基于統(tǒng)一用戶管理和認證平臺的電子政務(wù)信息系統(tǒng)融合應(yīng)用研究

張利娟

北京時代凌宇科技股份有限公司 北京 100045

經(jīng)過十余年的建設(shè)，業(yè)務(wù)系統(tǒng)在為用戶提供方便的同時，也顯現(xiàn)出較多棘手的問題。首先，業(yè)務(wù)系統(tǒng)數(shù)量多，功能分散，業(yè)務(wù)系統(tǒng)管理難度大；其次，用戶數(shù)量增加，信息安全問題愈加突出；第三，技術(shù)支撐團隊多，運維難度大。

政務(wù)信息化業(yè)務(wù)系統(tǒng)一般包括三類，即面向內(nèi)部人員使用的日常辦公系統(tǒng)；面向公眾使用的業(yè)務(wù)辦理系統(tǒng)；面向城市管理、執(zhí)法監(jiān)督等領(lǐng)域的專業(yè)系統(tǒng)。所以，就出現(xiàn)用戶需要記錄多個系統(tǒng)、多個賬號的情況；賬號有可能是手機號、數(shù)字、字母等不同形式，記憶難度大。對于業(yè)務(wù)系統(tǒng)管理部門來說，常常面臨的是，多個業(yè)務(wù)系統(tǒng)，多套數(shù)據(jù)源，用戶信息數(shù)據(jù)需要多個位置更新，或更新時效不及時等各種情況，因此，如何解決用戶統(tǒng)一管理、統(tǒng)一登錄的問題，將成為提升政務(wù)信息化水平的關(guān)鍵技術(shù)。本文將研究從以下兩個方面，實現(xiàn)用戶管理與業(yè)務(wù)系統(tǒng)的統(tǒng)一認證：

圖1 統(tǒng)一認證系統(tǒng)

首先，需要對上圖中的人員管理系統(tǒng)A、系統(tǒng)B到E，進行統(tǒng)一認證改造，能夠?qū)崿F(xiàn)基于數(shù)字證書、手機號驗證碼、用戶名密碼等的強身份認證功能，但大部分系統(tǒng)仍然使用用戶名、密碼方式登錄，且所有業(yè)務(wù)系統(tǒng)都有各自一套獨立的賬號、認證、授權(quán)和審計機制，并且由相應(yīng)的系統(tǒng)管理員負責維護和管理。各應(yīng)用系統(tǒng)分別管理所屬的系統(tǒng)資源和應(yīng)用資源，并為本系統(tǒng)的用戶分配權(quán)限，缺乏集中統(tǒng)一的資源授權(quán)管理平臺。另外，隨著用戶數(shù)量的增加，權(quán)限管理任務(wù)越來越重，系統(tǒng)的安全性無法得到充分保證。

從以上信息安全問題和現(xiàn)實需求出發(fā)，可考慮建設(shè)一套統(tǒng)一認證管理平臺，實現(xiàn)包括賬戶管理、統(tǒng)一認證、集中授權(quán)、透明審計及應(yīng)用管控在內(nèi)的全體系統(tǒng)防護功能，來解決不同信息系統(tǒng)的整體融合。

統(tǒng)一認證和認證管理平臺是面向不同用戶的應(yīng)用系統(tǒng)，構(gòu)建統(tǒng)一的信息系統(tǒng)訪問控制和管理平臺，通過對目前業(yè)務(wù)系統(tǒng)的用戶、組織機構(gòu)、應(yīng)用系統(tǒng)和各類應(yīng)用系統(tǒng)資源的規(guī)范化、標準化管理，在與各類已建業(yè)務(wù)應(yīng)用系統(tǒng)授權(quán)管理功能有效對接的基礎(chǔ)上，健全統(tǒng)一、靈活、多維度的門戶訪問控制機制，對應(yīng)用訪問權(quán)限進行全流程監(jiān)管。

同時，統(tǒng)一認證管理平臺可配合數(shù)字證書認證登錄系統(tǒng)、電子簽章配套使用，為用戶提供了訪問門戶的集中認證，并結(jié)合數(shù)字證書實現(xiàn)信任傳遞機制，從而實現(xiàn)單點登錄后的全網(wǎng)業(yè)務(wù)系統(tǒng)直接登錄服務(wù)及電子簽章服務(wù)[1]。

1 實現(xiàn)功能

1.1 賬戶管理

統(tǒng)一認證管理平臺實現(xiàn)了不同應(yīng)用環(huán)境下的用戶身份管理，包括用戶基本信息管理、組織機構(gòu)信息管理、認證憑證管理、賬號生命周期管理等功能，實現(xiàn)對原有應(yīng)用系統(tǒng)的用戶信息進行整合，構(gòu)建完整、統(tǒng)一、可信的新用戶資源信息庫，可根據(jù)應(yīng)用需要進行數(shù)據(jù)同步。

1.2 統(tǒng)一認證

身份認證服務(wù)為各應(yīng)用系統(tǒng)內(nèi)各類用戶提供身份信息注冊、憑證發(fā)布、用戶資料管理及銷毀、登錄認證功能。同時支持口令方式和數(shù)字證書兩種方式的身份認證機制。另外，系統(tǒng)應(yīng)具有擴展接口，可快速實現(xiàn)其他身份憑證認證模式。

1.3 統(tǒng)一授權(quán)

統(tǒng)一認證平臺提供了針對各業(yè)務(wù)系統(tǒng)的信息資源管理、用戶角色定義和劃分、權(quán)限分配和管理、權(quán)限認證等功能。權(quán)限管理主要是由管理員進行資源分類配置、用戶角色定義及授權(quán)等操作；權(quán)限認證主要是根據(jù)用戶身份對其進行權(quán)限判斷，以決定該用戶是否具有訪問相應(yīng)資源的權(quán)限。

1.4 安全審計

本套系統(tǒng)對接入認證的業(yè)務(wù)系統(tǒng)以及用戶提供安全審計功能，包括日志管理、日常審計、分組日志管理等功能，審計日志包括：序號、管理員名稱、操作類別、操作日期、操作描述。同時，日志內(nèi)容可以記錄用戶不成功登錄的信息，可以記錄用戶的重要業(yè)務(wù)操作行為，如：對用戶、角色的增加、刪除、修改和授權(quán)關(guān)系的調(diào)整等操作[2]。

1.5 應(yīng)用管理

統(tǒng)一認證系統(tǒng)提供不同類別的應(yīng)用管理服務(wù)，并且可將應(yīng)用分為不同的類別，方便管理，并提供應(yīng)用管理界面，對應(yīng)用的授權(quán)方式、集成方式進行管理。

2 應(yīng)用效果及總結(jié)

統(tǒng)一用戶管理及認證平臺目前已經(jīng)在各領(lǐng)域大范圍采用，大大提升了多系統(tǒng)的登錄和管理便利性。主要表現(xiàn)在以下三方面：

（1）統(tǒng)一認證平臺提供了集中統(tǒng)一的服務(wù)。目前，各個層級單位的電子政務(wù)信息系統(tǒng)，分屬不同的開發(fā)服務(wù)商、運維團隊，并且由于人員流動性，系統(tǒng)運維支撐力度參差不齊，用戶滿意度及系統(tǒng)使用體驗得不到保證。針對新入職用戶，可以在統(tǒng)一認證平臺管理授權(quán)后，就可實現(xiàn)所屬權(quán)限內(nèi)執(zhí)法業(yè)務(wù)系統(tǒng)的授權(quán)、登錄、訪問。

（2）統(tǒng)一認證平臺實現(xiàn)了業(yè)務(wù)系統(tǒng)的全過程監(jiān)控。能夠檢測到不同業(yè)務(wù)系統(tǒng)登錄狀態(tài)、訪問量、訪問高峰時段等各項數(shù)據(jù)，方便業(yè)務(wù)部門及信息部門的日常管理，掌握系統(tǒng)使用情況。

（3）統(tǒng)一的服務(wù)支撐。該領(lǐng)域產(chǎn)品一般采用了標準的接口及調(diào)用協(xié)議，因此，可以實現(xiàn)不同情況下的系統(tǒng)接入擴容，并且系統(tǒng)接入方式固定、方便，大大減少了二次開發(fā)的概率。

（4）系統(tǒng)融合。針對不同的業(yè)務(wù)系統(tǒng)，未使用統(tǒng)一認證系統(tǒng)前，管理和使用十分分散，需要記錄每個業(yè)務(wù)系統(tǒng)的登錄網(wǎng)址、用戶名、密碼，使用體驗特別不好。統(tǒng)一認證平臺投入使用后，為所有用戶提供了所有業(yè)務(wù)系統(tǒng)登錄的統(tǒng)一入口，并避免多次輸入用戶名密碼信息，大大提升了業(yè)務(wù)系統(tǒng)的集成和融合[3]。

通過以上分析，電子政務(wù)信息可集成統(tǒng)一用戶管理和認證平臺的建設(shè)和使用，大大推動了電子政務(wù)信息系統(tǒng)的融合應(yīng)用。