網(wǎng)絡安全�、系統(tǒng)安全形勢日益嚴峻�,弱口令攻擊����、越權(quán)訪問����、違規(guī)獲取敏感數(shù)據(jù)等安全事件層出不窮,越來越多的攻擊者利用賬號口令強度不高�、賬號保管不當?shù)嚷┒幢I取用戶賬號信息,“合法”的進入系統(tǒng)中獲取數(shù)據(jù)��,甚至利用系統(tǒng)漏洞越權(quán)大批量竊取敏感信息,其中政務信息系統(tǒng)更是攻擊者的主要目標之一�����。采取有效的用戶身份核驗技術(shù)與管理手段����,加強政務信息系統(tǒng)賬號管控、權(quán)限管理�����、身份核驗是提升政務信息系統(tǒng)安全防護的重要手段�����。
1���、什么是統(tǒng)一用戶管理
統(tǒng)一用戶管理指的是建立統(tǒng)一的用戶管理機制,實現(xiàn)本行業(yè)��、本業(yè)務條線信息系統(tǒng)的用戶管控����、權(quán)限管理����、系統(tǒng)訪問的融合整合���,并提供集中��、統(tǒng)一的認證管理服務����,支持結(jié)合安全管控實際需要�����,使用如短信���、人臉識別�、OTP(動態(tài)口令)���、生物識別等組合認證方式����,提升用戶管控與治理水平��。進而實現(xiàn)對用戶的動態(tài)監(jiān)控、動態(tài)評估����、風險預警等安全監(jiān)控,對用戶使用的IP范圍���、時間���、地點、瀏覽器����、操作系統(tǒng)、移動設備等進行策略限制����,能有效應對暴力破解、多賬號登錄��、緩慢攻擊�����、威脅IP登錄等風險�。
2、提升用戶安全管控有效舉措
提升用戶安全管控水平要在技術(shù)側(cè)和管理側(cè)共同發(fā)力����,一方面提升系統(tǒng)自身的用戶身份核驗能力,另一方面加強賬號使用人的賬號安全防護意識�。
(一)技術(shù)手段提升用戶身份核驗精準度
結(jié)合不同系統(tǒng)的實際安全管控需要,使用短信���、人臉識別���、OTP(動態(tài)口令)、生物識別等組合認證方式�,提升用戶身份的核驗精準度。此外�,用戶的行為監(jiān)控應同網(wǎng)絡安全防護手段緊密結(jié)合,對存在異常行為的用戶及時進行安全處置�����。
(二)管理制度壓實賬號主體管理責任
制定用戶賬號管理制度��,對用戶賬號進行標準化����、規(guī)范化����、精細化管理���,壓實賬號使用和保管的主體責任��,賬號使用者要嚴格落實“誰使用誰負責”的管理原則����,保管好賬號和密碼���,杜絕出現(xiàn)因賬號遺失導致的網(wǎng)絡攻擊�。
3��、統(tǒng)一用戶管理在民政政務信息系統(tǒng)中應用現(xiàn)狀與挑戰(zhàn)
目前�����,民政部信息中心已構(gòu)建了覆蓋全國省��、市�、縣、鄉(xiāng)、村的民政動態(tài)組織架構(gòu)���,并在此基礎上搭建了民政可信用戶管理平臺,實現(xiàn)了全國養(yǎng)老服務信息系統(tǒng)��、全國兒童福利信息系統(tǒng)�����、全國流浪乞討人員救助管理信息系統(tǒng)等部統(tǒng)建系統(tǒng)的用戶統(tǒng)一管理����,整合了各系統(tǒng)原有分散的用戶賬號,實現(xiàn)了民政政務信息系統(tǒng)用戶的實名認證��、單點登錄���、集中授權(quán)�。在提升了用戶管理集約化水平的同時���,延伸了用戶管理的層級深度��,用戶賬號和權(quán)限的管理職責已下放至縣級民政部門��,實現(xiàn)民政系統(tǒng)用戶的逐級管理�����。
在推進統(tǒng)一用戶管理的過程中��,重點要抓住梳理并統(tǒng)一民政政務信息系統(tǒng)繁雜的用戶認證方式與權(quán)限管理模式這一難點���,統(tǒng)籌考慮各業(yè)務系統(tǒng)的實際使用需求和安全管控要求�,制定通用�����、標準�、統(tǒng)一的民政政務信息系統(tǒng)用戶管理方案,推進形成可覆蓋民政政務信息系統(tǒng)的統(tǒng)一用戶管理服務支撐����。
4、結(jié)語
統(tǒng)一用戶管理在民政部門的應用具有重大意義�����,通過整合各民政政務信息系統(tǒng)的用戶賬號與授權(quán)管理�����,實現(xiàn)用戶身份的實名認證和權(quán)限集中管控,有效提高了民政系統(tǒng)用戶的身份管理集約化水平和系統(tǒng)內(nèi)生安全水平�。隨著大數(shù)據(jù)、人工智能等新技術(shù)的涌現(xiàn)����,以及民政領域應用場景的增多�����,統(tǒng)一用戶管理必將采用更精準��、更便捷的技術(shù)手段來實現(xiàn)用戶身份的核驗與管控��,不斷提升民政政務信息系統(tǒng)的安全管理水平����。
來源:民政部信息中心
https://mp.weixin.qq.com/s/IwfsiEkHkcuQVQBhuazUlw
010-52293266
