PKI保電子政務安全-最新年文檔

精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)ＰＫＩ保電子政務安全公鑰基礎設施是當前網(wǎng)絡安全建設的基礎和核心，如何才能應用PKI技術來解決系統(tǒng)和信息的安全性問題，這是電子政務建設的安全設計必須思考的問題。電子政務經(jīng)常需要涉及到大量的機密數(shù)據(jù)，對信息的有效性、機密性、完整性和修改的不可抵賴性等安全性要求非常嚴格。但由于網(wǎng)絡的開放性和復雜性，各種各樣的網(wǎng)絡犯罪、網(wǎng)絡欺詐和攻擊入侵對電子政務的安全性構(gòu)成了嚴重威脅。因此，如何構(gòu)建具有高可信度的電子政務系統(tǒng)是目前政府部門和軟件行業(yè)急需解決的重要問題。公鑰基礎設施PKI（PublicKeyInfrastructure）則為電子政務提供了可靠的安全保障機制。PKI為電子政務安全提供了以下基本安全服務:身份認證服務、權(quán)限控制服務、信息保密服務、數(shù)據(jù)完整性服務、不可否認服務。這些服務互相關聯(lián)，互相支持，共同為電子政務系統(tǒng)提供具有普適性的安全基礎設施，是解決我國電子政務所面臨的各種安全問題的一個切實可行的辦法，可以保證政府機構(gòu)之間和政府與市民之間進行安全電子通信?；ヂ?lián)網(wǎng)安全互聯(lián)網(wǎng)的主要目的是讓普通社會公眾能夠了解各種政務信息和服務。通常是提供一個門戶網(wǎng)站作為政務部門的對外窗口。因此，服務器很容易成為被攻擊或入侵的對象。對服務器來說，其訪問者包括了各個層次的用戶，因此不可能要求每個訪問用戶提供個人證書或采用嚴格的身份認證和權(quán)限控制。為了盡可能保證服務器的安全，可結(jié)合硬件防火墻、軟件防火墻、防病毒軟件、漏洞掃描軟件等工具來提高Web服務器和數(shù)據(jù)庫的安全性。對訪問用戶來說，為防止服務器欺騙，可要求服務器提供相應的服務器證書。服務器身份證書中包含了服務器的有關信息、公鑰及CA的簽名，可以標識服務器的身份，目的是保證服務器身份的真實性、安全性和可信任度等。在“一站式”的門戶網(wǎng)站中，服務器證書還可以用來保證政府網(wǎng)站間的安全瀏覽外網(wǎng)安全外網(wǎng)是政務機關的“業(yè)務專網(wǎng)”，主要是運行政務部門面向社會的專業(yè)性服務業(yè)務和不宜在內(nèi)網(wǎng)運行的業(yè)務。實現(xiàn)網(wǎng)上辦公是電子政務系統(tǒng)的重要組成部分，根據(jù)“三網(wǎng)一庫”的規(guī)劃要求，外網(wǎng)主要建立與公眾交流的信息交互平臺，應充分對公眾和社會開放，更好地為社會提供公共服務。但由于外網(wǎng)通常涉及到一些專業(yè)性服務和敏感信息，加上對計算機網(wǎng)絡的極端依賴性和網(wǎng)絡本身的脆弱性，所以其安全設計必須比一般的公眾網(wǎng)更為嚴格。特別是對那些對安全性要求比較高的政府部門來說，必須確保用戶登錄的可靠性和信息傳輸?shù)臋C密性。PKI技術采用了數(shù)字證書如X.509作為核實網(wǎng)上各方真實身份的依據(jù)，每一證書唯一地代表了該實體。證書可分為簽名證書和解密證書。通過PKI體系的證書管理體系提供的其他證書服務,如證書查詢,證書更新,證書驗證和證書的撤消等,可以實現(xiàn)準確鑒別交互雙方對象的身份。在外網(wǎng)中，用戶經(jīng)常需要訪問其他部門的資源，如果對其他資源的訪問都使用同一個口令，會降低全局的安全性。PKI技術可以極大地改善這種狀況。它能夠滿足單點登錄，即系統(tǒng)可以自動把用戶成功登錄的結(jié)果擴散到其他的域，而口令無需在網(wǎng)絡上。用戶只需要登錄一次，就可以請求、使用和釋放多個資源，而不需要進行多次的身份認證。內(nèi)網(wǎng)安全電子政務內(nèi)網(wǎng)“主要是副省級以上政務部門的辦公網(wǎng)，與省以下的辦公網(wǎng)物理隔離”，“按照密級與授權(quán)對內(nèi)網(wǎng)進行科學管理”。內(nèi)網(wǎng)中通常涉及到大量的內(nèi)部敏感信息，因此，在電子政務內(nèi)網(wǎng)中，必須嚴格保證各種機密信息不被非法訪問和竊取。在我國的許多部門中，很多系統(tǒng)都是采用基于口令密碼的登錄方式，其密碼往往都是非常簡單、容易猜測的。而且，在內(nèi)網(wǎng)中傳遞的消息也沒有經(jīng)過加密，或者只是簡單加密而已，其口令和各種消息一旦被竊聽，很容易被破解。特別是對于重要部門的領導來說，一旦身份被盜用，其造成的后果有時是非常嚴重的。基于PKI技術的X.509證書可以有效的對用戶的身份和權(quán)限進行嚴格的控制。它克服了密碼在安全性和方便性方面的局限，能有效地控制用戶可以訪問哪些數(shù)據(jù)。對文件或數(shù)據(jù)可以采用公鑰進行加密，而用于解密的密鑰則存放于IC卡或者智能卡之中，更好的增加安全性。需要注意的是，由于內(nèi)網(wǎng)的規(guī)模相對比較小，而且與公眾網(wǎng)和外網(wǎng)是物理隔離的，所以在實現(xiàn)PKI技術的時候，經(jīng)常采用自建CA的方式。雖然自建CA一般能夠滿足需要，但應該注意遵循統(tǒng)一的標準，如證書應該采用X.509格式，以滿足以后擴展的需要及解決不同域之間互操作問題。公文處理公文流轉(zhuǎn)是辦公自動化系統(tǒng)的主要組成部分之一，通常需要多個處室或多個崗位對同一份文件進行協(xié)辦。由于很多文件的內(nèi)容涉及機密信息，因此必須確認某一用戶在某一時刻是否對公文具有訪問或修改權(quán)限，并確保對公文操作的不可抵賴性，保證公文處理的準確性和高效性以及公文傳遞的安全性和快捷性。雖然PKI技術可以解決電子政務中大部分的安全問題，但是必須要注意的是，PKI基礎設施的實現(xiàn)是一項復雜的系統(tǒng)工程，涉及軟件、硬件、網(wǎng)絡和人員等很多方面。除了采用PKI技術，電子政務的安全同時還依賴于其他各種安全技術，如防火墻、防病毒軟件，漏洞掃描和修補軟件等。PKI的前期投資是非常巨大的，通常需要國家的統(tǒng)一規(guī)劃和引導，并且要求企業(yè)的積極參與。同時，由于整個PKI體系的安全都是建立在私鑰的安全保密上，因此，私鑰的安全管理是電子政務中一個需要嚴肅對待的安全問題。而CA中心的建立和維護，證書的更新、撤消和查詢等也是PKI技術廣泛應用的障礙。鏈接如何認識公鑰基礎設施PKI？PKI是基于非對稱密鑰算法，即加密密鑰與解密密鑰是不同的，而且由加密密鑰無法或很難推算解密密鑰。它采用證書管理公鑰，通過第三方可信任機構(gòu)―證書機構(gòu)（CertificateAuthority,CA）把用戶的公鑰和用戶的其他標識信息（如名稱、電子郵件地址和身份證號等）捆綁在一起，從而可有效地用于用戶的身份認證、數(shù)學簽名、加密等，保證了信息傳輸?shù)臋C密性、真實性、完整性和不可否認性。目前，已