寧夏:人力資源社會保障網(wǎng)絡信任體系建設(shè)

隨著寧夏人力資源社會保障信息系統(tǒng)建設(shè)的逐步推進，寧夏人力資源社會保障信息網(wǎng)絡的覆蓋范圍日益擴大，數(shù)據(jù)的集中程度顯著提高，對系統(tǒng)、網(wǎng)絡和數(shù)據(jù)的安全防范能力提出了更高的要求。同時，寧夏人力資源社會保障信息網(wǎng)絡系統(tǒng)的整體框架基本形成，實現(xiàn)了自治區(qū)、市、縣（區(qū)）、鄉(xiāng)鎮(zhèn)的網(wǎng)絡互聯(lián)，并陸續(xù)開展了網(wǎng)上公共服務業(yè)務，迫切需要加強以密碼技術(shù)為基礎(chǔ)，以身份認證、授權(quán)管理和責任認定為主要內(nèi)容的網(wǎng)絡信任體系建設(shè)。

寧夏人力資源社會保障網(wǎng)絡信任體系概述

寧夏人力資源社會保障網(wǎng)絡信任體系是以密碼技術(shù)為支撐，以電子認證系統(tǒng)為基礎(chǔ)設(shè)施，基于數(shù)字證書的應用開發(fā)接口，面向人力資源和社會保障各類業(yè)務系統(tǒng)，實現(xiàn)以身份認證、授權(quán)管理和責任認定為主要內(nèi)容的安全應用。包括電子認證體系和授權(quán)管理體系，其中，電子認證體系是網(wǎng)絡信任體系的基礎(chǔ)，是基于密碼技術(shù)，實現(xiàn)證書生命周期管理，以及身份認證、加密解密、簽名驗證等證書應用功能的技術(shù)體系和管理體系。

寧夏人力資源和社會保障電子認證體系包括寧夏人力資源社會保障電子政務內(nèi)網(wǎng)電子認證系統(tǒng)和電子政務外網(wǎng)電子認證服務系統(tǒng)。內(nèi)網(wǎng)電子認證系統(tǒng)是按照國辦要求進行建設(shè)，為寧夏人力資源社會保障電子政務內(nèi)網(wǎng)應用提供電子認證服務；外網(wǎng)電子認證服務系統(tǒng)包括面向全區(qū)寧夏人力資源社會保障系統(tǒng)內(nèi)部用戶的電子認證服務系統(tǒng)(即寧夏人力資源社會保障業(yè)務專網(wǎng))和面向社會公眾服務的電子認證服務系統(tǒng)(即寧夏人力資源社會保障公共服務系統(tǒng))兩部分。

建設(shè)全區(qū)統(tǒng)一的網(wǎng)絡信任體系的必要性

一是確保寧夏人力資源社會保障應用系統(tǒng)安全性的基本需求。寧夏人力資源社會保障業(yè)務專網(wǎng)聯(lián)網(wǎng)應用包括養(yǎng)老保險和醫(yī)療保險經(jīng)辦業(yè)務、基金監(jiān)管業(yè)務以及公共服務等，這些業(yè)務系統(tǒng)在應用過程中，有些需要核實系統(tǒng)訪問者的有效身份和操作權(quán)限，有些需要在數(shù)據(jù)傳輸確保信息準確、保密、且不可抵賴，在事后可追究責任。作為目前唯一能夠同時解決身份認證、訪問控制、信息保密和抗抵賴的安全技術(shù)，建設(shè)基于PKI／CA技術(shù)的網(wǎng)絡信任體系是解決寧夏人力資源社會保障應用系統(tǒng)安全問題的重要措施。

二是解決行業(yè)內(nèi)相互安全信任和支持跨地區(qū)業(yè)務的迫切需要。目前各地、各個核心應用為滿足各自的業(yè)務需求，紛紛開始使用不同的認證機構(gòu)、不同安全級別、不同技術(shù)基礎(chǔ)的認證服務系統(tǒng)。各自的安全信任認體系標準不統(tǒng)一，對于寧夏人力資源社會保障行業(yè)內(nèi)的安全認證沒有權(quán)威性，在行業(yè)應用系統(tǒng)內(nèi)部形成天然的隔離，難以實現(xiàn)行業(yè)內(nèi)的相互安全信任，無法滿足全區(qū)的應用，因此，在國家的總體規(guī)劃下，我區(qū)自行建設(shè)行業(yè)統(tǒng)一的網(wǎng)絡信任體系已刻不容緩。

三是保持行業(yè)安全信任權(quán)威性的必然要求。為保證整個寧夏人力資源社會保障行業(yè)認證系統(tǒng)的權(quán)威性、統(tǒng)一性和高度安全性，應該從整體上對行業(yè)PKI／CA認證體系建設(shè)進行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、嚴格控制和規(guī)范管理，以適應各種應用系統(tǒng)的安全需求。保持統(tǒng)一的寧夏人力資源社會保障信任源，維護寧夏人力資源社會保障安全信任權(quán)威性，有利于源點以及其他認證節(jié)點實現(xiàn)互認互信，有利于各級間和地區(qū)的勞動保障業(yè)務的開展。

四是進行信息安全等級保護應用安全整改的一項重要內(nèi)容。根據(jù)信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求，3級及3級以上的信息系統(tǒng)，在用戶身份鑒別方面明確提出采用強化管理的口令、基于生物特征、數(shù)字證書以及其他具有相應安全強度的兩種或兩種以上的組合機制進行用戶身份鑒別，并對鑒別數(shù)據(jù)進行保密性和完整性保護。因此，建設(shè)網(wǎng)絡信任體系開展基于數(shù)字證書的應用，有利于建設(shè)安全等級3級及3級以上的信息系統(tǒng)。

寧夏人力資源社會保障電子認證系統(tǒng)建設(shè)模式選擇

(一)自治區(qū)級人力資源社會保障電子認證系統(tǒng)建設(shè)模式選擇

模式一：寧夏人力資源社會保障電子認證系統(tǒng)作為二級電子認證節(jié)點，以人力資源和社會保障部電子認證系統(tǒng)為依托，直接建立二級密鑰管理系統(tǒng)、證書簽發(fā)管理系統(tǒng)、證書注冊管理系統(tǒng)、密碼服務系統(tǒng)和證書查驗服務系統(tǒng)，通過業(yè)務專網(wǎng)與部級CA中心進行連接，實現(xiàn)與根證書認證系統(tǒng)的通信。同時在專網(wǎng)和對外服務的Internet網(wǎng)上分別部署證書查詢驗證服務系統(tǒng)，通過數(shù)據(jù)同步可以實現(xiàn)為專網(wǎng)和互聯(lián)網(wǎng)服務提供數(shù)字證書的驗證和查詢服務。

模式二：寧夏人力資源社會保障電子認證系統(tǒng)作為人力資源和社會保障部電子認證系統(tǒng)的延伸，建立證書注冊管理系統(tǒng)和證書查驗服務系統(tǒng)，包括證書注冊管理系統(tǒng)、密碼服務系統(tǒng)和證書查詢驗證服務系統(tǒng)，通過業(yè)務專網(wǎng)與部級CA中心進行連接，實現(xiàn)證書的申請和下載。同時在專網(wǎng)和對外服務的Internet網(wǎng)上分別部署證書查詢驗證服務系統(tǒng)，通過數(shù)據(jù)同步可以實現(xiàn)為專網(wǎng)和互聯(lián)網(wǎng)服務提供數(shù)字證書的驗證和查詢服務。

(二)市級人力資源社會保障電子認證系統(tǒng)模式選擇

市級電子認證系統(tǒng)作為寧夏人力資源社會保障電子認證系統(tǒng)的延伸，根據(jù)自治區(qū)所選建設(shè)模式，可選擇以下兩種建設(shè)模式：

模式一：在自治區(qū)建設(shè)子CA系統(tǒng)的基礎(chǔ)上，建設(shè)注冊管理中心，包括：證書注冊管理系統(tǒng)、密碼服務系統(tǒng)和證書查詢驗證服務系統(tǒng)和證書注冊點等。通過業(yè)務專網(wǎng)與自治區(qū)級證書認證中心進行連接，實現(xiàn)證書的申請和下載。同時在專網(wǎng)和對外服務的Internet網(wǎng)上分別部署證書查詢驗證服務系統(tǒng)，通過數(shù)據(jù)同步可以實現(xiàn)為專網(wǎng)和互聯(lián)網(wǎng)服務提供數(shù)字證書的驗證和查詢服務。

模式二(注冊點)：在自治區(qū)級建設(shè)RA系統(tǒng)的基礎(chǔ)上，建設(shè)證書注冊點，包括：錄入終端、審核終端、制證終端，為本市人力資源和社會保障業(yè)務系統(tǒng)用戶提供數(shù)字證書的申請注冊、審核、證書下載等服務。