交换机连接到协同办公平台服务器。 3****单位密码应用现状分析 3.1****单位密码应用现状 ****单位协同办公平台已经应用了部分密码技术对系统进行了安全 防护，主要是在协同管理平台系统身份认证鉴别上使用用户名/口令 +动态密码的身份认证方式，用 SM3 数字摘要算法对用户静态密码进 行哈希加密存储，防止系统被攻破后口令被脱库，一次性动态密码 由用户安装 APP 后，由 APP 实时向业务系统获取，协同办公平台用 状是，目前只对用户密码身份验证这个最敏感的环节做了国产密码 的安全改造。 3.2 面临的问题 目前在密码应用上主要存在以下几个问题： 1、除了系统核心的用户身份认证技术采用的动态口令验 证过程采用国产算法加密外，协同平台重要数据和数据库 关键字段还未能使用国密 SM4 或 SM3 算法加密存储。 2、管理员在对协同办公平台服务器进行运维管理过程中 缺乏基于密码技术的身份鉴别机制，服务器有被非法用户 行业规范等 政策需求，积极响应国家号召，促进信息系统建设与信息安全可控 发展。 1. 通信过程商密化 ① 在通信前基于密码技术进行身份认证，使用密码技术的机密性和 真实性功能来防截获、防假冒和防重用，保证传输过程中鉴别信息 的机密性和网络设备实体身份的真实性。 ② 采用密码技术保证通信过程中数据的完整性。 ③ 采用密码技术保证通信过程中数据的机密性。 2. 应用数据安全商密化 ①

全国 XX 身份认证与访问控制管理系统(PKI/PMI 系统) 作为 XX 信息化中重要的安全 基 础设施之一，解决了信息网警员用户管理、身份认证、应用授权和责任认定等方面长 期存 在的不安全、不统一、不便管理等问题， 突破了“信息孤岛”的壁垒， 实现了跨地区、 跨部门 的信息共享，促进了 XX 信息资源的高效应用，在保障 XX 信息化安全方面发挥了重 要作用。 按照《全国 XX 身份认证与访 2.1.2 用户安全准入 用户访问应用、云平台和云桌面必须经过身份管理中心认证，用户必须在身份管理中 心 中注册并形成数字化身份，数字证书是重要的身份属性， 身份管理基础设施要充分利用 现有 的 XX PKI 基础设施和信任根， 为每个用户签发数字证书，该数字证书能够唯一标识一个合 法用户身份。 证书验证根据不同的身份对象有所差异，人员证书的验证发生在用户登录过程， 由身 份 管理中心完成， 管理中心完成， 证书验证需验证证书的合法性和有效性。 信息网用户准入，用户以持有 USB-KEY 的方式代表其拥有合法身份，用户认证的时 候， 需要将该 USB-KEY 插入 PC 终端的 USB 端口， 并由身份管理中心完成用户的准入认证。 2.1.3 终端安全准入 信息网中存在大量的终端设备(PC 终端、哑终端等) ，这些终端的安全状况，直接 影响 了信息网的整体安全状况。比如哑终端设备，

................................................................................1 6.8 华视 CVR-100U 身份证读卡器...........................................................................................1 6 高清视频终端、两台 TrueVixon HD95D 摄像机、一个 TrueVoc 300A 界面麦克风、一台 KDV2000B 同步录音录像机、两台高清电视机、一台实物展示台、一台扫描仪、一台打印 机、一个二代身份证读卡器、一个手写板及一台接访客户端 PC。 — 视频终端实现接访图像的高效编解码。 — 摄像机分别采集上访人图像和本地接访工作人员图像。 — 界面麦克风负责采集本地接访室声音。 | 展示。 — 扫描仪实现非电子化证据材料、申诉材料的电子化。 — 打印机用于电子笔录、证据材料、法律文书、申诉材料的打印输出。 — 手写板用于电子接访笔录的签名确认。 — 身份证读卡器实现对来访者身份信息读取及身份识别。 — 指纹采集仪用于上访者预约申请时指纹信息采集，以及对电子接访笔录 的指纹确认。 |

........................................................................................158 6.3 统一身份认证...........................................................................................158 6 ........................................................................................160 6.5.8 身份认证............................................................................................161 6 第 8 章 智能化实体办事大厅........................................................................212 8.1 二代身份证识别.......................................................................................212 8.2 样表查询系统

以及设备集中控制。  一卡通系统内，基础信息一次输入，多处、多点、多系统共享使用，随时查询流 水记录、汇总数据，系统中所有应用程序登录授权，必须通过管理中心的统一设 置进行。系统的认证方式有：口令认证、身份卡认证、人脸认证、混合认证等， 根据数据的安全级别，可一种认证或多种方式联合使用，以达到访问控制的安全。  综合查询、自助查询、WEB 查询、APP 等系统，为在校师生提供在任意地点、多 种方式信息查询服务。 主要是对外来人员实行的一种快捷登记、查询的管理模式，即在保安室安装访客 一体机，访客出示二代身份证后，系统自动对外来人员进行身份证信息识别比对，或 对外来无证人员进行拍照，生成访客记录及访客单，访客登记完成后，可刷脸通过校 园大门闸机。访客也可利用微信公众号/APP 提前进行预约，访客完善身份资料和来访 信息，访问申请通过后，系统会自动生成二维码，访客到达校园门口出示二维码或直 接在闸 应用，加强了学校对外来人员的管 控，使校园安全管理更方便快捷。 5) 宿舍管理系统 在宿舍楼内安装无障碍通道，学生必须在无障碍通道处刷卡或刷脸进出宿舍，系 统会判断合法和非法，合法身份正常通过，非法身份系统会进行报警，提示管理人员 。 包括分房、入住登记、卫生评比、维修管理、违纪记录以及对学生的住宿情况的查询 统计，可以更快地了解到每个学生的住宿情况，统计出剩余床位，测算出预期时间内

业务平台概述 .........................................................................48 2.6.2. 统一身份认证 .........................................................................48 2.6.3. 虚拟卡包平台 空值检查 空值检查用于检查关键字段非空 ● 值域检查 值域检查用于检查关键字段的取值范围，支持数值型、字符型、日期型字段 检查 ● 规范检查 规范检查用于检查指标值的格式是否规范，支持身份证、手机号码、邮箱、 日期等多种数据类型的检测，支持自定义正则表达式 ● 逻辑检查 逻辑检查用于检查指标之间是否满足一定的逻辑关系 18 智 慧 城 市 系 列 - 数去做一些指标的抽取或者指标定义的工作。指标服务平台从系统层面开放 一个 更加灵活的方式给拥有编码能力的用户，能够以自定义的方式去定义自己 所需的 指标。 适用场景：需要进行指标加工的场景，如时间差，身份证号识别是否处于生 日当期等。 2.3.4.1.1.5. 转化指标 转化指标指通过自定义函数方式，对已有指标进行加工转化，产生一个新的 26 智 慧 城 市 系 列 - 公 共 服

..........................................................................................28 5.2.1 身份鉴别................................................................................................. 从便于维护的角度配置网络系统： （1）便于网络设备终端的管理。 （2）能快速的配置网络交换机等设备、提交故障、取消配置等功能。 （3）便于对接入的网络计算机、移动终端设备的控制。 16 建设方案建议书 （4）确保身份认证的安全。 2.2 设计范围 XX 市人民医院北区分院位于 000、999 国道交汇处，开发区加油站旁，占地面积 68 亩，包括 XX 市紧急救援中心、XX 市人民医院肿瘤科（XX 市肿瘤医院）、眼科、耳 行监控。能快速 的配置网络交换机等设备、提交故障、取消配置等功能。也便于对接入的网络计算机、 移动终端设备的控制。 2）身份真正安全：根据用户需求采用 802.1X 及 WebPortal 认证，可根据用户的身 份实施主机完整性检查、网络授权等操作，实现对用户身份、主机健康性以及网络通信 安全性等方面的管理。 4.2 网络建设及设备选型说明 4.2.1 内网设备选型 内网网络拓扑如下：

的电子政务信息系统安全保障体系，安全建设满足物理安全、操作系统安全、网络 安全、传输安全、数据库安全、应用系统安全和管理安全体系，确保智慧园区项目 系统的安全保密。 安全管理需求：自主访问控制、轻质访问控制、标记、身份鉴别、审计、数据 完整性。 安全体系设计要求：根据安全体系规划，整个系统的安全体系建设内容包括物 2 理安全、操作系统安全、网络安全、传输安全、数据安全、应用系统安全、终端安 全和管理安全等方面。 境中，其所有功能（认证、应用控制、内容审计、报表等）都支持 IPv6；支持多种认证方式，包括用户名密码、IP、MAC 认证、短信认 证、微信认证、二维码认证，并支持以 USB-Key 方式实现双因素身份 认证；支持用户密码强度管理，可设置用户密码不能等于用户名、新 密码不能与旧密码相同，可设置密码最小长度、密码必须包括数字或 字母或特殊字符；支持识别终端系统后台运行的进程信息，防止间谍 软 （1） 集中用户管理 系统用户在不同的业务系统有不同的角色定义，对应不同的功能权限，需构建 相应的用户集中管理模式，实现用户统一身份和标识管理、统一认证及单点登录。 （2） 用户命名统一 实现用户命名统一，为用户集中管理及信息共享提供支撑。 7 （3） 身份认证 系统对不同岗位人员实行分级授权，对用户的访问权限实行有效的管理。 （4） 访问控制 设置防火墙和网段划分，实现有效的安全隔离和访问控制；同时，在系统权限

警。地级市公安机关是组织开展对涉恐可疑人员调查核查工作 的主责单位。具体牵头组织相关警种，对有涉恐可疑活动的新 疆少数民族人员开展调查核查；地市级公安机关要立足本地， 利用各种手段和资源，查清涉恐可疑人员的身份背景和现实活 动情况，利用公安信息资源及整合社会信息化的数据资源进行 数据分析碰撞。省级反恐部门要统筹掌握本省公安机关纳入视 线正在组织开展核查涉恐可疑人员的总体数量和分布情况。跨 力恐怖活动的可疑资金交易情况。治安部门负责在危爆物品管理 和物流寄递渠道发现依法购买列管物品的新疆少数民族人员。巡 特警部门负责在街面巡逻中，对通报的或认为可疑的新疆少数民 族人员重点进行身份核录和信息核查。边防管理部门负责采集进 入边境管理区活动的新疆少数民族人员基本信息。边检机关负责 发现从重点国家入境的新疆少数民族人员。出入境管理部门负责 掌握新疆少数民族人员申领出入境证件情况。网安部门负责在日 力恐怖活动的可疑资金交易情况。治安部门负责在危爆物 品管理 和物流寄递渠道发现依法购买列管物品的新疆少数民族 人员。巡 特警部门负责在街面巡逻中，对通报的或认为可疑的 新疆少数民 族人员重点进行身份核录和信息核查。边防管理部 门负责采集进 入边境管理区活动的新疆少数民族人员基本信 息。边检机关负责 发现从重点国家入境的新疆少数民族人员。 出入境管理部门负责 掌握新疆少数民族人员申领出入境证件情

备、系统管理软件、 主机操作系统、数据库管理系统、业务应用系统、数据资源、管理制 度】等具体对象实施了测评。通过测评发现，在安全技术方面具备【网 络结构冗余、区域边界隔离、边界访问控制、双因子身份鉴别、账户权 限控制、操作日志审计、入侵检测、恶意代码查杀、设备冗余部署、数 据定期备份】等安全技术措施。在安全管理方面【制定了信息安全管理 体系及相关制度和流程，具备实施记录，组建了安全运维团队】。 患 XX 项，截止报告发布日期，已完成整改 XX 项，剩余 XX 项未整改。本次测评过 程中发现的重大风险隐患及整改建议如下： （1）存在空口令、弱口令、通用口令或无身份鉴别措施，导致非授权人员可直 接访问系统，造成身份冒用、恶意篡改或窃取重要数据等严重后果。 整改建议：为每个可登录的账户设置符合要求的口令，禁用或删除弱口令账户； 设置的口令长度应不低于 8 位，并由大小写字母、特殊字符和数字无规律排列 【2025 版】 3.4.3 服务器和终端 3.4.3.1 已有安全控制措施汇总分析 【参考示例】 在服务器和终端方面采取了以下安全措施： 在身份鉴别方面，采用用户名和口令的方式登录操作系统，对登录的用户进行 身份标识和鉴别，身份标识为用户名，具有唯一性。口令信息每 90 天更换一次， 由大小写字母、数字和特殊符号组成。启用登录失败处理功能，采用加密通信 技术。 在访问控制方面