【解读】教育行业密码应用

高校需根据自身情况，参考密码应用标准规范，建设共享服务平台本地化服务系统，包括建设统一的、覆盖全面的、满足大部分教育密码需求的密码服务接口，以服务化的理念封装底层密码接口，屏蔽不同设备厂商、不同类型密码设备之间的差异，为业务系统提供标准统一的密码服务接口，减少集成复杂度，方便本地应用系统的密码服务调用。

在数字校园建设过程中，由于普遍缺少密码应用的安全保护措施，在高校中也屡屡出现数据篡改、数据泄露等安全事件，既对社会造成不良影响，更加影响教育公平性。除了直接导致业务系统易攻破、数据易篡改易泄露外，更重要的是导致许多高校业务无法真正实现数字化、无纸化、在线化、智慧化应用，既影响学生服务效率和质量，也耗费大量校园运行成本。

高校应基于教育部教育行业密码基础设施和支撑平台的基础数字证书服务、电子证照、可信身份等服务对接，建设一套可以为个学校各类信息系统提供安全、可信的密码应用平台，信息系统包括校园管理信息化平台、数字校园等平台、网上办事大厅平台等。密码应用具体包括：

（1）实现各类校园信息化业务关键节点的可信时间的留存和业务关键节点的时间签署留存，将业务产生或者操作的时间进行固化，并留存到业务数据库或者相关凭证文档中；（2）实现各类校园信息化业务操作行为的数据完整性、数据机密性、数据防篡改和行为防抵赖；（3）实现移动校园改造；（4）实现各类校园信息化业务产生的凭据的合法可信，具备防篡改、防伪、可验证性。

各高校需根据自身情况，完成教育密码应用基础支撑与共享服务平台的高校本地化服务子系统建设，包括：教育数字认证子系统、教育可信身份认证服务子系统。   

教育数字认证子系统：即建设RA（注册中心）、协同签名服务网关，面向本单位教职工、学生、学生家长等用户提供数字证书的申请、发放、更新、吊销、密码解锁、密钥恢复等数字证书生命周期管理和服务。

教育可信身份认证服务子系统：建设教师、学生等教育行业用户的可信身份凭证库以及对外提供教育身份验证服务，促进教育身份的各类应用。教育可信身份认证服务系统的功能主要包括：凭证生成子系统、教育身份应用子系统、数据存储子系统、身份核验子系统、数据共享子系统和管理控制台等几部分组成。将可信密码服务平台作为校级服务平台，面向业务系统提供标准化、统一化的密码服务接口，供业务系统按照标准化方式调用。

四、完成校园密码应用改造

身份证件的可信电子化：一是，基于密码技术为校内人员签可信电子身份证件，并基于动态安全二维码技术提供扫码身份核验服务；二是，为校内可信人员颁发手机端数字证书，并与可信身份证件进行绑定，实现校内人员进行在线校园业务办理时的可信身份认证与操作行为认定。

校内业务系统无纸化应用：在校内信息系统中，全面对接本项目建设的内容，实现OA等系统的审批流的全面无纸化等应用，真正让数据以信息系统的方式流转起来。实现审批流电子签名应用建设任务，涉及进行密码应用改造的业务系统为OA系统。OA系统集成移动签名网关系统，在审批确认环节，在PC端页面中弹出二维码，用户使用移动校园扫描二维码，完成个人电子签名。

当前校园信息系统中用户多、数量大，承载的数据与信息也极其庞大，包含师生隐私数据，学校教学科研核心数据等。教育密码应用改造是教育领域落实国家关于重要领域密码应用推进的战略规划的重要示范。通过建立数据安全保护和责任认定机制，以密码安全技术为保障，促进业务模式创新和服务方式变革，提升教育服务能力，为智慧校园信息系统提供安全规范，更深一层保障校园数据安全，提升教育信息化的权威性和可信度。