论文部分内容阅读
随着宁夏人力资源社会保障信息系统建设的逐步推进,宁夏人力资源社会保障信息网络的覆盖范围日益扩大,数据的集中程度显著提高,对系统、网络和数据的安全防范能力提出了更高的要求。同时,宁夏人力资源社会保障信息网络系统的整体框架基本形成,实现了自治区、市、县(区)、乡镇的网络互联,并陆续开展了网上公共服务业务,迫切需要加强以密码技术为基础,以身份认证、授权管理和责任认定为主要内容的网络信任体系建设。
宁夏人力资源社会保障网络信任体系概述
宁夏人力资源社会保障网络信任体系是以密码技术为支撑,以电子认证系统为基础设施,基于数字证书的应用开发接口,面向人力资源和社会保障各类业务系统,实现以身份认证、授权管理和责任认定为主要内容的安全应用。包括电子认证体系和授权管理体系,其中,电子认证体系是网络信任体系的基础,是基于密码技术,实现证书生命周期管理,以及身份认证、加密解密、签名验证等证书应用功能的技术体系和管理体系。
宁夏人力资源和社会保障电子认证体系包括宁夏人力资源社会保障电子政务内网电子认证系统和电子政务外网电子认证服务系统。内网电子认证系统是按照国办要求进行建设,为宁夏人力资源社会保障电子政务内网应用提供电子认证服务;外网电子认证服务系统包括面向全区宁夏人力资源社会保障系统内部用户的电子认证服务系统(即宁夏人力资源社会保障业务专网)和面向社会公众服务的电子认证服务系统(即宁夏人力资源社会保障公共服务系统)两部分。
建设全区统一的网络信任体系的必要性
一是确保宁夏人力资源社会保障应用系统安全性的基本需求。宁夏人力资源社会保障业务专网联网应用包括养老保险和医疗保险经办业务、基金监管业务以及公共服务等,这些业务系统在应用过程中,有些需要核实系统访问者的有效身份和操作权限,有些需要在数据传输确保信息准确、保密、且不可抵赖,在事后可追究责任。作为目前唯一能够同时解决身份认证、访问控制、信息保密和抗抵赖的安全技术,建设基于PKI/CA技术的网络信任体系是解决宁夏人力资源社会保障应用系统安全问题的重要措施。
二是解决行业内相互安全信任和支持跨地区业务的迫切需要。目前各地、各个核心应用为满足各自的业务需求,纷纷开始使用不同的认证机构、不同安全级别、不同技术基础的认证服务系统。各自的安全信任认体系标准不统一,对于宁夏人力资源社会保障行业内的安全认证没有权威性,在行业应用系统内部形成天然的隔离,难以实现行业内的相互安全信任,无法满足全区的应用,因此,在国家的总体规划下,我区自行建设行业统一的网络信任体系已刻不容缓。
三是保持行业安全信任权威性的必然要求。为保证整个宁夏人力资源社会保障行业认证系统的权威性、统一性和高度安全性,应该从整体上对行业PKI/CA认证体系建设进行统一规划、统一建设、严格控制和规范管理,以适应各种应用系统的安全需求。保持统一的宁夏人力资源社会保障信任源,维护宁夏人力资源社会保障安全信任权威性,有利于源点以及其他认证节点实现互认互信,有利于各级间和地区的劳动保障业务的开展。
四是进行信息安全等级保护应用安全整改的一项重要内容。根据信息安全技术信息系统等级保护安全设计技术要求,3级及3级以上的信息系统,在用户身份鉴别方面明确提出采用强化管理的口令、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。因此,建设网络信任体系开展基于数字证书的应用,有利于建设安全等级3级及3级以上的信息系统。
宁夏人力资源社会保障电子认证系统建设模式选择
(一)自治区级人力资源社会保障电子认证系统建设模式选择
模式一:宁夏人力资源社会保障电子认证系统作为二级电子认证节点,以人力资源和社会保障部电子认证系统为依托,直接建立二级密钥管理系统、证书签发管理系统、证书注册管理系统、密码服务系统和证书查验服务系统,通过业务专网与部级CA中心进行连接,实现与根证书认证系统的通信。同时在专网和对外服务的Internet网上分别部署证书查询验证服务系统,通过数据同步可以实现为专网和互联网服务提供数字证书的验证和查询服务。
模式二:宁夏人力资源社会保障电子认证系统作为人力资源和社会保障部电子认证系统的延伸,建立证书注册管理系统和证书查验服务系统,包括证书注册管理系统、密码服务系统和证书查询验证服务系统,通过业务专网与部级CA中心进行连接,实现证书的申请和下载。同时在专网和对外服务的Internet网上分别部署证书查询验证服务系统,通过数据同步可以实现为专网和互联网服务提供数字证书的验证和查询服务。
(二)市级人力资源社会保障电子认证系统模式选择
市级电子认证系统作为宁夏人力资源社会保障电子认证系统的延伸,根据自治区所选建设模式,可选择以下两种建设模式:
模式一:在自治区建设子CA系统的基础上,建设注册管理中心,包括:证书注册管理系统、密码服务系统和证书查询验证服务系统和证书注册点等。通过业务专网与自治区级证书认证中心进行连接,实现证书的申请和下载。同时在专网和对外服务的Internet网上分别部署证书查询验证服务系统,通过数据同步可以实现为专网和互联网服务提供数字证书的验证和查询服务。
模式二(注册点):在自治区级建设RA系统的基础上,建设证书注册点,包括:录入终端、审核终端、制证终端,为本市人力资源和社会保障业务系统用户提供数字证书的申请注册、审核、证书下载等服务。
宁夏人力资源社会保障网络信任体系概述
宁夏人力资源社会保障网络信任体系是以密码技术为支撑,以电子认证系统为基础设施,基于数字证书的应用开发接口,面向人力资源和社会保障各类业务系统,实现以身份认证、授权管理和责任认定为主要内容的安全应用。包括电子认证体系和授权管理体系,其中,电子认证体系是网络信任体系的基础,是基于密码技术,实现证书生命周期管理,以及身份认证、加密解密、签名验证等证书应用功能的技术体系和管理体系。
宁夏人力资源和社会保障电子认证体系包括宁夏人力资源社会保障电子政务内网电子认证系统和电子政务外网电子认证服务系统。内网电子认证系统是按照国办要求进行建设,为宁夏人力资源社会保障电子政务内网应用提供电子认证服务;外网电子认证服务系统包括面向全区宁夏人力资源社会保障系统内部用户的电子认证服务系统(即宁夏人力资源社会保障业务专网)和面向社会公众服务的电子认证服务系统(即宁夏人力资源社会保障公共服务系统)两部分。
建设全区统一的网络信任体系的必要性
一是确保宁夏人力资源社会保障应用系统安全性的基本需求。宁夏人力资源社会保障业务专网联网应用包括养老保险和医疗保险经办业务、基金监管业务以及公共服务等,这些业务系统在应用过程中,有些需要核实系统访问者的有效身份和操作权限,有些需要在数据传输确保信息准确、保密、且不可抵赖,在事后可追究责任。作为目前唯一能够同时解决身份认证、访问控制、信息保密和抗抵赖的安全技术,建设基于PKI/CA技术的网络信任体系是解决宁夏人力资源社会保障应用系统安全问题的重要措施。
二是解决行业内相互安全信任和支持跨地区业务的迫切需要。目前各地、各个核心应用为满足各自的业务需求,纷纷开始使用不同的认证机构、不同安全级别、不同技术基础的认证服务系统。各自的安全信任认体系标准不统一,对于宁夏人力资源社会保障行业内的安全认证没有权威性,在行业应用系统内部形成天然的隔离,难以实现行业内的相互安全信任,无法满足全区的应用,因此,在国家的总体规划下,我区自行建设行业统一的网络信任体系已刻不容缓。
三是保持行业安全信任权威性的必然要求。为保证整个宁夏人力资源社会保障行业认证系统的权威性、统一性和高度安全性,应该从整体上对行业PKI/CA认证体系建设进行统一规划、统一建设、严格控制和规范管理,以适应各种应用系统的安全需求。保持统一的宁夏人力资源社会保障信任源,维护宁夏人力资源社会保障安全信任权威性,有利于源点以及其他认证节点实现互认互信,有利于各级间和地区的劳动保障业务的开展。
四是进行信息安全等级保护应用安全整改的一项重要内容。根据信息安全技术信息系统等级保护安全设计技术要求,3级及3级以上的信息系统,在用户身份鉴别方面明确提出采用强化管理的口令、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。因此,建设网络信任体系开展基于数字证书的应用,有利于建设安全等级3级及3级以上的信息系统。
宁夏人力资源社会保障电子认证系统建设模式选择
(一)自治区级人力资源社会保障电子认证系统建设模式选择
模式一:宁夏人力资源社会保障电子认证系统作为二级电子认证节点,以人力资源和社会保障部电子认证系统为依托,直接建立二级密钥管理系统、证书签发管理系统、证书注册管理系统、密码服务系统和证书查验服务系统,通过业务专网与部级CA中心进行连接,实现与根证书认证系统的通信。同时在专网和对外服务的Internet网上分别部署证书查询验证服务系统,通过数据同步可以实现为专网和互联网服务提供数字证书的验证和查询服务。
模式二:宁夏人力资源社会保障电子认证系统作为人力资源和社会保障部电子认证系统的延伸,建立证书注册管理系统和证书查验服务系统,包括证书注册管理系统、密码服务系统和证书查询验证服务系统,通过业务专网与部级CA中心进行连接,实现证书的申请和下载。同时在专网和对外服务的Internet网上分别部署证书查询验证服务系统,通过数据同步可以实现为专网和互联网服务提供数字证书的验证和查询服务。
(二)市级人力资源社会保障电子认证系统模式选择
市级电子认证系统作为宁夏人力资源社会保障电子认证系统的延伸,根据自治区所选建设模式,可选择以下两种建设模式:
模式一:在自治区建设子CA系统的基础上,建设注册管理中心,包括:证书注册管理系统、密码服务系统和证书查询验证服务系统和证书注册点等。通过业务专网与自治区级证书认证中心进行连接,实现证书的申请和下载。同时在专网和对外服务的Internet网上分别部署证书查询验证服务系统,通过数据同步可以实现为专网和互联网服务提供数字证书的验证和查询服务。
模式二(注册点):在自治区级建设RA系统的基础上,建设证书注册点,包括:录入终端、审核终端、制证终端,为本市人力资源和社会保障业务系统用户提供数字证书的申请注册、审核、证书下载等服务。