PKI保电子政务安全-年文档.doc

《PKI保电子政务安全-年文档.doc》由会员分享，可在线阅读，更多相关《PKI保电子政务安全-年文档.doc（2页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、保电子政务安全 公钥基础设施是当前网络安全建设基础和核心，如何才能应用PKI技术来解决系统和信息安全性问题，这是电子政务建设安全设计必须思考问题。 电子政务经常需要涉及到大量机密数据，对信息有效性、机密性、完整性和修改不可抵赖性等安全性要求非常严格。但由于网络开放性和复杂性，各种各样网络犯罪、网络欺诈和攻击入侵对电子政务安全性构成了严重威胁。因此，如何构建具有高可信度电子政务系统是目前政府部门和软件行业急需解决重要问题。 公钥基础设施PKI（Public Key Infrastructure）则为电子政务提供了可靠安全保障机制。PKI为电子政务安全提供了以下基本安全服务:身份认证服务、权限控制

2、服务、信息保密服务、数据完整性服务、不可否认服务。这些服务互相关联，互相支持，共同为电子政务系统提供具有普适性安全基础设施，是解决我国电子政务所面临各种安全问题一个切实可行办法，可以保证政府机构之间和政府和市民之间进行安全电子通信。 互联网安全 互联网主要目是让普通社会公众能够了解各种政务信息和服务。通常是提供一个门户网站作为政务部门对外窗口。因此，服务器很容易成为被攻击或入侵对象。 对服务器来说，其访问者包括了各个层次用户，因此不可能要求每个访问用户提供个人证书或采用严格身份认证和权限控制。为了尽可能保证服务器安全，可结合硬件防火墙、软件防火墙、防病毒软件、漏洞扫描软件等工具来提高Web服务

3、器和数据库安全性。 对访问用户来说，为防止服务器欺骗，可要求服务器提供相应服务器证书。服务器身份证书中包含了服务器有关信息、公钥及CA签名，可以标识服务器身份，目是保证服务器身份真实性、安全性和可信任度等。在“一站式” 门户网站中，服务器证书还可以用来保证政府网站间安全浏览 外网安全 外网是政务机关“业务专网”，主要是运行政务部门面向社会专业性服务业务和不宜在内网运行业务。实现网上办公是电子政务系统重要组成部分，根据“三网一库”规划要求，外网主要建立和公众交流信息交互平台，应充分对公众和社会开放，更好地为社会提供公共服务。 但由于外网通常涉及到一些专业性服务和敏感信息，加上对计算机网络极端依赖

4、性和网络本身脆弱性，所以其安全设计必须比一般公众网更为严格。特别是对那些对安全性要求比较高政府部门来说，必须确保用户登录可靠性和信息传输机密性。 PKI技术采用了数字证书如X.509作为核实网上各方真实身份依据，每一证书唯一地代表了该实体。证书可分为签名证书和解密证书。通过PKI体系证书管理体系提供其他证书服务, 如证书查询, 证书更新, 证书验证和证书撤消等, 可以实现准确鉴别交互双方对象身份。 在外网中，用户经常需要访问其他部门资源，如果对其他资源访问都使用同一个口令，会降低全局安全性。PKI技术可以极大地改善这种状况。它能够满足单点登录，即系统可以自动把用户成功登录结果扩散到其他域，而口

5、令无需在网络上。用户只需要登录一次，就可以请求、使用和释放多个资源，而不需要进行多次身份认证。 内网安全 电子政务内网“主要是副省级以上政务部门办公网，和省以下办公网物理隔 离”，“按照密级和授权对内网进行科学管理”。内网中通常涉及到大量内部敏感信息，因此，在电子政务内网中，必须严格保证各种机密信息不被非法访问和窃取。 在我国许多部门中，很多系统都是采用基于口令密码登录方式，其密码往往都是非常简单、容易猜测。而且，在内网中传递消息也没有经过加密，或者只是简单加密而已，其口令和各种消息一旦被窃听，很容易被破解。特别是对于重要部门领导来说，一旦身份被盗用，其造成后果有时是非常严重。 基于PKI技术

6、X.509证书可以有效对用户身份和权限进行严格控制。它克服了密码在安全性和方便性方面局限，能有效地控制用户可以访问哪些数据。对文件或数据可以采用公钥进行加密，而用于解密密钥则存放于IC卡或者智能卡之中，更好增加安全性。 需要注意是，由于内网规模相对比较小，而且和公众网和外网是物理隔离，所以在实现PKI技术时候，经常采用自建CA方式。虽然自建CA一般能够满足需要，但应该注意遵循统一标准，如证书应该采用X.509格式，以满足以后扩展需要及解决不同域之间互操作问题。 公文处理 公文流转是办公自动化系统主要组成部分之一，通常需要多个处室或多个岗位对同一份文件进行协办。由于很多文件内容涉及机密信息，因此

7、必须确认某一用户在某一时刻是否对公文具有访问或修改权限，并确保对公文操作不可抵赖性，保证公文处理准确性和高效性以及公文传递安全性和快捷性。 虽然PKI技术可以解决电子政务中大部分安全问题，但是必须要注意是，PKI基础设施实现是一项复杂系统工程，涉及软件、硬件、网络和人员等很多方面。除了采用PKI技术，电子政务安全同时还依赖于其他各种安全技术，如防火墙、防病毒软件，漏洞扫描和修补软件等。 PKI前期投资是非常巨大，通常需要国家统一规划和引导，并且要求企业积极参和。同时，由于整个PKI体系安全都是建立在私钥安全保密上，因此，私钥安全管理是电子政务中一个需要严肃对待安全问题。而CA中心建立和维护，证

8、书更新、撤消和查询等也是PKI技术广泛应用障碍。 链接 如何认识公钥基础设施PKI？ PKI是基于非对称密钥算法，即加密密钥和解密密钥是不同，而且由加密密钥无法或很难推算解密密钥。它采用证书管理公钥，通过第三方可信任机构证书机构（Certificate Authority, CA）把用户公钥和用户其他标识信息（如名称、电子邮件地址和身份证号等）捆绑在一起，从而可有效地用于用户身份认证、数学签名、加密等，保证了信息传输机密性、真实性、完整性和不可否认性。 目前，已经有不少人开始研究并利用PKI技术来解决电子政务系统中出现各种安全问题。如何根据电子政务中所依赖网络环境特点和对信息安全性要求合理地利用PKI技术还是一个未能完全很好解决问题，即如何在使用PKI技术来提高安全性同时，降低系统开发和运行成本还需要进一步研究。