电子政务安全保障体系设计模板.doc

《电子政务安全保障体系设计模板.doc》由会员分享，可在线阅读，更多相关《电子政务安全保障体系设计模板.doc（70页珍藏版）》请在咨信网上搜索。

1、电子政务安全保障体系设计70资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。电子政务安全保障体系设计1.1 安全保障体系设计1.1.1 概述电子政务内网所涉及的信息/数据涉及国家秘密, 其机密性和完整性尤为重要, 是信息安全保护的重点对象。因此, 电子政务内网平台的安全建设应符合国家保密局的涉及国家秘密的计算机信息系统保密技术要求和涉及国家秘密的计算机信息系统安全保密方案设计指南及其它安全管理部门发布的一系列规定和规范的要求。电子政务内网安全设计应体现: l全局和整体上的考虑。l应用深度防御的战略, 注重防内和整体防外。l适应信息系统安全的动态性、 复杂性和长期性特点。l便于实施和

2、考核。本设计方案遵循中华人民共和国涉及国家秘密的计算机信息系统安全保密方案设计指南和电子政务试点示范工程技术规范的要求, 依据本期电子政务内网的安全建设目标, 提出了电子政务内网的安全策略和安全保障体系, 强调了统筹规划, 针对内网网络和边界安全、 局部计算环境与应用安全, 主要从信息安全基础设施、 基础安全防护技术和安全监察与管理方面设计具体的建设任务, 包括CA认证设施、 密钥管理系统、 可信时间戳服务系统、 密码服务系统、 授权服务系统, 防火墙系统、 加密系统、 入侵检测系统、 安全扫描系统、 防病毒系统、 安全审计系统和安全监管系统等等。1.1.2 安全建设目标和原则1.1.2.1

3、总体目标电子政务内网安全建设的总体目标是: 针对电子政务内网可能遇到的各种安全威胁和风险, 着重加强信息安全基础设施、 基础安全防护系统和安全监察与管理系统的建设, 形成有效的政务内网安全保障体系, 保证涉密信息在产生、 存储、 传递和处理过程中的保密性、 完整性、 高可用性、 高可控性和抗抵赖性, 确保电子政务内网能够安全、 稳定、 可靠地运行, 为实现电子政务建设的目标提供安全保障。1.1.2.2 具体目标针对主要的威胁和风险, 本期电子政务内网安全建设的具体需求和目标概括如下: 1、 确保”电子政务内网”网络传输过程中数据的保密性和完整性。电子政务内网定位为机密级的涉及国家秘密的系统,

4、需要采用国家许可的普密级(核密)加密设备来保证网络传输过程中数据的保密性和完整性。2、 确保”电子政务内网”与各副省级以上单位接口处的网络访问控制与隔离。3、 建立隶属于国家根CA的电子政务内网CA中心, 统一身份鉴别, 为安全应用系统的运行提供安全基础平台。4、 实现网络防病毒。采用网络防病毒系统, 并与单机防病毒软件相结合, 构建一套完整的防病毒体系。5、 加强对数据交换中心、 CA中心和密钥管理中心的安全保护。电子政务内网数据交换中心、 CA中心和密码管理中心涉及大量国家秘密的敏感度信息, 与之相关的软硬件设施, 应从物理环境安全, 安全运营管理和数据安全保密等方面采取有效的技术手段,

5、保证数据和设施的安全。6、 实现多级的访问控制。对网络中的主机及通信设施进行基于地址的粗粒度访问控制或基于用户及文件的细粒度访问控制。访问控制措施对内部、 外部访问者同样有效。7、 进行网络安全评估。采用网络安全性分析系统, 定期评估网络的安全性, 以便及时发现网络或系统漏洞, 并建议提高网络安全强度的策略。8、 加强主机的信息安全保障功能, 包括基于主机的入侵检测和响应, 域名系统安全, 恶意代码消除。9、 强化安全管理。建立完善的安全管理机构及安全管理制度, 安全管理培训制度化, 制定有效措施, 保证系统安全措施的执行, 强化安全管理。10、 采取措施抵抗拒绝服务攻击。1.1.2.3 安全

6、建设原则电子政务内网安全建设应遵循以下原则: 1、 统一规划、 分级保护电子政务内网安全建设应从安全体系的角度, 在主管部门的统一领导和组织下进行整体规划, 有计划分阶段建设和完善电子政务内网安全保障体系。重点突出信息/数据的安全, 保证政务内网的整体安全; 根据政务内网不同应用的特点、 安全需求、 重要性和风险性, 参照国家有关标准, 科学划分网络与信息系统安全等级, 实施安全等级保护策略, 提高政务内网安全体系的有效性。2、 面向发展, 务求实用随着电子政务内网及应用的规模和水平的不断发展变化, 新的需求不断增加, 电子政务内网安全建设既要考虑未来的安全需求和安全技术的发展因素, 使选用的

7、安全技术和设备应具备良好的可升级性、 可扩展性; 同时, 更要立足电子政务内网的实情, 注重实用性、 可操作性和适度性。在安全系统的设计和建设过程中, 要尽量采取成熟的、 有成功先例的技术, 合理选用安全设备和安全软件, 优化系统性能价格比, 精心设计、 科学施工, 避免采用过高和华而不实的技术、 设备和软件, 避免失误和重复劳动, 本着实事求是的原则, 在安全风险和成本之间寻找平衡点, 在使用最好的技术方案同时, 降低成本, 从而达到最佳的效果, 求得资金投入最大效益。3、 坚持标准与规范化原则中国相关部门已经制定了一系列的保护信息安全的法律、 法规和规定。电子政务内网的安全建设应严格符合这

8、些安全标准和规定。具体要求如下: 1) 电子政务内网涉及国家秘密, 在具体工程实施中要遵从国家保密法和涉密信息系统的有关法规和指南进行。2) 电子政务内网配置安全服务和机制的强度应符合中保委1998年6号文件 涉及国家秘密的通信、 办公自动化和计算机信息系统审批暂行办法的要求。3) 何符合要求的局域网或系统连接到电子政务内网时必须按照国家对涉密系统的安全建设要求采取足够强度的安全措施。4) 整个电子政务内网范围内采用统一的安全保障体系框架。5) 由国家有关管理部门牵头成立国家PKI/PMI建设协调管理委员会, 统筹负责内网PKI/PMI体系的建设。6) 由国家有关管理部门统一领导密钥管理基础设

9、施( KMI) 的建设, 为密码和密钥的有效管理提供服务。需要指出的是在电子政务内网的主干网络接入到六大系统后, 六大系统需要连接到电子政务内网主干网络的内网系统建设也应遵循这里的安全建设原则。1.1.3 安全策略1.1.3.1 安全建设方针电子政务内网安全建设采取的方针是: 应用纵深防御战略, 统一规划安全支撑平台建设, 从政务内网骨干网络设施、 网络区域边界、 各主机环境与应用安全等方面, 分层多处设防。以党务和政务业务数据, 特别是机密数据为核心, 注重从局部计算环境防止内部的威胁和从各种不同类型的边界区域,联合采用多种安全技术整体防御外部威胁。采取减轻风险的技术途径也就是尽可能减少安全

10、漏洞、 尽可能阻止安全威胁、 尽可能减小安全事件造成的损失, 尽可能加强安全防范手段, 经过保护、 检测和响应和强化安全管理等行为把安全风险减轻到最低程度。1.1.3.2 网络与边界安全保密策略电子政务内网采取的网络与边界安全保密策略主要包括: 1、 电子政务内网网络安全建设应采用符合国家保密要求的网络安全设备与技术和普密级密码设备2、 网络管理数据与用户数据分离, 以提高电子政务内网的可用性; 3、 采取严格的安全措施保护电子政务内网的CA中心、 密钥管理中心、 网络管理中心、 数据交换中心和备份中心; 4、 应对电子政务内网的网络管理系统实施良好的配置管理策略, 以便有助于灾后的迅速恢复和

11、使用新的安全措施。5、 建立完善的应急响应和灾难恢复机制, 提高电子政务在遭遇网络恐怖活动或其它网络突发事件时的生存和恢复能力6、 多层防御: 部署多种防御机制, 每一种机制应该包括”保护”和”检测”措施; 对于各网络信息中心或其它重要的局部网络, 划VLAN分区保护。7、 加强防止内部威胁的措施。8、 必须采取措施使系统能够及时检测到安全漏洞和入侵, 并能够及时作出反应。 1.1.3.3 主机环境安全策略电子政务内网采取的主机环境安全保密策略主要包括: 1、 充分利用主机操作系统的安全机制, 防止未授权使用客户机、 服务器; 对于特别重要的数据库服务器和综合服务网站服务器, 可适当采用访问控

12、制增强技术。2、 确保客户机、 服务器遵守安全配置指南并安装了所有适当的安全补丁; 3、 采取恰当的措施防止内部人员和系统的误操作1.1.3.4 应用系统安全策略电子政务内网采取的应用系统安全保密策略主要包括: 1、 信息的分类保护策略: 电子政务内网涉及的信息/数据的敏感度分为三类: l机密l秘密l普通对这三类数据和系统要采取相应的保护策略: 机密类数据敏感度最高, 与之相关的软硬件设施均是重点的安全防护的对象, 应用系统应严格控制访问数据的对象; 对其它数据, 应用系统应建立完善的访问控制策略, 对各类用户或角色要按照”知其所必须”( ”需知”) 和”最低特权”的原则分配访问信息的权限。2

13、、 应用系统的分类保护策略: 依据应用系统处理的数据的敏感度和安全性可靠性的要求, 电子政务内网涉及的应用系统分为三类: l特别重要l重要l普通应根据应用系统的不同类别, 采取不同程度的安全保护措施。3、 鉴别/认证策略用户可采用口令或智能卡之类的措施进行用户身份鉴别; 对经过网络传输特别重要的( 如机密类) 信息应采用安全证书( CA) 进行用户鉴别和授权管理。1.1.3.5 信息存储和传输的安全策略: 1、 特别重要类的电子政务内网应用系统的信息/数据在存储和传输过程中必须采用密码进行保护, 所采用的密码算法必须经国家主管部门批准。要对密码设备进行集中管理和密钥管理分发。2、 机密信息的传

14、输实施端到端加解密、 完整性保护策略, 防止数据被窃听、 修改、 删除、 替换或重发, 保证合法用户接收和使用该数据的真实性。3、 对于存储在计算机系统中的特别重要信息( 如数据库、 文件系统和涉密信息) 要充分利用操作系统和数据库管理系统的安全控制策略进行保护, 同时对重要数据可根据需要采取相应的密码进行加密保护。1.1.4 安全保障体系设计电子政务内网安全保障体系将实现安全服务所有的安全保障措施和行动按人、 技术和运作三个要素划分为三个层面, 如下图所示。人、 技术和实施运作是电子政务内网安全保障体系中的三个重要组成部分: 人利用各种技术来对网络和信息系统进行运作, 从而达到保护网络和信息

15、系统安全性的目的。网络信息系统安全毫无疑问需要以信息安全保障技术为基础来解决。获得信息安全性强烈地依赖于人的要素, 电子政务内网安全保障体系强调信息安全保障需要人、 技术和运作三种要素的均衡。信息安全是过程, 安全管理必然不可缺少。安全管理涉及人与环境、 安全技术以及安全运作的各个方面, 良好的安全管理机制和措施是各种要素取得均衡的关键。安全标准化将确保各种安全技术和措施能够协同工作和实现整体效能。电子政务内网安全保障体系具有以下特点: 1、 体现了安全管理是纲, 安全技术是基础, 安全的人和运作是保障( 确保) ; 2、 强调信息安全保障需要人、 技术和运作三种要素的均衡; 3、 强调安全的

16、过程性和动态性以及防护、 检测和反应( PDR) 模型的应用; 4、 强调多处防御和分层防御的原则图: 电子政务内网安全保障体系框架图依据上述的安全保障体系框架, 结合电子政务内网网络结构, 本方案主要从技术层面进行设计。电子政务内网安全建设涉及的信息安全保障技术总体视图见。图: 电子政务内网安全方案总体视图 图: 局部计算环境与边界安全保障示意图1.1.4.1 信息安全保障如上面两个图所示, 整个电子政务内网的信息安全保障技术体系由四大方面构成: 1、 安全支撑平台: 作为电子政务内网的安全基础设施, 基本内容包括: 密码管理中心, 基于PKI技术的CA认证系统、 可信时间戳服务; 基于PM

17、I的授权管理设施; 政务内网的安全监测与应急响应设施。2、 针对局部计算环境所采用的防护措施: 政务内网的局部计算环境主要有中央六大机构( 中办、 国办、 人大、 政协、 高检和高法) 内网局部计算环境; 住京各部委和北京市内网局部计算环境; 京外各副省级以上单位内网局部计算环境; 各大机构政务内网运作中心( 如认证中心、 密码管理中心数据交换中心和网络管理中心等等) 局部计算环境。政务内网各局部计算环境的安全保障措施应根据各种局部计算环境的具体安全要求进行设计。基本内容应包括: 应用系统安全、 基于主机的安全防护与检测系统( 主要应用于政务内网各局部计算环境中的Web服务器、 DNS域名服务

18、器和邮件服务器) , 数据库安全增强工具、 系统安全增强工具等安全措施。3、 针对区域边界所采用的安全保障措施: 政务内网的区域边界主要有上述各局部计算环境的边界。内网边界安全保障措施应根据各种区域边界的具体情况进行设计。基本内容应包括: 防火墙、 加密机、 网络防病毒系统、 基于网络的入侵检测与脆弱性扫描和安全审计等安全措施。4、 针对政务内网骨干网络设施所采用的安全保障措施: 内网骨干网络设施的安全保障措施应根据其具体配置进行设计。基本内容应包括: 保护数据的机密性和完整性设施, 保障网络可用性的设施和节点设备的安全措施( 主要是路由器的安全) 。1.1.4.2 网络运行安全网络运行安全涉

19、及日常维持网络安全态势的所有活动。电子政务内网的网络运行安全主要包括: 1、 安全状态维护: 管理信息保障的技术的安全态势( 例如, 安装安全补丁、 更新病毒库、 维护访问控制表) 。维护系统安全策略及时更新并为大家所知。认证和认可对信息技术基线的更改。2、 提供密钥管理服务并保护这一基础设施。3、 政务内网的安全监管。4、 定期完成系统安全评估5、 保证系统的电磁兼容6、 保证系统和数据的可用性, 实现灾后的恢复和重构。1.1.4.3 物理环境安全物理安全是保护计算机网络设备、 设施以及其它媒体免遭地震、 水灾、 火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。电子政

20、务内网的物理安全主要包括三个方面: 1、 环境安全: 对系统所在环境的安全保护, 如区域保护和灾难保护。2、 设备安全: 主要包括设备的防盗、 防毁、 防电磁信息辐射泄漏、 防止线路截获、 抗电磁干扰及电源保护等。3、 介质安全: 包括介质数据的安全及介质本身的安全。必须采取措施将存放政务相关数据的介质( 磁盘、 磁带等) 妥善保管。1.1.4.4 安全管理电子政务内网必须加强安全保密管理, 设置安全保密管理机构, 制定严格的安全保密管理制度, 采用适当的安全保密管理技术将电子政务内网中的各种安全保密产品进行集成, 并加强对涉密人员的管理, 形成完整的安全管理体系。1.1.5 信息安全保密技术

21、和措施信息安全保障技术是电子政务内网安全保障体系的重要组成部分。按多处防御和分层防御的原则, 依据电子政务内网安全保障体系框架, 本方案将信息安全保障技术分为安全支撑性基础设施、 基础安全防护系统和安全管理与监控三个方面进行设计。1、 安全支撑性基础设施电子政务内网的安全支撑性基础设施的建设任务包括: ( 1) 政务内网PKI设施由中办机要局等国家密码管理部门牵头建立隶属于国家政务根CA的电子政务内网CA系统、 证书查询验证服务系统和可信时间戳系统。( 2) 密钥/密码管理基础设施。密钥/密码管理基础设施能够为密钥/密码的管理提供基本的服务。根据”党管密码”的原则, 密钥管理基础设施的建设应该

22、由中办机要局等密码管理部门统一领导, 统一规划, 统一建设。( 3) 授权服务系统。在条件成熟的情况下建立基于PMI的电子政务内网电子政务授权服务系统。授权管理基础设施主要提供分布式计算环境中应用系统的访问控制功能。授权管理基础设施以扩展的PKI技术为基础, 对资源的访问授权由资源的管理者进行控制分配。授权管理基础设施能够对外提供授权管理服务, 资源管理者根据授权管理服务为资源使用者分配资源访问权限, 并加以签名。应用系统检查资源使用者的访问权限, 达到资源安全访问的目的。( 4) 密码服务系统。提供加解密、 签名及验证签名、 数字信封、 密钥管理操作和数字证书操作等服务。2、 基础安全防护系

23、统电子政务内网的基础安全防护系统负责网络安全、 区域边界安全、 局部计算环境安全。基础安全防护系统的部署参考实现见图图644所示。( 1) 网络边界的安全防护网络边界的安全防护设施包括: 路由器、 防火墙系统、 入侵监测系统、 漏洞扫描系统和网络防病毒系统等, 其设计实现或选型、 配置应在技术方案中详细说明。其中内边界防护和外边界防护中的防火墙系统应选用不同厂家的产品。( 2) 局部计算环境安全防护局部计算环境安全防护包括: 操作系统安全、 主机安全检测与响应、 Web防篡改系统、 DNS服务器安全、 数据库安全和安全审计等, 其设计实现或选型、 配置应在技术方案中详细说明。( 3) 网络运作

24、中心的分区防护对于中央级网络运作中心或其它重要的网络环境, 按业务性质和应用系统的重要程度分区划VLAN, 设置各自的边界保护。例如,分为信息/数据区,服务区和管理区等。图: 基础安全防护系统的部署参考实现电子政务内网基础安全防护系统具体建设任务包括: 1) 防火墙系统2) 入侵检测系统3) 脆弱性扫描系统4) 加密系统5) 防病毒系统6) 安全审计系统7) WEB防篡改系统3、 安全监察与管理系统在电子政务内网建立安全保密管理系统和安全监控系统, 提供自动化的安全资产管理、 安全策略管理、 安全状态管理和安全监察手段, 实现系统、 网络、 应用和数据的安全监管能力, 有效提高政务内网的可控性

25、和可管理性。具体建设内容包括: ( 1) 安全保密管理系统( 2) 安全监控系统1.1.5.1 政务内网PKI设施政务内网PKI设施包括: 电子政务内网CA系统、 证书查询验证服务系统和可信时间戳系统。1.1.5.1.1 电子政务内网CA系统中办发 17号文件中国电子政务建设指导意见将CA认证系统的建设放到了一个很重要的位置, 因此CA认证系统的建设对于保障电子政务内网的安全将起到非常重要的作用。电子政务内网CA认证系统的建设需要由中办机要局等密码管理部门牵头进行统筹安排, 电子政务内网的CA认证系统的建设将遵照有关部门的统一部署, 与其它CA认证系统的关系如下图所示: 图: 电子政务内网CA

26、关系图说明: ( 1) 、 如图所示, 政务内网根CA与国家根CA进行逻辑上的连接, 在安全策略等方面接受国家根CA的指导。( 2) 、 政务内网根CA与其它CA系统( 包括政务外网根CA) 物理分离, 采用不同的安全策略和不同的安全保障措施。1、 政务内网CA系统的特殊性相对普通的商业CA认证系统而言, 电子政务内网CA认证系统有其特殊性, 这主要表现在电子政务内网CA认证系统在安全性特别是可靠性和可用性方面存在很高的要求。l普通的商业CA认证系统体系松散, 以个人的安全目标为导向, 而电子政务内网的认证系统要求统一安排、 统一建设。l普通的商业CA认证系统使用环境不安全, 用户秘密密钥的安

27、全性得不到保障; 政务认证系统有很高的环境安全方面的需求。l普通的商业CA认证系统在对PKI机构的管理, 使用安全性较弱的WEB方式; 政务认证系统在PKI机构管理方面要求具备可靠的安全性。l商业软件的安全功能不值得信赖, 如通用的浏览器、 服务器等使用证书的软件均为国外的商业产品, 可能存在密码功能上的缺陷, 甚至有些存在着后门或漏洞。电子政务内网CA认证系统所使用的软件应满足国家有关认证机构的基本要求。作为涉及国家秘密的系统, 在电子政务内网的建设中, 应充分考虑政务认证系统的特殊性, 避免安全风险, 采用严格的集中管理运行方式, 并在系统内使用严格、 一致的安全政策, 包括: l经过电子

28、政务内网认证中心注册/注销用户, 任何用户的注册都需要经过严格的审核过程, 从而保证安全管理人员能够有效控制系统的用户构成; l经过认证中心发放、 更新、 撤销用户的密钥和证书, 从而有效界定用户证书的使用范围和使用时间, 管理中心和客户端软件都支持CRL和OCSP, 保证用户对证书撤销情况的及时掌握; l采用单一的CA认证系统, 系统中进行证书验证时, 使用本系统的根证书作为唯一的根证书, 保证经过验证的实体均是本系统认可的有效实体; l系统关键部分统一采用完全自主开发的安全软件, 密钥使用、 证书验证等安全处理过程均由自主开发的安全软件完成, 保证安全功能的正确实现和安全政策的一致性; l

29、采用硬件密码设备保护密钥和证书, 有效保证用户秘密密钥的机密性、 CA公开密钥的完整性; 2、 C A的总体结构图: 电子政务内网认证系统总体结构如上图所示, 证书业务服务系统包括以下几大部分: lCA为保障CA系统的安全, 根CA配备有加密机, 并需要配有数据库产品, 用来存放最终用户的数字证书及其它系统。CA系统采用双机热备, 以保证系统的稳定性。lCA 管理工具作为CA系统的管理界面, 能够定制CA的管理策略, 监控CA的运行状况, 管理审计日志。lRARA是CA产品中的一个模块。它是证书的申请注册系统, 最终用户申请证书时提交的注册信息将存放在RA系统后台的数据库中。l目录服务系统LD

30、APLDAP是目录服务器, 完成证书系统的发布功能, 负责存放用户证书、 CRL、 授权信息及其它用户信息。在 PKI系统中, 系统的超级管理员和目录管理员对 LDAP目录服务系统进行管理。根据电子政务内网的实际需要, 能够考虑在电子政务内网根CA的下层引入二级CA, RA的下层引入LRA。RA与CA之间经过安全协议连接。LRA和RA之间采用SSL安全代理软件连接, 经过安全协议保护。LRA只需要一台PC机即可。整个系统采用防火墙, 以保证系统的安全。同时配置入侵检测产品, 检测本地网段, 查找每一数据包内隐藏的恶意入侵, 并对发现的入侵做出及时的响应。3、 CA体系结构方面的要求1、 CA体

31、系结构方面的要求根据CA准备覆盖的信任域和整个行业的组织结构, 当前所有建成的CA系统中, 主要采用单层CA、 双层CA以及多层CA。对于机构较小或者应用较单一的, 一般采用单层结构就可满足系统要求; 而组织机构较庞大、 或支持应用类型较多的, 能够采用双层或多层CA。由于电子政务内网的体系结构较复杂, 单层CA不太适合电子政务内网的实际情况。电子政务内网CA认证系统基本体系结构如下图: 图6: 信任系统体系结构如上图所示: 建立二级CA认证体系。电子政务内网根CA负责整个认证系统的建设和安全管理, 在国家根CA的统一指导下, 制定统一安全策略等问题。在六大系统内部建立二级CA认证体系, 遵循

32、根CA的安全策略, 负责本部门本系统内部的安全认证。( 2) 系统采用两道防火墙CA系统需要有足够的安全性, 但同时CA系统要与外界进行较多的通信, 它既要为用户签发证书, 又要支持用户对CRL、 CPS等的查询, 而且很多工作都要求实时完成, 这样它受到外界攻击的机会就甚多。实践表明, 网络布局的不合理和系统配置的不当往往是遭受黑客入侵的主要原因。因此, 在网络和系统架构一级采取了一系列保护措施, 利用两道防火墙的双层防护, 在外部至CA之间设置了两个控制点, 从而将整个系统划分为外部区、 停火区( DMZ) 、 CA安全区。两道防火墙能够采用不同安全机制的防火墙, 一道采用硬件防火墙, 另

33、一道则采用软件防火墙, 不同机制的防火墙采用不同的安全机制, 它们互为补充, 即使黑客攻破了第一道防火墙, 进入DMZ区, 还有第二道防火墙来保护CA核心系统。( 3) CA系统采用硬件加密机在CA系统里, 最高级别的安全是保护CA系统私钥的不外泄。因为所有证书的信用都是来自第一层CA( Root CA, 也称根CA) 的信用。证书之因此能够被信赖, 是由于CA使用自己的私钥对证书上面的用户信息进行有效的数字签名, 每次进行身份认证的时候, 都经过验证证书上面CA的数字签名来保证用户身份的真实性。因此, 如何保证根CA的私钥是CA系统里最核心的安全问题。采用加密机的好处是加密机本身是一个独立的

34、硬件设备, 在根CA密钥的形成过程中, 所有运算仅仅在加密机内完成, 所有需要由根CA签发的证书都被读取到加密机内进行签名, 然后再把签发完成的证书送出加密机, 加密机能够设置为不允许访问来维护它的安全。因此, 在电子政务内网CA认证系统中, 采用加密机完成CA的密钥生成和存放。安全操作方式鉴于根CA发证量小、 不经常使用且安全需求较高的特点, 根CA以离线方式操作。证书申请、 证书的传递均以软盘/光盘为媒介, 并按PKCS#7/10标准进行加密和保护。2、 RA体系结构方面的要求CA系统负责签发和管理证书, 同时负责CRL列表的维护和更新, 但CA系统并不直接面对证书申请者, CA需要借助于

35、注册机构( RA) 及证书发放部门( LRA) 来为她们的办公员提供证书服务。有关证书申请者的信息是经过RA系统传递到CA系统的。有关证书的申请、 撤消、 废止等管理操作是在电子政务内网开设的密钥管理中心办理的。有关方的申请信息经过各LRA系统的操作员进行录入, 并经过LRA系统的审核员审核后, 上传到办公厅的RA服务器, 进行相应的处理后, 送入CA系统, CA接到该申请信息后, 进行响应的初始化处理, 在密钥管理中心为该申请者生成密钥、 然后签发证书, 并存放到证书的存储介质中, 下放到有关方手中。一切完成后, 就能够使用证书来完成政务业务。4、 CA系统的功能政务内网CA系统的功能应包括

36、: 1、 证书和证书废止列表2、 证书管理的基本功能3、 证书的归档4、 证书的备份和不可抵赖性5、 证书的废止6、 证书的更新7、 证书的发放8、 CA的管理功能5、 CA系统的安全作为其安全基础设施的安全认证中心, 其自身安全的重要性是不言而喻的。在设计电子政务内网CA认证系统过程中, 更需要把握”确保系统安全”这一至关重要的原则, 对威胁系统安全的各方面因素进行综合分析, 制定了切实可行的安全策略和防范手段, 并在方案中系统、 充分地提供了一套安全机制和安全服务, 来保障整个系统的安全。针对整个安全认证系统的安全体系结构如下: 图: 安全认证系统的安全体系结构在上面的安全体系结构之外,

37、还要考虑灾难恢复的问题, 即当出现影响系统安全运行的情况之后, 应该迅速作出反应, 在尽可能短的时间里恢复系统的运行。对安全问题的讨论主要可分为安全策略、 网络和系统安全、 应用安全、 密钥管理等部分来进行。6、 CA系统对应用开发的支持对于应用系统正在建设的单位, 能够经过在应用系统适当的地方调用安全认证系统的API, 实现业务/办公系统与安全平台的紧密结合。针对电子政务内网的实际情况, CA认证系统必须有为其它应用系统提供可供第三方应用开发的模块。要有良好的应用接口, 以各种连接库的形式出现, 针对WINDOWS平台以DLL模块出现, 针对UNIX平台以.SO的形式出现。支持各种主流操作平

38、台( WINDOWS系列、 SOLARIS和LINUX) 。在应用系统的开发建设时, 安全认证系统的API应满足以下的安全特性: 系统具有安全的身份认证机制, 确保用户的真实性; 各类用户对各业务、 数据和资源的访问权利和访问权限受到严格控制; 对于特定的系统、 数据、 资源的访问, 系统应具有完整的安全记录和严格的审计能力; 涉及到机密或秘密信息时, 需要进行加密传输; 关键数据定期进行备份。1.1.5.1.2 证书查询验证服务系统1、 系统内部逻辑结构图: 证书查询验证服务系统逻辑结构图证书查询验证服务系统的主要业务单元包括LDAP服务单元和OCSP服务单元。LDAP服务单元基于LDAP协

39、议, 提供证书撤销列表的目录发布, 主要针对非实时的证书状态查询应用或服务器端应用。OCSP服务单元基于OCSP协议, 提供证书状态的在线智能查询。2、 证书查询验证服务系统功能/性能要求1)目录管理与证书查询服务: 目录管理服务可根据系统网络设置要求, 采用集中式与分布式两种方式进行构建。用户或应用系统利用数字证书中标识的CRL地址, 利用LDAP目录服务技术下载CRL, 检查证书有效性。2)基于OCSP技术的证书再现状态查询服务: 用户或应用系统采用OCSP协议, 在线查询证书的实时状态。3)证书查询验证服务系统应根据实际需要满足基本的LDAP查询和OCSP查询的并发数。证书查询验证服务系

40、统应具备可伸缩配置及动态平滑扩展能力。1.1.5.1.3 可信时间戳服务系统可信时间戳系统基于国家权威时间源和公钥技术, 为电子政务系统提供精确可信的时间戳, 保证处理数据在某一时间的存在性及相关操作的相对时间顺序, 为业务处理的不可抵赖性和可审计性提供有效支持。可信时间戳服务系统必须服从国家权威的时间源获得全系统统一的时间, 即从国家授时中心获取权威的时间。在性能上, 可信时间戳的时间精度满足10-1秒; 满足基本的时间戳并发请求, 适应业务量的发展。1.1.5.2 密钥管理系统1、 总体描述密钥管理系统是数字证书认证系统中的一个重要组成, 主要负责向密码服务系统提供密钥管理服务, 为密码技

41、术和产品的大规模应用提供支持。密钥管理中心按照国家有关密码管理政策和法规为密码服务提供加密密钥的产生、 登记、 认证、 分发、 查询、 注销、 归档及恢复等管理服务。密钥管理中心按照与数字证书认证中心统一规划、 同步建设、 有机结合、 独立设置、 分别管理的原则建设和管理。密码服务系统应配置经国家密码主管部门审批的公钥加密算法、 公钥参数生成算法、 对称密钥加密算法、 随机数生成算法和数据摘要算法等密码算法, 所有密码算法都必须在经国家密码主管部门审批的密码设备上运行。密码服务系统按照国家有关密码管理政策和法规统一管理密码设备。2、 体系结构密钥管理中心由密钥生成、 密钥管理、 数据库管理、

42、密码服务、 密钥恢复、 安全认证、 系统审计等子系统组成。图: 秘钥服务系统体系结构图3、 功能要求密钥管理中心的主要功能是: l密钥管理策略的制定与本系统的安全维护l密钥的生成l密钥的发送l密钥的存储l密钥库的管理l密钥的查询l密钥的撤销l密钥的恢复l密钥管理中心的运行管理l密钥管理中心的安全管理4、 性能要求密钥管理中心应根据实际需要满足基本的业务受理点连接数、 签发在用证书数目、 密钥保存期、 密钥发放并发请求数。密钥管理中心应具备系统所需要的最大量的密钥生成、 存储、 传送、 发布、 归档等密钥管理功能。KM中心的处理性能应具备可伸缩配置及动态平滑扩展能力; 同时还需要考虑双机备份等灾

43、难备份方式。1.1.5.3 密码服务系统1、 总体描述密码服务系统由应用层密码设备、 网络层密码设备组成。应用层密码设备包括服务器端密码设备和客户端密码设备, 配置在各应用服务器、 Web服务器、 数据库服务器以及各客户端, 其主要功能是: ( 1) 数据加解密; ( 2) 数字签名和验证; ( 3) 数据摘要和完整性验证; ( 4) 数字信封; ( 5) 不同密级的会话密钥生成和存储。 网络层密码设备根据不同的需要, 配置相应的VPN密码机、 IP密码机、 帧中继密码机等, 完成网络通信信道的传输数据加密。 2、 体系结构密码服务系统要构建一个相对独立的可信计算环境, 进行安全密码算法处理。

44、基本体系结构图如下: 图: 密码服务系统体系结构图3、 功能要求l基础加解密服务提供基础加解密服务是密码服务系统的核心功能, 主要包括: 1)数据加解密运算2)数字签名运算3)数字证书运算4)数字信封5)数据摘要和完整性功能6)会话密钥生成和存储l统一的安全接口l多算法支持功能l分布式计算功能4、 性能要求l应用层的服务器端密码设备应根据具体情况满足基本的公钥密码算法签名速度、 公钥密码算法验证速度、 对称密钥密码算法加解密速度、 可存储的密钥对数目。l应用层的客户端密码设备应根据具体情况满足基本的公钥密码算法签名速度、 公钥密码算法验证速度、 对称密钥密码算法加解密速度、 可存储的密钥对数目

45、。l密码服务系统的处理功能应具备可伸缩配置及动态平滑扩展能力。1.1.5.4 授权服务系统授权服务系统主要是为应用提供针对资源的授权管理及访问控制服务。授权服务系统根据资源的具体特点和应用的实际需要, 采用两种工作模式: 集中式授权服务和分布式授权服务。授权服务系统经过在数字证书的扩展项增加用户的属性和权限信息, 在服务器端构建授权服务系统提供授权服务管理。授权服务系统提供用户管理、 审核管理、 资源管理、 角色管理。授权服务系统提供细粒度的基于角色的访问控制机制, 对于电子政务内网而言, 引入授权服务系统是非常有必要性的。针对电子政务内网的主干网络, 在授权服务方式上能够采用集中式授权服务;

46、 针对六大系统的局部计算环境, 在授权方式上能够采用分布式授权服务。集中式授权系统的主要功能有用户管理、 审核管理、 资源管理、 角色管理等。分布式授权系统的主要功能有资源访问的签名授权、 授权管理等。授权管理服务系统应根据电子政务内网的实际业务需要, 满足基本的授权服务并发数。1.1.5.5 基本安全防护系统1、 防火墙系统在电子政务内网网络中, 由于各结点在整个系统中的地位和作用各不相同, 管理角色各不相同, 可提供的信息资源也不相同, 使用防火墙对各结点进行隔离, 防范从系统外部和系统内部发起的攻击从而使系统整体的安全性大大提高。防火墙的配备对于增强内网网络与边界的安全会起到重要的作用。

47、防火墙的具体配备应根据网络和应用的具体情况进行配备。在防火墙的选型上根据具体业务数据流量和业务安全性要求的不同, 采购具体的防火墙。2、 入侵检测系统入侵检测是网络安全非常重要的一个环节, 主要是经过从计算机网络系统中的若干关键点收集信息, 并分析这些信息, 以监控网络中是否有违反安全策略的行为或者是否存在入侵行为。入侵侦测系统作为安全侦测的最后一道防线, 能提供安全审计、 监视、 攻击识别和反攻击等多项功能, 对内部攻击、 外部攻击和误操作进行实时监控, 是其它安全措施的必要补充, 在网络安全技术中起到了不可替代的作用, 是安全防御体系的一个重要组成部分。建议采用具有高级分析技术的入侵检测系统, 例如多个相关事件、 相关协议的综合