【IT168 资讯】近期，商务部CIECC直属的国富安CA为山西劳动和社会保障厅构建了“金保工程”强身份认证系统，该系统主要就是针对社会保险各业务系统数据传输过程中的加密和权限确认等问题，提高社保基金的安全与管理，并与国家人力资源和社会保障部认证平台对接。

    该项目建成后，将用于山西省劳动和社会保障系统内部对内、对外的业务信息平台，通过PKI/CA认证系统的建设实现了内部员工身份的统一标识，解决了多专业系统用户标识不统一的问题，为进一步的资源整合、共享提供了安全保障。同时为外部用户颁发身份证书，用以标识其在网上的身份，使得网上数据传输具有安全性、可靠性、保密性、真实性以及不可抵赖性。

    其实早在2002年8月，《中共中央办公厅国务院办公厅关于转发〈国家信息化领导小组关于我国电子政务建设指导意见〉的通知》就将社会保障信息系统列为电子政务建设的12项重点工程之一。随着金保工程的社会保障信息系统应用范围的逐步扩大和应用层次的不断深入，社保信息系统的安全问题日益突出。由于金保工程网络系统覆盖面广, 各经办机构及医院、药店均与数据中心联网，影响系统安全因素很多。另一方面，应用系统的应用逐步延伸到Internet上，对用户身份的认证及对敏感信息的保密也变得更加重要。因此，建设安全的身份认证系统是保障社会保障电子政务系统顺利建设和平稳运行的关键工作。

    社会保障电子政务系统的安全风险主要有以下几点：
   
    （1）用户身份假冒

    非法用户假冒合法用户的身份访问应用资源。金保工程的应用系统许多功能都需要识别操作员的身份，如业务处理与记载、信息采集与提取、信息发布与服务等

    （2）非授权访问

    非法用户或者合法用户访问在其权限之外的系统资源。社保系统里个人的身份信息是保密的，只有有权限的合法用户才可以访问，否则用户的身份信息容易丢失。

    （3）数据传输不安全

    金保应用系统的信息交换与共享，可实现经办机构与服务机构以及相关部门之间的数据交换,实现中央、省、市三个层次的信息交换。数据直接在客户端和应用服务器之间通过明文传输，对于信息发送主体及信息本身没有应有的鉴别机制，不能防范数据在传输过程中被窃听、篡改或被用来重放攻击等。

    （4）审计功能比较弱 

    个别应用没有设计审计功能，不能记录用户对应用资源的访问情况；有的应用系统即使有审计系统，功能也比较弱。敏感类资料，如：对参保职工工作日期的修改，对参保职工缴费工资的修改等，这类操作的结果将直接对社保基金的征收或个人待遇的享受造成影响。所以应用系统需要记录进行操作的经办人员，防止抵赖。

    目前，能较好解决这些问题的当属PKI（Public Key Infrastructure，公钥基础设施）技术，它使用成熟的公开密钥机制，综合了密码技术、数字摘要技术、数字签名等多项安全技术以及一套成熟的安全管理机制来提供有效的信息安全服务，通过建设 CA（Certification Authority，证书认证中心）认证中心为用户签发数字证书，用户在业务系统中使用证书，完成对用户的身份认证、访问控制等，确保敏感信息传输的机密性、完整性和抗抵赖性。PKI 技术已经被广泛应用于电子政务和电子商务，被证明是保证基于互联网的电子政务和电子商务安全的非常好的解决方案。

    为此金保工程提出支撑平台以密码服务为基础，以PKI技术为核心，为金保工程的各项业务系统和公共服务系统提供信任、授权及应用支撑服务。作为安全应用支撑平台重要组成部分的身份认证系统是建设的重点，主要应用在系统登录认证、资料维护认证和数字签名等方面。各个省市的劳动和社会保障部门也把身份认证系统作为重中之重来抓，山西劳动和社会保障厅与国富安CA的成功合作为各地社保机构和系统树立了良好的典范，具有积极的示范作用。