安全认证系统建设需求.docVIP

安全身份认证系统建设需求 1.概述 信息安全性是电子政务正常运作的基本支撑点。要保证政务系统的信息安全，需要在身份识别、授权、访问控制、加密信息传输、真实性/唯一性验证、跟踪审计等方面确定一个完整的服务架构。 1.1电子政务系统对安全性的需求 在电子政务系统的安全保障问题上，可以分解为如下几个具体的需求层面： 1、为每个工作在电子政务系统中的工作人员以及关键服务器设备，配置一个唯一性的电子标识，以确定其唯一性的身份。 2、进入电子政务系统（除部分公开的网站栏目外）均需接受身份验证，只有验证通过的用户才能进入系统，传输敏感数据的通讯设备也需经过身份验证。 3、整个电子政务系统中的信息资源，包括内部办公系统、综合业务管理信息系统、网上审批工作系统、基础数据库系统、以及外网门户网站上的信息资源等，均工作在一个统一架构的访问控制系统下，该访问控制系统将以一致的规则，控制对具体信息资源的访问。 4、在电子政务系统中传送的敏感信息，如用户密码、授权指令、绝密文件等，均使用加密传输方式，对重要绝密文件均采用加密保存。 5、以数字签名方式实现对网上签名、网上签章和网上提供的图片、文字等资料的真实性、唯一性验证。 6、在一些重要决策系统中，如审批工作系统、档案系统、文件系统以及授权管理系统等，建立跟踪审计机制，对用户的操作进行跟踪审计。 1.2安全认证系统实现的目标 基于PKI基础框架上的公共密钥管理体系结构在技术上能够解决开放环境下（如互联网环境）个人身份确认、信息完整性与真实性签别以及数据必威体育官网网址传输与存储。在电子政务系统中，将以省级为中心建立集中的认证中心，负责为每个相关人员和设备颁发电子证书，构造一个服务于各个部门的、以电子身份识别验证为基础的公共安全体系。 安全认证系统是为应用系统服务的，其目的是能全方位地保证应用系统的信息安全。安全认证系统的设计目标主要是： 建立完整的认证体系, 保证网上用户身份的真实性和唯一性。 2、建立严格的访问控制体系,保证网上用户身份的合法性。 3、建立必威体育官网网址通信体制，确保传输信息的完整性和机密性。 4、建立数据加密和数字签名体系，确保数据资源安全。 5、建立完善的审计制度，具有严密的跟踪审计功能和分析处理能力。 2.安全认证系统结构 安全认证系统由用户管理系统和应用认证服务等部分构成。本节对安全认证系统各个部分的结构分别进行简要说明。 安全认证系统的总体结构如下图所示： 在上图中，用户管理服务器、OCSP服务器、LDAP服务器和监控与审计终端构成用户管理系统， 安全认证中心布署在省局电子政务网络数据中心，与服务器群及应用终端个人身份载体构成完整的访问控制体系，实现访问控制和数据安全传输。 3.功能要求 1、与应用系统进行整合 要求安全身份认证系统提供应用开发接口，进行原应用系统权限管理模块的改造，并且要保证不影响目前应用系统的运行。应用系统包括：（1）办公自动化系统；（2）门户网站；（3）网上审批系统；（4）综合业务管理系统；（5）基础信息资源库系统。 2、安全身份认证系统的功能模块要求 （1）统一用户管理平台 要求建立全省统一的用户管理平台，用户信息基于统一的身份字段格式，放置于省局LDAP服务器上，可在全系统内进行公布，并且可以使用此管理平台，对用户信息进行新增、修改或者删除等功能。 要求统一的用户管理平台可以自动同步用户信息到省、市、县应用系统的用户信息表中，以便即时更新其通讯录信息。 （2）统一权限管理平台 要求提供统一的权限管理平台，目前应用系统的权限管理模块都可以融入此平台，即在此平台维护权限信息（包括菜单权限、功能权限、系统权限等）后，可以将此信息自动同步到省局、市局、县局的应用系统权限管理模块中。 （3）电子证书管理服务 可以颁发的电子证书包括两类，一类是关键应用服务器的证书；一类是用户的证书。功能包括：新建证书、修改证书内容、黑名单。证书应按X509标准编制，按DER格式进行编码。 （4）数据加密 加密算法保存于安全认证服务器上，可保留一至多套算法，用于在传输必威体育官网网址数据时进行加解密。 （5）单点登录 可以提供统一的用户登录入口，以电子证书或者用户名/密码机制登录时，可以在集成的界面上选择进入哪个应用系统，保留与各应用系统的权限入口。 （6）监控 可监控访问各应用、各服务器的操作记录，以保证设备及数据的安全。 3、与其它部门安全认证系统的接口 安全身份认证系统应该基于国际标准进行开发，以预留与其它部门安全认证系统交叉认证服务。 4.系统配置要求 1、要求基于PKI基础框架上的公共密钥管理体系； 2、LDAP服务器要求基于开放体系结构的Netscape Server products； 3、操作系统支持windows 200