2022年电子政务一体化解决方案 .pdf

《2022年电子政务一体化解决方案 .pdf》由会员分享，可在线阅读，更多相关《2022年电子政务一体化解决方案 .pdf（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、电子政务一体化解决方案名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 17 页 - - - - - - - - - 目录1项目背景 . 32需求分析 . 32.1技术需求 . 32.2政策需求 . 43政务一体化项目整体建设方案 . 63.1项目建设思路. 63.2建设原则 . 63.3整体解决方案. 73.3.1方案设计 . 73.3.2技术架构设计 . 73.3.3安全支撑技术 . 144客户价值 . 174.1降低政策风险. 17名师资料总结 - - -精品资料欢迎

2、下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 17 页 - - - - - - - - - 1 项目背景随着网络安全上升到国家安全战略高度，各级领导非常重视整个国家的信息安全问题以及为其提供支撑的信息安全产业的发展问题。习近平总书记在2016年 10 月 9 日中央政治局集体学习中指出，各级领导干部要学网、懂网、用网。要加强关键信息基础设施安全保障，完善网络治理体系。要加大投入，加强信息基础设施建设。李克强总理在2016 年 9 月 14 日的国务院常务会议中指出，加快推进“互联网+政务服务”，建立健全电

3、子证照、电子公文、电子签章等标准规范，统一身份认证体系。实现部门间数据共享，让居民和企业少跑腿、好办事、不添堵。简除烦苛，禁察非法，使人民群众有更平等的机会和更大的创造空间。随着政府的网络基础建设不断完善和应用系统建设不断扩展，信息化建设大大促进了业务的加速发展以及规模的迅速扩大，更多的人员被纳入信息化环境。无论是网络系统还是业务系统和办公系统，都由人员承担着使用、管理、授权、应用、操作、运维等角色。因此对于真烦信息化而言，无论是应用还是管理，其最终的主体都是政府内外的人员。对于人员身份的集中管理在信息化及工业化发展中越发显得重要。只有加强对人员的集中管理，才能更好的实现信息化的综合管控。2

4、需求分析2.1 技术需求（1） 人员实体身份的统一标识、集中账户管理：需要通过安全有效的技术措施，对政府内外部人员身份进行统一标识，确保人员身份的唯一性。为建设以人为核心的可信身份管理平台，对整个政府的信息化系统集中管控奠定基础；（2） 推动信息系统集中管控：需要对政府各信息系统共联、共享，解决政府内部存在的信息孤岛。通过采用先进的技术措施，在不改变系统原有授权机制的基础上，实现政府各应用系统集中认证、 集中授权、集中账户、集中审计，用户身份的统一认证与管理、证书使用情况的统一监控和审计，解决人员在管理和操作上压力和无法实现多系统的共联、共享的问题；（3） 保证信息完整性、安全性、可靠性，确保

5、人员行为可追溯、抗抵赖：整个系统的建设名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 17 页 - - - - - - - - - 在实现政府信息化集中管控的同时需要采用相关的安全技术措施，确保政府各系统之间、应用和管理中确保信息的完整、安全、可靠，避免由于信息的融合和共享加剧政府信息化应用中的安全隐患；（4） 加强信息化技术标准建设： 遵循国际标准和国家标准， 制订符合政府特点的技术标准。加快信息代码、数据源定义、应用平台和业务流程等标准化建设。推进系统之间信息交换接口

6、的标准化，实现系统集成；（5） 加强信息化管理规范建设：建立健全的信息化管理规范体系，确立人员权责划分、管理流程、系统运行维护、安全和标准等管理办法及实施细则，促进管理规范的执行力度。在确保系统安全稳定运行的基础之上实现信息化的安全集中管控；（6） 采用的相关技术具有良好扩展性：在通过一系列的技术及管理方案，满足技术及管理需求的同时，还应具有良好的可扩展性。2.2 政策需求2016 年 9 月 25日 发布指导指南加快政务信息资源互认共享，推动服务事项跨地区远程办理、跨层级联动办理、跨部门协同办理，逐步形成全国一体化服务体系国务院办公厅组织编制国家“互联网+政务服务”技术体系建设指南，明确平台

7、架构，以及电子证照、统一身份认证、政务云、大数据应用等标准规范。2017 年 1 月 12日 发布通知名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 17 页 - - - - - - - - - 在建设指南中明确提出“打造线上线下融合、多级联动的政务服务平台体系。着力破解信息孤岛，建成网上统一身份认证体系、统一支付体系、统一电子证照库，推动跨部门、跨地区数据共享和业务协同；推动政务服务平台向基层延伸，促进实体办事大厅规范化建设，公众和企业办事网上直办、就近能办、同城通办、

8、异地可办。”建设统一身份认证体系已经上升到国家政务服务技术体系规范层面。构建群众办事统一身份认证体系。以身份证号为唯一标识，结合实名制，探索运用生物特征及网络身份识别等技术，联通整合实体政务服务大厅、政府网站、App、自助终端、热线电话等不同渠道的用户认证，实现群众办事多渠道的一次认证、多点互联、无缝切换。2018 年 7 月 31日 发布指导意见国家政务服务平台基于自然人身份信息、法人单位信息等国家认证资源，建设全国统一身份认证系统，积极稳妥与第三方机构开展网上认证合作，为各地区和国务院有关部门政务服务平台及移动端提供统一身份认证服务。各地区和国务院有关部门统一利用国家政务服务平台认证能力，

9、按照标准建设完善可信凭证和单点登录系统，解决企业和群众办事在不同地区和部门平台重复注册验证等问题，实现“一次认证、全网通办”。各地区各部门已建身份认证系统按照相关规范对接国家政务服务平台统一身份认证系统。网络安全法第二十四条，国家实施网络可信身份战略，推动不同电子身份认证之间的互认。第三十一条，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，在网络安全等级保护制度的基础上，实行重点保护。电子签名法通过电子签名法，确立数据电文的法律效力，确立电子签名的法律效力，以及规范电子签名行为。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - -

10、 - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 17 页 - - - - - - - - - 3 政务一体化项目整体建设方案3.1 项目建设思路（1） 面向社会公众用户提供多样化的接入方式，实现对社会公众的全面覆盖。面向公众、企业提供各种便捷的政务、公共服务应用。实现一号申请，一窗受理，一网通办提供统一、多样的认证方式，包括证书、动态口令、通行码、短信、手机令牌、扫码认证、指纹、刷脸等。（2） 面向政务部门用户打造政务外网平台，为政务部门提供“云、管、端”一体化的综合服务平台提供公共应用、数据交换、信息资源共享等增值服务政府与政府之间的交互业务，

11、包括内部业务提供政务服务过程中的电子数据存储3.2 建设原则（1） 可靠性与安全性原则在整个项目过程中，我们在软件设计、评估、实施等阶段保证系统具有高度的可靠性，系统设计采用成熟、稳定、可靠的软件技术，保证系统长期安全地运行。（2） 可行性和扩展性原则在保证现有应用系统能够顺利运行的情况下，还需考虑未来平台发展中其他应用系统的接入扩展。这一点需要考虑采用先进的系统架构和技术，便于系统的扩展，保证各个接入点的相对独立性。还要考虑与其它相关信息管理系统的衔接，以确保系统接口的扩展性。（3） 标准化和规范化原则标准化和规范化原则指本项目致力于协助平台标准组建立起一套较为完整科学的认证规范体系，并发布

12、相关的技术规范及指导性文件，为平台未来发展和其他应用系统的接入提供指导。（4） 先进性和科学性原则名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 17 页 - - - - - - - - - 在实用、可靠的前提下，本项目的建设应尽可能地跟踪国内外先进的软件开发平台和软件开发技术，使系统能够最大限度地适应技术发展变化的需要，以确保系统的先进性。3.3 整体解决方案3.3.1 方案设计电子政务一体化解决方案整体架构图如下所示：3.3.2 技术架构设计电子政务一体化平台解决方案

13、技术架构设计如下所示：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 17 页 - - - - - - - - - 在整体技术架构设计中，根据不同的服务能力，提供对应的系统，在提供身份管理能力我们可以实现多种认证方式，如证书、口令、短信和人脸等方式，通过提供不同的认证模式，这样让我们的服务更安全、合法，让认证变的更容易。在权限管理能下，政务网站一次登录，实现全网漫游，电子签约可以让用户办理业务更便捷，让执法更权威，通过客观、中立、权威的认证，让证据保全保持的证据可追溯、可

14、还原、可信赖。3.3.2.1 身份管理系统3.3.2.1.1多种身份认证方式认证方式采用插件机制，提供扩展接口，用户依据扩展接口做好实现并部署后，将接口实现相关信息，通过后台管理控制台进行配置，即可采用自定义认证方式进行登录。序号认证方式描述1 用户名口令用户名口令是最传统且最普遍的身份认证方法。用户的密码采用加密方式存储在目录服务中。用户提交凭证信息后，4A 系统将其发送至目录服务进行验证，如果验证通过， 系统依据权限允许用户后续的访问操作，否则将拒绝用户登录。2 证书认证数字证书是目前最常用身份认证的技术。数字证书技术是在PKI 体系基础上实现的， 用户不但可以通过数字证书完成身份认证，还

15、可以进一步进行安全加密， 数字签名等操作。 数字证书的存储方式非常灵活，数字证书可以被直接存储在PC硬盘中，也可以存储在智能卡或USB 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 17 页 - - - - - - - - - Key 中，后者支持多机同时使用，且安全性比PC机高。3 通行码认证通行码认证方式是一种利用临时凭证进行系统登录的安全认证方式。例如，针对全面启用数字证书认证后，当用户忘记携带USB-KEY时，可以向管理员申请通行码作为凭证，通行码支持以短信或者

16、邮件的方式发送给用户。通行码可以被禁用，也可以设定有效期，到达失效日期后自动失效。4 Windows 域认证Windows域认证是一种交互式登录方式。交互式登录是我们平常登录时最常见的类型，就是用户通过相应的用户账号(User Account) 和密码在本机进行登录。交互式登录包括“本地登录”和“域账号登录”， 而“本地登录”仅限于“本地账号登录”。通过终端服务和远程桌面登录主机， 可以看做“交互式登录”，其验证的原理是一样的。在交互式登录时，系统会首先检验登录的用户账号类型，是本地用户账号 (Local User Account) ，还是域用户账号(Domain User Account)

17、，再采用相应的验证机制。6 手机令牌以用户唯一标识（例如手机号）作为种子，时间因素作为变化因子，实现的令牌算法，令牌每30 秒进行一次刷新。7 生物识别（人脸、指纹、 声纹等）生物识别可通过生物识别库（如人脸库）查看，可以按账号、姓名、昵称字段检索；检索到的记录可以查看照片、查看照片采集时间、删除照片；一个人同时存储5 张照片。8 二维码过期时间：多少秒未被扫描，该二维码将自动过期。9 短信认证通过向用户发送短信验证码的方式，进行用户认证。3.3.2.1.2认证等级与安全等级每种认证方式对应安全等级的一个范围，安全等级的范围又是根据安全策略来界定的。认证方式（如用户ID/ 口令、动态口令、证书

18、，扫码，移动证书等）仅仅是在认证系统内部来管理和控制的，身份认证子系统与其他子系统之间的信息交换都是通过认证的安全等级来实现的。认证等级可以按照不同的维度进行划分。首先，可以按照人员的重要程度进行划分，例如我们可以定义使用证书登录，定义为 1 级，为最高级；使用动态口令定义为2 级，为中级；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 17 页 - - - - - - - - - 使用静态口令，定义为3 级，为普通级。也可以根据应用系统的重要程度进行认证等级的划分。这样

19、，在以后的项目中，可以更灵活的集成使用不同的认证方式。3.3.2.2 权限管理系统3.3.2.2.1权限模型授权方式主要分为以下4 种：对用户直接授权对组/部门进行授权对角色授权：根据不同的场景业务需求，在平台中可以建立角色，角色中用户来自于不同的单位或部门，同时还可以为群组赋予权限，授权其访问哪些资源。基于资源的授权：系统资源的角色管理可在资源侧进行维护。3.3.2.2.2授权架构政务一体化平台对纳入管控的所有资源进行集中的授权管理，践行最小权限原则、责任分离原则和数据抽象原则。通过建立基于角色的授权模型帮助管理员实现对各类人员的权限最小化、集中授权与分级分类管理。政务一体化平台采用基于角色

20、的授权模型，但是因为政务一体化平台接入管理的各类资源具有不同的业务要求，角色的最终表现形式有多种，如角色、机构、岗位或用户组等。管理员应将各类权限关联到具体的角色， 将角色赋予帐号，最终实现对自然人的完整授权管理。功能权限数据权限帐号功能角色角色角色组岗位数据角色机构用户组角色角色权限帐号主帐号从帐号名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 17 页 - - - - - - - - - （1） 账号账号是指政务一体化平台中的主账号或从账号。政务一体化平台自身的授权

21、管理通过角色赋予主账号完成对自然人的权限管理；应用资源的授权管理通过将角色赋予从账号，从账号与主账号绑定完成应用资源内的权限管理。（2） 角色角色是授权模型的主体，账号关联的角色决定了账号最终的权限范围。在政务一体化平台中，角色主要分为两大类：功能角色和数据角色。在接入管理的各类资源中角色的具体体现可以为角色、角色组、岗位、机构或用户组等。（3） 权限权限代表着系统中模块或对象。权限分为功能权限和数据权限。系统通过将权限与角色关联，角色赋予账号，最终实现账号对系统中拥有的模块或对象操作的许可。3.3.2.2.3资源权限无论采用哪种授权方式，授权后，资源直接落地到人, 另外，根据授权方式不同，用

22、户所拥有的资源权限可以分为：继承资源和私有资源。继承资源：所谓继承资源是指用户通过角色授权所拥有的资源权限。私有资源：私有资源是通过对人或者部门授权所获得的资源权限。如果对人（部门）增加权限，则将增加该人（该部门下所有人）的私有权限。如果对人（部门）取消权限，则将取消该人（该部门下所有人）的私有和继承权限。如果对角色增加权限，则将增加拥有该角色的所有人的继承权限。如果对角色取消权限， 则将取消拥有该角色的所有人的继承权限，而这些人的私有权限不受影响。在如果为指定的人（部门）分配角色，则该人（该部门下所有人）将增加改角色所拥有的权限，权限属于继承权限。在如果为指定的人（部门）取消角色，则该人（该

23、部门下所有人）将取消改角色所拥有的权限，且仅取消继承权限。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 17 页 - - - - - - - - - 3.3.2.3 电子签约系统电子签约系统的设计是为满足互联网+应用场景下，是提供用户数字签名和相互验证对方数字签名能力的一种数字展示技术。电子签名能够保证操作的不可否认性和不可抵赖性，并且在各种应用系统中实现对表单、文件的电子签名， 同时实现出现问题后原始操作的可追溯性。电子签约系统提供开发者API， 进行数据交互。 电

24、子签约系统进行身份认证、 发放证书、为每份签约合同提供第三方时间戳服务，确保时间的权威性及稳定性。 提供法律举证、鉴证、取证等法律服务。3.3.2.4 证据保全系统3.3.2.4.1证据保全架构证据保全服务，对易损毁、易篡改、不易固化呈现和归档的电子数据进行固化存档，在固化的过程中，采用了电子签名、加密及时间戳等技术手段， 将固化后的数据进行安全存储，并在需要时提供存证验证意见书，以便在诉讼时作为证据材料。支持多种电子数据类型， 包括电子合同、 哈希文件、网页、图片、视频、音频、文字等。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - -

25、 - 名师精心整理 - - - - - - - 第 12 页，共 17 页 - - - - - - - - - 电子证据保全系统主要由客户端、接入层、证据服务、可信证据，可信计算环境以及电子认证服务机构构成。由以上组成一个整体，并对产生的证据做存储，形成完整的证据链，保障后期取证时的权威性和有效性。3.3.2.4.2功能详述（1） 视频/音频取证电子证据保全系统取证主要提供视频取证和音频取证两方面。取证过程中需要验证公证当事人的身份，通过生物识别/实名认证和证书认证技术；视频/音频证据通过使用数字签名/加盖时间戳和视频 /音频数据加密等技术手段保障视频/音频证据的机密性、完整性。（2） 证据固

26、定电子证据保全系统证据固定业务主要包含电子证据加密、建立安全传输通道上传、证据接收确认和本地安全存储四部分业务流程。取证后上传前，对证据进行加密处理，与证据保全系统建立基于 SSL 技术的安全通道并上传证据数据；收到证据数据后由证据保全系统完成数字签名并连接授时中心加盖时间戳；最后存储在本地或者公证处。（3）证据出证电子证据出证业务主要包含出证申请、证据解密还原、审核和电子认证报告四部分业务流程。登录系统时验证其数字证书的合法性和有效性；通过出证申请选择要出证的电子证据，审核通过后提供电子证据证明和报告。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - -

27、- - - - - - 名师精心整理 - - - - - - - 第 13 页，共 17 页 - - - - - - - - - 3.3.3 安全支撑技术整体一体化政务平台的安全支撑技术架构如下所示：3.3.3.1 数字证书数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印 （或者说加在数字身份证上的一个签名）。它是由权威机构 CA 机构，又称为证书授权（ Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。CA 机构，又称为证

28、书授证（Certificate Authority）中心，作为电子政务中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。CA 中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA 机构的数字签名使得攻击者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子政务的核心环节。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 17 页 - - - - - - - -

29、- 3.3.3.2 生物特征识别 / 实名认证?活体检测技术自动识别待识别对象是否是具有生命特征的活体人，如发现是照片不予识别。?多人像视频画面同时识别技术可同时跟踪、识别视频画面中同时出现的多人人像。?海量搜索识别技术普通的电脑搜索、 识别速度为： 70万张秒，服务器性能越高搜索、 识别速度越快；市场售价 3.5万元的服务器识别速度为400万/秒。3.3.3.3 加解密通过 RSA 公钥密码体制对电子证据进行加密，加密后电子证据变成密文，通过基于SSL技术的安全通道传输到服务器进行保存。电子证据内容只能由当事人的私钥进行解密并还原。名师资料总结 - - -精品资料欢迎下载 - - - - -

30、 - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 17 页 - - - - - - - - - 3.3.3.4 数字签名使用数字签名技术的数据完整性是很容易验证的，而且数字签名具有不可抵赖性。简单地说，所谓数字签名就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据，防止被人进行伪造。数字签名的主要功能：?能确定消息确实是由发送方签名并发出来的，因为别人假冒不了发送方的签名，保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。?

31、数字签名能确定消息的完整性。数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。 如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。?数字签名是个加密的过程，数字签名验证是个解密的过程。3.3.3.5 时间戳具有法律的效力的时间戳：它是由我国中科院国家授时中心与北京联合信任技术服务有限公司负责建设的我国第三方可信时间戳认证服务。由国家授时中心负责时间的授时与守时监测。因其守时监测功能而保障时间戳

32、证书中的时间的准确性和不被篡改。可信时间戳即由名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 17 页 - - - - - - - - - 国家法定时间源来负责保障时间的授时和守时监测，任何机构包括时间戳中心自己不能对时间进行修改以保障时间的权威，只有这样产生的时间戳才具有法律效力。4 客户价值4.1 降低政策风险根据电子签名法规定，通过电子签名认证，可将当事人的身份确认工作转移到第三方的电子认证服务机构，由于第三方电子认证服务机构具有法定的身份审查义务及法定责任赔偿义务，从而大大降低了在相关业务中由于身份认定困难所导致的法律风险。提供多种身份的认证方式，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 17 页 - - - - - - - - -