论文部分内容阅读
摘要:电子政务在政府提高行政效率、推动职能转变方面发挥了重要作用,其应用系统的网络安全问题也越来越重要。该文阐述了江苏省发改委通过身份认证系统的建设,提升了其电子政务平台网络和系统的安全性。
关键词:身份认证;数字证书;PKl技术;电子政务
中图分类号:TP311 文献标识码:A
文章编号:1009-3044(2019)34-0263-01
近年来随着我国电子政务的飞速发展,信息系统的安全问题日益重要。中共中央办公厅在《国家信息化领导小组关于加强信息安全保障工作的意见》中明确提出要“加强以密码技术为基础的信息保护和网络信任体系建设,要建立协调管理机制,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设”。
江苏省电子政务江苏省发展和改革委员会(以下简称省发改委),是研究拟订经济和社会发展政策、指导经济体制改革的综合经济调节部门,电子政务平台建设早、发展快,其相应的业务系统无论服务公众或是对内办公,都发挥了重要作用。为了能够进一步提高业务系统安全性,遂依托省电子政务外网的电子认证基础设施,建设省发政委的应用安全认证系统。
1 建设环境
目前江苏省电子政务外网及业务系统已开展建设,作为基础性支撑系统的电子认证体系,也将完成部署,为网络、应用系统提供可靠的安全保障。江苏省电子政务外网电子认证基础设施包含电子认证服务中心、电子认证发证中心、安全认证网关以及移动办公身份认证建设等方面,统一用户管理系统包含统一用户管理、统一授权管理及目录服务等。
省发改委的“阳光发改”平台于2013年开通,2015年移动办公平台上线,在“互联网 电子政务”移动端应用方面进行了初步尝试。目前应用系统采用的是“用户名 弱口令”方式,这种认证模式存在极大的隐患:口令一旦丢失,系统将完全暴露在使用者面前,系统中所涉及的密级文件和敏感信息将被使用者一览无余;系统日志也将形同虚设,账号持有者也会以密码丢失为由,任何操作都可以被抵赖;后台系统需要维护大量的用户口令列表并负责口令的保存安全,管理起来相当困难。
针对以上隐患,省发改委业务系统需要建立一套安全可信的认证系统,为日常办公或外出使用手机端的本单位用户提供统一、安全的身份认证服务,以满足应用保护、身份鉴别、访问控制等需求。并能够与省电子政务外网电子认证基础设施信任体系对接.保障体系一致。
2 系统建设
系统应用以PKI体系为基础,结合相应的管理软件,针对省发改委用户、互联网接人用户、专线接入用户进行针对性的身份鉴别,整体提升本单位业务系统在身份认证、访问控制方面的安全性。
省发改委业务系统的身份认证建设包含四个部分内容:
(1)数字证书的申请、发放与管理。省发改委用户的数字证书由省电子政务外网电子认证发证中心实现证书的申请、发放与管理。数字证书在RA系统申请通过后由用户下载至US-BKey中,用戶每人均持有绑定了数字证书的USBKey。
(2)基于数字证书实现应用的身份认证。在访问应用系统时,将本人的USBKey插入本地计算机USB接口中,通过安全认证网关实现应用系统的数字证书身份鉴别。移动用户通过申请下载软证书至自己的移动设备中,由安全认证网关实现应用系统访问的身份鉴别。
安全认证架构如下:
在省发改委信息系统划分应用认证服务区和移动办公认证服务区。应用认证服务区部署两台安全认证网关,采取双机部署模式,提高应用身份认证的可靠性,为单位内部用户访问本单位业务系统提供身份鉴别、访问控制等;移动办公认证服务区部署一台安全认证网关、移动终端制证系统和移动终端证书中间件系统。整合VPN接口、移动终端数字证书发放体系、身份认证体系,形成统一的APP,为单位移动办公用户提供身份鉴别、访问控制。
(3)省发改委信息系统与省政务外网的边界安全,除了已部署的一台网闸,需要在此基础上增设一台安全综合网关,实现访问控制、入侵防御及防病毒。
(4)应用系统与安全认证网关的对接。省发改委可依托省电子政务外网统一用户管理平台,并对现有应用系统的用户进行梳理,与统一用户管理平台数据进行对接,并提供数据的接口。通过目录服务实现“一次登录,全网通行”实现部门、用户关系的角色管理和分级管理机制,管理员可以管理自己单位的部门、用户等相关信息;通过与其他组件的协同,实现统一身份认证、单点登录、用户资源授权访问。
3 应用分析
省发改委的业务系统有工作流控制,每步的责任要具体落实到个人,身份认证系统的建设,对委系统的安全性提供了更可靠的保障。
(1)提高本委用户账号的安全性
用户在操作系统时必须插入USBKey,输入PIN码后,系统会将输入的PIN码与USBKey中的PIN码进行比对,如果两者不同,那么系统拒绝登陆,用户名、密码在传输时被监听和截获的可能性几乎为零。即便PIN码泄露,但如果没有Key -样无法登陆系统。移动端办公的用户,在移动设备丢失后及时向管理员报备,可以废止其移动端的证书,并通过后台系统对办公APP进行资料清除。
(2)减少登陆多系统的烦琐、简化了工作程序
委里系统繁多,每个系统都有一套自己的账号,将身份认证系统集成入统一认证平台,减少了逐个登陆各平台的烦琐,也减少了用户的操作步骤,大大提高了工作效率。
(3)规范了账号的身份管理
身份认证系统应用前,部分用户因为出差或者操作不熟练常会把账号交给他人来操作,最终导致账号被很多人知晓,一旦出问题将难以追责。系统应用后,严格遵循一人一 Key的管理模式,谁操作谁负责,有效减少了操作抵赖,有效消除了多人共用账号的问题。
4 结束语
网络身份认证技术的广泛运用,其运算能力和易用性也将不断提高。随着江苏省电子政务外网建设和部署的不断完善,将会为电子政务平台的运行提供更可靠的安全保障。
【通联编辑:代影】
关键词:身份认证;数字证书;PKl技术;电子政务
中图分类号:TP311 文献标识码:A
文章编号:1009-3044(2019)34-0263-01
近年来随着我国电子政务的飞速发展,信息系统的安全问题日益重要。中共中央办公厅在《国家信息化领导小组关于加强信息安全保障工作的意见》中明确提出要“加强以密码技术为基础的信息保护和网络信任体系建设,要建立协调管理机制,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设”。
江苏省电子政务江苏省发展和改革委员会(以下简称省发改委),是研究拟订经济和社会发展政策、指导经济体制改革的综合经济调节部门,电子政务平台建设早、发展快,其相应的业务系统无论服务公众或是对内办公,都发挥了重要作用。为了能够进一步提高业务系统安全性,遂依托省电子政务外网的电子认证基础设施,建设省发政委的应用安全认证系统。
1 建设环境
目前江苏省电子政务外网及业务系统已开展建设,作为基础性支撑系统的电子认证体系,也将完成部署,为网络、应用系统提供可靠的安全保障。江苏省电子政务外网电子认证基础设施包含电子认证服务中心、电子认证发证中心、安全认证网关以及移动办公身份认证建设等方面,统一用户管理系统包含统一用户管理、统一授权管理及目录服务等。
省发改委的“阳光发改”平台于2013年开通,2015年移动办公平台上线,在“互联网 电子政务”移动端应用方面进行了初步尝试。目前应用系统采用的是“用户名 弱口令”方式,这种认证模式存在极大的隐患:口令一旦丢失,系统将完全暴露在使用者面前,系统中所涉及的密级文件和敏感信息将被使用者一览无余;系统日志也将形同虚设,账号持有者也会以密码丢失为由,任何操作都可以被抵赖;后台系统需要维护大量的用户口令列表并负责口令的保存安全,管理起来相当困难。
针对以上隐患,省发改委业务系统需要建立一套安全可信的认证系统,为日常办公或外出使用手机端的本单位用户提供统一、安全的身份认证服务,以满足应用保护、身份鉴别、访问控制等需求。并能够与省电子政务外网电子认证基础设施信任体系对接.保障体系一致。
2 系统建设
系统应用以PKI体系为基础,结合相应的管理软件,针对省发改委用户、互联网接人用户、专线接入用户进行针对性的身份鉴别,整体提升本单位业务系统在身份认证、访问控制方面的安全性。
省发改委业务系统的身份认证建设包含四个部分内容:
(1)数字证书的申请、发放与管理。省发改委用户的数字证书由省电子政务外网电子认证发证中心实现证书的申请、发放与管理。数字证书在RA系统申请通过后由用户下载至US-BKey中,用戶每人均持有绑定了数字证书的USBKey。
(2)基于数字证书实现应用的身份认证。在访问应用系统时,将本人的USBKey插入本地计算机USB接口中,通过安全认证网关实现应用系统的数字证书身份鉴别。移动用户通过申请下载软证书至自己的移动设备中,由安全认证网关实现应用系统访问的身份鉴别。
安全认证架构如下:
在省发改委信息系统划分应用认证服务区和移动办公认证服务区。应用认证服务区部署两台安全认证网关,采取双机部署模式,提高应用身份认证的可靠性,为单位内部用户访问本单位业务系统提供身份鉴别、访问控制等;移动办公认证服务区部署一台安全认证网关、移动终端制证系统和移动终端证书中间件系统。整合VPN接口、移动终端数字证书发放体系、身份认证体系,形成统一的APP,为单位移动办公用户提供身份鉴别、访问控制。
(3)省发改委信息系统与省政务外网的边界安全,除了已部署的一台网闸,需要在此基础上增设一台安全综合网关,实现访问控制、入侵防御及防病毒。
(4)应用系统与安全认证网关的对接。省发改委可依托省电子政务外网统一用户管理平台,并对现有应用系统的用户进行梳理,与统一用户管理平台数据进行对接,并提供数据的接口。通过目录服务实现“一次登录,全网通行”实现部门、用户关系的角色管理和分级管理机制,管理员可以管理自己单位的部门、用户等相关信息;通过与其他组件的协同,实现统一身份认证、单点登录、用户资源授权访问。
3 应用分析
省发改委的业务系统有工作流控制,每步的责任要具体落实到个人,身份认证系统的建设,对委系统的安全性提供了更可靠的保障。
(1)提高本委用户账号的安全性
用户在操作系统时必须插入USBKey,输入PIN码后,系统会将输入的PIN码与USBKey中的PIN码进行比对,如果两者不同,那么系统拒绝登陆,用户名、密码在传输时被监听和截获的可能性几乎为零。即便PIN码泄露,但如果没有Key -样无法登陆系统。移动端办公的用户,在移动设备丢失后及时向管理员报备,可以废止其移动端的证书,并通过后台系统对办公APP进行资料清除。
(2)减少登陆多系统的烦琐、简化了工作程序
委里系统繁多,每个系统都有一套自己的账号,将身份认证系统集成入统一认证平台,减少了逐个登陆各平台的烦琐,也减少了用户的操作步骤,大大提高了工作效率。
(3)规范了账号的身份管理
身份认证系统应用前,部分用户因为出差或者操作不熟练常会把账号交给他人来操作,最终导致账号被很多人知晓,一旦出问题将难以追责。系统应用后,严格遵循一人一 Key的管理模式,谁操作谁负责,有效减少了操作抵赖,有效消除了多人共用账号的问题。
4 结束语
网络身份认证技术的广泛运用,其运算能力和易用性也将不断提高。随着江苏省电子政务外网建设和部署的不断完善,将会为电子政务平台的运行提供更可靠的安全保障。
【通联编辑:代影】