張 洋,劉福春
(1.水利部海河水利委員會,天津 300170;2.天津市水利勘測設(shè)計(jì)院,天津 300204)
在國家大力推行電子政務(wù)的新形勢下,為實(shí)現(xiàn)各級水行政主管部門及應(yīng)用系統(tǒng)之間的互聯(lián)互通、信息資源共享、協(xié)同辦公和政務(wù)公開,提高水利政務(wù)信息化整體水平,水利部信息辦于2002年開始籌劃啟動水利電子政務(wù)建設(shè)項(xiàng)目。海委電子政務(wù)項(xiàng)目建設(shè)總目標(biāo)為:在水利部統(tǒng)一實(shí)施的應(yīng)用支撐平臺的基礎(chǔ)上,構(gòu)筑海委統(tǒng)一的政務(wù)協(xié)同基礎(chǔ)平臺,配合水利部相關(guān)司局完成綜合辦公、規(guī)劃計(jì)劃、人力資源、科技外事四大政務(wù)應(yīng)用系統(tǒng)的開發(fā)部署和定制工作,組織開發(fā)適合海委相關(guān)部門需要的水政法規(guī)、財(cái)務(wù)經(jīng)濟(jì)、檔案管理、黨群監(jiān)察、機(jī)關(guān)服務(wù)五大政務(wù)應(yīng)用系統(tǒng),建立統(tǒng)一的政務(wù)信息門戶,完善海委機(jī)關(guān)和委屬各局的網(wǎng)絡(luò)傳輸系統(tǒng),建設(shè)必需的安全保障體系,初步實(shí)現(xiàn)“政務(wù)資源數(shù)字化、內(nèi)部辦公協(xié)同化、信息交流網(wǎng)絡(luò)化”。
目前,海委委機(jī)關(guān)及直屬各管理局的政務(wù)協(xié)同平臺已建成并應(yīng)用多年,極大地提高了海委及其直屬各管理局的政務(wù)信息化整體水平。政務(wù)協(xié)同基礎(chǔ)平臺主要為整個系統(tǒng)的運(yùn)行提供硬件、系統(tǒng)軟件以及網(wǎng)絡(luò)等運(yùn)行環(huán)境;為各政務(wù)系統(tǒng)及門戶提供所需基礎(chǔ)功能的軟件環(huán)境,并支持跨平臺的應(yīng)用和跨網(wǎng)段的目錄服務(wù),實(shí)現(xiàn)數(shù)據(jù)自動的同步和復(fù)制;支持全網(wǎng)應(yīng)用系統(tǒng)的統(tǒng)一身份認(rèn)證、統(tǒng)一應(yīng)用資源管理、集中分布式權(quán)限控制。海委政務(wù)協(xié)同基礎(chǔ)平臺系統(tǒng)功能,如圖1所示。
圖1 海委政務(wù)協(xié)同基礎(chǔ)平臺系統(tǒng)功能
目前政務(wù)協(xié)同基礎(chǔ)平臺外網(wǎng)部分及下屬局部分還是由平臺來提供統(tǒng)一的用戶管理和身份認(rèn)證服務(wù)。通過政務(wù)協(xié)同基礎(chǔ)平臺2次開發(fā)實(shí)現(xiàn)用戶信息的統(tǒng)一管理,建立一個完整的、統(tǒng)一的用戶信息庫,主要存儲用戶的基本信息(如用戶名、密碼、個人信息、組織結(jié)構(gòu)信息等),通過政務(wù)協(xié)同基礎(chǔ)平臺提供的統(tǒng)一用戶信息的接口,各政務(wù)應(yīng)用系統(tǒng)可以獲得統(tǒng)一的用戶信息并在此基礎(chǔ)上實(shí)現(xiàn)統(tǒng)一的認(rèn)證。用戶只需記憶一個用戶名、密碼,就可以登錄管理局內(nèi)所有的政務(wù)應(yīng)用系統(tǒng)。但這種使用用戶名和密碼登陸的方式已經(jīng)無法滿足日益嚴(yán)峻的網(wǎng)絡(luò)安全的需求,國家相關(guān)政策也在逐步明確使用數(shù)字證書身份認(rèn)證體系的必要性。國家相關(guān)政策列表,如圖2所示。
為了加強(qiáng)政務(wù)外網(wǎng)應(yīng)用系統(tǒng)的安全性,海委外網(wǎng)將建立統(tǒng)一的CA認(rèn)證系統(tǒng)。
圖2 國家相關(guān)政策列表
為了提高信息在網(wǎng)絡(luò)傳輸中的安全性,人們不斷提高網(wǎng)絡(luò)信息傳送中所使用加密算法的安全等級。除此之外,還需要在信息數(shù)據(jù)交互的雙方使用一個可以被認(rèn)證的標(biāo)識——數(shù)字證書,以建立一種信任及驗(yàn)證機(jī)制。證書是一個包含身份信息和標(biāo)識用戶特征公鑰的數(shù)據(jù)結(jié)構(gòu),可進(jìn)行數(shù)字簽名。海委政務(wù)外網(wǎng)身份認(rèn)證系統(tǒng)是水利信息系統(tǒng)的安全基礎(chǔ)設(shè)施,包括身份認(rèn)證系統(tǒng)(公鑰基礎(chǔ)設(shè)施)PKI(Public Key Infrastructure)、應(yīng)用安全組件、安全審計(jì)系統(tǒng)、目錄服務(wù)系統(tǒng),為解決水利信息系統(tǒng)身份認(rèn)證、數(shù)據(jù)保護(hù)等應(yīng)用安全問題提供安全服務(wù)。證書認(rèn)證中心CA(Certification Authority)是PKI系統(tǒng)的核心子系統(tǒng),又稱認(rèn)證機(jī)構(gòu),是發(fā)放、管理、廢除數(shù)字身份證書的機(jī)構(gòu),是保證數(shù)據(jù)在Internet中傳輸安全的一個重要環(huán)節(jié),這里指海委政務(wù)外網(wǎng)身份認(rèn)證系統(tǒng)的證書簽發(fā)子系統(tǒng)。數(shù)字證書DC(Digital Certificate)簡稱證書,是經(jīng)一個證書認(rèn)證中心(CA)數(shù)字簽名的包含擁有者公開密鑰信息和身份信息的數(shù)據(jù)文件。
輕型目錄訪問協(xié)議LDAP(Light Directory Access Protocol)適用于Internet的目錄訪問協(xié)議,是遵守LDAP協(xié)議的目錄服務(wù)系統(tǒng),在X.509中定義為數(shù)字證書、CRL、屬性證書和ACRL的發(fā)布倉庫,通常被用來存儲網(wǎng)絡(luò)中的人員、設(shè)備和配置等基本信息(以下簡稱為目錄服務(wù)系統(tǒng)或LDAP)。密鑰管理中心KMC(Key Management Center)提供加密證書對密鑰生命周期實(shí)行全過程管理,包括密鑰生成、密鑰存儲、密鑰分發(fā)、密鑰備份、密鑰更新、密鑰撤消、密鑰歸檔、密鑰恢復(fù)以及安全管理等,這里指海委政務(wù)外網(wǎng)身份認(rèn)證系統(tǒng)的密鑰管理子系統(tǒng)。注冊中心RA(Registration Authority)是證書的注冊機(jī)構(gòu),負(fù)責(zé)證書的申請、下載、注銷、更新業(yè)務(wù),這里指海委政務(wù)外網(wǎng)身份認(rèn)證系統(tǒng)的證書注冊子系統(tǒng)。統(tǒng)一用戶管理系統(tǒng)UMS(User Managerment System)提供用戶屬性管理服務(wù)。
目前,海委外網(wǎng)已經(jīng)部署了CA系統(tǒng),可以實(shí)現(xiàn)系統(tǒng)與CA的結(jié)合。水文、防汛抗旱等外網(wǎng)系統(tǒng)已經(jīng)實(shí)現(xiàn)了用密鑰登陸訪問,但是海委直屬各管理局還沒有進(jìn)行CA系統(tǒng)的延伸部署,而且各管理局運(yùn)行的門戶系統(tǒng)、綜合辦公系統(tǒng)、規(guī)劃計(jì)劃系統(tǒng)、檔案系統(tǒng)等多個業(yè)務(wù)系統(tǒng)與政務(wù)協(xié)同平臺集成,由平臺提供統(tǒng)一的用戶組織結(jié)構(gòu)信息和單點(diǎn)登錄。如將現(xiàn)有各個系統(tǒng)與CA系統(tǒng)直接集成,協(xié)調(diào)管理難度非常大,系統(tǒng)開發(fā)和測試工作量巨大。最佳的解決方法是海委政務(wù)協(xié)同平臺與CA系統(tǒng)集成,在平臺層面進(jìn)行完善和修改,從而不影響其他業(yè)務(wù)系統(tǒng)的接口調(diào)用和應(yīng)用。海委政務(wù)協(xié)同平臺與CA系統(tǒng)集成,如圖3所示。
圖3 海委政務(wù)協(xié)同平臺與CA系統(tǒng)集成
通過在局機(jī)關(guān)部署RA、UMS、LDAP實(shí)現(xiàn)數(shù)據(jù)集中管理,屬地化服務(wù)。成功集成后用戶的使用流程如下:用戶在訪問業(yè)務(wù)系統(tǒng)時,部署在業(yè)務(wù)系統(tǒng)前端的身份認(rèn)證網(wǎng)關(guān)要求用戶提交數(shù)字身份證書;用戶插入自己的USB KEY并選擇對應(yīng)的數(shù)字身份證書,數(shù)字身份證書將被提交到網(wǎng)關(guān)上;網(wǎng)關(guān)在身份認(rèn)證系統(tǒng)LDAP的支持下完成對證書有效性的檢查;在確定證書正確的前提下,網(wǎng)關(guān)將從統(tǒng)一用戶管理系統(tǒng)中獲取對應(yīng)用戶的相關(guān)信息并將用戶唯一標(biāo)識 (身份證號)傳遞給應(yīng)用系統(tǒng),應(yīng)用系統(tǒng)根據(jù)獲取到的唯一標(biāo)識,判斷用戶的身份及權(quán)限;另外,為了能保證業(yè)務(wù)使用的階段性,某些老應(yīng)用系統(tǒng)在過渡期可設(shè)有2個入口,除證書訪問外,原有的用戶登錄業(yè)務(wù)的方式依然保留 (依然采取原先用戶名和密碼的登錄方式),過渡期結(jié)束后去掉用戶名和密碼的登錄方式;身份認(rèn)證和入門訪問控制結(jié)束。
目前,海委CA系統(tǒng)向直屬各管理局延伸的工作還沒有正式展開,但是財(cái)務(wù)NC系統(tǒng)、預(yù)算管理等需要使用數(shù)字證書的系統(tǒng)已經(jīng)包含了直屬4個管理局的部分用戶,所以海委直屬各管理局政務(wù)協(xié)同基礎(chǔ)平臺升級改造與CA系統(tǒng)集成的工作迫在眉睫,計(jì)劃在2012年內(nèi)通過政務(wù)協(xié)同基礎(chǔ)平臺層面的升級改造,實(shí)現(xiàn)與CA系統(tǒng)的集成,在不影響各個系統(tǒng)日常應(yīng)用的基礎(chǔ)上實(shí)現(xiàn)無縫升級,以滿足系統(tǒng)安全性及用戶使用便捷性的需要。通過使用數(shù)字證書,用戶擁有一支KEY就可以實(shí)現(xiàn)桌面終端、網(wǎng)絡(luò)、應(yīng)用、內(nèi)容幾個層面的安全認(rèn)證、單點(diǎn)登錄,同時可以實(shí)現(xiàn)關(guān)鍵信息的傳輸加密、關(guān)鍵操作的抗抵賴。