国家电子政务外网数字证书中心

政务外网终端用户可信接入平台方案

终端用户可信接入平台方案

一、背景

近些年来，政府业务逐渐对IT服务产生了依赖，这反过来改变了政府业务考虑IT服务的方式和范围，同时网络安全和计算机终端管理逐步被提高到一个新的水平，电子政务外网采用统一的外网CA证书对外网委办终端进行实名制安全准入，并对终端进行安全管理和监控。

外网实名制体系的作用在于实现对网络用户的身份鉴别、权限认证和责任认定，确保网络通信中用户（含设备）身份的真实性与合法性，用户访问与操作权限的确定性，用户操作行为与责任的可鉴别性与不可否认性。基于外网实名制体系，实现了网络通信中可靠地识别一个用户的身份、行为和责任。

国家电子政务外网CA体系示意图

国家电子政务外网电子认证服务体系采用树状结构，由政务外网数字证书中心、电子认证注册服务中心和注册服务点组成，分别负责政务CA系统、RA系统、LRA系统的工作，其布局结构如上图所示。

二、需求分析

电子政务外网实名制解决方案基于可信网络思想，一整套全局联动的安全管理平台（针对客户端、交换机、路由器、出口防火墙、数据中心防火墙、入侵检测系统等做统一的安全管理），从而显著简化管理工作。

“实名制”解决方案，使得信息系统更安全更稳固的工作，同时也为信息系统等级保护制度如何具体的实施，提出了踏实、可靠、符合标准的建议。在信息安全保障体系的建设中，可以发挥出以下的作用：

落实等级保护对于安全域划分的实现需要和目标

l 可以基于信息系统的多种属性，灵活地定义应用安全域

l 实现不同安全域之间的逻辑隔离

对信息交换进行精细化控制

l 在共享传输链路上实现不同安全域数据的逻辑隔离

l 在共享的交换平台上实现不同安全域数据交互的安全控制

提升网络的整体安全性

l 终端用户没有通过认证和安全性检查则无法接入到网络当中

l 终端用户在网络上通过任何方式都无法访问未被授权的应用系统

l 解决了终端用户同时访问多个区域带来的“中间人”问题

实现外网实名制

l 结合全国电子政务外网CA证书实现外网实名制

l 解决了外网终端安全准入，增强准入安全访问控制

网络安全建设的成本大大降低

l 部署方式灵活，用户可根据实际网络情况构建满足应用安全域划分的电子政务网络。

l 市级平台统筹管理，区县平台分布执行策略。

随着电子政务外网业务范围的不断扩大，政务外网电子认证体系的服务能力也逐步提高。外网实名制为各级政务部门实现政务人员和相关的业务提供了专人专机专项授权的安全访问控制，大大加强了全国电子政务外网业务的安全性、可靠性。

三、方案简介

终端用户可信接入平台方案针对接入电子政务外网的用户中面临的入网认证和授权访问等问题，提出了完整的可信接入解决方案。

方案一：通过认证客户端实现，如下图所示：

（1）统一制定平台身份编码规范，包括人员、单位、角色等，实现整个平台范围内用户标识的一致性，为支持全平台范围内的统一用户管理及入网认证奠定基础；

　　（2）采用认证客户端，实现以CA安全认证为基础的终端用户可信接入认证管理机制，在平台中实现用户数字身份的实名制认证，并支持用户终端的授权访问和安全加固功能，实现入网终端的安全性；

　　（3）实现分布式部署，集中授权管理，将管理员纳入基于角色的授权管理体系中，各级管理员依据其角色，严格限于管理所分配的对象（部门、人员、系统、角色），体现了最小化授权原则，集中的管理员具有统一查看、管理各分支站点终端用户可信接入平台功能，各级认证节点之间的用户信息与上级单位的终端用户可信接入认证管理平台需同步，上级单位的终端用户可信接入认证管理平台可查看各级单位的用户信息；

（4）采用业界标准的Radius协议进行认证，各接入单位接入交换机需支持标准的802.1X协议。

产品清单：

（1）数字证书

（2）统一认证管理系统

（3）应用中间件

（4）终端用户可信接入平台服务器

（5）认证客户端

方案二：通过IE浏览器实现，如下图所示：

　　（2）采用Windows系统IE浏览器，实现以CA安全认证为基础的终端用户可信接入认证管理机制，在平台中实现用户数字身份的实名制认证；

（4）采用业界标准的Radius协议进行认证，通过SNMP协议下发策略，各接入单位接入交换机需支持WEB认证功能。

产品清单：

（1）数字证书

（2）统一认证管理系统

（3）应用中间件

（4）终端用户可信接入平台服务器

（5）终端用户可信接入WEB平台服务器