七、关键保障技术
(一)平台支撑技术
1.统一用户与认证
包括面向互联网用户(自然人和法人)的用户体系和认证体系、面向政府工作人员的用户体系和认证体系。
(1)用户注册
●面向互联网用户的用户注册
依托互联网政务服务门户建立统一的互联网用户体系,提供自然人和法人的网上注册功能。同时提供页面和接口两种对外的用户注册服务,实现互联网用户的统一注册。
【页面方式】互联网政务服务用户体系提供统一注册页面,第三方系统通过修改注册地址链接到该页面。该方式适用于用户注册认证统分方式。
【接口方式】互联网政务服务用户体系提供统一用户注册接口,第三方系统发起用户注册时,调用互联网政务服务门户用户注册接口增加用户。该方式适用于用户注册认证分建方式。
●面向政府工作人员的用户注册
依托政务服务管理平台建立统一的政府工作人员用户管理体系。使用统一系统的政府用户由同级政务服务管理平台统一提供用户的新增、维护、删除等管理。使用自建系统的政府用户,可自行建立用户管理体系。需要接入的可使用以下方式:
【统一登录名和密码】对于接入统一政务服务管理平台的各级政府部门业务办理系统,如果所有政府工作人员用户在省级政务服务管理平台统一管理、统一认证,需采用统一登录名和密码方式接入,并实现单点登录。由省级政务服务管理平台提供统一用户管理页面,自建系统通过修改用户管理地址链接到该页面。
【映射方式接入】如果只是实现从省级政务服务管理平台单点登录自建系统,可采用映射方式接入省级政务服务管理平台。映射方式下的部门业务办理系统,自己管理系统内的用户。
(2)身份认证
根据认证程度不同,实名认证用户可分为不同等级,不同等级的用户赋予不同的网上办事权限。
①面向互联网用户的身份认证
身份认证服务提供用户名密码、手机号码密码、身份证号码密码和数字证书等登录方式。具体的认证方式由用户或者所使用的应用系统决定。
申请人在以个人身份进行网上办事前,需先行注册成为互联网政务服务门户的个人用户。注册时,应填写申请人的真实姓名、身份证号码、邮箱地址、手机号码等主要信息,并通过身份证信息认证、社会保障卡实名认证、银联卡实名认证、电信运营商实名认证、公积金账号认证、实体大厅现场审核验证等方式完成申请人的实名认证,通过实名认证后开通申请人的个人账号。对同一个用户而言,可以根据所使用的应用系统的要求采用相应的认证方式,如果用户已经通过了高安全级别的身份认证,对只要求低安全级别的系统服务则无需进行再次认证。如果用户已经通过了低安全级别的身份认证,需要高安全级别的认证时则需要再次进行相应的高安全级别认证。
②面向政府工作人员的身份认证
依托省级政务服务管理平台建立统一的政府工作人员认证体系。提供用户名/密码认证和数字证书认证等方式。
自然人和法人实名注册协议参见附录四。
2.电子证照
(1)证照库部署方式
作为汇聚各类证照信息并提供服务的电子证照库应采用统一平台,可省、市两级建库,以省级集中汇集的方式部署,以便其提供统一标准接口供省、市、县三级相关应用系统调用。
(2)电子证照文件格式和内容
电子证照文件格式采用版式文件格式,文件内容包含与纸质证照相同比例的证照底图、电子证照的照面信息、电子证照元数据信息、签发单位的电子印章与对电子证照文件内容进行的数字签名。个人电子证照应关联身份证号码信息,企业电子证照应关联企业统一社会信用代码信息。
(3)证照采集、存储
通过证照信息多元采集和沉淀,实现证照产品化,实现“一次提交、多方利用”,解决基础数据的实时性、准确性问题。主要技术实现方式如下:
①证照采集
证照采集主要包括证照信息采集和证照样式采集。一般可通过数据交换或者数据库复制等方式,将省、市级各部门原有业务系统中的电子证照信息以统一标准保存到电子证照库中,形成电子证照库的基础数据。在省、市、县三级相关部门某个办件业务办理完成时,将产生的电子证照信息通过数据交换平台交换到电子证照库保存,实现证照信息的更新。证照样式包括证照底图和证照排版信息,应与纸质证照一致,并全省(区、市)统一标准、统一采集。证照样式保存于电子证照库,并与其证照编号关联。
证照采集可包括以下方式:证照录入、申请材料电子化、审批结果电子化、证照自动合成、整合其他电子证照库。
【证照录入】通过扫描证照原件采集证照图像,并手工录入证照照面信息项,可以通过图文识别技术辅助识别证照照面文字信息,提高采集效率。这种方式主要应用在存量证照的集中电子化。由发证单位对存档纸质证照进行集中电子化,或在实体政务大厅设立专门窗口,提供证照录入服务。
【申请材料电子化】窗口工作人员在受理申请后,将事项申请材料中核验通过的证照类材料,通过拍照、扫描方式采集证照图像,并手工录入照面信息项。
【审批结果电子化】窗口工作人员在发证环节,通过拍照、扫描方式采集证照图像,并手工录入照面信息项。
【证照自动合成】审批结果信息通过数据接口交换至电子证照库,根据预设的证照底图,自动合成证照图像。
【整合其他电子证照库】对于已建成的部门电子证照库,通过数据交换的方式将部门电子证照库中的证照信息交换到政务服务数据共享平台电子证照库中,并建立实时或定期数据交换机制。
②数据清洗
采集后的电子证照数据,要经过比对清洗,识别并去除虚假的、过期的、失效的、重复的证照数据,保留下来的有效数据,要加盖电子印章和水印。针对源数据库中出现二义性、重复、不完整、违反业务或逻辑规则等问题的数据进行统一处理。
③证照转化、处理
对各类证照数据进行采集、清洗后,将电子证照统一转化成电子格式文件。系统应具备对证照采集和填报的数据进一步处理的功能,主要包括证照版式处理、式样图叠加、扩展数据、文件编号等功能。
④数据封装
将证照数据电文元数据与证照照面进行封装处理,形成符合标准的证照数据电文文件,封装后系统可读取被封装的元数据和证照照面信息。
⑤证照文件生成与存储
电子证照信息进入数据库后,立即将其全部信息和样式封装并形成缩略图,保存时应包括信息来源和电子证照库名称,并以电子签名封装,以保证其不可修改。电子证照信息更新后,新数据重新生成证照信息文件,旧数据作为历史数据另行保存,不再进入检索,但可以备查。
⑥证照发放
电子证照的发证功能一般应在政务服务管理平台或相关业务系统扩展开发和补充功能实现。在一定范围内,可建设电子证照发证平台,为相关系统统一提供电子证照的生成功能。在生成电子证照后,将证照内容信息和电子证照文件通过数据交换平台交换到电子证照库保存。
⑦数据校验与证照验证
对已生成的证照数据电文可进行数据校验修改,提供自动校验(数据比对)和人工校验两种方式。
证照安全性验证包括防篡改、防抵赖验证,验证证照数据电文的电子印章及其来源的有效性。证照数据信息验证,分机读验证和目视验证两种。机读验证是政务服务管理平台获取到证照数据电文封装包后,读取封装包内的照面信息文件,对照面信息中登记事项进行自动匹配、查验;目视验证是指用目视的方式查验证照。
(4)电子证照的应用
电子证照作为实现全流程网上审批应用的最后一环,依托“一窗式受理、一站式服务”的政务服务模式,在流程上实现对电子材料、电子证照的生成、应用和共享。自然人和法人在办理过程中可以直接查询所需的电子证照和相关信息,以电子证照作为办事的材料依据,避免材料重复提交。同时实现纸质证照与电子证照同步签发,形成电子证照的全程闭环应用。
部分政务服务中需提供的电子证明材料可通过相关部门电子证照库信息共享接口实现。业务部门提供一个信息查询服务接口,并由电子证照库统一管理这些接口服务。由电子证照库调用部门信息共享接口,获取符合条件的证明材料信息,生成电子证明材料文件予以保存,并将电子证明文件返回给用户用于保存或提交电子证明材料。
(5)电子证照的共享互认
电子证照的共享基于电子证照目录,按部门、行政区划、证照类别、持证者等信息分类;建立电子证照共享平台,实现跨部门、跨地区、跨层级共享和校验,按授权查询、下载、比对和复用,防篡改、防伪造、可验证。
平台提供本区域证照共享管理、证照目录及元数据的查阅功能,提供证照服务注册和证照服务发布功能;同时预留并支持跨省电子证照查询、比对功能以及跨省电子证照的验证功能。通过区域内外的分级处理,解决应用过程中电子证照的互认互信问题。通过国家政务服务平台的建设实现跨地区证照共享和互认。
从制度层面,依托国家相关法律法规,探索电子证照在各地区的共享与使用,逐步推动全国范围内的互认。如关于电子营业执照的使用,《中华人民共和国公司登记管理条例》明确规定“电子营业执照与纸质营业执照具有同等法律效力”。
3.电子文书
电子文书主要是政务服务流转过程中形成的各类电子文件,如申请材料、电子证照等。
(1)形成方式
电子文书根据形成方式及信任级别,分为两种类型:
一是由政务服务管理平台产生或有其他可信平台共享形成,该类电子文书可直接应用于系统、无需核对信息,电子证照属于该类型电子文书。
二是由用户上传或窗口工作人员通过高拍仪上传,申请人提交的各类电子材料属于该类型电子文书。
(2)文件格式
电子文书采用安全通用的文件格式,并对文件类型、大小、图片拍摄、分辨率等有严格的限制。系统具备上传电子文书自动检查功能,如扫描件的分辨率、文书版面大小、文档格式等。若上传文件不符合材料格式上传要求,则系统自动提示申请人重新上传。
(3)数据保存与归档
数据保存与归档应具备防篡改、历史数据备查备用、电子文书归档等功能,促进网上办事、审批办理和档案管理的无缝衔接。
(4)应用规则
对电子文书在政务服务中的应用,需建立规范的制度和工作程序并采取相应的技术措施。电子文书应用于政务服务的网上申请、受理、审批、办结等环节,应具备权限控制、痕迹保留功能,保证电子文书的产生、处理等过程符合规范。
4.电子印章
政务服务申请人在线提交各类电子表单和电子文档材料时,根据所申请服务事项的要求,在电子表单和电子文档材料上加盖申请人的电子印章。
政务服务实施机构在事项办结时,应在办件结果电子证照及文书上加盖签发机构的电子印章。
经加盖电子印章的表单、文档材料、电子证照、文书,均可进行签章信息查看(包括签章者姓名、印章名称、签章时间、签章保护内容等)、印章证书查看(包括印章关联证书的基本信息、有效期限、颁发机构和颁发目的等)、文档完整性检查(被篡改的文档显示无效印章的样式)。
电子印章系统须具备以下功能:
①电子印章管理
包括电子印章的申请、审批、制作、发放、挂失和销毁等管理功能。
②电子签章认证
包括电子签章认证、身份认证、数字签名认证和信息加解密。
【数字证书合法性验证】验证数字证书是否由指定的合法颁发机构颁发。
【数字证书是否过期】验证数字证书是否在有效期内。
【数字证书是否被废止】从数字证书中心获取废止的证书列表,确保被废止的数字证书对应的电子印章不可以签章。
【数字签名验证】对提交的数字签名数据包进行解析和验证,防止在传输过程中数据被非法篡改。
③客户端电子签章
在客户端电脑、移动终端等设备上实现对具体的文档或信息内容进行电子签章和验证,一般包括文档电子签章、网页签章、表单签章、移动端签章等功能。
(二)平台保障技术
1.安全保障
(1)遵循国家信息安全等级保护相关规范以及国家保密管理和密码管理的有关要求,建立健全“互联网+政务服务”安全保障体系
整体考虑、顶层规划“互联网+政务服务”安全保障体系的建设,按照信息系统安全等级保护要求构建数据存储环境、应用系统环境、运行管理机制,确保政务数据安全和公民个人数据合法应用。安全保障体系要与“互联网+政务服务”应用系统同步建设,对所建安全保障体系要进行重点保护、实施动态调整。
安全保障体系的组成:
①物理安全。一是机房安全。采用门禁控制系统、摄像头在线监控。二是应急灾难备份恢复。对机房的电源、重要主机、存储、重要线路等重要设备的冗余设计,要进行系统级的整体数据备份设计。
②网络安全。在不同的安全域边界部署防火墙系统,在上下级网络边界部署VPN虚拟专用网关设备,可在核心交换区部署IPS入侵防御系统,在相应的设备上根据自身网络结构配置相应的安全策略,保障必要的数据和服务交换安全。
③数据安全。一是在必要的网络边界部署加密设备,保障数据网络传输安全。二是各级政务服务系统的数据库管理系统要做好数据库自身的安全配置,登录账户要专人专管,密码要实现数字和字母符号混合设置并定期更换,防止外网和内网用户直接访问和恶意攻击。三是数据存储备份恢复系统。要做好定期的本地多种方式的重要数据备份和异地的远程数据备份。备份恢复工作要专人负责,责任到人。四是用户名、口令等关键信息应当加强安全保护。
④系统安全。一是部署网络层的病毒防范体系,由病毒监测中心和各个主机上的病毒防治终端构成,实时监测系统中的各类病毒,防止基于邮件的各类攻击。二是对主机中的操作系统进行相应的口令设置、权限配置,对系统操作日志进行周期性转储审计工作。三是漏洞扫描和补丁分发。通过漏洞扫描系统和补丁分发系统可以主动发现系统、数据库、应用服务系统存在的安全漏洞,并修复安全漏洞。
⑤应用安全。一是网页防篡改。对标准应用的HTTP服务部署网页防篡改系统,防止黑客对网页文件的攻击。二是对用户身份进行统一管理,对应用服务资源进行访问控制,对用户行为进行追溯审计。三是加强对网页挂马、SQL注入、漏洞利用等攻击的防护。四是加强应用代码的安全管理。
(2)对电子证照、网上支付等重要系统和关键环节进行全流程安全监控
电子证照、网上身份认证、网上支付等重要系统和关键环节是“互联网+政务服务”技术体系建设和运行的关键,对这些系统和重要环节的安全性应给予端到端的全过程监控,及时发现和解决问题隐患,以确保关键业务正常运行。
(3)重视数据交换和信息共享存在的安全风险,完善开放接口的安全防护能力
数据交换和信息共享是“互联网+政务服务”技术体系得以发挥作用乃至正常运转的核心能力。任何数据交换和信息共享过程都会对系统的安全性带来影响。应采取有针对性的安全措施,完善开放接口的安全防护能力,对数据交换和信息共享环节给予端到端的全过程监控,及时发现和解决问题隐患,以确保关键业务正常运行。
(4)加大对平台中各类公共信息、个人隐私等重要数据的保障力度
加强平台中各类公共信息、个人隐私等重要数据的安全防护,建立数据安全规范。在系统后台对每类数据的安全属性进行必要的定义和设置,详细规定数据的开放范围和开放力度,并严格执行相应的权限管理。
2.运行管理
“互联网+政务服务”技术体系要遵循国家信息安全等级保护指南的要求,进行自身的资产界定归类、安全防范技术应用、安全检测及风险评估;制定机房出入管理制度、机房监控日志保存制度,数据库管理、备份、恢复管理制度,网络设备配置管理制度、系统管理制度、突发应急事件处理流程、机房资产管理规范等。
(三)深化新技术应用
1.运用大数据,实现政务信息资源有效利用
运用大数据技术,对政务服务基础数据、政务服务过程数据、用户行为数据等进行融合分析,揭示政务服务过程的内在图景,发现和洞察服务流程中的纰漏、冗余和用户体验提升需求,以有效利用政务信息数据资源,提升服务质量、降低服务成本、提高用户参与度、增强决策科学性,为简化审批流程、提高审批和服务效能创造条件。
(1)精细化管理与清洗比对
对各部门现存的政务服务信息资源进行统一采集交换,并对采集的数据进行处理和保存。按照统一标准及口径,对整合的政务服务信息资源进行比对清洗,构建统一的基础数据库。对整合的政务服务信息资源进行动态目录管理,对各类信息资源涉及的元数据进行系统分析、影响分析,逐步实现元数据的标准化。对政务服务信息资源的质量进行管理,包括质量规则的制定、执行、统计等,促进数据质量不断提升。对各类数据的开发提供安全可靠的调用手段,实现数据加密、脱敏、分级授权,向用户提供数据、接口、应用等不同层次的开放方式。通过运营监控手段实现数据接口调用的综合监控。
(2)智能化分析与深度挖掘
对政务服务过程沉淀的大数据建立数据模型,允许授权用户进行多角度、多层次的关联分析,支持向下或向上钻取数据,进行切片、切块分析等操作,完成深度挖掘与多维剖析,并借助图表对数据进行形象的展示。
利用大数据实现智慧治理,如利用政务服务大数据,通过比对分布于不同业务部门的用户基础数据,核对低保人群身份的有效性,发现和查处逃税等税收违法行为等。推进事前预警、事中监管、事后追责的大数据支撑服务体系。形成基于大数据分析的政务服务知识库,提高决策支持能力和个性化服务能力。
(3)推动数据引进和数据开放
借助和共享第三方数据,形成政务服务大数据的超集,丰富和扩大政务服务大数据的内涵和外延,不断提升其有效性。积极推动政务数据开放,采用众筹、众包等方式,充分依托社会力量创新开发多级、多层、跨领域的公共服务。应依据有关信息安全规范,开放适宜公开的政务服务数据调用接口,鼓励社会参与政务服务大数据应用开发,由用户开发并上载其应用到政务服务平台,经审核后发布,供其他用户下载使用。
2.充分利用政务云,实现集约建设、共享利用
利用政务云平台资源,推动政务服务平台集约化建设。
(1)政务云建设
政务云平台应相对集中建设,可考虑省、市两级架构,打造省级层面统一规范、安全可靠的政务云平台。可充分依托符合安全要求的第三方云平台开展政务云建设,避免重复建设。
(2)政务云使用
应根据建设方提交的政务云资源申请,进行政务云资源的网上受理、审批、评估和交付,完成对政务云资源的分配、发布和收回。
(3)政务云管理及灾备
应考虑结合防火墙、防毒墙、身份认证系统、堡垒机、流量控制等安全技术手段,做到防患于未然;结合入侵检测、数据库审计,做到严密地防御和快速地响应报警;结合日志审计系统,通过日志记录对事故进行追根溯源。为政务云平台设计备份冗余线路和灾难备份手段,对主线路做备份链接和异地灾难备份。保证政务云平台服务的高可用性。
PC版
