公积金网上服务大厅应用安全解决方案
一、用户背景
某市住房公积金管理中心是按照国务院、省政府机构调整的要求,于2002年10月组建的,为市政府直属正处级事业单位。下设9个科室、6个办事处,事业编制共70名。主要负责贯彻执行国家和省、市有关住房公积金管理方面的方针政策和法律法规,拟定全市住房公积金的规章、政策,编制执行住房公积金的归集、核算、使用计划等业务。
二、用户需求
- 确保身份的真实性
- 确保交易操作的防抵赖、防篡改
- 确保传输的机密性
- 确保远程用户权限的可控性
现有的公积金单位用户采用传统的用户名/密码的登录方式非常脆弱,易被猜测、窃听、或者暴力破解,因此需要一种高强度的身份认证方式保证登录用户身份的真实性。
单位用户在登录网上服务大厅系统的一些关键性操作,需要进行防抵赖,事后可进行责任追溯。
对单位用户远程传输的数据进行加密,确保数据传输的机密性。
单位用户在远程接入以后,对其可访问的资源进行细粒度的访问控制,对部分资源控制到端口级,对部分关键资源控制到URL级别。
三、解决方案
针对于网上服务大厅应用,部署如下安全设备于信息内网,提供应用安全服务,说明如下:
-
建设数字证书认证服务器,解决网上服务大厅单位用户身份真实性的问题。具体建设方案如下:
- 1) 证书服务器负责证书的全生命周期管理,部署在独立的基础认证域;
- 2) 为网上服务大厅单位用户颁发个人证书,存储于USB KEY,保证单位用户身份的真实性。
-
建设电子印章服务器,对单位用户在在网上服务大厅系统中的操作进行电子签章,保证数据的完整性,实现抗抵赖的功能。具体建设方案如下:
- 1) 电子印章系统负责提供印章的管理工作,部署在核心业务区;
- 2) 单位用户生成并打印报表时,对报表数据进行签名并加盖单位公章;
- 3) 在网上服务大厅的关键单据加盖公积金主管单位的公章及人名章作为凭据,依据《电子签名法》,避免关键业务数据和操作被篡改,防止抵赖其交易行为。
-
建设安全认证网关,解决身份认证、访问控制、传输加密问题,实现与网上服务大厅系统统一认证和单点登录。具体建设方案如下:
- 1) 安全认证网关设备串联部署在网上服务大厅系统和边界防火墙之间;
- 2) 单位用户采用USB KEY证书登录安全认证网关,建立安全加密通道后,单位用户登陆网上服务大厅无需求二次认证,直接登录公积金系统中。
四、 网络拓扑

图 应用安全设备部署拓扑图
五、用户收益
- 通过强身份认证手段的采用,确保所有登录公积金系统用户的身份的真实性。
- 通过对操作、交易的数字签名和验签,满足了抗抵赖性、事后溯性责任的要求。
- 通过加密传输保证了数据传输的机密性和完整性,通过单点登录提高了系统的易用性。