统一用户管理在民政政务信息系统中的应用与思考

网络安全、系统安全形势日益严峻，弱口令攻击、越权访问、违规获取敏感数据等安全事件层出不穷，越来越多的攻击者利用账号口令强度不高、账号保管不当等漏洞盗取用户账号信息，“合法”的进入系统中获取数据，甚至利用系统漏洞越权大批量窃取敏感信息，其中政务信息系统更是攻击者的主要目标之一。采取有效的用户身份核验技术与管理手段，加强政务信息系统账号管控、权限管理、身份核验是提升政务信息系统安全防护的重要手段。

1、什么是统一用户管理

统一用户管理指的是建立统一的用户管理机制，实现本行业、本业务条线信息系统的用户管控、权限管理、系统访问的融合整合，并提供集中、统一的认证管理服务，支持结合安全管控实际需要，使用如短信、人脸识别、OTP（动态口令）、生物识别等组合认证方式，提升用户管控与治理水平。进而实现对用户的动态监控、动态评估、风险预警等安全监控，对用户使用的IP范围、时间、地点、浏览器、操作系统、移动设备等进行策略限制，能有效应对暴力破解、多账号登录、缓慢攻击、威胁IP登录等风险。

2、提升用户安全管控有效举措

提升用户安全管控水平要在技术侧和管理侧共同发力，一方面提升系统自身的用户身份核验能力，另一方面加强账号使用人的账号安全防护意识。

（一）技术手段提升用户身份核验精准度

结合不同系统的实际安全管控需要，使用短信、人脸识别、OTP（动态口令）、生物识别等组合认证方式，提升用户身份的核验精准度。此外，用户的行为监控应同网络安全防护手段紧密结合，对存在异常行为的用户及时进行安全处置。

（二）管理制度压实账号主体管理责任

制定用户账号管理制度，对用户账号进行标准化、规范化、精细化管理，压实账号使用和保管的主体责任，账号使用者要严格落实“谁使用谁负责”的管理原则，保管好账号和密码，杜绝出现因账号遗失导致的网络攻击。

3、统一用户管理在民政政务信息系统中应用现状与挑战

目前，民政部信息中心已构建了覆盖全国省、市、县、乡、村的民政动态组织架构，并在此基础上搭建了民政可信用户管理平台，实现了全国养老服务信息系统、全国儿童福利信息系统、全国流浪乞讨人员救助管理信息系统等部统建系统的用户统一管理，整合了各系统原有分散的用户账号，实现了民政政务信息系统用户的实名认证、单点登录、集中授权。在提升了用户管理集约化水平的同时，延伸了用户管理的层级深度，用户账号和权限的管理职责已下放至县级民政部门，实现民政系统用户的逐级管理。

在推进统一用户管理的过程中，重点要抓住梳理并统一民政政务信息系统繁杂的用户认证方式与权限管理模式这一难点，统筹考虑各业务系统的实际使用需求和安全管控要求，制定通用、标准、统一的民政政务信息系统用户管理方案，推进形成可覆盖民政政务信息系统的统一用户管理服务支撑。

4、结语

统一用户管理在民政部门的应用具有重大意义，通过整合各民政政务信息系统的用户账号与授权管理，实现用户身份的实名认证和权限集中管控，有效提高了民政系统用户的身份管理集约化水平和系统内生安全水平。随着大数据、人工智能等新技术的涌现，以及民政领域应用场景的增多，统一用户管理必将采用更精准、更便捷的技术手段来实现用户身份的核验与管控，不断提升民政政务信息系统的安全管理水平。

来源：民政部信息中心

https://mp.weixin.qq.com/s/IwfsiEkHkcuQVQBhuazUlw