一、方案背景
政务信息资源的共享与交换平台是建立一种体系,建立信息交换、信息共享的一种机制,是一种新型的政务模式,是重大的政务信息化工程。整个平台具有以下特点:
(1)用户来源多样化:包括政府机关的各级工作人员;
(2)数据资源数量众多,覆盖范围广:可能涉及所有政府机关的重要信息资源,包括人口、法人、空间和自然资源以及经济社会等很多重要基础信息数据库及其应用;
(3)信息访问受控要求高:敏感信息比较多,需按国家相关法律、法规,严格控制使用范围;
(4)整个应用环境比较复杂:系统的技术架构、开发环境等千差万别。
二、需求分析
为保证这些重要政务信息资源在共享与交换中的安全性,迫切需要解决以下几方面的问题:
(1)如何保证各级领导及工作人员实现安全有效的身份认证?
(2)如何实现多级平台各节点之间的协同认证及用户管理?
(3)如何为所有用户分配适当权限,并有效地加以管理和控制?
(4)如何解决由于历史原因,缺少整体规划而造成的应用系统之间普遍缺乏标准化的数据接口定义问题?
这些都成为了平台是否能够顺利建成,并投入运行的核心安全问题。
三、方案简介
北京数字认证中心针对资源共享与交换应用中面临的身份认证和访问授权等问题,提出了完整的应用安全解决方案。如下图所示:
(1)统一制定平台身份编码规范,包括人员、单位、角色等,实现整个平台范围内用户标识的一致性,为支持全平台范围内的统一用户管理及信息同步共享奠定基础;
(2)实现以CA安全认证为基础的统一身份认证管理机制,在平台中实现用户数字身份的实名制认证,并支持单点登录,多点漫游;
(3)实现多级授权管理,将管理员纳入基于角色的授权管理体系中,各级管理员依据其角色,严格限于管理所分配的对象(部门、人员、系统、角色),体现了最小化授权原则;
(4)实现平台中多个节点之间的协同认证,在可靠管理前提下实现单点登录票据的互信互认,最终达到“协同认证、一次登录”的目标,从而有效解决平台在各级节点的全面推广应用中,所面临的身份管理整合及登录认证整合问题。
(5)采用业界主流的标准WebService方式,实现平台中用户、部门、角色等基础身份信息与各个应用系统之间的同步与共享,以及各级认证节点之间的用户信息同步与共享,从而构建全平台统一的、符合标准规范的基准身份信息库。
四、产品清单
- 北京政务数字证书
- 统一认证管理系统
- Web信息安全系统