为贯彻落实民政部、工信部等5部委《关于推进社区服务综合信息平台建设的指导意见》(民发[2013]170号)和民政部下发《社区公共服务综合信息平台基本规范》(MZ/T053-2014)文件精神,强化社区自治和服务功能,促进社会和谐稳定,大力推进社区信息化建设,进一步完善我省社区服务措施,从2008年至今,省民政厅会同省财政厅按照省政府“民生八大工程”和“民政工程十大领域”城市社区服务体系建设规划部署,下达各地市、杨凌示范区等市级社区服务信息网络平台和省级社区服务信息网络平台建设项目,下拨省级专项补助资金予以项目保障,截止到目前,大部分地市的项目建设已落实完成,随着各地市社区信息化项目建设的逐步完成,为了进一步推动全省社区信息化建设工作,通过信息化手段提高民政服务水平,扩大民政服务覆盖面积,加强民政服务的及时性和准确性,计划从2013年开始,省民政厅将继续扩大社区服务信息网络平台建设的范围,在全省范围内建设以网格化管理为核心的民政社区事务管理系统建设工作,力争到“十二•五”末,争取达到全省所有县(区、市)建设成社区综合服务信息平台,基本实现社区信息服务流程的规范化和服务质量的标准化,最终实现省、市、县(区、市)、街道、社区五级纵向互联互通信息管理系统的规范目标。
由于全省社区平台项目建设覆盖面积大、节点多,所以不可能建立专网实现全省网络平台的互联,但社区公共服务综合信息平台属电子政务外网建设范畴,所以不能在互联网上明文传输,必须采用安全加密认证方式实现五级网络互联。各县(区、市)平台部署必须要实现与省、市平台的互联对接测试,实现省厅统一认证平台的规划,管理全盘技术要求依某省民政厅46号文件要求,依托信息化手段和标准化建设,整合社区公共服务信息资源,应用窗口服务、电话服务、智能终端和网络服务等形式,建设面向全省城乡社区村(居)民的社区公共服务综合信息平台。
现阶段,某省民政厅已建成某省社区服务信息网络平台,实现了对全省社区的精细化管理,社区数据基础资源库也已开始进行采集数据,同时又必须保证省级平台数据的安全、加密、畅通传输,完成数据上报。
按照省民政厅要求,对现有业务系统进行联通、整合,实现省-市-县(区、市)-街道办(乡镇)-社区的五级网络互联互通的目标。全面整合民政信息资源,以某省民政厅为核心构建统一、标准的信息化城市,规范化民政数据交换和共享机制,促进民政办公资源整合,实现文件、数据及其它资源的共享,保障信息安全,促进信息共享,提高行政工作效率和工作质量。
此次项目建设主要有五个方面:
安全互联认证系统:在某省社区信息网络服务平台部署VPN安全网关,构建建虚拟专用网络,实现数据安全、加密、畅通传输。同时达到省厅统一认证平台的规划,管理全盘技术要求。
服务器安全防护系统:社区数据基础资源库不仅要为省厅提供全省社区数据,同时也要提供本区民政办公数据查询,因此,必须要保证社区公共服务综合信息平台的安全运行,防止黑客攻击,网络病毒侵入,防止业务数据被篡改,造成重大损失,以保证社区数据基础资源库提供数据的真实性。
社区客户端:社区公共服务综合信息平台的属于电子政务外网建设范畴,禁止在公网上明文传输,为了提高办公效率,社区工作人员采集的社区数据可以快速录入系统,为社区工作人员配发VPN UK客户端,经过省厅统一认证平台认证之后,建立安全加密隧道访问。
身份证阅读器:由于社区人员复杂,社区数据的繁琐,为社区工作人员配发身份证阅读器,准确查询核实社区人员身份信息,保证社区服务系统数据的真实性,同时减轻社区工作人员的手工录入量,提高工作效率。
社区高拍仪:随着电子化办公的推进,档案资料也逐步开始进行电子化管理,身份证取照,客户抓拍,客户资料等等,提高办公效率的同时,也减少工作人员与群众之间的纠纷,有助于加强社区管理,维护社区治安。
随着我国社会主义市场经济的快速发展,大量的社会服务、社会管理、社会保障的功能从政府剥离到社区,社区已成为社会管理的最前沿。以信息技术推进社区建设,已成为提高社区管理和服务水平的重要手段。社区信息化是在政府主导和社会广泛参与下,以居民需求为导向,综合利用信息技术手段,整合社区资源,为社区居民提供全方位信息服务,提高社区管理和服务水平。在国家信息产业不断发展的宏观背景下,推动社区信息化建设的内在动因是提高社区管理和服务质量之需求;社区信息化在客观上成为由传统社区向现代社区转型的推进器。社区信息化的价值在于同传统的社区管理和服务方式比较,实现了多方面的革命性变革,如管理和服务理念、手段、方式、运行机制、绩效等。
通过省、区县两级社区网络平台的建设,整合各方资源,逐步建成集社会管理、社会服务为一体的社会管理创新体系,通过开发部署全面覆盖、动态跟踪、联通共享、功能齐全的社会管理软件系统,实现社区管理信息化,为社会重点要素的动态管控、基层民情形势的分析研判、民间矛盾纠纷的联合调处提供信息化支撑平台,从而提升社会管理水平,提高社会服务能力。
系统采用JAVA语言开发,B/S结构,支持多种主流服务器操作系统,能够与省、市级平台无缝集成对接,实现业务数据的完全共享。
实用性、先进性、成熟性:在设计中,以实用为出发点,利用当今IT产业先进的技术和成熟的方案,使软件系统稳定、实用,易于操作。
安全性和可靠性:软件系统的设计充分考虑安全问题,保证系统的可靠运行。
开放性:系统在设计时充分考虑到未来发展需要与其他系统共享、传递数据信息的可能性,采用通用的国际标准,以便联接到其他系统。
延续性和扩展性:系统建设的软、硬件平台预留充足的可扩展空间,保证后续开发、功能扩充的顺利进行。
整个系统要求达到高可用和高可靠的要求。
利用本系统,通过两级系统联动,社区工作人员可以及时获取辖区社区的最新信息。本系统最大限度地整合社区资源。通过统一、高速、便捷的信息平台,将政府、企业、社区自治组织和民间组织、社区居民联系在一起,整合各种信息资源、服务资源、人力资源、管理资源,不仅大幅降低管理成本,而且可以实现政府公共服务与社区便民服务紧密结合。本系统提高社区自我管理和服务能力。社区内部事务的全面电子化,不仅使得社区工作效率大幅提高,而且能够更大程度地接受社区居民的监督、提供更为优质的服务,保证村(居)务公开。本系统实现政府行政管理与基层群众自治有效衔接和良性互动。通过本系统建设,各级党委政府可以及时掌握基层较为完整准确的信息和发展动态,为党委政府决策和管理服务,促进社区建设。本系统更大范围保障居民的知情权、参与权、表达权、监督权,使得社区信息以更为直接的方式展现给社区居民,从而加强社会沟通、消除社会矛盾,促进社会稳定。
采用分层提供服务支持的设计思想,将系统划分为网络服务层、基础设备支撑层、数据层、中间件层及系统接口层、业务支撑层、业务应用层、门户层、业务表现层、用户层。系统对每一层定义明确的功能接口,同时在层次内实现组件化的接口实现。层次化、模块组件化的实现,使系统具备了最大程度的灵活度,从而能对业务需求的变化作出快速的反应,使系统具有很好的扩展性。
随着某省民政厅业务规模的逐步扩大,信息系统的建设也在逐步完善以快速响应业务系统及用户的处理需求,目前某省民政厅已经形成了由数据库系统、应用系统构成的信息系统运行环境,业务开展对信息系统的依赖程度也日益增加,用户必须访问SSL VPN系统、医疗系统以及其他业务系统以完成必要的日常工作,且需要使用硬件USBKEY进行登录,随着用户量的不断扩大及更新,造成USBKEY发放不及时及短缺现行,使得部分业务不能及时处理,信息系统在提高业务处理效率的同时,也为用户的使用带来了一些不便之处。
某省民政厅迫切需要通过集中身份与访问管理的措施来加强管理,满足内部外部监管的需要、业务发展的需要、提升管理水平的需要。以下称:统一认证加密管理系统。
统一认证加密管理系统是基于某省民政厅安全互联认证系统及相关应用系统,集用户(Account)管理、授权(Authorization)管理、认证(Authentication)管理和审计(Audit)于一体的集中用户管理系统。统一认证加密管理系统是针对某省民政厅安全互联认证系统及业务系统而定制开发的应用系统管理平台。可以在不改变现有软硬件及网络环境的前提下,无缝地将用户各种现有的应用系统整合到单点登录平台上,实现一次登录后就可访问所有的应用系统。
统一认证加密管理系统能够为应用系统提供集中的管理平台,减少系统维护工作;能够为企业提供全面的用户和资源管理,减少企业的维护成本;能够帮助企业制定严格的资源访问策略和采用强身份认证手段,全面保障系统资源的安全;能够详细记录用户对资源的访问及操作,达到对用户行为审计的需要。
详细分析某省民政厅的需求后,为本次项目建设提供某省民政厅统一认证加密管理系统产品和解决方案,该方案是一套综合管理信息系统中用户的身份及访问安全管理的解决方案,该解决方案融合了国内外信息安全技术的发展趋向、信息安全管理思想和信息安全标准的相关内容,从理顺、简化信息系统的操作流程、规范,约束、控制信息系统的应用权限、行为角度出发,结合应用系统的特点,按照用户在信息系统中的全生命周期管理角度进行信息系统的综合治理。
在某省民政厅项目的方案设计中,遵循了以下的原则:
规范性、标准性
对于整个某省民政厅统一认证加密管理系统的应用设计,基于现有安全互联认证系统和业务应用系统为基础,紧密的符合业界标准,而且在业务、功能、界面、内容等方面保持高度统一性和标准性,从而达到服务的规范化和管理的高效性。
整体安全和全网统一的原则
某省民政厅项目设计从一个完整的安全体系结构出发,综合考虑信息网络的各种实体和各个环节,综合使用不同层次的不同安全手段,为信息网络和安全业务提供全方位的管理和服务。
需求、风险、成本折衷原则
任何网络和信息系统都不能做到绝对的安全,设计时在不影响原网络性能和设计要求的情况下,在安全需求、安全风险和安全成本之间进行平衡和折衷。
实用、高效、可扩展原则
安全保障系统所采用的产品,便于操作、实用高效。同时随着技术发展,某省民政厅信息系统也将发生各种变化,在系统实施过程中,系统的结构、配置也会发生变化,系统的安全工程要有一定的灵活性来适应这种变化,做到层次性、体系性,既有利于系统的安全,又有利于系统的扩展。
技术和管理相结合原则
各种安全技术应该与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合,从社会工程学的角度综合考虑。
某省民政厅统一认证加密管理系统采用层次化、模块化的设计,产品整体分为产品接口适配层、核心功能层、门户层三层。系统从可扩展性、高性能、系统的松耦合性、安全性等角度进行了充分的考虑,为安全信息系统的管理提供了一个商业级、智能化的访问管理平台。系统总体功能架构图如下所示:
在本次项目中,某省民政厅统一认证加密管理系统采用旁路的方式接入,用户通过系统认证后,系统对所有应用系统采用代理的访问的方式,因此真正意义上实现单点登录的访问。
用户认证的数据流如下图所示,其中应用集中身份管理系统、Portal服务器以及CA认证服务器均在统一认证加密管理系统内。
按照民政部的要求,今年我省应建成省市县三级联网的安置办业务系统,经厅安置办项目信息化领导小组多方沟通,目前确定的实施方案是由我厅自行采购安全互联认证系统以及地市区县民政部门的安全互联认证系统USBKey客户端,通过互联网加密隧道的方式实现业务系统地市区县互联,为了节省设备,并兼容部分地市区县的现有设备,拟采用和我厅现有低保业务全省VPN专网兼容或者相同品牌的安全互联认证系统。
某省民政厅信息化基础设施经过多年的建设,目前已经建成了覆盖省、地市、区县、街道办四级安全互联认证系统,上联民政部,横向与省政府电子政务网连接。
与民政部连接通过一条2M数字电路,接入全国民政广域网,作为某省级接入节点。与省政府则通过逻辑隔离、物理隔离等措施,分别连接电子政务内网和电子政务外网,其中电子政务内网采用物理隔离方式,仅仅接入机要公文系统、工资系统等重要的涉密接入,相对独立,在本系统方案中不需要互联。互联网则通过100M光纤专线接入,目前主要提供婚姻、低保等业务系统以及门户网站,其中门户网站针对互联网用户开放,婚姻低保等业务系统则通过安全互联认证系统,接受来自地市区县各级民政节点的接入。
安置办业务系统服务器部署在民政厅北郊机房,但是由于安置办业务系统还需要连接到民政部,需要一条专线和厅机关现有的2M数字电路连接,在目前电子政务网无法满足和全国民政广域网融合的前提下,也采用安全互联认证系统进行互联。
根据目前的网络现状,安置办业务系统自身需要作为安全互联认证系统接入核心,接收来自地市区县的安置办工作站接入,同时利用在省厅机关部署的安全互联认证系统将部署在北郊机房的安置办业务网络,和省厅2M数字电路连接,从而将安置办业务系统接入全国民政专网,考虑到目前省厅已经有婚姻和低保的安全互联认证系统,因此比较节省投资的方案是采用兼容或者相同规格安置办安全互联认证系统,既可以作为服务端,接受区县地市的安全互联认证系统接入以及和其他业务处室已有安全互联认证系统互备,也可以作为安全互联认证系统路由器,和省厅现有的婚姻、低保安全互联认证系统做站到站连接,从而利用互联网,将地市区县安置办节点连接到省厅业务平台。
