9第九章 电子政务工程设计

第九章电子政务工程设计本章重点：电子政务概述电子政务系统设计电子政务CA的建立和管理基于SSL的web安全机制电子政务VPN的建立第九章：电子政务工程电子政务概述：电子政务的背景电子政务是指政府机构利用信息化手段，实现各类政府职能。其核心是：应用信息技术，提高政府事务处理的信息流效率，改善政府组织和公共管理。1993年，美国全国绩效评估委员会（NPR）提出《创建经济高效的政府》和《运用信息技术改造政府》两份报告，揭开了美国电子政务建设的序幕。我国的电子政务起步于20世纪80年代末期，1999年，40多个部委的信息主管部门共同倡议发起了“政府上网工程”，开始系统推进电子政务的发展，2002年7月3日，国家信息化领导小组审议通过《中国电子政务建设指导意见》，提出了“十五”期间我国电子政务建设的目标是：初步建成标准统一、功能完善、安全可靠的政务信息网络平台；重点业务系统建设，基础性、战略性政务信息库建设取得实质性成效，信息资源共享程度有较大提高；初步形成电子政务安全保障体系，人员培训工作得到加强，与电子政务相关法规和标准的制定取得重要进展。这标志着中国电子政务建设进入了一个全面规划、整体发展的新阶段。第九章：电子政务工程电子政务概述：电子政务业务与信息流电子政务的业务模型

政务信息查询

公共政务办公

政府办公自动化第九章：电子政务工程电子政务概述：电子政务业务与信息流电子政务的信息流

政务办公信息流

公共事务信息流

政务咨询信息流第九章：电子政务工程电子政务概述：电子政务的体系结构与特点电子政务体系结构

公共信息WEB

政府内部办公平台

信息安全交换系统

政府网络通信平台第九章：电子政务工程电子政务概述：电子政务的体系结构与特点电子政务体系的特点

安全性

整合性

可扩展性

示范性第九章：电子政务工程电子商务概述：电子商务常缩写为EC（ElectronicCommerce),有人也称为电子贸易，它是指采用网络技术实现数据的交换，从而完成整个的商业交易过程。电子商务所包含的内容非常多，不仅包括商业交易，还包括政府职能部门提供电子化服务，电子银行，跨企业共同协作，网络购物等等。电子安全交易协议(SecureElectronicTransferProtocol)1997年5月31日，由美国VISA和Mastercard国际组织等联合指定，该协议得到大多数厂商的认可和支持，为在开发网络上的电子商务提供了一个关键的安全环境。第九章：电子政务工程电子商务概述：企业间的电子商务（B2B）即企业与企业（Business-Business）之间，通过Internet或专用网方式进行电子商务活动。企业与消费者之间的电子商务（B2C）即企业通过Internet为消费者提供一个新型的购物环境——网上商店，消费者通过网络在网上购物、在网上支付。

电子商务的体系结构与电子政务非常相似，其核心都是基于安全网络的信息系统，电子商务对信息安全的要求主要是交易、支付过程。而电子政务则主要侧重内部数据的安全。第九章：电子政务工程电子政务系统设计：电子政务网络平台电子政务内网

以一个城市为例，以市政府为网络核心，采用星型结构辐射到之内各政务、业务部门，中间链路可以采用光缆、帧中继、E1等等。

核心交换机可以采用双核心或快速交换环网技术；

路由协议采用安全认证的OSPF等；

市政府的服务器单独作为一个子网；各业务、政务部门可以设立本地的服务器也可以放在中心服务器子网中。电子政务外网

外网通过防火墙、物理隔离网闸、路由器接入。第九章：电子政务工程电子政务系统设计：内外网隔离技术物理隔离网闸

物理隔离网闸从网络的7层将数据还原，然后以“摆渡文件”的形式来传递数据。它有以下特点:

1、采用主机CPU的时钟作为开关。

2、抗攻击内核

3、完全支持所有的Internet标准

4、基于协议的内容检测

5、支持身份认证物理隔离网卡

在各部门办公室通过隔离网卡来实现内外网的分离。第九章：电子政务工程电子政务系统设计：电子政务信息系统第九章：电子政务工程电子政务系统设计：电子政务信息系统

政务处理逻辑结构第九章：电子政务工程电子政务CA的建立和管理：电子政务的安全管理有PKI提供相关的证书和认证体系。在选择PKI部署时，可以选用CA（CertificateAuthority）的PKI，也可以部署政府级PKI，还可以混合使用。PKI技术

公钥基础设施（PublicKeyInfrastructure，简称PKI）是跟随电子商务一同发展起来的技术，是目前网络安全建设的基础与核心，是电子商务/电子政务安全实施的基本保障，其价值在于使用户能够方便地使用加密、数字签名等安全服务。PKI是以公开密钥密码学为理论技术基础的一整套网络信息安全技术设施与服务。其内容包括数字证书、不对称密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认性服务、时间戳服务、相关信息标准、操作规范等。

第九章：电子政务工程电子政务CA的建立和管理：PKI的功能

1、认证机构CA

2、数字证书库，数字证书和公钥

3、密钥备份及恢复系统；私钥管理。

4、证书作废系统

5、应用接口（API）PKI的安全机制

1、认证

2、密钥管理

3、完整性和不可否认性

第九章：电子政务工程电子政务CA的建立和管理：CA服务器的选择

1、可以选择PC服务器即可

2、操作系统，windows2000server

3、CA系统，支持相关标准、易管理、成本问题规划证书颁发机构

1、根CA和从属CA

2、企业CA和独立CA

3、微软的4种CA

4、规划证书层次结构

第九章：电子政务工程基于SSL的Web安全机制：SSL安全机制

1、SSL（SecuritySocketLayer）安全套接字层是由Netscape公司设计的一个开放的协议，在应用层协议（如HTTP、FTP等）和TCP/IP协议之间提供分层的数据安全的机制；对于一个TCP/IP连接，SSL提供数据加密、服务器认证、信息完整性和可选的客户端认证；SSL已经被认定为因特网上WEB浏览器和服务器的标准安全方法。

2、通常我们使用HTTP访问一个网页，其消息是明文传输。

3、SSL可以全面加密整个网络传输信道（隧道）

4、使用SSL客户端通过浏览器访问服务器时，服务器会向客户端传送数字证书和公钥，客户端生成会话密钥；并对会话加密。第九章：电子政务工程基于SSL的Web安全机制：基于SSL的Web服务器

1、在Web服务器上安装证书服务。

2、从可靠的证书颁发机构获取服务器的Web证书。

4、在Web服务器上设置SSL选项。

5、客户端必须信任服务器的证书

6、WEb服务器来管理IIS和服务器证书中的SSL。

7、CTL（CertificationTrustList）证书信任列表

8、权限向导分配各Web站点和NTFS虚拟目录上的文件第九章：电子政务工程电子政务VPN的建立及使用：VPN技术与类型

1、VPN即虚拟专用网(VirtualPrivateNetwork)，是一条穿过混乱的公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输，在一个公用网络（通常是因特网）建立一个临时的、安全的连接，从而实现在公网上传输私有数据、达到私有网络的安全级别。

2、VPN的主要标准

会话层：SOCKSV5和SSL

网络层：IPSec

数据链路层：PPTP/L2F/L2TP第九章：电子政务工程电子政务VPN的建立