基于SSL VPN民政安全加固系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

李國良 李三平 高健強(qiáng) 劉 川

1(中科恒運(yùn)股份有限公司 河北 石家莊 050091)2(甘肅省民政廳信息中心 甘肅 蘭州 730030)

0 引 言

民政業(yè)務(wù)涉及到的品類繁多，包括養(yǎng)老、低保、婚姻、基層政權(quán)、殯葬、兒童福利等多項(xiàng)獨(dú)立的業(yè)務(wù)類別，而在民政部門內(nèi)部也會(huì)根據(jù)不同的業(yè)務(wù)劃分不同的部門，在目前“大數(shù)據(jù)、大平臺(tái)”的指引思路下，建立民政統(tǒng)一的智慧應(yīng)用平臺(tái)刻不容緩。民政數(shù)據(jù)的特點(diǎn)是分布廣、數(shù)據(jù)量大、涉及多級(jí)用戶、數(shù)據(jù)安全要求高。智慧民政應(yīng)用平臺(tái)一般集中部署在民政廳的機(jī)房中，在建立智慧民政應(yīng)用平臺(tái)之前，要確保各級(jí)數(shù)據(jù)的安全傳輸，對(duì)常用的安全解決方案進(jìn)行分析。

(1) 專線傳輸。租用已經(jīng)架設(shè)到村(社區(qū))一級(jí)的運(yùn)營商專線，通過購買專線服務(wù)的方式與政務(wù)網(wǎng)專線對(duì)接，實(shí)現(xiàn)所有數(shù)據(jù)通過專線交互。但每個(gè)行政單位每年的線路服務(wù)費(fèi)用是3 600元，一般省份約有上萬個(gè)行政單位，初步計(jì)算，每年大約需支付幾千萬元的線路維護(hù)費(fèi)用。

優(yōu)點(diǎn)：數(shù)據(jù)傳輸安全，傳輸速度高，能夠滿足所有單位民政數(shù)據(jù)的提交、獲取要求。缺點(diǎn)：支付費(fèi)用過高。

(2) 互聯(lián)網(wǎng)數(shù)據(jù)加密。行政單位通過互聯(lián)網(wǎng)與部署在民政廳機(jī)房的智慧民政應(yīng)用平臺(tái)交換數(shù)據(jù)，對(duì)傳輸數(shù)據(jù)進(jìn)行加密，以密文的形式在互聯(lián)網(wǎng)傳輸，智慧民政應(yīng)用平臺(tái)對(duì)接收到的數(shù)據(jù)解密。

優(yōu)點(diǎn)：費(fèi)用低，智慧民政應(yīng)用平臺(tái)對(duì)各類業(yè)務(wù)數(shù)據(jù)使用統(tǒng)一的算法加、解密，工作量小。缺點(diǎn)：數(shù)據(jù)容易被竊取和篡改，尤其是用戶認(rèn)證數(shù)據(jù)，被竊取后影響較大。

(3) 使用SSL VPN。廳里部署一套SSL VPN網(wǎng)關(guān)設(shè)備，智慧民政應(yīng)用平臺(tái)各業(yè)務(wù)系統(tǒng)作為訪問資源配置在SSL VPN網(wǎng)關(guān)中，提前給每個(gè)行政單位分配VPN賬號(hào)。行政單位使用已分配賬號(hào)實(shí)現(xiàn)SSL VPN認(rèn)證，認(rèn)證通過后，建立虛擬傳輸通道，并通過資源訪問各業(yè)務(wù)系統(tǒng)。

優(yōu)點(diǎn)：費(fèi)用較低，密碼不泄露的情況下，能確保數(shù)據(jù)傳輸?shù)陌踩Ｈ秉c(diǎn)：由于行政單位眾多，已分配密碼不易更換；密碼沒有失效機(jī)制。

針對(duì)以上分析，本文提出一種基于SSL VPN的安全加固系統(tǒng)。基于LDAP提供的認(rèn)證中心、方便讀寫、密碼管理等能力，實(shí)現(xiàn)了與SSL VPN很好的互補(bǔ)；設(shè)計(jì)了“雙認(rèn)證一加密”的數(shù)據(jù)傳輸安全加固系統(tǒng)，確保了數(shù)據(jù)在低成本付出的情況下數(shù)據(jù)的傳輸安全。

1 應(yīng)用技術(shù)概述

1.1 LDAP

LDAP(Lightweight Directory Access Protocol)是輕量級(jí)目錄訪問協(xié)議。它是在X.500標(biāo)準(zhǔn)的基礎(chǔ)上發(fā)展起來的，但比X.500更簡單易用，還可以自行定制。LDAP完全支持TCP/IP，所以允許訪問Internet。

(1) 存儲(chǔ)模型。LDAP的存儲(chǔ)類似樹型結(jié)構(gòu)，條目的數(shù)據(jù)結(jié)構(gòu)中存儲(chǔ)具體信息。若干條目組成一個(gè)目錄信息樹，條目與對(duì)象對(duì)應(yīng)，DN為條目的唯一標(biāo)識(shí)名，每個(gè)條目包含多個(gè)屬性，且每個(gè)屬性有一個(gè)或多個(gè)值。

LDAP服務(wù)器提供目錄服務(wù)，以目錄數(shù)據(jù)庫方式存儲(chǔ)網(wǎng)絡(luò)信息，LDAP協(xié)議的信息模型由目錄信息樹和其相關(guān)概念構(gòu)成。

dc(domain component)表示域名部分，其格式是將完整的域名拆分為幾個(gè)部分；cn(common name)代表公共名稱；ou(organization unit)代表組織單位；uid代表用戶ID；關(guān)鍵字sn(surname)代表姓；dn(distinguished name)代表唯一辨別名，rdn(relative dn)代表相對(duì)辨別名；關(guān)鍵字c(country)代表國家；關(guān)鍵字o(organization)代表組織名。

(2) 安全模型。LDAP的安全模型主要通過安全通道、身份認(rèn)證和訪問控制實(shí)現(xiàn)。

身份認(rèn)證：

① 匿名認(rèn)證。適用于沒有數(shù)據(jù)安全問題且不涉及訪問權(quán)限的完全公開方式。

② 基本認(rèn)證。通過用唯一辨別名(DN)和密碼實(shí)現(xiàn)身份識(shí)別，密碼識(shí)別分為簡單密碼、摘要密碼認(rèn)證。

③ SASL(Simple Authentication and Secure Layer)認(rèn)證。在TLS和SSL安全通道基礎(chǔ)上實(shí)現(xiàn)的身份認(rèn)證，包括以數(shù)字證書實(shí)現(xiàn)的認(rèn)證。

LDAP中的通信安全提供了基于TLS/SSL的安全保障。TLS/SSL以PKI信息安全技術(shù)為基礎(chǔ)，該安全服務(wù)在Internet上廣泛采用。LDAP通過StartTLS方式啟動(dòng)TLS服務(wù)，該服務(wù)既能夠?qū)崿F(xiàn)客戶端身份與服務(wù)端身份的雙向驗(yàn)證，又能夠提供通信中數(shù)據(jù)完整性、保密性保護(hù)。

訪問控制標(biāo)準(zhǔn)：目前并沒有訪問控制標(biāo)準(zhǔn)，但LDAP的訪問控制相當(dāng)豐富和靈活。訪問控制策略語句實(shí)現(xiàn)LDAP中訪問控制，而訪問控制列表實(shí)現(xiàn)應(yīng)用系統(tǒng)和RDBS。

由于行政單位眾多，且組織機(jī)構(gòu)龐雜，為了更好地進(jìn)行認(rèn)證，在民政廳建立獨(dú)立的LDAP服務(wù)器，通過LDAP服務(wù)器來進(jìn)行所有行政單位用戶的統(tǒng)一管理。LDAP可以根據(jù)組織內(nèi)部的結(jié)構(gòu)來進(jìn)行人員的劃分，根據(jù)組織內(nèi)部的組織架構(gòu)來建立LDAP的人員用戶結(jié)構(gòu)。

1.2 SSL VPN

SSL VPN是在傳統(tǒng)VPN和IPSec VPN等成熟技術(shù)基礎(chǔ)上提出來的，SSL VPN的明顯優(yōu)勢在于移動(dòng)接入和Web安全，它能夠提供遠(yuǎn)程安全接入，而不需要安裝或設(shè)定單獨(dú)客戶端軟件。SSL在Web的安全性和易用性領(lǐng)域架起了一座橋梁。SSL VPN有三大好處：(1) 它很簡單，不需要過多配置，可以即刻安裝、即刻生效；(2) 不需要安裝獨(dú)立客戶端，直接使用瀏覽器內(nèi)嵌的SSL協(xié)議；(3) 兼容性好，能夠適用于任何的操作系統(tǒng)及終端。

目前大部分SSL VPN產(chǎn)品支持Radius、LDAP/AD、LocalDB、第三方CA、Dkey、自建CA、硬件特征碼、動(dòng)態(tài)令牌、短信認(rèn)證等多種安全認(rèn)證方式(如圖1所示)，最大程度地保證了合法用戶的介入。

圖1 SSL VPN認(rèn)證方式

SSL VPN能夠與LDAP進(jìn)行聯(lián)動(dòng)，在SSL VPN設(shè)備上無需建立LDAP的用戶，直接把認(rèn)證數(shù)據(jù)轉(zhuǎn)向LDAP服務(wù)器，讓LDAP直接判斷，如圖2所示。

圖2 SSL VPN與LDAP結(jié)合

2 需求分析與設(shè)計(jì)

智慧民政應(yīng)用平臺(tái)部署在民政廳的機(jī)房里，很難通過架設(shè)專線到所有行政單位的高成本實(shí)現(xiàn)數(shù)據(jù)的安全傳輸，而面對(duì)業(yè)務(wù)類型多、涉及范圍廣、數(shù)據(jù)傳輸層級(jí)多、安全性要求高等的特性，妥善解決各類民政數(shù)據(jù)傳輸障礙，實(shí)現(xiàn)數(shù)據(jù)無縫對(duì)接，確保數(shù)據(jù)的安全傳輸，亟需一套高性能的安全加固系統(tǒng)。

在基于SSL VPN的密碼不易更換、密碼失效機(jī)制難以控制的基礎(chǔ)上，利用LDAP的優(yōu)良特性，設(shè)計(jì)了“雙認(rèn)證一加密”的實(shí)現(xiàn)方案。圖3為系統(tǒng)設(shè)計(jì)流程。

圖3 系統(tǒng)設(shè)計(jì)流程

應(yīng)用客戶端集成SSL VPN網(wǎng)關(guān)的客戶端，通過SSL VPN配置界面配置服務(wù)端認(rèn)證程序LDAP的地址和行政區(qū)劃編碼、隨機(jī)碼的獲取路徑。

應(yīng)用服務(wù)端認(rèn)證程序接受客戶端的調(diào)用，生成隨機(jī)碼(16位字母和數(shù)字的組合)。提前收集位于互聯(lián)網(wǎng)上用戶的姓名、身份證號(hào)、手機(jī)號(hào)、行政區(qū)劃編碼、單位名稱、郵箱、級(jí)別等，錄入到服務(wù)端認(rèn)證程序的數(shù)據(jù)庫。

客戶端程序啟動(dòng)后，讓用戶輸入姓名、身份證號(hào)、手機(jī)號(hào)、行政區(qū)劃編碼，把姓名、身份證號(hào)、行政區(qū)劃編碼存入到本地的dat文件，并提交到服務(wù)端認(rèn)證程序，與庫里的已錄入信息進(jìn)行比對(duì)，驗(yàn)證身份。

驗(yàn)證通過后，生成隨機(jī)碼，把行政區(qū)劃編碼、隨機(jī)碼(作為SSL VPN認(rèn)證的用戶名和密碼)存入LDAP的指定位置。SSL VPN網(wǎng)關(guān)會(huì)定時(shí)從服務(wù)端認(rèn)證服務(wù)器的LDAP中讀取行政區(qū)劃編碼。

服務(wù)端認(rèn)證程序把隨機(jī)碼返回給客戶端程序，客戶端程序通過命令復(fù)制該隨機(jī)碼，啟動(dòng)SSL VPN客戶端，并最小化自身。

把用戶名和動(dòng)態(tài)密碼通過內(nèi)部接口傳遞給SSL VPN客戶端，實(shí)現(xiàn)到SSL VPN網(wǎng)關(guān)的第二次認(rèn)證，SSL VPN網(wǎng)關(guān)到LDAP服務(wù)中驗(yàn)證動(dòng)態(tài)密碼的合法性，認(rèn)證通過后，建立VPN傳輸隧道，實(shí)現(xiàn)“雙認(rèn)證一加密”的數(shù)據(jù)安全傳輸模式。

3 系統(tǒng)實(shí)現(xiàn)

本系統(tǒng)利用LDAP的可操作性和認(rèn)證功能，研發(fā)了基于SSL VPN的安全加固系統(tǒng)，在SSL VPN的基礎(chǔ)上，實(shí)現(xiàn)了認(rèn)證密碼動(dòng)態(tài)生成、密碼失效機(jī)制，保證了民政業(yè)務(wù)數(shù)據(jù)的安全傳輸。圖4為系統(tǒng)結(jié)構(gòu)圖。

圖4 系統(tǒng)結(jié)構(gòu)

3.1 應(yīng)用客戶端

錄入：填寫姓名、身份證號(hào)、區(qū)劃編碼、手機(jī)號(hào)等基本信息。

提交：把基本信息提交到服務(wù)端驗(yàn)證。

保存：基本信息保存到客戶端本地文件，以后登錄時(shí)只輸入手機(jī)號(hào)即可實(shí)現(xiàn)第一次認(rèn)證。

復(fù)制動(dòng)態(tài)密碼：接收到服務(wù)端返回的動(dòng)態(tài)密碼后，自動(dòng)復(fù)制動(dòng)態(tài)密碼，供直接粘貼使用。

啟動(dòng)SSL VPN客戶端：啟動(dòng)SSL VPN客戶端時(shí)，調(diào)用SSL VPN客戶端的啟動(dòng)程序。當(dāng)應(yīng)用客戶端完成第一次認(rèn)證并生成動(dòng)態(tài)密碼后，啟動(dòng)SSL VPN客戶端，供第二次認(rèn)證。

使用.Net的Winform控件開發(fā)客戶端程序，并把SSL VPN客戶端的API集成到雙向認(rèn)證客戶端程序中，第一次認(rèn)證完成后，把用戶名和動(dòng)態(tài)密碼傳遞給SSL VPN客戶端，并把該客戶端程序調(diào)起，向SSL VPN網(wǎng)關(guān)發(fā)起第二次認(rèn)證。

3.2 應(yīng)用服務(wù)端

服務(wù)端WebService接收客戶端程序的調(diào)用，驗(yàn)證客戶端程序提交的姓名、身份證號(hào)、區(qū)劃編碼、手機(jī)號(hào)，驗(yàn)證通過后，根據(jù)算法生成16位動(dòng)態(tài)密碼，把動(dòng)態(tài)密碼返回給客戶端程序，同時(shí)把動(dòng)態(tài)密碼更新到LDAP中。

服務(wù)端管理工具維護(hù)認(rèn)證所需的基礎(chǔ)數(shù)據(jù)，包括姓名、身份證號(hào)、區(qū)劃編碼、手機(jī)號(hào)、單位名稱、郵箱、級(jí)別、備注等，維護(hù)操作包括查詢、添加、刪除。

用C#語言開發(fā)Webservice和服務(wù)端管理工具，Webservice程序部署在IIS中，以服務(wù)的形式發(fā)布，供雙向認(rèn)證客戶端調(diào)用。

提前收集所有行政單位用戶的姓名、身份證號(hào)、區(qū)劃編碼、手機(jī)號(hào)，存入Mysql數(shù)據(jù)庫。當(dāng)客戶端發(fā)起第一次驗(yàn)證請求時(shí)，與庫里的對(duì)應(yīng)數(shù)據(jù)進(jìn)行對(duì)比，比對(duì)成功后，作為第一次認(rèn)證通過的依據(jù)。

數(shù)據(jù)加密應(yīng)用客戶端提交的姓名、身份證號(hào)、行政區(qū)劃編碼、手機(jī)號(hào)等信息，會(huì)在互聯(lián)網(wǎng)上傳輸，為了保證數(shù)據(jù)傳輸?shù)陌踩耘c真實(shí)性，采用加密算法對(duì)數(shù)據(jù)進(jìn)行加密。使用非對(duì)稱加密算法MD5對(duì)客戶端錄入的基本信息進(jìn)行加密，確保在互聯(lián)網(wǎng)上傳輸?shù)挠脩艋拘畔⑹敲芪模苑烙脩艋拘畔⑿孤丁?/p>

3.3 LDAP

LDAP做為用戶認(rèn)證中心，一方面接收應(yīng)用服務(wù)端生成的動(dòng)態(tài)密碼，并更新到對(duì)應(yīng)的樹狀結(jié)構(gòu)的節(jié)點(diǎn)下；另一方面接收SSL VPN網(wǎng)關(guān)的認(rèn)證，驗(yàn)證身份的真實(shí)性和有效性。在LDAP中管理的密碼，能夠配置密碼失效策略(本系統(tǒng)的密碼失效時(shí)間是1分鐘),從而實(shí)現(xiàn)了密碼的動(dòng)態(tài)生成、失效管理，加固了SSL VPN自身的安全性。

用戶維護(hù)：收集所有鄉(xiāng)鎮(zhèn)(街道)用戶的區(qū)劃編碼，按節(jié)點(diǎn)錄入到LDAP中User父節(jié)點(diǎn)下，為下一步不斷更新各個(gè)子節(jié)點(diǎn)的密碼屬性做準(zhǔn)備。

密碼更新：應(yīng)用客戶端每發(fā)起一次認(rèn)證請求，服務(wù)端都會(huì)生成一次唯一的動(dòng)態(tài)密碼，并更新到LDAP中指定的子節(jié)點(diǎn)屬性下，為下一步用戶使用動(dòng)態(tài)密碼認(rèn)證做準(zhǔn)備。

用戶認(rèn)證：SSL VPN網(wǎng)關(guān)接收到SSL VPN客戶端的認(rèn)證請求后，使用接收到的用戶名和密碼到LDAP中做認(rèn)證，認(rèn)證完成后，建立VPN虛擬通道。

密碼失效管理：在User節(jié)點(diǎn)下，建立policy子節(jié)點(diǎn)，在該子節(jié)點(diǎn)下配置密碼失效的策略，包括密碼有效期、密碼長度及復(fù)雜度、密碼錯(cuò)誤驗(yàn)證次數(shù)、密碼持續(xù)時(shí)間等。

3.4 SSL VPN客戶端

接收應(yīng)用客戶端請求：應(yīng)用客戶端嵌入SSL VPN客戶端的啟動(dòng)程序，自動(dòng)啟動(dòng)SSL VPN客戶端。

發(fā)起VPN認(rèn)證：通過API接收區(qū)劃編碼(做為用戶名)和動(dòng)態(tài)密碼，發(fā)起認(rèn)證請求。

3.5 SSL VPN網(wǎng)關(guān)

接收認(rèn)證：接收SSL VPN客戶端發(fā)起的認(rèn)證請求。

驗(yàn)證密碼：接收到SSL VPN客戶端傳遞的區(qū)劃編碼、動(dòng)態(tài)密碼后，到LDAP中驗(yàn)證真實(shí)性和有效性。

建立虛擬通道：驗(yàn)證通過后，建立安全虛擬傳輸通道。

SSL VPN網(wǎng)關(guān)配置LDAP的訪問地址、訪問用戶和密碼，定時(shí)從LDAP中把用戶名同步到網(wǎng)關(guān)中，拿到SSL VPN客戶端請求的用戶名和動(dòng)態(tài)密碼后，到LDAP中驗(yàn)證，實(shí)現(xiàn)了第三方驗(yàn)證。

4 部署方案

本部署方案通過在民政廳單位網(wǎng)絡(luò)出口處旁路部署高性能SSL VPN安全設(shè)備，使用VPN技術(shù)建立專網(wǎng)，為省廳與各行政單位之間的各種業(yè)務(wù)、管理和相關(guān)通訊提供安全保障。同時(shí)，開啟訪問控制和攻擊防護(hù)等功能來保護(hù)廳核心區(qū)的服務(wù)器安全。通過安全設(shè)備為接入互聯(lián)網(wǎng)的民政單位辦公網(wǎng)提供安全的上網(wǎng)保障。SSL VPN網(wǎng)關(guān)、應(yīng)用服務(wù)端的WebService部署在互聯(lián)網(wǎng)環(huán)境，便于各個(gè)行政單位用戶的訪問和認(rèn)證，LDAP及應(yīng)用服務(wù)端數(shù)據(jù)庫部署在內(nèi)網(wǎng)環(huán)境，確保用戶賬號(hào)信息及基本信息的安全。

5 系統(tǒng)測試

5.1 測試方案設(shè)計(jì)

為充分驗(yàn)證該安全加固系統(tǒng)的工程實(shí)用性，對(duì)系統(tǒng)進(jìn)行綜合測試。

(1) 功能測試。測試方案如下：

在SSL VPN網(wǎng)關(guān)配置界面配置LDAP的連接地址、用戶名、密碼；

把一套姓名、身份證號(hào)、行政區(qū)劃編碼、手機(jī)號(hào)信息存入應(yīng)用服務(wù)端的Mysql數(shù)據(jù)庫；

在應(yīng)用客戶端輸入姓名、身份證號(hào)、行政區(qū)劃編碼、手機(jī)號(hào)，調(diào)用WebService提交認(rèn)證信息；

自動(dòng)啟動(dòng)SSL VPN客戶端并向SSL VPN網(wǎng)關(guān)發(fā)起認(rèn)證，認(rèn)證完成后，能夠建立虛擬專用通道，看到已配置完成的智慧民政應(yīng)用平臺(tái)的所有資源；

其他邊界測試。

(2) 性能測試。性能測試方案如表1所示。

表1 性能測試指標(biāo)

續(xù)表1

5.2 測試結(jié)果

(1) 功能測試結(jié)果。能夠?qū)崿F(xiàn)認(rèn)證請求、生成動(dòng)態(tài)密碼、動(dòng)態(tài)密碼1分鐘失效、建立VPN虛擬通道、訪問內(nèi)外智慧民政應(yīng)用平臺(tái)資源。

(2) 性能測試結(jié)果。性能測試結(jié)果如表2所示。

通過在單服務(wù)器上壓力測試，400個(gè)用戶并發(fā)使用應(yīng)用客戶端發(fā)起調(diào)用，持續(xù)10分鐘加壓，請求數(shù)為4 260，調(diào)用錯(cuò)誤率為0.00%，平均響應(yīng)時(shí)間約為25.8秒，最小響應(yīng)時(shí)間為1.35秒，最大響應(yīng)時(shí)間為30.4秒。應(yīng)用服務(wù)端最終部署在4節(jié)點(diǎn)集群，能夠滿足實(shí)際用戶調(diào)用需求。

6 結(jié) 語

本文所設(shè)計(jì)與實(shí)現(xiàn)的“雙認(rèn)證一加密”基于SSL VPN的安全加固系統(tǒng)，將應(yīng)用客戶端、應(yīng)用服務(wù)端、LDAP、SSL VPN客戶端與SSL VPN網(wǎng)關(guān)結(jié)合到了一起，利用LDAP的可操作性、密碼管理、失效策略、認(rèn)證中心等特征，有效解決了SSL VPN本身密碼固化、長期有效的問題，極大地增強(qiáng)了SSL VPN的安全性。

“雙認(rèn)證一加密”的安全加固系統(tǒng)已在多個(gè)省份的智慧民政應(yīng)用平臺(tái)中得到了使用，從根本上解決了數(shù)據(jù)傳輸?shù)陌踩珕栴}，帶來的效益如下：

(1) 該方案只涉及到購買一套安全加固系統(tǒng)、SSL VPN網(wǎng)關(guān)設(shè)備和接入點(diǎn)的費(fèi)用，相比租用運(yùn)營商的專線，每省每年要節(jié)省兩個(gè)數(shù)量級(jí)的費(fèi)用，給政府節(jié)約了相當(dāng)可觀的成本。

(2) 動(dòng)態(tài)密碼隨機(jī)生成、1分鐘失效策略，使整套安全加固系統(tǒng)的安全等級(jí)有了很大提高，為數(shù)據(jù)更加安全傳輸提供了有力支撐。

(3) 相比傳統(tǒng)VPN設(shè)備，不必為每個(gè)行政單位用戶配備一個(gè)客戶端硬件。與其他動(dòng)態(tài)口令設(shè)備相比，該加固系統(tǒng)使用純軟件實(shí)現(xiàn)了動(dòng)態(tài)密碼策略管理，給用戶使用提供了極大地便利，簡化了行政單位工作人員的操作，提高了工作人員的效率。

本系統(tǒng)在所推廣應(yīng)用的幾個(gè)省份中，通過幾個(gè)版本的迭代，得到了廣大行政單位用戶的好評(píng)。