶管理平臺數(shù)據(jù)進(jìn)行對接，并提供數(shù)據(jù)的接口。通過目錄服務(wù)實現(xiàn)“一次登錄，全網(wǎng)通行”實現(xiàn)部門、用戶關(guān)系的角色管理和分級管理機(jī)制，管理員可以管理自己單位的部門、用戶等相關(guān)信息;通過與其他組件的協(xié)同，實現(xiàn)統(tǒng)一身份認(rèn)證、單點登錄、用戶資源授權(quán)訪問。

3 應(yīng)用分析

省發(fā)改委的業(yè)務(wù)系統(tǒng)有工作流控制，每步的責(zé)任要具體落實到個人，身份認(rèn)證系統(tǒng)的建設(shè)，對委系統(tǒng)的安全性提供了更可靠的保障。

（1）提高本委用戶賬號的安全性

用戶在操作系統(tǒng)時必須插入USBKey，輸入PIN碼后，系統(tǒng)會將輸入的PIN碼與USBKey中的PIN碼進(jìn)行比對，如果兩者不同，那么系統(tǒng)拒絕登陸，用戶名、密碼在傳輸時被監(jiān)聽和截獲的可能性幾乎為零。即便PIN碼泄露，但如果沒有Key -樣無法登陸系統(tǒng)。移動端辦公的用戶，在移動設(shè)備丟失后及時向管理員報備，可以廢止其移動端的證書，并通過后臺系統(tǒng)對辦公APP進(jìn)行資料清除。

（2）減少登陸多系統(tǒng)的煩瑣、簡化了工作程序

委里系統(tǒng)繁多，每個系統(tǒng)都有一套自己的賬號，將身份認(rèn)證系統(tǒng)集成入統(tǒng)一認(rèn)證平臺，減少了逐個登陸各平臺的煩瑣，也減少了用戶的操作步驟，大大提高了工作效率。

（3）規(guī)范了賬號的身份管理

身份認(rèn)證系統(tǒng)應(yīng)用前，部分用戶因為出差或者操作不熟練常會把賬號交給他人來操作，最終導(dǎo)致賬號被很多人知曉，一旦出問題將難以追責(zé)。系統(tǒng)應(yīng)用后，嚴(yán)格遵循一人一 Key的管理模式，誰操作誰負(fù)責(zé)，有效減少了操作抵賴，有效消除了多人共用賬號的問題。

4 結(jié)束語

網(wǎng)絡(luò)身份認(rèn)證技術(shù)的廣泛運用，其運算能力和易用性也將不斷提高。隨著江蘇省電子政務(wù)外網(wǎng)建設(shè)和部署的不斷完善，將會為電子政務(wù)平臺的運行提供更可靠的安全保障。

【通聯(lián)編輯：代影】