电子证照管理系统建设方案

电子证照管理系统
建议方案
二O一六年五月
目录
第1章. 项目概述 (5)
1.1.项目背景 (5)
1.2.指导思想 (5)
1.3.建设目标 (5)
1.4.建设任务 (6)
第2章. 需求分析 (7)
2.1.名词解释 (7)
2.2.业务用户分析 (7)
2.3.服务对象 (8)
2.4.电子证照生成流程 (8)
2.5.制证签发（未写） (9)
2.6.电子证照发布和共享流程 (10)
2.7.证照应用 (10)
2.8.业务系统改造 (11)
第3章. 总体设计 (11)
3.1.总体框架 (11)
3.2.应用架构 (12)
3.3.电子证照生成系统设计 (12)
3.4.电子证照综合管理平台整体设计 (13)
3.5.与审批系统对接 (14)
3.6.技术路线 (14)
3.6.1.高性能数据库技术 (14)
3.6.2.分布式文件系统 (14)
3.7.性能设计 (15)
3.7.1.基本要求 (15)
3.7.2.系统响应时间 (15)
3.7.3.并发处理能力 (16)
3.7.4.稳定性 (16)
3.8.系统安全及保密设计 (16)
3.8.1.物理安全 (16)
3.8.2.通信网络安全 (17)
3.8.3.区域边界安全 (18)
3.8.4.计算环境安全 (19)
3.8.5.安全管理 (21)
3.8.6.数据恢复和备份 (22)
第4章. 建设内容 (23)
4.1.电子证照技术标准规范 (23)
4.1.1.电子证照存储库 (23)
4.1.2.应用接口规范 (25)
4.2.电子证照目录服务系统 (26)
4.2.1.证照元数据定义 (26)
4.2.2.证照模板设置 (26)
4.2.3.证照数据注册 (26)
4.2.4.目录管理 (26)
4.3.电子证照签发管理系统 (26)
4.3.1.数据接口 (26)
4.3.2.证照录入 (27)
4.3.3.证照审核 (27)
4.3.4.证照签章 (27)
4.3.5.证照入库 (27)
4.4.电子证照综合管理平台 (27)
4.4.1.证照查询 (27)
4.4.2.证照管理 (27)
4.4.3.证照统计分析 (28)
4.4.4.监督监察 (28)
4.5.电子证照公共服务平台 (28)
4.6.电子证照接口服务平台 (28)
4.6.1.业务流程 (29)
4.6.2.交换接口 (29)
4.6.3.应用接口规范 (29)
第5章. 项目清单 (30)
5.1.软件清单 (30)
5.2.配套设施清单 (30)
第1章. 项目概述
1.1.项目背景
国家发展改革委、财政部、教育部、公安部、民政部、人力资源社会保障部、住房城乡建设部、国家卫生计生委、国务院法制办、国家标准委等10 部门发布《推进“互联网+ 政务服务”开展信息惠民试点实施方案》，提出要加快推进“互联网+ 政务服务”，深入实施信息惠民工程，构建方便快捷、公平普惠、优质高效的政务服务体系。

方案明确了电子证照信息化建设原则，即以公民身份号码作为唯一标识，形成居民个人电子证照目录，建设电子证照库，推动群众办事的“一号”申请，实现“一号”为居民“记录一生，管理一生，服务一生”。

1.2.指导思想
电子证照具有非人工识读性、系统依赖性、信息与特定载体之间的可分离性、信息存储的高密度性、多种信息媒体的集成性和信息的可操作性等优点，是各级政府深度推行网络化审批的必要构件，是解决“办证难”、“办文难”以及“假证伪证”等问题的根本途径，是实现全国、省、市范围内证照和公文跨区域、跨系统、跨部门、跨层级安全共享的基本要素，有利于创新政务工作模式，进一步提高政府行政效率和服务能力，营造良好的发展环境。

1.3.建设目标
1．建立电子证照目录
推行政府、企业、个人相关证件、证照、证明等电子化，形成居民个人电子证照目录。

2．建设电子证照库
按照分散集中相结合原则，以电子证照目录为基础，启动电子证照库建设，在城区、街道、社区统一应用，并逐步向农村延伸，实现基础证照信息的多元采集、互通共享、多方利用。

推进制证系统、业务办理系统与电子证照库对接联通，做到电子证照与纸质证照同步签发。

以电子证照库支撑各部门办事过程中相关信
息“一次生成、多方复用，一库管理、互认共享”。

3．建立跨区域电子证照互认共享机制
依托统一的数据共享交换平台，推进跨层级、跨区域、跨部门的电子证照互认共享。

4．制定电子证照法规与相关标准
健全完善电子证照关键技术标准和跨地区互认共享标准，推动相关标准的实施应用。

1.4.建设任务
1．编制电子证照技术标准规范
依据国家电子证照资源信息，编制电子证照技术规范，电子证照技术标准规范由电子证照数据标准、电子证照数据库建设规范、电子证照生成与交换规范、电子证照共享服务规范以及电子证照信息公众服务技术规范共五项标准组成。

2．电子证照目录服务系统
电子证照目录是政务信息资源目录体系的组成部分，通过按部门、行政区划、证照类别、持证者等信息分类，建设标识统一、结构科学、检索方便的证照登记和查询系统，为各证照颁发部门提供证照目录登记、审核、发布以及电子证照的数据挂接和证照共享服务。

3．电子证照签发管理系统
即电子证照生成、采集、签发服务系统，实现电子证照的规范生成与证照共享，提供配置管理、数据采集、证照生成、证照管理、证照共享、审计管理和系统管理的功能。

4．电子证照综合管理平台
电子证照综合管理平台实现电子证照库在全市的集成和存储。

通过集成CA 数字证书和安全厂商提供的电子盖章系统，集成市级目录资源提供的法人库和人口库基础服务。

平台为电子证照接入单位提供证照目录管理、证照模版定制、证照生成、证照查询、证照验证以及证照共享的功能，系统管理和运行监控的运维服务。

5．电子证照公共服务平台
电子证照公共服务平台是公众（包括自然人和法人）获取和管理电子证照信
息的渠道。

平台为用户提供用户注册、消息提醒、电子证照查询、电子证照授权管理、证照应用审计分析、证照分类自定义管理的功能。

6．电子证照接口服务平台
电子证照是基于电子签名法等安全产品进行设计，在建设过程中，需要向各级机要局申请数字证书、电子印章（配套印章系统）和签章服务器，对于证照主体认证还需要申请人口库和法人库接口。

电子证照应用提供接口调用标准；通过统计分析模块，为电子证照相关单位提供数据支撑服务；通过共享模块，为使用证照信息的单位系统提供证照验证、获取、比对服务。

第2章. 需求分析
2.1.名词解释
＞证照
政府部门和取得法定资质的第三方服务机构依法形成出具的具有法律效力的各类批文、证件、执照、牌照、鉴定报告、证明材料等文件。

＞电子证照
遵循相关安全和技术规范的可信任的、数字形态的证照，由计算机等电子设备形成、办理、传输和存储的证照信息记录。

＞电子证照系统
依托地方电子证照规范开发的提供电子证照的制作，存储，信息查询，交换共享的信息系统，为地方电子政务提供服务。

2.2.业务用户分析
＞部门管理员
部门管理员可以管理本部门相关的资源信息，包括证照配置、签章配置和生成后的电子证照，以及配置本部门下人员的权限信息和查看本部门下的证照生成情况，以便证照生成过程中存在的问题，提供咨询与指导。

＞部门填报人员
根据部门管理员配置的证照类型上的照面信息，录入证照照面信息以及对于异常信息的比对修改。

＞部门审核人员
审核人员主要根据填报人员提交的录入数据进行审核操作。

＞部门机要人员
部门机要人员主要对采集的数据或审核通过后的数据进行盖章、封装和入库操作。

并针对推送到目录系统失败的数据进行重新注册的操作。

＞部门经办人员
主要管理和使用本部门的相关证照，并可以查看其他部门的相关证照信息和审核其他部门提交的查看申请。

＞审计管理员
审计管理员可以审计电子证照综合管理系统的所有操作行为，主要包括登录日志、注销日志、操作日志、授权日志、配置日志、入库日志、盖章日志、作废日志、验证日志和调用日志。

2.3.服务对象
企业
居民
证照签发部门
业务部门
2.4.电子证照生成流程
1．证照配置
部门管理员登录系统，配置证照类型，证照类型配置包括证照基本信息、照面信息、副本信息、副本信息、证照模版（附件）以及注册目录系统需要在证照元数据信息。

2．数据填报
部门填报人员登录系统，选择对应的证照类型进行证照照面信息的录入。

3 .数据审核
部门审核人员登录系统，根据填报人员提交的证照照面信息，以纸质证照为 标准进行核实审核工作。

4 .数据生成
部门机要人员登录系统，根据采集后的数据或审核通过后的数据进行盖章、 封装和入库操作。

证照生成流程图
2.5. 制证签发（未写）
1、电子签章
2、存储叠蹄式底图 生成XMU1E 照后息
2.6.电子证照发布和共享流程
证照蹶里住
野途库证照目录耨话僦接口獭
反二运三晦使用且便偿然（犯猱热网吃｝
冷晶翳粘碓孑
谢文件尼碘西鼠I
证照发布/共享流程图
2.7.证照应用
李舜报
I. a房打尸
蜕雷申报£旨直更
或延用
要求申报人患交］
原件
是当软
妾三回
鸵t
礴足申报条件/
膜由眼
证照应用流程图
提陨申报人员进行变更
电子证照的系豌
量.
圄
办珪
星百后二三
邮庭・程
2.8. 业务系统改造
1 .业务系统推送照面数据到证照生成模块进行盖章。

部门业务系统调用电 子证照综合管理系统提供的Web Service 服务，完成证照照面信息到电子证照综 合管理的推送。

通过电子证照综合管理系统的证照生成模块进行盖章处理，最后 生成电子证照并进行入库操作，以便电子证照综合管理系统进行统一管理。

2 .业务系统推送照面数据到综合管理系统并进行在线盖章。

部门业务系统 调用电子证照综合管理系统提供的Web Service 服务，同时，由电子证照综合管 理系统返回盖章页面URL 给业务系统进行在线盖章，最后生成电子证照并进行 入库操作，以便电子证照综合管理系统进行统一管理。

3 .业务系统生成后的电子证照或批文推送到集中库管理。

部门业务系统调 用电子证照综合管理系统提供的Web Service 服务，完成电子证照纳入证照综合 管理系统的统一管理。

第3章.总体设计
3.1. 总体框架
总体框架图行政审此 便战聘 电子正聘接口限务平古 具也空资茶蜿..一 标鹿规苑体系 电子证照 目录6E 缶 电子证照生 成管嶷杀统 电子证照缔 合管理平台 鬼子u ,眼注 共服多平台 支撑
丢
口
a 中心 电■子招章机也 清市公邦专照平台 城市公共由蟠揖麻 制度安全保障体系 电：HL 第密源 目录 揍口眼
免
应用
藤统
电子证
蜀富£i
库
兀®
据
数科生数据共不憎曲吴月造共竽住警调莅数至将输
应用架构图
3.3. 电子证照生成系统设计
封装后电子近照
CA 中心、电子签章
1 . CA 中心：具有公权力的第三方权威机构，具有对证照加盖公章的权力机构。

3.2.应用架构
政府姓 &L 圣中工 &L 政而 X*. M 近苣
第克AS 寿柞AS 薄加 第旗
捌迫！电子证里生成茎琥 电子证晓目录素疣
敌
层
交 俄
梏
□
电子江熊营理江当
数据共享交换平台
fflnfOr^E
的二.
航」 5.1L 覆上务至统
单点宜录
证屋累至
空据里宾 社舍国出
互联网用户 电子证照公共般考 寻!分认近
正的数暗［二眼照片）
明
如：政府机关，或有政府授权的单位机构
2.单点登录：同时登录证照采集及CA中心，在证照采集后可直接通过CA签章，
无需再登陆CA中心
3.证照采集：对居民信息或企业信息的采集表格。

4.证照数据：采集后的、按照一定格式生成的数据
5.数据密封：对证照数据进行一定的格式化，形成统一数据格式的文档。

6.电子签章：对密封后的数据进行数字指纹的提取，并对数字指纹用私钥加密，
即电子签章。

7.封装后电子证照：对电子签章后的数据进一步封装，即电子证照。

3.4.电子证照综合管理平台整体设计
界面
电子证照管理系统电子证照服务平台
账号服务猛㈣on服务单点登录消息服务
~ ।存储।~ ；
数据库| |文件| |缓存| |对象存储|
MySQL HOFS Memcache Swift
1.电子证照存储设计：基于分布式文件系统（HDFS）的存储管理，提供高吞吐
量的数据访问及数据备份。

数据存储方式采用分布式对象存储，实现按号
查询，一人一号，一号存多证的存储方式。

2.电子证照失效管理：
>定期扫描，对有效期到期的电子证照进行失效处理。

> 人为申请的电子证照注销，进行手动失效处理。

3.电子证照入库设计：电子证照生成后，并不直接入库，而是先进入分布式消息
队列，分布式消息消费者再异步消息入库。

4.电子证照缓存设计：采用memcache互不通讯的缓存架构，使用最近最久未
访问算法（LRU）管理缓存，缓存的目的在于更快的查询调用电子证照，减小持久化存储的压力。

3.5.与审批系统对接
m
申雇
历史证就致司
AJ^
电子证照库■ 『敏目聂
"" -I —■ ■——
<■审批编枭档案二I
—-.■_.
——— 证惯 批文 与审批业务流图
3.6. 技术路线
3.6.1. 高性能数据库技术
采用支持分布式文件系统（HDFS ）部署的高并发、高性能数据库系统，支 持单表、多表事物处理机制，支持数据完整性处理，支持海量数据处理，千万级 数据的检索时间不大于3秒。

3.6.2. 分布式文件系统
采用支持并行计算的分布式文件系统（HDFS ），支持大数据文件的高速存 储、全文检索，支持文件资源管理。

基于分布式文件系统管理所有非结构化资源。

3.7.性能设计
3.7.1. 基本要求
1、网络平台性能：要求数据传输网络畅通、快捷、高带宽、安全、可靠、 可扩展。

2、系统平台性能：要求采用通用性好的计算机系统、安全可靠的操作系统 以及大型数据库系统，吞吐能力强，保证系统良好的性能，数据库系统必须具有 良好的垂直升级能力。

3、应用支撑平台性能：要求应用支撑平台为业务应用系统的开发和运行提 供技术支撑，具备有异构系统和数据平台的信息交换能力，并具有灵活的可扩展 行和高度的可配置管理性。

4、应用系统性能：应用系统性能应满足用户的要求，稳定、可靠、高效。

人, ——I , ___________________ J I -------- ^TZ J
电于文档
-- ---- __, _______________ =__■—T--
机界面友好，输出、输入方便，图表生成灵活美观，检索、查询、统计简单快捷。

由于系统的数据量非常大，并且数据记录的增长速度非常快，对于关系数据库的查询能力和查询算法的要求都非常高。

必须设计出合理的数据库结构和查询算法，以保证查询的响应时间并不会随着记录的增长而急剧下降。

5、数据性能：系统数据应完整、准确和及时。

汇总统计、制表制图、分析计算、模型测算等功能比较齐全，保证计算结果准确。

本系统不仅数据量大，而且数据类型多样，包括图像、文本、TIF文件等信息类型，因此，对处理系统的计算能力有比较高的要求，也要求对数据库记录数的增长没有限制，并且保证数据库的可操作性。

6、系统维护性能：提供信息系统正常运行所必须的管理和维护功能，包括数据备份与恢复、应用系统管理、信息内容管理、用户权限管理、代码维护等。

3.7.2.系统响应时间
从一个用户角度讲，一般性操作最长不超过5秒；系统响应时间W3秒。

对于一般的查询统计应控制在10—60秒；大型的复杂的查询统计应W5小时。

当用户做一些处理时间较长的操作时，能给出提示信息提醒用户，在返回数据量过大导致响应时间过长时，能提供部分响应，例如分页取数据等，减少操作人员等待的时间。

3.7.3.并发处理能力
系统能够支持同时从多个部门或地方并发使用，要求系统不能由于用户连接的增加明显降低系统的响应时间。

内网支持同时在线用户数1000人；并发用户数200人。

3.7.
4.稳定性
整个应用软件系统能够持续7X24小时不间断工作。

系统运行时间每1000小时中可用时间至少不小于999小时。

故障间隔时间应大于1000小时。

系统要保障数据的一致性，完整性，准确性要求达到99.99%。

对人工输入的数据以及来自不同接口的数据进行合法性检查，确保流程的通畅性，并且能够对错误数据进行自动纠错处理，并能够及时的对处理的数据进行更新。

必须有数据存储设备，在更换平台时保证应用系统的平滑过渡。

3.8. 系统安全及保密设计
3.8.1.物理安全
物理安全风险主要是指网络周边的环境和物理特性引起的网络设备和线路的不可使用，从而会造成网络系统的不可使用，甚至导致整个网络的瘫痪。

它是整个网络系统安全的前提和基础，只有保证了物理层的可用性，才能使得整个网络的可用性，进而提高整个网络的抗破坏力。

例如：
•机房缺乏控制，人员随意出入带来的风险；
•网络设备被盗、被毁坏；
•线路老化或是有意、无意的破坏线路；
•设备在非预测情况下发生故障、停电等；
•自然灾害如地震、水灾、火灾、雷击等；
•电磁干扰等。

由于本系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，所以系统部署机房、办公场地要具备一定程度防震、防火、防风、防雷、防水、防潮、防静电、防雷击、防盗窃、防破坏的能力；同时加强场所的管理，要有专人管理，进行访问权限控制；以及要有温湿度控制、电子供应保障、电磁防护等防护措施，物理上达到安全规范需求。

3.8.2.通信网络安全
通信网络的安全主要包括：网络结构安全、网络安全审计、网络设备防护、通信完整性与保密性等方面。

•网络结构安全
网络结构是否合理直接影响着是否能够有效的承载业务需要。

因此网络结构需要具备一定的冗余性；带宽能够满足业务高峰时期数据交换需求；并合理的划分网段和VLAN。

•网络安全审计
由于用户的计算机相关的知识水平参差不齐，一旦某些安全意识薄弱的管理用户误操作，将给信息系统带来致命的破坏。

没有相应的审计记录将给事后追查带来困难。

有必要进行基于网络行为的审计。

从而威慑那些心存侥幸、有恶意企图的少部分用户，以利于规范正常的网络应用行为。

•网络设备防护
网络设备，如交换机、防火墙、入侵检测设备等，这些设备的自身安全性也会直接关系到涉密网和各种网络应用的正常运行。

如果发生网络设备被不法分子攻击，将导致设备不能正常运行。

更加严重情况是设备设置被篡改，不法分子轻松获得网络设备的控制权，通过网络设备作为跳板攻击服务器，将会造成无法想象的后果。

例如，交换机口令泄漏、防火墙规则被篡改、入侵检测设备失灵等都将成为威胁网络系统正常运行的风险因素。

•通信完整性与保密性
由于网络协议及文件格式均具有标准、开发、公开的特征，因此数据在网上存储和传输过程中，不仅仅面临信息丢失、信息重复或信息传送的自身错误，而且会遭遇信息攻击或欺诈行为，导致最终信息收发的差异性。

因此，在信息传输和存储过程中，必须要确保信息内容在发送、接收及保存的一致性；并在信息遭受篡改攻击的情况下，应提供有效的察觉与发现机制，实现通信的完整性。

而数据在传输过程中，为能够抵御不良企图者采取的各种攻击，防止遭到窃取，应采用加密措施保证数据的机密性。

•网络可信接入
对于一个不断发展的网络而言，为方便办公，在网络设计时保留大量的接入端口，这对于随时随地快速接入到办公网络进行办公是非常便捷的，但同时也引入了安全风险，一旦外来用户不加阻拦的接入到网络中来，就有可能破坏网络的安
全边界，使得外来用户具备对网络进行破坏的条件，由此而引入诸如蠕虫扩散、文件泄密等安全问题。

因此需要对非法客户端实现禁入，能监控网络，对于没有合法认证的外来机器，能够阻断其网络访问，保护好已经建立起来的安全环境。

3.8.3.区域边界安全
区域边界的安全主要包括：边界访问控制、边界完整性检测、边界入侵防范以及边界安全审计等方面。

•边界访问控制
对于各类边界最基本的安全需求就是访问控制，对进出安全区域边界的数据信息进行控制，阻止非授权及越权访问。

•边界完整性检测
边界的完整性如被破坏则所有控制规则将失去效力，因此需要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，维护边界完整性。

•边界入侵防范
各类网络攻击行为既可能来自于互联网等外部网络，在内部也同样存在。

通过安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，实现对网络层以及业务系统的安全防护，保护核心信息资产的免受攻击危害。

•边界安全审计
在安全区域边界需要建立必要的审计机制，对进出边界的各类网络行为进行记录与审计分析，可以和主机审计、应用审计以及网络审计形成多层次的审计系统。

并可通过安全管理中心集中管理。

•边界恶意代码防范
现今，病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加泛滥，目前计算机病毒的传播途径与过去相比已经发生了很大的变化，更多的以网络（包括Internet、广域网、局域网）形态进行传播，因此为了安全的防护手段也需以变应变。

迫切需要网关型产品在网络层面对病毒予以查杀。

3.8.
4.计算环境安全
计算环境的安全主要指主机以及应用层面的安全风险与需求分析，包括：身份鉴别、访问控制、系统审计、入侵防范、恶意代码防范、软件容错、数据完整性与保密性、备份与恢复、资源合理控制、剩余信息保护、抗抵赖等方面。

•身份鉴别
身份鉴别包括主机和应用两个方面。

主机操作系统登录、数据库登陆以及应用系统登录均必须进行身份验证。

过于简单的标识符和口令容易被穷举攻击破解。

同时非法用户可以通过网络进行窃听，从而获得管理员权限，可以对任何资源非法访问及越权操作。

因此必须提高用户名/口令的复杂度，且防止被网络窃听；同时应考虑失败处理机制。

•访问控制
访问控制包括主机和应用两个方面。

访问控制主要为了保证用户对主机资源和应用系统资源的合法使用。

非法用户可能企图假冒合法用户的身份进入系统，低权限的合法用户也可能企图执行高权限用户的操作，这些行为将给主机系统和应用系统带来了很大的安全风险。

用户必须拥有合法的用户标识符，在制定好的访问控制策略下进行操作，杜绝越权非法操作。

•系统审计
系统审计包括主机审计和应用审计两个方面。

对于登陆主机后的操作行为则需要进行主机审计。

对于服务器和重要主机需要进行严格的行为控制，对用户的行为、使用的命令等进行必要的记录审计，便于日后的分析、调查、取证，规范主机使用行为。

而对于应用系统同样提出了应用审计的要求，即对应用系统的使用行为进行审计。

重点审计应用层信息，和业务系统的运转流程息息相关。

能够为安全事件提供足够的信息，与身份认证与访问控制联系紧密，为相关事件提供审计记录。

•入侵防范
主机操作系统面临着各类具有针对性的入侵威胁，常见操作系统存在着各种安全漏洞，并且现在漏洞被发现与漏洞被利用之间的时间差变得越来越短，这就使。