交换机连接到协同办公平台服务器。 3****单位密码应用现状分析 3.1****单位密码应用现状 ****单位协同办公平台已经应用了部分密码技术对系统进行了安全 防护，主要是在协同管理平台系统身份认证鉴别上使用用户名/口令 +动态密码的身份认证方式，用 SM3 数字摘要算法对用户静态密码进 行哈希加密存储，防止系统被攻破后口令被脱库，一次性动态密码 由用户安装 APP 后，由 APP 实时向业务系统获取，协同办公平台用 状是，目前只对用户密码身份验证这个最敏感的环节做了国产密码 的安全改造。 3.2 面临的问题 目前在密码应用上主要存在以下几个问题： 1、除了系统核心的用户身份认证技术采用的动态口令验 证过程采用国产算法加密外，协同平台重要数据和数据库 关键字段还未能使用国密 SM4 或 SM3 算法加密存储。 2、管理员在对协同办公平台服务器进行运维管理过程中 缺乏基于密码技术的身份鉴别机制，服务器有被非法用户 行业规范等 政策需求，积极响应国家号召，促进信息系统建设与信息安全可控 发展。 1. 通信过程商密化 ① 在通信前基于密码技术进行身份认证，使用密码技术的机密性和 真实性功能来防截获、防假冒和防重用，保证传输过程中鉴别信息 的机密性和网络设备实体身份的真实性。 ② 采用密码技术保证通信过程中数据的完整性。 ③ 采用密码技术保证通信过程中数据的机密性。 2. 应用数据安全商密化 ①

全国 XX 身份认证与访问控制管理系统(PKI/PMI 系统) 作为 XX 信息化中重要的安全 基 础设施之一，解决了信息网警员用户管理、身份认证、应用授权和责任认定等方面长 期存 在的不安全、不统一、不便管理等问题， 突破了“信息孤岛”的壁垒， 实现了跨地区、 跨部门 的信息共享，促进了 XX 信息资源的高效应用，在保障 XX 信息化安全方面发挥了重 要作用。 按照《全国 XX 身份认证与访 2.1.2 用户安全准入 用户访问应用、云平台和云桌面必须经过身份管理中心认证，用户必须在身份管理中 心 中注册并形成数字化身份，数字证书是重要的身份属性， 身份管理基础设施要充分利用 现有 的 XX PKI 基础设施和信任根， 为每个用户签发数字证书，该数字证书能够唯一标识一个合 法用户身份。 证书验证根据不同的身份对象有所差异，人员证书的验证发生在用户登录过程， 由身 份 管理中心完成， 管理中心完成， 证书验证需验证证书的合法性和有效性。 信息网用户准入，用户以持有 USB-KEY 的方式代表其拥有合法身份，用户认证的时 候， 需要将该 USB-KEY 插入 PC 终端的 USB 端口， 并由身份管理中心完成用户的准入认证。 2.1.3 终端安全准入 信息网中存在大量的终端设备(PC 终端、哑终端等) ，这些终端的安全状况，直接 影响 了信息网的整体安全状况。比如哑终端设备，

3. 数据交换平台.................................................................................53 4. 统一身份认证平台.........................................................................60 5. 综合服务门户平台....... 化建设的速度与学校事业发展的需求不相适应，信息化建设的深度与学院教学、 科研、管理的需求不相适应，信息化建设的广度与师生员工的需求不相适应， 并且，由于过去各个系统都是孤立的信息系统建设，没有统一的信息访问渠道 以及统一的身份认证，导致学校信息化面临着以下问题。 3.1. 学生面临的问题 （1）现有应用重管理轻服务现象严重，为学生提供的信息服务不够全面 业务部门管理信息系统建设过程中主要解决部门内部的流程及管理数据的 的 积累，疏忽了学生的学习服务、生活服务。为学生提供管理服务的各个流程、 所提供的信息被业务单元切分，相互割裂，应用系统未能遵循统一的规范和技 术规格使得应用集成整合的难度加大。 （2）多重身份和密码体系，多重登陆界面，使用方便性不够 现有的校园网上面向全校学生访问的系统，各自维护和管理自己的用户信 息，用户在访问不同的系统时，不仅需要输入不同的访问网址，而且还需要记 忆不同的用户名

................................................................................1 6.8 华视 CVR-100U 身份证读卡器...........................................................................................1 6 高清视频终端、两台 TrueVixon HD95D 摄像机、一个 TrueVoc 300A 界面麦克风、一台 KDV2000B 同步录音录像机、两台高清电视机、一台实物展示台、一台扫描仪、一台打印 机、一个二代身份证读卡器、一个手写板及一台接访客户端 PC。 — 视频终端实现接访图像的高效编解码。 — 摄像机分别采集上访人图像和本地接访工作人员图像。 — 界面麦克风负责采集本地接访室声音。 | 展示。 — 扫描仪实现非电子化证据材料、申诉材料的电子化。 — 打印机用于电子笔录、证据材料、法律文书、申诉材料的打印输出。 — 手写板用于电子接访笔录的签名确认。 — 身份证读卡器实现对来访者身份信息读取及身份识别。 — 指纹采集仪用于上访者预约申请时指纹信息采集，以及对电子接访笔录 的指纹确认。 |

........................................................................................21 5.2.4. 身份认证系统............................................................................................... 网络出口的边 界处部署入侵 检测，重要服 务器区前面采 取入侵防护措 施 3.1.2. 主机安全 类别 控制点 重点要求项 对应措施 主机 安全 身份鉴别 对登录操作系统和 数据库系统的用户 进行身份标识和鉴 别 部署身份鉴别 系统。 访问控制 启 用 访 问 控 制 功 能，实现操作系统 和数据库系统特权 用户的权限分离 对系统安全加 固，限制默认 帐户、时删除 等条件限制终端登 录 利用访问控制 策略与堡垒机 产品结合的方 式进行控制。 3.1.3. 应用安全 类别 控制点 重点要求项 对应措施 应用 安全 身份鉴别 提供专用的登录控 制模块对登录用户 进行身份标识和鉴 别 部署身份鉴别 服务器并与应 用进行联动 访问控制 账户访问权限管理 部署堡垒机对 访问进行权限 管理 安全审计 应用系统重要安全 事件进行审计 部署堡垒机对

........................................................................................158 6.3 统一身份认证...........................................................................................158 6 ........................................................................................160 6.5.8 身份认证............................................................................................161 6 第 8 章 智能化实体办事大厅........................................................................212 8.1 二代身份证识别.......................................................................................212 8.2 样表查询系统

平台安全性不存储涉密和敏 感信息。 11 2.1.2.1 互联网系统数据库 用于存储外网收集的相关数据，以及保存 app 和微信公众号上的账号信息， 互联网数据都为脱敏信息，如不保存姓名、身份证号等个人信息。 2.1.2.2 互联网通信接口 用于外网服务器与 app 和企业使用的微信号数据通信，在通信接口上使用 https 协议防止被抓包，另外对接口进行加密不使用明文传输，保证接口使用上 3.2.1 数据库建设 (1) 建立数据汇集层。汇集曾是所有原始信息的汇集存储，要在存储能力、 数据节点上升级调整，并对各类数据资源实现导入、清洗、汇集存储功能。 (2) 建立实体身份主题库。将原含在实体身份主题库中的关系信息拆出，使 用图数据库单独建库存储，计算信息真实性和可信度，辅助用户理解。 (3) 建立人像要素库。拟采用新的比对引擎，并以该引擎为基础建设另一个 独立的人像库。 入模板，在分配了管理员权 限的后台账号登录的情况下，可以使用批量导入功能，一次性导入多个被监管 人员。 人员列表：通过可视化界面可以对被监管人员列表进行查看，并可以根据 管辖单位、人员姓名、身份证号、手机号码进行搜索查询，在人员列表中可以 点击单个人员名称查看单个人员的详细信息，查看单个人员详细信息时，拥有 25 对应权限的账号可以修改被查看人员的详细信息。 请假审核：基于 app

以及设备集中控制。  一卡通系统内，基础信息一次输入，多处、多点、多系统共享使用，随时查询流 水记录、汇总数据，系统中所有应用程序登录授权，必须通过管理中心的统一设 置进行。系统的认证方式有：口令认证、身份卡认证、人脸认证、混合认证等， 根据数据的安全级别，可一种认证或多种方式联合使用，以达到访问控制的安全。  综合查询、自助查询、WEB 查询、APP 等系统，为在校师生提供在任意地点、多 种方式信息查询服务。 主要是对外来人员实行的一种快捷登记、查询的管理模式，即在保安室安装访客 一体机，访客出示二代身份证后，系统自动对外来人员进行身份证信息识别比对，或 对外来无证人员进行拍照，生成访客记录及访客单，访客登记完成后，可刷脸通过校 园大门闸机。访客也可利用微信公众号/APP 提前进行预约，访客完善身份资料和来访 信息，访问申请通过后，系统会自动生成二维码，访客到达校园门口出示二维码或直 接在闸 应用，加强了学校对外来人员的管 控，使校园安全管理更方便快捷。 5) 宿舍管理系统 在宿舍楼内安装无障碍通道，学生必须在无障碍通道处刷卡或刷脸进出宿舍，系 统会判断合法和非法，合法身份正常通过，非法身份系统会进行报警，提示管理人员 。 包括分房、入住登记、卫生评比、维修管理、违纪记录以及对学生的住宿情况的查询 统计，可以更快地了解到每个学生的住宿情况，统计出剩余床位，测算出预期时间内

业务平台概述 .........................................................................48 2.6.2. 统一身份认证 .........................................................................48 2.6.3. 虚拟卡包平台 空值检查 空值检查用于检查关键字段非空 ● 值域检查 值域检查用于检查关键字段的取值范围，支持数值型、字符型、日期型字段 检查 ● 规范检查 规范检查用于检查指标值的格式是否规范，支持身份证、手机号码、邮箱、 日期等多种数据类型的检测，支持自定义正则表达式 ● 逻辑检查 逻辑检查用于检查指标之间是否满足一定的逻辑关系 18 智 慧 城 市 系 列 - 数去做一些指标的抽取或者指标定义的工作。指标服务平台从系统层面开放 一个 更加灵活的方式给拥有编码能力的用户，能够以自定义的方式去定义自己 所需的 指标。 适用场景：需要进行指标加工的场景，如时间差，身份证号识别是否处于生 日当期等。 2.3.4.1.1.5. 转化指标 转化指标指通过自定义函数方式，对已有指标进行加工转化，产生一个新的 26 智 慧 城 市 系 列 - 公 共 服

访客子系统是对企业内部员工通过微信公众号对到访人员进行管理，可以验证人 员身份，还可以临时授权访客通过刷脸能够访问的区域和时长。 二维码子系统可以通过微信对访客的邀请，通过前台验证后生成一个具有时效性 或通行方向次数限制的二维码，访客经由闸机的二维码阅读器验证通行。 梯控子系统作为节能减排，提升大楼工作效率的重要手段，通过对员工及访客的 身份认定，从而确定所需到达楼层，通过与智能电梯的派梯系统对接，合理安排乘梯 程中不 需要人员配合，就能够完成整个验证过程，从而解放了双手，最大程度上做到了方便 通行。 人脸信息作为人员自身携带唯一性的标志，解决了刷卡式通道一卡多刷、人卡不 一的弊病，真正做到通行人员身份与通行授权合一，实现通行信息的精确记录。 3.4.5 集成性强 系统前端人脸识别门禁的采集单元视频流可与 CCTV 系统融合，作为 CCTV 系统中 的监控视频采集单元。系统提供二次开发接口，具有很好的开放性，可与更多系统集 号，来访人员到大堂登记身份信息后输入 ID 号就可以上传面部照片， 访客经过闸机速通门可直接通过刷脸方式进入，系统会通知到员工预约访客到访 并记录访客通行记录。 （2) 系统支持预约时只提供来访人员身份信息，访客到访后可在前台访客人工 终端或访客自助终端机办理访客申请。办理时通过访客身份证在终端机上查询预约信 息，同时进行人证比对验证来访人员与证件是否一致，验证通过后将身份证照片保存 到访客信息中，分配通行权限。