基于生物特征識(shí)別技術(shù)的多因子身份認(rèn)證方案在電子政務(wù)系統(tǒng)和通用政務(wù)云環(huán)境的應(yīng)用案例

在國(guó)家頂層設(shè)計(jì)指引下,各地政府正在加速推進(jìn)數(shù)字化轉(zhuǎn)型。電子政務(wù)系統(tǒng)是國(guó)家政務(wù)機(jī)構(gòu)自身數(shù)字化轉(zhuǎn)型的基礎(chǔ)架構(gòu)。電子政務(wù)系統(tǒng)面向社會(huì)提供公共服務(wù),也在各政務(wù)機(jī)構(gòu)之間形成數(shù)據(jù)共享,但同時(shí)又存在大量分層級(jí)的信息管理要求。電子政務(wù)對(duì)數(shù)據(jù)安全的特殊需求實(shí)際上就是要合理地解決網(wǎng)絡(luò)開放性與安全性之間的矛盾。

在一系列法律法規(guī)和等保分保的框架要求下,生物識(shí)別技術(shù)因其唯一性和便捷性在電子政務(wù)實(shí)人授權(quán)管理中廣泛應(yīng)用。業(yè)務(wù)在不同層級(jí)的政務(wù)單位中被審批授權(quán)和執(zhí)行,如何使用一套技術(shù)機(jī)制監(jiān)督和審計(jì)不同單位間數(shù)據(jù)流轉(zhuǎn)的安全,河北數(shù)字財(cái)政的國(guó)撥項(xiàng)目實(shí)人管理系統(tǒng)給出了很好的示范;而數(shù)字廣東通過(guò)創(chuàng)新的信息安全辦公硬件,用對(duì)用戶和開發(fā)者最友好的方式,克服了全省政務(wù)辦公硬件終端復(fù)雜的困難,實(shí)現(xiàn)了政務(wù)SaaS云服務(wù)中通用的多因子的身份認(rèn)證機(jī)制。

在國(guó)家頂層設(shè)計(jì)指引下,各地政府正在加速推進(jìn)數(shù)字化轉(zhuǎn)型。電子政務(wù)系統(tǒng)是國(guó)家政務(wù)機(jī)構(gòu)自身數(shù)字化轉(zhuǎn)型的基礎(chǔ)架構(gòu)。電子政務(wù)系統(tǒng)面向社會(huì)提供公共服務(wù),也在各政務(wù)機(jī)構(gòu)之間形成數(shù)據(jù)共享,但同時(shí)又存在大量分層級(jí)的信息管理要求。電子政務(wù)對(duì)數(shù)據(jù)安全的特殊需求實(shí)際上就是要合理地解決網(wǎng)絡(luò)開放性與安全性之間的矛盾。

為更好應(yīng)對(duì)數(shù)字政府時(shí)代數(shù)據(jù)開放帶來(lái)的安全挑戰(zhàn),需要構(gòu)建統(tǒng)一、協(xié)調(diào)、有效的數(shù)字政府安全保障體系,避免政務(wù)數(shù)據(jù)被非法泄露、篡改、偽造乃至刪除,保障電子政務(wù)平臺(tái)應(yīng)用的平穩(wěn)運(yùn)行和自主可控。

對(duì)電子政務(wù)系統(tǒng)的使用者進(jìn)行身份識(shí)別,不僅僅出于網(wǎng)絡(luò)安全的目的,更是政務(wù)工作中對(duì)授權(quán)分層管理方式的要求。相比起口令、密碼,生物特征識(shí)別技術(shù)因?yàn)槠湮ㄒ恍?、不變性,很早就在電子政?wù)安全領(lǐng)域得以應(yīng)用。

傳統(tǒng)的生物識(shí)別技術(shù),按照國(guó)家《密碼法》以及等級(jí)保護(hù)和分級(jí)保護(hù)的相關(guān)規(guī)定,被應(yīng)用在高保密等級(jí)的政務(wù)單位或者單位中的機(jī)要崗位上。以證書為基礎(chǔ),同口令、PIN碼等技術(shù)結(jié)合,構(gòu)成了電子政務(wù)系統(tǒng)的強(qiáng)管控措施。但是在涉及不同層級(jí)的政務(wù)機(jī)構(gòu)之間流轉(zhuǎn)授權(quán)審批過(guò)程中,使用統(tǒng)一的生物識(shí)別系統(tǒng)進(jìn)行集中管理的方式,還較為少見。

河北財(cái)政廳的“數(shù)字財(cái)政”試點(diǎn),使用以生物識(shí)別技術(shù)為基礎(chǔ)的多因子身份認(rèn)證方案統(tǒng)一管理全省國(guó)撥財(cái)政資金的授權(quán)審批工作,并使用該技術(shù)追蹤和審計(jì)全省范圍內(nèi)國(guó)撥財(cái)政資金的流轉(zhuǎn)情況,生物識(shí)別的多因子身份認(rèn)證使用者不僅涉及財(cái)政系統(tǒng)相關(guān)授權(quán)人,還包括使用國(guó)撥資金的各相關(guān)政務(wù)單位的對(duì)接人、使用人,是對(duì)強(qiáng)管控性業(yè)務(wù)系統(tǒng)多層級(jí)、多政務(wù)單位、多用戶授權(quán)管理進(jìn)行實(shí)人身份認(rèn)證的典型應(yīng)用。

另一方面,政務(wù)系統(tǒng)上云進(jìn)程也方興未艾,各種數(shù)據(jù)在云上進(jìn)行交換,各類新興政務(wù)應(yīng)用也涉及在不同政務(wù)單位進(jìn)行授權(quán)處理。同時(shí),智能手機(jī)的廣泛普及,大家已經(jīng)養(yǎng)成了“face ID”“touch ID”這樣便捷的身份認(rèn)證習(xí)慣。如何在通用的政務(wù)云環(huán)境下搭建滿足信創(chuàng)自主可控要求,同時(shí)又便捷安全的生物識(shí)別多因子身份認(rèn)證方式成為了重要的需求。

廣東省政務(wù)云運(yùn)營(yíng)商數(shù)字廣東公司使用創(chuàng)新型辦公硬件,把使用者的生物特征集成在日常辦公使用的國(guó)密指紋鼠標(biāo)內(nèi),政務(wù)SaaS的開發(fā)者不用再考慮復(fù)雜的認(rèn)證方式,只需要遵循統(tǒng)一簡(jiǎn)單的接口標(biāo)準(zhǔn)即可調(diào)用政務(wù)云統(tǒng)一的多因子身份認(rèn)證機(jī)制;而使用者也無(wú)需考慮復(fù)雜的辦公硬件和操作系統(tǒng)環(huán)境,可直接使用鼠標(biāo)實(shí)現(xiàn)政務(wù)應(yīng)用的各種登錄身份認(rèn)證和操作授權(quán)審批,提出了在政務(wù)云環(huán)境下,生物識(shí)別技術(shù)多因子身份認(rèn)證的新思路。

作為人民的“理財(cái)師”,河北省財(cái)政廳數(shù)字財(cái)政試點(diǎn)系統(tǒng)肩負(fù)著財(cái)政資金收繳、支付和管理的重任,關(guān)系到國(guó)家資金管理安全,需要不斷加強(qiáng)內(nèi)部控制建設(shè),以提升財(cái)政資金管理的安全性和規(guī)范性。

隨著財(cái)政廳對(duì)內(nèi)部控制工作越來(lái)越重視,內(nèi)部控制制度也在逐漸完善。身份認(rèn)證作為數(shù)字財(cái)政試點(diǎn)系統(tǒng)中極為重要的一環(huán),目前常用手段是以PKI(數(shù)字證書)技術(shù)為基礎(chǔ),通過(guò)“PIN碼+數(shù)字證書”的方式實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用中的身份確認(rèn)、授權(quán)管理和責(zé)任認(rèn)定等功能,但該身份認(rèn)證方式還存在一定的安全隱患。

PIN碼容易泄露丟失、USBKEY及PIN碼交叉使用等情況,使得在業(yè)務(wù)系統(tǒng)應(yīng)用過(guò)程中根本無(wú)法確認(rèn)確保操作者身份的真實(shí)性,從而對(duì)用戶登錄、資金撥付等操作進(jìn)行正確的授權(quán)管理,這就帶來(lái)了嚴(yán)重的資金安全風(fēng)險(xiǎn),無(wú)法保障資金及數(shù)據(jù)的安全。

為加強(qiáng)系統(tǒng)各環(huán)節(jié)資金撥付流轉(zhuǎn)的安全性及數(shù)據(jù)的保密性,用內(nèi)控管理夯實(shí)業(yè)務(wù)執(zhí)行的規(guī)范性,提升應(yīng)用登錄操作的高效便捷性。河北省財(cái)政廳與亞略特達(dá)成合作,在以“PKI”為核心的安全認(rèn)證體系上融合生物識(shí)別技術(shù),利用指紋的唯一性、不可丟失、不可轉(zhuǎn)借、不可破解等優(yōu)勢(shì),解決傳統(tǒng)身份驗(yàn)證環(huán)節(jié)的風(fēng)險(xiǎn)。

新的身份認(rèn)證安全管理模式,通過(guò)CA認(rèn)證體系實(shí)現(xiàn)對(duì)“數(shù)字證書”的使用和管理。同時(shí)構(gòu)建全省統(tǒng)一指紋中心庫(kù),通過(guò)指紋認(rèn)證體系解決“人”的精準(zhǔn)管理問(wèn)題。使用指紋USBKEY作為指紋認(rèn)證及保護(hù)客戶數(shù)字證書和私有密鑰的安全載體,從系統(tǒng)登錄身份認(rèn)證到資金撥付確權(quán)管理、電子簽章及簽名、數(shù)據(jù)加密、安全審計(jì)等,每個(gè)環(huán)節(jié)都穿透“人、證”核驗(yàn),最終實(shí)現(xiàn)多重應(yīng)用效果,層層防護(hù)資金流轉(zhuǎn)安全:

•系統(tǒng)登錄更安全,實(shí)現(xiàn)人證合一。登錄業(yè)務(wù)系統(tǒng)的政務(wù)人員身份認(rèn)證及授權(quán)是數(shù)據(jù)安全管理的首要關(guān)口。新模式下,全體工作人員進(jìn)入系統(tǒng)需通過(guò)指紋認(rèn)證完成強(qiáng)身份鑒別,才可啟動(dòng)USBKEY內(nèi)部的數(shù)字證書認(rèn)證,實(shí)現(xiàn)用戶賬號(hào)、證書和指紋的綁定,確保實(shí)際操作人的真實(shí)身份,解決PIN碼帶來(lái)的安全隱患。

•內(nèi)控確權(quán)管理,強(qiáng)化過(guò)程管控。將指紋識(shí)別引入數(shù)字簽名機(jī)制,保證用戶進(jìn)入系統(tǒng)后的每一次權(quán)限操作仍需要指紋認(rèn)證,保障每一次數(shù)字簽名、簽章都合法可靠,將資金流轉(zhuǎn)過(guò)程的各個(gè)環(huán)節(jié)落實(shí)到相關(guān)人員,進(jìn)一步壓實(shí)執(zhí)行主體責(zé)任,防止事后抵賴,逃責(zé)等現(xiàn)象,確保審計(jì)精準(zhǔn)到人,更加有效地監(jiān)管財(cái)政資金的流向和安全。

•指紋取代PIN碼,提升系統(tǒng)登錄便捷性。為加強(qiáng)賬號(hào)的安全,PIN碼是需要定期進(jìn)行修改的,且要求必須以字母、數(shù)字、特殊字符、大小寫等組合形式加強(qiáng)安全等級(jí),雖然提升了安全性,但是日常維護(hù)工作十分繁瑣,容易記混出錯(cuò)。采用指紋USBKEY替代PIN碼,即插即用,一鍵登錄,方便高效。

•指紋集中管理,確保指紋與KEY的唯一性。通過(guò)中心平臺(tái)集中監(jiān)管采集、下發(fā)指紋數(shù)據(jù),對(duì)全體員工指紋進(jìn)行統(tǒng)一的管理與授權(quán),防止用戶自己修改設(shè)備中的指紋數(shù)據(jù),杜絕一人擁有多個(gè)KEY或多人共用一個(gè)KEY的現(xiàn)象,嚴(yán)防冒用頂替。

河北省財(cái)政廳基于生物識(shí)別技術(shù)的身份認(rèn)證新模式充分發(fā)揮了“數(shù)字財(cái)政”理念,不斷提出新思路,利用新的技術(shù)完善系統(tǒng)建設(shè),多措并舉保障國(guó)庫(kù)支付資金安全,是電子政務(wù)數(shù)據(jù)安全管理能力提升的有效實(shí)踐,為各省市區(qū)的數(shù)字政務(wù)建設(shè)提供了充足的經(jīng)驗(yàn)參考。

與此同時(shí),新的信創(chuàng)辦公系統(tǒng)環(huán)境下,業(yè)務(wù)、應(yīng)用、數(shù)據(jù)上云已經(jīng)成為大趨勢(shì)。2023年,在云上進(jìn)行數(shù)字身份管理的場(chǎng)景需求上,亞略特和數(shù)字廣東進(jìn)行了新的嘗試。與河北財(cái)政的敏感重要系統(tǒng)需要進(jìn)行集中強(qiáng)管理的方式不同,數(shù)字廣東需要應(yīng)對(duì)全省各行各業(yè),各種類型、紛繁多樣的辦公、行業(yè)應(yīng)用系統(tǒng),為不同的、獨(dú)立的硬件系統(tǒng)環(huán)境、業(yè)務(wù)環(huán)境建立統(tǒng)一標(biāo)準(zhǔn)的、更加注重個(gè)人隱私安全和應(yīng)用便捷的數(shù)字身份實(shí)名認(rèn)證能力。在使用者身份認(rèn)證問(wèn)題上,數(shù)字廣東面臨諸多挑戰(zhàn):

•辦公終端硬件軟件配置復(fù)雜,除大量windows系統(tǒng)硬件還在使用中,廣東省政務(wù)辦公環(huán)境幾乎覆蓋了國(guó)內(nèi)所有主流信創(chuàng)CPU、BIOS和操作系統(tǒng),每一種組合都意味著新的適配工作量和幾何級(jí)增加的開發(fā)難度。

•SaaS化的辦公應(yīng)用系統(tǒng)開發(fā)與升級(jí)頻繁,全省統(tǒng)一的政務(wù)云環(huán)境下,新的政務(wù)應(yīng)用不斷推出,需要為不同的政務(wù)行業(yè)、持續(xù)增加和升級(jí)的各類政務(wù)系統(tǒng)提供統(tǒng)一的接口調(diào)用方案。

•政務(wù)云上各類應(yīng)用的數(shù)據(jù)安全管理等級(jí)不同,用傳統(tǒng)的保密思路建設(shè)統(tǒng)一身份認(rèn)證中心模式,既無(wú)法應(yīng)對(duì)“便捷+安全”的需要,也不能滿足大量的普通政務(wù)系統(tǒng)用戶的隱私信息保護(hù)訴求。

亞略特針對(duì)該項(xiàng)目需求與數(shù)字廣東聯(lián)合研發(fā)數(shù)字政府科技創(chuàng)新產(chǎn)品——國(guó)內(nèi)首款信創(chuàng)國(guó)密指紋認(rèn)證鼠標(biāo),提供“指紋片內(nèi)存儲(chǔ)比對(duì)+國(guó)密算法加密”雙重防護(hù)的生物特征身份認(rèn)證技術(shù)服務(wù),并與數(shù)字廣東統(tǒng)一身份認(rèn)證平臺(tái)對(duì)接,提供統(tǒng)一標(biāo)準(zhǔn)接口,只需要簡(jiǎn)單調(diào)用即可在終端登錄、云桌面登錄、業(yè)務(wù)應(yīng)用系統(tǒng)訪問(wèn)授權(quán)等各類場(chǎng)景上實(shí)現(xiàn)無(wú)密碼安全身份認(rèn)證。該系統(tǒng)做到了:

•應(yīng)用無(wú)局限

廣東省政務(wù)云各類SaaS應(yīng)用開發(fā)者商可以根據(jù)開發(fā)指南直接調(diào)用SDK,整個(gè)身份認(rèn)證功能模塊的開發(fā)過(guò)程大大簡(jiǎn)化??苫谵k公管理需求在應(yīng)用中設(shè)置認(rèn)證環(huán)節(jié)調(diào)用鼠標(biāo)指紋,用于電腦、政務(wù)系統(tǒng)登錄身份認(rèn)證和應(yīng)用授權(quán)審批。

•電腦環(huán)境全適配

適配政務(wù)系統(tǒng)辦公環(huán)境現(xiàn)狀,全國(guó)首創(chuàng)同時(shí)支持Windows和各類廣東政務(wù)環(huán)境使用的信創(chuàng)CPU+OS組合,并內(nèi)置證書,可做到即插即用。

•安全有保障

在鼠標(biāo)的生物識(shí)別安全芯片內(nèi),專門設(shè)置加密區(qū)進(jìn)行生物特征的存儲(chǔ)和比對(duì)工作,所有生物特征信息不出片,只返回比對(duì)結(jié)果,便捷的同時(shí)更保障了政務(wù)用戶的隱私數(shù)據(jù)安全,便于在通用的政務(wù)辦公環(huán)境中推廣。

•全棧信創(chuàng)

國(guó)密鼠標(biāo)中的生物識(shí)別安全芯片、算法、傳感器,均已完全自主可控。

未來(lái),亞略特將向更多的政務(wù)單位復(fù)制推廣該項(xiàng)目案例解決方案,提供創(chuàng)新有效的電子政務(wù)網(wǎng)絡(luò)數(shù)據(jù)安全保障技術(shù),為數(shù)字政府建設(shè)縱深推進(jìn)保駕護(hù)航。

THEEND

最新評(píng)論

更多
暫無(wú)評(píng)論