随着计算机信息化、网络技术的普及，党务管理、政务管理、以及社区管理的信息化程度已日趋完善和成熟。随着管理信息化的普及应用，随之带来的就是信息的安全防范问题。重要信息的安全防范已经是信息化普及和信息系统升级过程中不可回避的一个重要环节。近些年来，不时有系统帐号被盗、重要信息泄密、冒用别人的帐户登陆等事件的发生。带来的实际经济损失，尤其是潜在的管理损失和社会效益的损失已不可用数据估量。从2011年初开始，陆续有国家和地方的信息化相关部门已经作了多次呼吁，要求各级政府部门、事业单位、以及企业单位加强信息安全的防范工作。明确指出在系统开发或升级过程中，必须引入和进一步提升重要信息的安全保护措施。重要信息的安全防范工作已经到了刻不容缓的情况。

一、客户需求分析

无锡先锋网，也就是无锡市基层党务管理综合服务平台，是管辖整个无锡地区的，集党员服务中心、党组织管理、党务管理、党员教育、服务咨询等于一起的综合性的党务建设和党务管理平台。

由于涵盖了无锡市管辖的所有党支部的管理，该平台的使用者分散在无锡市以及管辖的各个县和各级乡镇村。使用者的分散，给系统的管理带来了很多不便。比如：忘记网站的网址、重装系统导致收藏的网址丢失、忘记密码等情况时有发生。另外，密码被盗用、密码被冒用或借用等潜在风险时刻威胁着平台内重要信息的安全。系统的使用过程中某些重要的操作，特别是一些需要特殊授权的操作，更应该引入和加强操作者身份的验证。

由于以上的原因，无锡先锋网的开发商找到我们，计划在系统升级过程中全面引入UKey安全认证技术，以增加系统身份认证的安全强度。

二、方案设计

针对无锡先锋网的开发商有一定的开发能力，我公司深圳灵购科技建议其采用了Passbay身份认证系统 WebAC解决方案*。

2.1此方案无需有帐号/密码的登陆窗口，可以做到两个系统的无缝接入。

2.2此方案针对UKey的开发工作，以及安全登陆或者特殊操作的验证工作，以及UKey的管理工作，完全封装在UKey中，开发者无需关心。这里的二次开发工作，初级的网站开发人员即可胜任。

2.3此方案针对Web的访问控制，提出了一整套安全的，易开发的针对HTML的规范，并就此规范已提交了专利申请，专利申请号为：200810216364.8。

这里有个小插曲不妨在这里说明一下，当时，无锡先锋网的开发商总共找到3家供应商，在其公司内分成3个开发小组，分别对这3家供应商的产品进行接入开发。并专门组织产品评议会，由无锡市委和开发商的相关领导和技术人员组成评议小组，对这3家的产品接入后的情况进行了演示、观摩，从安全性、稳定性、操作易用性等方面进行了评议，最终选择了我们的WebAC方案。

三、相关方案一

如果您的系统属于以前老的系统，无法进行二次开发，建议采用Passbay身份认证系统 账号管理解决方案。

3.1此方案最大的好处就是无需开发，直接采购，直接使用。

3.2操作人员在计算机上插入UKey，UKey的管理程序就会自动打开要登录的系统，使用者只需点击登陆即可，也可实现自动登录，登录过程由UKey帮您自动完成。以后再也无需记忆复杂繁琐的帐号密码。

3.3操作人员下班时，只需直接拔掉UKey即可。也可实现拔掉UKey管理系统会自动退出的功能。防止其他人直接冒名使用。

3.4UKey丢失，可以在后台挂失，无需担心被别人冒用。

3.5可以给每一个UKey设置一个PIN码，以增加安全性。从而实现双因素认证。

四、相关方案二

如果是属于特大型系统平台，而且希望在系统中引入数字签名或数字签章。建议采用Passbay身份认证系统CA解决方案*。

4.1此方案需到CA中心（一般省一级都有）为每一个系统用户分别申请一个数字证书，颁发的数字证书作为系统用户的唯一身份认证标识，在进行系统登录或需要签章时使用。

4.2为了保证用户的数字证书及其私钥的安全，将证书及其私钥保存在UKey中，私钥不能被导出，并且可设置PIN码保护。

4.3针对数字证书在应用系统中的安全应用，灵购科技设计了合理的安全集成方案，能够使用数字证书进行应用系统安全登录，解决应用系统面临的安全问题。

4.4系统用户进行应用系统登录时，使用保存在UKey中的数字证书进行登录，系统验证用户的数字证书，来验证用户的真实身份，为用户提供安全保证，并保证用户方便的使用。

4.5此方案不仅可以实现安全登陆，也可以实现操作过程中的数字签名，数字印章，时间戳等功能。这样，操作者就需要对其操作负责了。

4.6此方案需要系统平台作相应的改造，以便与Passbay身份认证系统CA解决方案对接。

4.7此方案支持MS CSP 和 PKCS#11 两种规范，几乎可以涵盖对所有数字证书需求的支持。

备注：

WebAC——Web访问控制

CA——数字证书认证