财政身份认证与授权管理系统是一项旨在提升财政信息系统安全性的工程,其核心在于通过技术手段实现对用户身份的准确验证和权限的严格控制,以确保财政业务应用的安全稳定运行。
信息安全是财政信息系统设计和构建的基础。信息安全的三大主要目标包括保密性、完整性和可用性。保密性要求信息资料尤其是关键信息不被未授权的人员获取;完整性确保信息资料的准确无误,不出现缺失或篡改;可用性则保证在需要时能及时获取所需信息资料。信息安全的四个要素通常指的是人、系统、资产(包括终端、数据等)、网络。在这些要素中,人员是最不稳定的因素,同时也是安全的边界,而资产是最受关注的因素。信息安全的实现需要关注和管理好这两个核心要素。
身份认证与授权管理系统作为信息安全的重要组成部分,是防止未授权访问的第一道防线。身份认证包括用户身份的识别和访问控制,主要手段有用户名加密码,但这种方式存在密码泄漏和网络窃听的风险。因此,需要建立更为安全的强身份认证机制,比如结合数字证书。
在财政身份认证与授权管理系统的具体实施中,地市级财政大平台系统(Portal)作为接入应用系统的统一登录入口,通过“用户名+密码”的身份认证方式让用户进行登录,并连接数据库进行验证,之后用户可进入Portal并获得相应的权限访问。但这种认证方式安全级别较低,所以系统改造的方案是在原有基础上增加证书认证方式,利用CA证书进行身份认证,同时建立用户属性管理系统,通过“PID”属性来绑定用户证书与平台身份标识的关系。身份认证网关对证书的合法性进行校验,认证结果和身份信息返回给平台,平台再根据结果进行相应的业务处理。
系统整体架构的构建要求省地市级财政身份认证与授权管理系统单独部署在独立的局域网中,并通过防火墙实现与财政业务专网的逻辑隔离,配置安全策略以提供访问服务。该系统部署主要包括身份认证模块、授权管理模块、安全审计模块及应用安全组件四个部分。身份认证模块可能包括LRA系统和LDAP;授权管理模块主要负责用户属性管理;安全审计模块用于安全审计查询系统;应用安全组件包括身份认证网关、签名服务器及时间戳服务器等。
在实际操作中,还需要注意的是,系统建设必须遵循一定的标准和技术手段,包括电子单据和数据的数字签名、时间戳、责任认定等安全功能,这对于推进财政业务无纸化和提高效率是十分关键的。缺少统一的标准和技术手段将会阻碍财政信息化的发展。
财政身份认证与授权管理系统的建设,是保障财政业务系统应用安全的有效措施,它通过提供更加安全的用户认证方式和统一的授权管理,确保信息系统的保密性、完整性和可用性,同时降低管理成本,减轻用户负担,对于促进财政业务的无纸化和信息化具有深远的影响。
