近年來，我國政務信息化建設快速發展，以全國一體化在線政務服務平臺（試運行）為例，作為創新行政管理和服務的新方式，平臺連通國務院部門政務平臺和多個省市地方行政機構平臺，有效實現了政務服務線上辦理、不見面審批，讓個人、企業用戶充分享受到新技術帶來的便利。

國家“十四五”規劃指出，要提高數字化政務服務效能。全面推進政府運行方式、業務流程和服務模式數字化智能化。深化“互聯網+政務服務”，提升全流程一體化在線服務平臺功能。

同時，《國務院關于加快推進全國一體化在線政務服務平臺建設的指導意見》(國發〔2018〕27號)要求，以公安、人力資源社會保障、教育、衛生健康、民政、住房城鄉建設等領域為重點，積極推進覆蓋范圍廣、應用頻率高的政務服務事項向移動端延伸，推動實現更多政務服務事項“掌上辦”、“指尖辦”。政務服務平臺作為關鍵信息基礎設施，安全保障至關重要。

國家政務機構安全需求涉及面廣，應用層方面，有安全訪問檢測、身份授權認證、防黑客攻擊、終端病毒檢測等；網絡構架層方面，應有政務內網、政務外網和互聯網之間的網絡構架物理隔離和邏輯隔離；內部業務人員管理方面，有針對業務員的安全管理規范等；法律規范方面，政務領域應有更完善的司法合規性管理規范。

本文主要對政務服務平臺的應用層安全需求進行探討與分析。

安全需求1：用戶身份需確認

用戶真實身份認證一般是政務機構提供服務的前提，例如公積金查詢需要認證用戶身份，繳納稅款需要認證企業合法身份。機構需要在線認證用戶的身份是否真實可信，以防用戶使用虛假身份辦理相關業務。目前，常見的認證方式可通過對接第三方可信權威數據源，進行多因素聯網核查、遠程視頻、聲紋接入認證等。

安全需求2：交互內容需可靠

政務機構應具有類似官方網站的真實可靠的服務渠道，以防止被冒用產生詐騙風險。在機構與個人客戶、企業客戶進行交互的過程中，會涉及數據的傳送，要確保這些數據能防篡改，且需要采取密送的方式進行。最常見的模式為采取SSL安全傳輸機制。

安全需求3：單點授權需便捷

在移動端系統登錄和業務認證場景中，均需用戶授權確認。目前常用的認證方式有傳統密碼口令、短信認證。如果認證方式在便捷性之外還兼具安全性，會更加可靠，比如使用生物識別認證、數字證書。

安全需求4：法律效力需保障

機構平臺和客戶無論是從事簽署電子合同或是其他帶有印章功能的業務，例如在線審批等，服務應具有防篡改、可追溯特點，防止惡意抵賴的情況發生。此場景中，可接入具有準入資質的安全的電子合同簽署平臺，實現權威線上審批、合同在線簽署等。

安全需求5：用戶數據需保密

目前，各大地級市政務辦公業務紛紛在移動端渠道開展，應對用戶隱私數據進行有效的安全保護。因此，移動端應用需要進行必要的安全檢測與加固措施，防止應用程序被破解、篡改、竊取以及核心數據泄漏等安全風險的發生。

中國金融認證中心（CFCA）作為國家權威第三方認證機構，能夠為政務領域提供全方位安全認證解決方案。該方案可提供遠程認證用戶的真實身份功能，實現身份的真實核驗；提供SSL服務器證書，保障數據傳輸的可靠性；提供基于FIDO標準的生物識別快速認證和云證書認證功能，實現用戶快速安全授權；以第三方CA可信身份為基礎，提供在線電子合同簽署和電子簽章功能，對接地方法院和仲裁機構，為司法部門提供可信證據；提供安全加固檢測功能，可為終端應用提供全面的數據安全保障。

CFCA致力于創新交互方式，為國家政務機構與用戶搭建全新交互體驗，擴展服務場景，筑牢安全基線。

責任編輯：韓希宇