電子政務(wù)安全體系研究

電子政務(wù)安全體系研究

1電子政務(wù)中的安全難點(diǎn)電子商務(wù)是近年來行業(yè)的熱點(diǎn)。由于電子政務(wù)系統(tǒng)本身的重要性和特殊性,安全性問題便成了人們解析電子政務(wù)時(shí)的首要話題。目前,大部分電子政務(wù)選用的系統(tǒng)本身存在著安全弱點(diǎn)或隱患。身份假冒、數(shù)據(jù)竊取篡改、報(bào)文分析、密碼猜測(cè)窮舉破譯、抵賴否認(rèn)等各種攻擊手段使得合法使用者對(duì)網(wǎng)絡(luò)應(yīng)用持謹(jǐn)慎、懷疑甚至否定的態(tài)度,如不明的電子郵件,連接的網(wǎng)站是否是真實(shí)合法的網(wǎng)站等,較大程度上限制了電子政務(wù)網(wǎng)絡(luò)應(yīng)用的發(fā)展速度和影響力。2政務(wù)系統(tǒng)應(yīng)用安全分析在電子政務(wù)系統(tǒng)應(yīng)用中,除了對(duì)網(wǎng)絡(luò)層、鏈路層和物理層的安全外,其應(yīng)用層的安全主要考慮如下幾個(gè)方面:2.1信息數(shù)據(jù)安全作為政府機(jī)關(guān),在政務(wù)工作中涉及大量的國(guó)家秘密信息,在其處理過程中,特別是與各級(jí)單位信息交換過程中,要保證信息存儲(chǔ)和傳輸過程中不被篡改和破壞,即使信息被竊取都不會(huì)泄密,即要滿足在信息傳輸、存儲(chǔ)過程中的安全需求。2.2是系統(tǒng)行為不可抵賴性的要求用戶每天都利用系統(tǒng)處理大量的事務(wù),事務(wù)處理過程的可管理、效率的可審計(jì)、行為的可審計(jì)等,需要行為的不可抵賴性來保證,滿足系統(tǒng)用戶行為和系統(tǒng)行為不可抵賴性的需求。2.3應(yīng)然的業(yè)務(wù)需求系統(tǒng)要實(shí)現(xiàn)監(jiān)管及其他方面的需求,其必要條件是實(shí)現(xiàn)實(shí)體的可鑒別性,包括用戶及關(guān)鍵終端具有可鑒別性等,滿足電子信息系統(tǒng)對(duì)用戶及關(guān)鍵終端的可鑒別性需求。從以上分析可知,建立硬件及網(wǎng)絡(luò)層面上的各種安全防御手段的同時(shí),在應(yīng)用系統(tǒng)層面建立及使用一套完整有效的身份識(shí)別、數(shù)據(jù)機(jī)密性和完整性保障以及電子報(bào)文的簽名防抵賴等安全服務(wù)機(jī)制,將是電子政務(wù)立體全方位的安全體系中不可或缺的一環(huán)。而這套機(jī)制就是目前國(guó)際上通用主流的基于PKI公開密鑰基礎(chǔ)設(shè)施而建立的CA數(shù)字證書認(rèn)證體系。3安全應(yīng)用支撐服務(wù)器基于數(shù)字證書安全認(rèn)證平臺(tái)的實(shí)現(xiàn)是主要通過在服務(wù)器端搭建安全支撐平臺(tái)和客戶端搭建客戶端安全應(yīng)用平臺(tái),企業(yè)的各種應(yīng)用接入安全認(rèn)證平臺(tái)后,通過客戶端和服務(wù)器端的交互認(rèn)證,來實(shí)現(xiàn)企業(yè)應(yīng)用安全的控制。服務(wù)器端安全應(yīng)用支撐平臺(tái)主要是通過服務(wù)器端安全應(yīng)用支撐服務(wù)器和PKI安全服務(wù)中間件組成。安全應(yīng)用支撐服務(wù)器是PKI安全應(yīng)用的運(yùn)行支撐平臺(tái),該平臺(tái)建設(shè)符合國(guó)密辦《證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》,具有穩(wěn)定、可靠、高效、易管理的特點(diǎn)。安全應(yīng)用支撐服務(wù)器位于設(shè)備層,通過PKI安全中間件與應(yīng)用層進(jìn)行交互,向PKI安全服務(wù)核心組件提供統(tǒng)一的基礎(chǔ)安全服務(wù)功能。PKI安全服務(wù)中間件向上為應(yīng)用系統(tǒng)和公鑰基礎(chǔ)設(shè)施的生產(chǎn)和服務(wù)系統(tǒng)提供統(tǒng)一的、標(biāo)準(zhǔn)的PKI安全服務(wù)。向下通過PKI設(shè)備抽象驅(qū)動(dòng)插座和各類設(shè)備驅(qū)動(dòng)插件,實(shí)現(xiàn)操作系統(tǒng)的無關(guān)性?？蛻舳税踩珣?yīng)用平臺(tái)主要通過客戶端PKI服務(wù)中間件和數(shù)字證書載體(在該應(yīng)用平臺(tái)中載體選擇USBKEY)組成。CA中心為每個(gè)客戶端發(fā)放USBKEY,應(yīng)用系統(tǒng)用戶在每個(gè)客戶端安裝上PKI服務(wù)中間件,系統(tǒng)用戶通過USBKEY認(rèn)證登陸系統(tǒng),并通過安全應(yīng)用平臺(tái)和安全應(yīng)用支撐平臺(tái)實(shí)現(xiàn)系統(tǒng)業(yè)務(wù)數(shù)據(jù)的完整、機(jī)密傳輸,對(duì)系統(tǒng)操作行為的不可抵賴等安全認(rèn)證功能。4政府管理的重要基礎(chǔ)目前我國(guó)電子政務(wù)在互聯(lián)互通、信息共享方面對(duì)信息安全提出了更高的要求。在數(shù)據(jù)和業(yè)務(wù)系統(tǒng)層次實(shí)現(xiàn)“互聯(lián)互通、資源共享”,實(shí)現(xiàn)部門之間的互聯(lián)互通和對(duì)外提供公眾服務(wù),政務(wù)內(nèi)部用戶群數(shù)量將不斷增加,政務(wù)內(nèi)網(wǎng)邊界也將不斷擴(kuò)大,任何一個(gè)公務(wù)員、企業(yè)和公民都有權(quán)利向政府尋求某種服務(wù)。在這種業(yè)務(wù)范圍不斷擴(kuò)大的背景下,確定每個(gè)接入系統(tǒng)的用戶身份、用戶的資源訪問權(quán)限、操作權(quán)限等是什么,即“你是誰(shuí)?”、“你能干什么?”等的問題是必須解決的首要問題。基于數(shù)字證書安全認(rèn)證平臺(tái)不僅能為應(yīng)用系統(tǒng)提供安全身份認(rèn)證即“我是誰(shuí)”的認(rèn)證功能,而且還為應(yīng)用系統(tǒng)文件的傳輸機(jī)密和完整提供了安全的解決方案,同時(shí)也為用戶在系統(tǒng)中的操作行為提供不可抵賴的證據(jù)追溯。基于數(shù)字證書安全認(rèn)證平臺(tái)應(yīng)用于電子政務(wù)系統(tǒng),為電子政務(wù)系統(tǒng)提供系統(tǒng)登陸的身份認(rèn)證,系統(tǒng)文件傳輸?shù)臋C(jī)密和完整,系統(tǒng)行為的不可抵賴的功能保障。實(shí)現(xiàn)電子政務(wù)網(wǎng)絡(luò)互聯(lián)、系統(tǒng)互通、信息共享?；跀?shù)字證書安全認(rèn)證平臺(tái)以基礎(chǔ)平臺(tái)的形式接入到電子政務(wù)系統(tǒng),具體的接入架構(gòu)圖如圖所示。4.1usbkey身份認(rèn)證客戶端接入包括數(shù)字證書載體USBKEY、客戶端PKI安全服務(wù)中間件(含驅(qū)動(dòng))。客戶端的USBKey載有用戶的證書、私鑰以及硬件算法,并對(duì)該實(shí)體進(jìn)行唯一標(biāo)識(shí)。在登錄系統(tǒng)時(shí),根據(jù)其數(shù)字證書、私鑰簽名,以實(shí)現(xiàn)對(duì)該用戶的身份認(rèn)證。在業(yè)務(wù)過程中,可用USBKey對(duì)具體數(shù)據(jù)進(jìn)行數(shù)據(jù)簽名,實(shí)現(xiàn)其防篡改,防抵賴性。4.2安全應(yīng)用支撐服務(wù)器在本項(xiàng)目應(yīng)用中,用一臺(tái)安全應(yīng)用支撐服務(wù)器同時(shí)實(shí)現(xiàn)對(duì)內(nèi)外網(wǎng)應(yīng)用系統(tǒng)的支持,網(wǎng)絡(luò)需滿足以下條件:一是內(nèi)網(wǎng)及外網(wǎng)的應(yīng)用服務(wù)器均需直連安全應(yīng)用支撐服務(wù)器;二是Internet用戶和內(nèi)外部用戶在網(wǎng)絡(luò)上均不能訪問安全應(yīng)用支撐服務(wù)器。內(nèi)外網(wǎng)的應(yīng)用服務(wù)器均需要安裝中間件,通過調(diào)用PKI安全服務(wù)中間件以實(shí)現(xiàn)安全應(yīng)用支撐服務(wù)器、證書查詢與驗(yàn)證服務(wù)器的安全功能。5電子政務(wù)系統(tǒng)的安全認(rèn)證本文論述了一種基于數(shù)字證書安全認(rèn)證平臺(tái)的實(shí)現(xiàn)及其在電子政務(wù)系統(tǒng)中的應(yīng)用。該平臺(tái)已成功應(yīng)用于某地市電子政務(wù)系統(tǒng)中,為電子政務(wù)系統(tǒng)中的OA系統(tǒng)、行政審批系統(tǒng)、