PKI保電子政務(wù)安全-最新年文檔

精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)ＰＫＩ保電子政務(wù)安全公鑰基礎(chǔ)設(shè)施是當(dāng)前網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)和核心，如何才能應(yīng)用PKI技術(shù)來解決系統(tǒng)和信息的安全性問題，這是電子政務(wù)建設(shè)的安全設(shè)計(jì)必須思考的問題。電子政務(wù)經(jīng)常需要涉及到大量的機(jī)密數(shù)據(jù)，對信息的有效性、機(jī)密性、完整性和修改的不可抵賴性等安全性要求非常嚴(yán)格。但由于網(wǎng)絡(luò)的開放性和復(fù)雜性，各種各樣的網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)欺詐和攻擊入侵對電子政務(wù)的安全性構(gòu)成了嚴(yán)重威脅。因此，如何構(gòu)建具有高可信度的電子政務(wù)系統(tǒng)是目前政府部門和軟件行業(yè)急需解決的重要問題。公鑰基礎(chǔ)設(shè)施PKI（PublicKeyInfrastructure）則為電子政務(wù)提供了可靠的安全保障機(jī)制。PKI為電子政務(wù)安全提供了以下基本安全服務(wù):身份認(rèn)證服務(wù)、權(quán)限控制服務(wù)、信息保密服務(wù)、數(shù)據(jù)完整性服務(wù)、不可否認(rèn)服務(wù)。這些服務(wù)互相關(guān)聯(lián)，互相支持，共同為電子政務(wù)系統(tǒng)提供具有普適性的安全基礎(chǔ)設(shè)施，是解決我國電子政務(wù)所面臨的各種安全問題的一個(gè)切實(shí)可行的辦法，可以保證政府機(jī)構(gòu)之間和政府與市民之間進(jìn)行安全電子通信?；ヂ?lián)網(wǎng)安全互聯(lián)網(wǎng)的主要目的是讓普通社會(huì)公眾能夠了解各種政務(wù)信息和服務(wù)。通常是提供一個(gè)門戶網(wǎng)站作為政務(wù)部門的對外窗口。因此，服務(wù)器很容易成為被攻擊或入侵的對象。對服務(wù)器來說，其訪問者包括了各個(gè)層次的用戶，因此不可能要求每個(gè)訪問用戶提供個(gè)人證書或采用嚴(yán)格的身份認(rèn)證和權(quán)限控制。為了盡可能保證服務(wù)器的安全，可結(jié)合硬件防火墻、軟件防火墻、防病毒軟件、漏洞掃描軟件等工具來提高Web服務(wù)器和數(shù)據(jù)庫的安全性。對訪問用戶來說，為防止服務(wù)器欺騙，可要求服務(wù)器提供相應(yīng)的服務(wù)器證書。服務(wù)器身份證書中包含了服務(wù)器的有關(guān)信息、公鑰及CA的簽名，可以標(biāo)識服務(wù)器的身份，目的是保證服務(wù)器身份的真實(shí)性、安全性和可信任度等。在“一站式”的門戶網(wǎng)站中，服務(wù)器證書還可以用來保證政府網(wǎng)站間的安全瀏覽外網(wǎng)安全外網(wǎng)是政務(wù)機(jī)關(guān)的“業(yè)務(wù)專網(wǎng)”，主要是運(yùn)行政務(wù)部門面向社會(huì)的專業(yè)性服務(wù)業(yè)務(wù)和不宜在內(nèi)網(wǎng)運(yùn)行的業(yè)務(wù)。實(shí)現(xiàn)網(wǎng)上辦公是電子政務(wù)系統(tǒng)的重要組成部分，根據(jù)“三網(wǎng)一庫”的規(guī)劃要求，外網(wǎng)主要建立與公眾交流的信息交互平臺，應(yīng)充分對公眾和社會(huì)開放，更好地為社會(huì)提供公共服務(wù)。但由于外網(wǎng)通常涉及到一些專業(yè)性服務(wù)和敏感信息，加上對計(jì)算機(jī)網(wǎng)絡(luò)的極端依賴性和網(wǎng)絡(luò)本身的脆弱性，所以其安全設(shè)計(jì)必須比一般的公眾網(wǎng)更為嚴(yán)格。特別是對那些對安全性要求比較高的政府部門來說，必須確保用戶登錄的可靠性和信息傳輸?shù)臋C(jī)密性。PKI技術(shù)采用了數(shù)字證書如X.509作為核實(shí)網(wǎng)上各方真實(shí)身份的依據(jù)，每一證書唯一地代表了該實(shí)體。證書可分為簽名證書和解密證書。通過PKI體系的證書管理體系提供的其他證書服務(wù),如證書查詢,證書更新,證書驗(yàn)證和證書的撤消等,可以實(shí)現(xiàn)準(zhǔn)確鑒別交互雙方對象的身份。在外網(wǎng)中，用戶經(jīng)常需要訪問其他部門的資源，如果對其他資源的訪問都使用同一個(gè)口令，會(huì)降低全局的安全性。PKI技術(shù)可以極大地改善這種狀況。它能夠滿足單點(diǎn)登錄，即系統(tǒng)可以自動(dòng)把用戶成功登錄的結(jié)果擴(kuò)散到其他的域，而口令無需在網(wǎng)絡(luò)上。用戶只需要登錄一次，就可以請求、使用和釋放多個(gè)資源，而不需要進(jìn)行多次的身份認(rèn)證。內(nèi)網(wǎng)安全電子政務(wù)內(nèi)網(wǎng)“主要是副省級以上政務(wù)部門的辦公網(wǎng)，與省以下的辦公網(wǎng)物理隔離”，“按照密級與授權(quán)對內(nèi)網(wǎng)進(jìn)行科學(xué)管理”。內(nèi)網(wǎng)中通常涉及到大量的內(nèi)部敏感信息，因此，在電子政務(wù)內(nèi)網(wǎng)中，必須嚴(yán)格保證各種機(jī)密信息不被非法訪問和竊取。在我國的許多部門中，很多系統(tǒng)都是采用基于口令密碼的登錄方式，其密碼往往都是非常簡單、容易猜測的。而且，在內(nèi)網(wǎng)中傳遞的消息也沒有經(jīng)過加密，或者只是簡單加密而已，其口令和各種消息一旦被竊聽，很容易被破解。特別是對于重要部門的領(lǐng)導(dǎo)來說，一旦身份被盜用，其造成的后果有時(shí)是非常嚴(yán)重的?；赑KI技術(shù)的X.509證書可以有效的對用戶的身份和權(quán)限進(jìn)行嚴(yán)格的控制。它克服了密碼在安全性和方便性方面的局限，能有效地控制用戶可以訪問哪些數(shù)據(jù)。對文件或數(shù)據(jù)可以采用公鑰進(jìn)行加密，而用于解密的密鑰則存放于IC卡或者智能卡之中，更好的增加安全性。需要注意的是，由于內(nèi)網(wǎng)的規(guī)模相對比較小，而且與公眾網(wǎng)和外網(wǎng)是物理隔離的，所以在實(shí)現(xiàn)PKI技術(shù)的時(shí)候，經(jīng)常采用自建CA的方式。雖然自建CA一般能夠滿足需要，但應(yīng)該注意遵循統(tǒng)一的標(biāo)準(zhǔn)，如證書應(yīng)該采用X.509格式，以滿足以后擴(kuò)展的需要及解決不同域之間互操作問題。公文處理公文流轉(zhuǎn)是辦公自動(dòng)化系統(tǒng)的主要組成部分之一，通常需要多個(gè)處室或多個(gè)崗位對同一份文件進(jìn)行協(xié)辦。由于很多文件的內(nèi)容涉及機(jī)密信息，因此必須確認(rèn)某一用戶在某一時(shí)刻是否對公文具有訪問或修改權(quán)限，并確保對公文操作的不可抵賴性，保證公文處理的準(zhǔn)確性和高效性以及公文傳遞的安全性和快捷性。雖然PKI技術(shù)可以解決電子政務(wù)中大部分的安全問題，但是必須要注意的是，PKI基礎(chǔ)設(shè)施的實(shí)現(xiàn)是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及軟件、硬件、網(wǎng)絡(luò)和人員等很多方面。除了采用PKI技術(shù)，電子政務(wù)的安全同時(shí)還依賴于其他各種安全技術(shù)，如防火墻、防病毒軟件，漏洞掃描和修補(bǔ)軟件等。PKI的前期投資是非常巨大的，通常需要國家的統(tǒng)一規(guī)劃和引導(dǎo)，并且要求企業(yè)的積極參與。同時(shí)，由于整個(gè)PKI體系的安全都是建立在私鑰的安全保密上，因此，私鑰的安全管理是電子政務(wù)中一個(gè)需要嚴(yán)肅對待的安全問題。而CA中心的建立和維護(hù)，證書的更新、撤消和查詢等也是PKI技術(shù)廣泛應(yīng)用的障礙。鏈接如何認(rèn)識公鑰基礎(chǔ)設(shè)施PKI？PKI是基于非對稱密鑰算法，即加密密鑰與解密密鑰是不同的，而且由加密密鑰無法或很難推算解密密鑰。它采用證書管理公鑰，通過第三方可信任機(jī)構(gòu)―證書機(jī)構(gòu)（CertificateAuthority,CA）把用戶的公鑰和用戶的其他標(biāo)識信息（如名稱、電子郵件地址和身份證號等）捆綁在一起，從而可有效地用于用戶的身份認(rèn)證、數(shù)學(xué)簽名、加密等，保證了信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性。目前，已