● 摘要
为适应北京市政务应用系统不断发展的需要,并为今后为更多的政府业务系统服务和公共服务奠定基础,满足包含敏感或重要数据等政务应用系统的需要,北京市利用政府可控资源,在全市范围内建设38个网络节点,并由此组建一个与互联网物理隔离、节点环境可控的MPLS网络,这个网络称为北京市可信网。但是北京市可信网存在越权访问、非法接入、安全策略无法落实、工作人员安全意识薄弱等安全问题。 本文概述了国内外网络准入和访问控制研究现状,结合北京市可信息网的实际情况,提出北京市可信网网络实名接入平台设计和实施。主要研究成果是: 1、完成了网络实名接入平台整体分析设计工作,完成实名接入认证系统开发设计,实现了接入控制服务、身份认证服务和实名接入授权管理、终端认证等实名接入认证全生命周期管理,确保只允许特定人,使用特定终端,具有特定权限才能接入市可信网; 2、完成了实名接入认证系统的开发设计除了实现网络实名接入功能,还需要充分考虑统一的用户管理、认证管理、授权管理、安全审计和单点登录需求,并能够实现对用户接入和退出网络的时间进行实名监控审计; 3、完成了市可信网网络准入控制的管理体系设计,使得制定的安全管理策略得到真正落实,解决安全事件能追溯到具体责任人,用户登录凭证发放和管理的安全便捷,保证网络实名接入的用户身份凭证在发放和管理过程安全可靠且便于操作; 4、完成了系统安全运维支撑体系设计,确保实名接入认证管理系统软硬件平台和客户端业务的可靠运行; 5、完成了网络实名接入平台网络结构设计,完成系统的安装部署工作,达到了实际推广运行要求。 目前市可信网网络实名接入平台已经上线试运行,资源访问可控性、操作行为可查、安全事件能追溯到具体责任人、用户身份凭证发放和管理过程安全可靠、实名接入认证管理系统软硬件平台和客户端业务可靠运行,中环2000多全体工作人员开始使用网络实名接入平台接入到市可信网开展电子政务办公。下一步将北京市政府大院、数北、市国土局、东城区进行推广,十二五期间覆盖北京市各级政府机关及事业单位近10万人。