电子政务安全体系课件

1、电 子 政 务东北财经大学管理科学与工程学院本章的学习目标：了解电子政务安全发展的现状 ；了解电子政务面临的安全问题 ；掌握电子政务安全管理体系框架组成；理解加密技术、防火墙技术、身份认证等安全技术 ；掌握保障电子政务安全实施的措施。第八章 电子政务安全体系电子政务安全概述 安全现状及原因电子政务安全分类电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述安全第一电子政务安全： 涉及对国家秘密信息和高度敏感的核心政务的保护；涉及维护公共秩序和行政监督的准确实施；涉及为社会提供公共服务的质量保证。黑客入侵和犯罪病毒泛滥和蔓延信息间谍

2、的潜入和窃密内部人员的违规和违法操作 电子 政府1）构建电子政务安全管理体系的重要性 电子政务安全概述 安全现状及原因电子政务安全分类电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系取决于最薄弱环节的安全强度电子政务系统安全强度木桶原理电子政务安全概述 安全现状及原因电子政务安全分类电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系2）国内外电子政务安全现状国外电子政务安全现状安全组织机构的建设重视对网络安全基础设施建设和安全技术研发的投入制定及时、统一的法规政策和标准体系电子政务安全概述 安

3、全现状及原因电子政务安全分类电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系主要表现信息安全防护能力较弱，许多应用系统处于不设防状态国内的IT厂商在自有知识产权、研发等方面能较弱，一旦引进的技术设备存在漏洞或“后门”，会对我过政务网络的安全运行产生重大影响人员安全意识不强，综合素质有待提高 国内电子政务安全现状电子政务安全概述 安全现状及原因电子政务安全分类电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系缺乏一系列网络安全标准网络安全相关的法律法规不健全 电子政务安全问题产生的原因1）技术保

4、障措施不完善 2）管理体系不健全 3）基础设施建设不健全 电子政务安全概述 安全现状及原因电子政务安全分类电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 安全现状产生的原因电子政务安全运行管理体系基础设施平台社会服务体系电子政务安全体系框架电子政务安全技术保障体系安全分类1）技术保障措施不完善 计算机系统本身的脆弱性 软件系统存在缺陷 系统软件本身缺乏安全性 应用系统中的安全隐患 网络的开放性 互联网本身的不安全因素 通信线路的开放性 网络资源共享存在的安全隐患 病毒侵害 2）管理体系不健全 （1）组织及人员风险（2）管理制

5、度不完善 （3）安全策略有漏洞 （4）缺乏应急体系 电子政务安全概述 安全现状及原因电子政务安全分类电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系3）基础设施建设不健全 （1）法律体系不健全 （2）安全标准体系不完整 标准的制定水平较低 缺乏与的实际情况的结合 使用单位对执行标准的认识不足 （3）电子政务的信任体系问题（4）社会服务体系问题 电子政务安全概述 安全现状及原因电子政务安全分类电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全分类1 of 2电子政务面临的安全威胁非人

6、为的安全威胁 人为的安全威胁 自然灾害 信息技术的漏洞和局限性 内部人员安全威胁 外部人员安全威胁 电子政务安全概述 安全现状及原因电子政务安全分类电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全分类2of 2恶意安全威胁 内部人员安全威胁 外部人员安全威胁 非恶意安全威胁 被动攻击主动攻击邻近攻击分发攻击电子政务安全概述 安全现状及原因电子政务安全分类电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系安全需求的具体表现 1）信息的真实性 保证接收方获得的信息是从发送方发出的真实信

7、息，即对信息的来源进行判断，能对伪造来源的信息予以鉴别。 2）信息的保密性信息不泄露给非授权的用户、实体或过程，或供其利用的特性，即只有那些被授予特定权限的人才能够访问信息。 电子政务安全概述 电子政务的安全风险电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务的安全管理体系框架电子政务的安全需求3）信息的完整性指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 4）信息的不可否认性信息的发送者和接收者无法否认自己发送或接收信息的行为，即对出现的网络安全问题能提供调查的依据和手段。5）信息的可

8、用性指可被授权实体访问并按需求使用的特性，即当已被授权的用户需要时，应能存取所需的信息。电子政务安全概述 电子政务的安全风险电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务的安全管理体系框架电子政务的安全需求安全需求的具体表现 电子政务安全管理体系技术保障体系系统及应用安全运行管理体系行 政 管 理安全技术管理风 险 管 理安全法规建设网 络 安 全基础设施平台社会服务体系教 育 培 训应 急 响 应测 评 认 证安 全 管 理安全标准建设PKI认证平台物 理 安 全电子政务安全概述 电子政务的安全风险电子政务安全运行管理体系安全基础

9、服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务的安全管理体系框架电子政务的安全需求电子政务安全管理体系框架 电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 8.3 电子政务安全技术保障体系物理安全网络安全系统及应用安全技术保障体系物理安全 物理安全线路设备安全 环境安全 存储媒体安全 物理安全就是保证对物理设施的合法访问，避免人为破坏，并将自然灾难的影响降到最低。电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体

10、系电子政务安全概述 物理安全 网络安全 系统及应用安全 电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 网络安全 1）逻辑隔离和物理隔离2）加密技术 3）防火墙 4）交换机、路由器安全 网络安全指网络通信的安全性，政府内网、外网和公网之间的隔离，界定访问权限等。 电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 物理隔离政府内网政府外网互联网逻辑隔离1）逻辑隔离和物理隔离电子政务安全运行

11、管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 物理隔离 物理隔离是不安全就不联网，要绝对保证安全。物理隔离采用隔离网闸技术，隔离网闸如同一个高速开关在内外网之间来回切换，中断或保持两个网络之间的直接连接，所有的数据交换必须通过物理隔离网闸，网闸从网络层的第七层将数据还原为原始数据，然后通过开关完成数据中转。电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 2）加密系统1 of 3源文件（明文 ）解密后

12、的信息（明文）加密后的信息（密文）加密后的信息（密文）密钥加密因特网密钥解密数据加密过程 加密技术是最基本的安全技术，是实现信息保密性的一种重要手段，其目的是为了防止非法用户获取信息系统中的机密信息。 电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 2）加密系统2of 3加密系统两种基本的形式：对称密钥加密技术非对称密钥加密技术 （1）对称密钥加密技术对称加密，是指使用同一把密钥对信息加密、解密。一个加密系统的加密密钥和解密密钥相同，或者虽然不同，但可以有其中一个推导出另一个。 常用的私钥

13、密码技术： 流密码技术 分组密码技术 电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 2）加密系统3 of 3（2）对称密钥加密技术非对称加密又称为公开密钥加密，与对称密钥系统相比，公开密钥加密技术需要使用一对相关的密钥：一个用来加密，另一个用来解密。 公开密钥系统两种基本的模式：加密模式验证模式电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 3）防火墙1of 4防火墙（firewal

14、l）是指一个由软件或软件和硬件设备组合而成，处于内网与外网之间，用来加强互联网与内部网络之间安全防范的一个或一组系统。作用：限制外界用户对企业内部网络访问及管理内部用户访问外部服务。 防火墙的安全策略一切未被允许的都是禁止的 一切未被禁止的都是允许的 电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 3）防火墙2of4防火墙的分类 共同特点：依赖特定的逻辑判断是否允许数据包通过，不利于抗击非法访问和攻击。 针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网

15、络通信链路分为两段。 数据包过滤防火墙代理服务器型防火墙应用级网关型防火墙电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 3）防火墙3of 4客户机服务器应答请求转发应答转发请求防火墙代理代理服务器代理客户机代理获得客户机和服务器之间通信的全部控制权代理服务器的工作原理电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 3）防火墙4of 4防火墙的局限性 不能阻止来自内部的破坏不能保护绕过

16、它的连接 不能防止病毒 无法完全防止新出现的网络威胁 电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 4）交换机、路由器安全 交换机是第二层设备，用于连接局域网分段，利用MAC地址表来转发数据帧。交换机安全包括端口安全、专用VLAN安全等。 路由器工作在第三层，是广域网互联设备。路由器提供的安全功能更多也更复杂，包括访问控制、网络地址转换、身份验证、流量过滤、配置VPN、日志功能等。 电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政

17、务安全概述 物理安全 网络安全 系统及应用安全 系统及应用安全 系统及应用安全主要是要保证操作系统和应用服务的安全性。保障系统及应用安全的方法和技术主要有：入侵检测系统防病毒系统漏洞扫描系统安全认证电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 1）入侵检测系统1of 2入侵检测系统（Intrusion Detection Systems，IDS）是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

18、 分布式入侵检测系统 入侵检测系统的类型基于网络的入侵检测系统 基于主机的入侵检测系统 电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 完整性校验基于异常的检测基于特征的检测1）入侵检测系统2of 2入侵检测系统的主要功能 监测并分析用户和系统的活动 核查系统配置和漏洞 评估系统关键资源和数据文件的完整性 识别已知的攻击行为 统计分析异常行为 操作系统日志管理，识别违反安全策略的用户活动入侵检测的方法电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技

19、术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 2）防病毒系统1of 2防病毒技术分为主机防病毒和网络防病毒：主机防病毒主要是安装防病毒软件，对电脑文件访问实时监测，发现病毒就立即清除或修复。 网络防病毒通常由安全提供商提供一整套的解决方案，针对网络进行全面的防护。 计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 2）防病毒系统2of 2计算机病毒

20、的特点：主动传染性、隐藏性、欺骗性、破坏性、衍生性。计算机病毒的防治方法：构建综合的安全体系 采用多层防御体系 防毒与网络管理集成 在网关、服务器上防毒 及时更新防毒软件 电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 漏洞扫描系统能够帮助了解系统存在的安全漏洞，采取相应的防范措施，从而降低安全风险。3）漏洞扫描系统漏洞扫描系统的功能：动态分析系统的安全漏洞；检查用户网络中的安全隐患，发布检测报告；提供有关漏洞的详细信息和最佳解决对策；杜绝漏洞、降低风险，防患于未然。电子政务安全运行管理体

21、系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 用户访问系统之前经过身份认证系统，监控器根据用户身份和授权数据库决定用户能否访问某个资源。 4）安全认证1of 4电子政务系统必须建立基于CA认证的身份认证系统。 数字证书的概念：由权威公正的第三方机构即CA中心签发的包含公开密钥拥有者信息以及公开密钥的文件，可以用来证明数字证书持有者的真实身份。 电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 4）安全认证2

22、 of 4数字证书的格式遵循ITU-T X.509标准。该标准是为了保证使用数字证书的系统间的互操作性而制定的。数字证书的作用：信息除发送方和接收方外不被其他人窃取；信息在传输过程中不被篡改 ；发送方能通过数字证书来确认接收方的身份； 发送方对于自己的信息不能抵赖；信息自数字签名后到收到为止，未曾作过任何修改，签发的文件是真实文件。 电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 4）安全认证3of 4数字证书的类型：个人数字证书服务器证书 开发者证书 数字证书生成的一般步骤信息检索信息验

23、证证书生成证书公布证书发放电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 物理安全 网络安全 系统及应用安全 4）安全认证4of 4认证中心概念：认证中心CA又称认证机构，是承担网上认证服务，能签发数字证书并能确认用户身份的受大家信任的第三方机构。CA的主要任务:受理数字证书的申请、签发及对数字证书进行管理。 CA的功能：证书的颁发、证书的更新、证书的查询、证书的作废、证书的归档。电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 行政管理 安全策略管理 风险

24、管理 电子政务安全运行管理体系行政管理安全技术管理风险管理运行管理体系1）建立安全组织机构1of 2 电子政务的安全必须由特定的安全组织进行管理。安全组织机构的主要职责：对整个电子政务系统进行整体的安全规划，制定整体的安全解决方案；制定安全管理制度，权责分明；实时监控网络的安全性，监督安全方案实施情况，根据出现的问题漏洞，及时修改、补充安全方案。电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 行政管理 安全策略管理 风险管理 1）建立安全组织机构2of 2 安全领导小组安全专家小组日常网络安全管理办公室日常安全维护工作小组管

25、理层日常安全维护单位，完成具体的安全维护工作应急响应工作小组处理突发事件，实施应急响应方案，恢复系统运行网络应急响应管理办公室执行层决策层电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 行政管理 安全策略管理 风险管理 2）安全管理制度 安全管理制度保障安全管理的有效实施，规范安全管理人员的行为，降低人为因素造成的安全隐患。安全管理制度包括:人员管理制度；系统运行维护管理制度；密钥管理制度；保密制度；访问控制管理制度等。电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政

26、务安全概述 行政管理 安全策略管理 风险管理 安全策略管理1of 3 （1）硬件实体的安全管理 目的：保护计算机和网络设备、设施免遭地震、水灾、火灾以及人为等因素的破坏。主要涉及：环境安全设备安全存储媒体安全电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 行政管理 安全策略管理 风险管理 安全技术管理2of 3 （2）软件系统的安全管理包括：保护软件系统的完整性，防止软件丢失、被破坏、被篡改、被伪造；保证软件的存储安全，保障软件的安全传输、加密传输、安全下载、用户识别等要素；保障软件的合法使用和合理使用、用户合法性的管理、授

27、权访问、系统的访问控制、防止软件滥用、防止被窃取被非法复制、按规程操作等。电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 行政管理 安全策略管理 风险管理 安全技术管理3of 3 （3）密钥管理包括：系统的初始化、密钥的产生、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、吊销、销毁等内容。安全的密钥管理要求：密钥难以窃取；密钥有使用范围和使用时间的限制；密钥的分配和更换过程对用户透明，而用户不需要亲自掌管密钥。 电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政

28、务安全概述 行政管理 安全策略管理 风险管理 风险管理 电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 行政管理 安全策略管理 风险管理 安全风险评估安全风险控制 应急方案安全风险管理安全风险评估 安全风险评估是确定电子政务系统面临的风险级别的过程，是风险控制的前提和基础。 风险评估阶段的基本实施步骤 ：识别风险 进行风险度量 确定风险级别 制定相应的风险管理策略 1）安全风险评估电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 行政管理 安全策略管理 风险

29、管理 安全风险控制 安全风险控制是根据风险评估阶段的结果，采取规避、转移和降低等手段，对已标识的风险采取相应的措施，将电子政务系统的安全风险降低到可接受的水平，并保持对系统其他功能的影响最低。安全风险控制的主要步骤 ：选择风险控制手段 风险规避 实施必要的风险转移措施 尽可能降低威胁的影响程度 对剩余风险的接受 2）安全风险控制电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 行政管理 安全策略管理 风险管理 电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述

30、法规基础设施 安全标准建设 PKI/PMI认证平台 法规基础设施 安全标准建设 PKI/PMI认证平台 基础设施平台安全基础服务保障体系电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 法规基础设施 世界上很多国家制定了与网络安全相关的法律法规，如英国的官方信息保护法等。中国颁发了一些与网络安全有关的法律法规，如计算机信息系统安全保护条例、计算机信息系统保密管理暂行规定等。在完善法律法规的同时，还应该加大执法力度，严格执法。 电子政务安全运行管理体系安全基础服务保障体系社会服

31、务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 （1）对各类法律主体的有关信息活动涉及国家安全的权利和义务进行规范，形成国家关于信息及信息安全的总则性、普适性的法规体系。（2）针对各类计算机和网络犯罪，制订直接约束各社会成员的信息活动的行为规范，形成计算机、网络犯罪监察与防范体系。（3）对信息安全技术、信息安全产品（系统）的授权审批应制订相应的规定，形成信息安全审批与监控体系。（4）针对信息内容的安全与保密问题，制订相应规定，形成信息内容的审批、监控、保密体系。（5）从国家安全的角度，制订网络信息预警与反击体系法规建设的几

32、个主要方面： 电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 安全标准建设 中国信息安全标准化工作起步较晚，但是近10年来发展较快，在国家质量技术监督局领导下，全国信息化标准委员会及其下属的信息安全分技术委员会在制订中国信息安全标准方面做了大量的工作，国标、国军标、行业标准对信息安全领域均有涉及，初步形成了中国信息安全测评认证的基础。 电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 法规基础设施 安全标准

33、建设 PKI/PMI认证平台 PKI/PMI认证平台 PKI提供智能化的信任服务；PMI构成授权管理平台，在PKI信息安全平台的基础上提供智能化的授权服务。PKI/PMI认证平台为电子政务提供了一整套的、遵循标准的密钥管理基础平台，为用户安全访问电子政务系统提供了可靠的保证。 国家信息安全基础设施（NISI）的组成：公开密钥基础设施（PKI）授权管理基础设施（PMI）电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 1）公开密钥基础设施（PKI） 1 of 3（1）公钥基础设

34、施（Public Key Infrastructure，PKI）又叫公钥体系，是一种利用公钥加密技术为电子商务、电子政务提供一套安全基础平台的技术和规范。PKI基础设施采用数字证书来管理公钥，通过第三方的可信任机构认证机构（CA），把用户的公钥和用户的其他标识信息捆绑在一起，提供身份验证机制。 电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 （2）PKI的基本组成和功能：认证机构：数字证书的申请及签发机关，CA必须具备权威性的特征；数字证书库：用于存储已签发的数字证书及公钥

35、； 密钥备份及恢复系统：对加密系统的密码进行备份和恢复 ；证书作废系统：证书密钥的丢失或证书作废的处理； 应用接口（API）：使PKI与其它应用交互。 1）公开密钥基础设施（PKI） 2 of 3电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 PKI应用的范围及中心作用E-MailS/MIMEIPSecWebEDI其他应用电子支付VPNSETSSLPKI（3）PKI的应用1）公开密钥基础设施（PKI） 3 of 3电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子

36、政务安全体系框架电子政务安全技术保障体系电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 （1）授权管理基础设施（PMI）国家信息安全基础设施（NISI）的重要组成部分。目标是向用户和应用程序提供授权管理服务，提供用户身份到应用授权的映射功能，提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制，简化应用系统的开发与维护。PMI是一个由属性证书、属性权限、属性证书库等部件构成的综合系统，用来实现权限和证书的产生、管理、存储、分发和撤销等。 2）授权管理基础设施 （PMI） 1 of 4电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政

37、务安全体系框架电子政务安全技术保障体系电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 （2）PMI与PKI的比较PMI提出了一个新的信息保护基础设施，能够与PKI和目录服务紧密地集成，并系统地建立起对认可用户的特定授权，对权限管理进行了系统的定义和描述，完整地提供了授权服务所需过程。PKI与PMI之间的比较如下： 解决的问题不同 证书不同 管理部门不同 体系结构类似 2）授权管理基础设施 （PMI） 2 of 4电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认

38、证平台 PKIPMI解决的问题PKI解决对身份的认证问题，即你是谁的问题。 PMI是在知道你是谁之后，决定你具有什么权限，可以做什么的问题。PMI必须建立在PKI的基础之上。证书内容公钥证书PKC必须包含拥有者的公钥，有效时间长。 属性证书（AC）是一个到证书拥有者的链接，其上的AA签名用于证明证书拥有者所具有的特权，有效时间短。管理颁发部门 由身份管理系统进行控制，一个系统中，每个用户只有一张合法的PKC。与具体的应用密切相关，每个用户可能对不同的应用具有一张属性证书AC，也可能有多张AC。 体系结构 从根CA、下级CA、RA到最终用户 从信任源点SOA、授权服务中心AA、资源管理中心RM到

39、最终用户 2）授权管理基础设施 （PMI） 3 of 4电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 （3）PMI在电子政务中的应用授权管理基础设施（PMI）以一个身份鉴别体系（如PKI体系）为基础，向应用系统提供全面统一的授权管理和访问控制服务。PMI主要提供分布式计算环境中应用系统的访问控制功能，通过将访问控制机制从具体应用系统的开发和管理中分离出来，使访问控制机制与应用系统之间能灵活而方便地结合和使用。2）授权管理基础设施 （PMI） 4 of 4电子政务安全运行管

40、理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 安全管理服务 安全测评服务 应急响应服务安全教育培训服务安全管理服务安全测评服务 应急响应服务 社会服务体系社会服务体系安全教育培训服务电子政务安全运行管理体系安全基础服务保障体系社会服务体系电子政务安全体系框架电子政务安全技术保障体系电子政务安全概述 安全管理服务 安全测评服务 应急响应服务安全教育培训服务安全管理服务 安全管理服务提供商（MSSP）提供由网络安全专家、专业的网络安全工具和安全管理策略组成的完整的安全解决方案。（1）MSSP服务的内容： 安全咨询服务 安全技术管理服务 数据安全分析服务 安全管理评估服务 （2）MSSP的特点 ： 是介于客户与产品之间的桥梁 最终目的是让客户的成功最大化