政务信息安全支撑平台建设教材.docx
《政务信息安全支撑平台建设教材.docx》由会员分享,可在线阅读,更多相关《政务信息安全支撑平台建设教材.docx(47页珍藏版)》请在冰豆网上搜索。
政务信息安全支撑平台建设教材
分类号密级秘密
UDC编号1
学号001
工程硕士
学位论文
**市电子政务信息安全支撑平台建设
研究生姓名:
导师、职称:
教授
企业副导师:
高级工程师
申请学位级别工程硕士专业名称电子与通信工程
论文提交时间:
2007年10月 论文答辩时间:
2008年 月
学位授予单位:
答辩委员会主席:
评阅人:
2007年10月
**市电子政务信息安全支撑平台建设
中 文 摘 要
电子政务是建立廉洁政府、提高工作效率和实现信息资源共享的重要手段之一,其主要目标是通过利用计算机技术、信息技术和现代化管理技术等来整合政府的信息资源并促进信息的有效流转,同时也希望通过实施电子政务网上办公平台不仅能够实现独立环节的政府办公,同时能更有效的将各个环节衔接起来,使得政府的业务过程实现自动化处理。
随着信息化建设的逐步推进及网络技术的发展,同时也带来了一系列的安全问题,如网络黑客、网络犯罪、病毒爆发等等,这些问题严重制约了电子政务信息化建设的步伐,成为系统建设重点考虑的环节。
电子政务要发展,必须解决对安全问题的担忧。
本文针对**市电子政务系统的需求分析基础上提出解决方案,主要内容如下:
(1)提出基于PKI技术的安全基础平台的建设。
安全基础平台以基于公钥的密钥和证书管理系统为基础,建立统一的身份认证机制对用户进行管理。
它对信息的防护可分为两层结构:
第一层防护为授权和访问控制,通过灵活的授权与访问控制机制,控制对信息的访问者范围;第二层利用密码手段进一步保证信息的保密性、完整性和不可抵赖性。
(2)另设计了安全辅助支撑平台以防范网络内部的行为滥用和网络外部的恶意攻击,安全辅助支撑平台包括:
病毒防护、信息加密、入侵检测、漏洞扫描、安全保密管理等安全技术和管理措施在内的一整套解决方法,目的是建立一个完整的、立体的、多层次的网络安全防御体系,从而构建电子政务信息安全支撑平台。
关键字:
电子政务;安全支撑平台;信息安全
The**cityelectrongovernmentaffairsinformationsecuritysupportsplatformconstruction
Abstract:
Theelectronicgovernmentaffairsaretheestablishmenthonestgovernment,theenhancementworkingefficiencyandoneofrealizationinformationresourcesharingimportantmethods,itsessentialtarget isthroughusingthecomputertechnology,theinformationtechnology andthemodernmanagementtechnologyandsooncomestheconformitygovernmenttheinformationresourceandthepromotioninformationeffectivelypasts,simultaneouslyalsohopesthroughtheimplementationelectrongovernmentaffairson-lineworkplatformnot onlytobeabletorealizetheindependentlinkgovernmentwork simultaneouslycanbemoreeffectivelinksupeachlink,causesthegovernmentserviceprocessrealizationautomationprocessing.Alongwiththeinformationconstructiongraduallyadvancementandthenetworktechnologydevelopment,alsohassimultaneouslybroughtaseriesofsecurityproblem,likenetworkhacker,networkcrime,viraleruptionandsoon,thesequestionshaveseriouslyrestrictedtheelectronicgovernmentaffairsinformationconstructionstep,becomesthesystemconstructionkeyconsiderationthelink.Theelectronicpoliticsmustdevelop,mustsolvetosecurityproblemworrying.
Thisarticleproposesthesolutioninviewofinthe**cityelectrongovernmentaffairssystemdemandanalysisfoundation,maincontentasfollows:
(1)proposesbasedonthePKItechnologysecurityfoundationplatformconstruction.
Thesecurityfoundationplatformtakebasedonthemalekeyandthecertificatemanagementsystemmanagementsystemasafoundation,establishtheunifiedstatusauthenticationmechanismtocarryonthemanagementtotheuser.Itmaydivideintotwostructurestotheinformationprotection:
Thefirstprotectionfortheauthorizationandtheaccesscontrol,throughnimbleauthorizedandtheaccesscontrol mechanism,controlstotheinformationvisitorscope;Secondusingthe passwordmethodfurtherguaranteedtheinformationthesecrecy,theintegrityandcannotdenythenature.
(2)designedthesafeassistancestrutplatformtoguardagainstthenetworkinteriorinadditionthebehaviortoabusewiththenetworkoutsidethemaliciousattack,thesecurityassiststhestrutplatformtoinclude:
Theviralprotection,theinformationencryption,theinformationcompletenesscheck,theinvasionexamination,theloopholescan,securitytechnologyandamanagementmeasureandsoonsafesecuritymanagemententiresetofsolution,thegoalisestablishestobecompletethree-dimensionally,themulti-levelnetworksecuritydefensesystem,thusconstructsthecitylevelelectrongovernmentaffairssystemomni-directionalsecurityplatform.
Keywords:
Electronicgovernmentaffairs;Safestrutplatform;Informationsecurity
第一章绪论
1.1课题来源与背景
2002年5月**市国民经济和社会信息领导小组第一次全体会议正式提出实施电子政务建设。
**市电子政务建设以《**市国民经济和社会信息化总体规划》为指导原则,基本建设思路是建立统一的、资源型、改革型的电子政务。
按照经专家论证的《**电子政务工程建设规划》,**电子政务系统可概括为一个“316”的结构体系,即:
三个平台(基础网络平台,安全支撑平台,应用支撑平台),一个门户(政务门户网站),六大系统(领导决策支持系统、应急指挥系统、协同办公系统、一体化行政审批系统、公众服务系统、专业业务系统)。
这种结构体系体现的是以知识管理和信息共享为核心,以信息安全为基础,面向决策支持和公众服务的规划理念。
**市电子政务第一批建设项目就是按照这个规划的目标进行建设的。
2004年3月份启动第一批工程建设,投入建设资金三千五百多万元。
信息安全保障是电子政务发展的基础,安全支撑平台和应用支撑平台是信息安全技术发展的趋势,密码技术是安全支撑平台和应用支撑平台的核心技术。
平台的关键技术目前已经取得突破,基础设备也已取得一定成果,体系设备正在进一步完善。
信息安全支撑平台是整个**市电子政务系统安全运行的基础,为政务系统平台提供统一信任服务、统一授权服务、统一密码管理、网络安全防御、可信时间戳服务、可信网络管理等功能。
它包括防病毒、防黑客攻击和防基于公钥基础设施PKI的身份认证、防抵赖和信息加密系统,为网络层、应用支撑层和应用层提供统一的信息安全服务。
由于安全支撑平台地位十分重要,因此安全平台的建设必须选用具有我国自主知识产权、通过国家相关主管部门安全审查的、具有完整体系结构的信息安全技术和设备。
(1)电子政务行使政府职能的特点导致来自外部或内部的各种攻击,包括黑客组织、犯罪集团或信息战时期信息对抗等国家行为的攻击。
攻击包括基于侦听、截获、窃取、破译、业务流量分析、电磁信息提取等技术的被动攻击和基于修改、伪造、破坏、冒充、病毒扩散等技术的主动攻击。
网络威胁包括来自内部与外部的威胁、主动攻击与被动攻击带来的威胁。
网络威胁的隐蔽性、体制性、边界模糊性、突发性、易被忽视(如同恐怖的措手不及)的特点要求引起高度重视。
据统计,11%的安全问题导致网络数据破坏,14%的安全问题导致数据失密。
从恶意攻击的特点来看,FBI统计的结果是65%的攻击来自网络系统内部,如来自内部的非法窃取或非授权访问。
同时,网络办公自动化也导致依赖性的增强。
依赖性必然产生脆弱性。
包括技术的脆弱性、社会的脆弱性、人的脆弱性。
(2)信息网络的可腐败性是电子政务必须考虑的另一问题。
信息系统要求有相应的安全环境。
目前,大部分电子政务选用的系统本身存在着安全弱点或隐患。
网络硬件设备弱点如服务器、网络设备等安全问题将危害网络的可靠性和可用性。
操作平台的弱点和漏洞(如操作系统、数据库系统、通用软件系统等)可能构成系统隐患。
应用软件系统的脆弱性、应用系统的BUG、代码错误、不安全代码的执行模式或不安全设计可能构成安全风险。
网络的脆弱性、网络协议的开放性(TCP/IP协议栈)、系统的相互依赖性导致网络存在安全风险。
安全设计本身的不完备性可能构成网络新的安全风险。
新的风险点、新的漏洞被发现、新的攻击技术手段被利用等电子政务的管理安全问题。
网络安全管理人员对系统漏洞的置若罔闻是基于同样漏洞的攻击行为多次得以成功的原因之一。
安全管理要求考虑网络系统的安全配置、正常运行、安全操作、应急响应、安全审计等问题。
所以,根据这个选题依据。
本文分析和研究了大量近年来国内外关于可信政务信息系统的学术论文及文献,对建设可信政务信息系统的若干问题进行了探讨,针对建设具有高安全性信息管理系统的重要环节进行了深入的研究,实验表明本文采用的应用系统与安全支撑平台结合的方法是合理的,具有一定的理论价值与实用价值。
政务信息安全需求全面、合理是可信政务系统首要完成的第一步,本课题的预期目标是实现安全应用支撑平台在保障应用系统信息安全方面提供了集中管理和分散控制的功能,实施统一的安全策略,避免安全弱点的出现,从而保证整体应用系统的安全水准。
本课题通过对主流安全技术研究,提出适合国家发改委业务安全需求的平台安全体系,完成业务系统与安全支撑平台的有效结合,最终实现选用的安全技术为本课题业务系统提供了较高的安全强度,实现用户的单点登录,以及对用户使用业务系统的行为进行统一监管。
信息安全传输实验结果表明这种方法具有很好的性能,为后续的研究工作打下了良好的基础。
1.2电子政务概述
1.2.1电子政务
电子政务的概念来源于美国,即E-GOVERNMENT,也称GOVERNMENTONLINE,其涵义是指政府机构在管理和服务的过程中运用现代信息和通信技术,通过互联网实现组织结构和工作流程的优化重组,超越时间和空间以及部门之间的分隔制约,向社会提供全方位的信息共享和服务,具有高效、透明、规范等优点,有利于公众监督和政务公开,从而最终实现转换政府角色,调整政府管理职能。
世界各国都在大力推动政府部门办公自动化、网络化、电子化和信息共享,以利用INTERNET技术增强政府效率和提高政府威信[1]。
随着信息技术在世界范围内的迅速发展,特别是互联网技术的普及和应用,推进政府部门办公自动化已是大势所趋。
电子政务正日益成为信息化最重要的领域之一,联合国经济社会事务部把推进发展中国家的政府信息化作为近年的工作重点。
信息化建设在我国国民经济和社会发展中也具有十分重要的作用。
1.2.2国内外发展动态
1.国外发展的经验教训
电子政务应避免“信息孤岛”。
在信息技术迅速发展的今天,一个国家或城市的国际竞争力会越来越多地通过政府管理职能与效率来体现[2]。
政府推行电子政务能有效地增强政令响应的时效性,不仅可以大大提高政府的工作效率,而且在政务公开、廉政建设以及财政开支节约方面也有显著作用。
美国科罗拉多州在建设电子政务过程中,遇到的一个棘手问题就是州政府的网络存在多个独立架构,缺乏统一规划,限制了不同部门之间的数据共享和协作。
因此跨部门的项目不易沟通,而且由于这一限制,不同部门重复购买同一技术或工具的现象经常发生。
这种情况持续了很多年,对工作效率的影响累积起来非常惊人。
因此国内在建设电子政务平台时的一个重要经验就是,要避免“信息孤岛”,构建高速、灵活、易用和统一的核心架构。
电子政务要构建“生态系统”。
除了实施上的统一规划外,电子政务建设中要有构建“生态系统”的统一观点。
电子政务构建的不是信息孤岛,大量的内外部信息都会经由系统发生联系,所以要打破传统组织机构的狭隘界线,考虑内部系统与不同外部系统的连接,以便开放地共享信息。
在这一过程中,可以考虑利用诸如IP语音、无线局域网、长距离以太网、内容网络和IP存储等先进技术来构建生态系统。
比如在科罗拉多州,集中的、基于企业资源计划(ERP)的管理系统,已经将过去人力资源、财政管理和商务系统进行统一,在下一步的方案中,还将继续统一在线采购系统,这个方案可使31000名州政府雇员通过网络系统来处理相关信息[3]。
2.国内发展的情况
国务院规定,安全保密技术与信息技术发展同步--也就是同步发展、同步规划。
政府各部门内部的局域网都应该设密码。
在加密、防黑客、防病毒等信息安全技术还没有应用之前,政府内部的局域网不应该传输涉密文件,办公系统就不应该上网。
因此,电子政务安全建设要求保护网络中信息存放、传输的安全,提高网络防护、检测、响应恢复和对抗攻击的能力,保证网络的保密性、鉴别性、完整性、可用性和可控性。
其核心是保证系统数据的安全和系统的可用性,网络安全是基础环节。
在安全设计时,要求技术、管理、法制、教育并举,有机综合多种安全技术,构建整体安全保障体系[4]。
以**市政府的安全支撑平台为例,安全支撑平台是**市电子政务试点示范工程的重要组成部分,它基于公钥基础设施PKI,为网络层、应用支撑层和应用层提供统一的信息安全服务。
由于安全支撑平台的基础是密码技术,安全支撑平台在网络层、业务支撑层以及应用层为**市电子政务试点示范工程提供信息安全保障服务,地位十分重要。
因此,安全支撑平台的建设必须选用具有我国自主知识产权、通过国家密码主管部门和信息安全主管部门安全审查的、具有完整体系结构的信息安全技术和设备。
**市的安全支撑平台建设既要严格遵守国家关于电子政务安全支撑平台的相关规范,同时又必须着眼于该市当前的政务应用大环境,结合当前政务系统建设的实际情况,紧密围绕政务应用为中心,保证应用数据的完整性、真实性、可用性、不可抵赖性和机密性。
安全支撑平台主要功能要求包括:
(1)提供基于数字证书的信任服务,进行证书管理。
(2)提供基于统一安全管理的密钥服务,进行对称密钥和非对称密钥以及相关的服务管理。
(3)提供基于统一安全管理的密码服务。
(4)以信任服务为基础,为电子政务应用系统提供资源访问控制和授权管理服务,支持权限管理。
(5)基于国家权威时间源和公钥技术,为电子政务应用系统提供可信的时间戳服务。
(6)提供数字证书/证书撤消列表的目录查询服务,进行证书/证书撤消列表的目录管理,以及证书状态在线查询服务。
(7)提供基本安全防护服务。
(8)提供基于物理隔离的安全数据交换服务。
(9)提供系统故障恢复及容灾备份服务。
(10)提供网络可信接入及可信管理服务。
安装空调系统保证机房的温度、湿度和洁净度,以确保系统正常运行。
重要的计算机系统安放处应有单独的空调系统,满足在加湿、除尘方面的特殊要求。
1.3研究的意义和内容
**市电子政务系统的整体安全将构建在安全支撑平台之上,安全支撑平台中的PKI服务体系以及可信时间基准将为整个**市电子政务提供一致的信任基准和时间基准。
**市的各级政府办公机构、机关以及业务部门的应用系统将建立在上述统一的电子政务综合业务系统之上,在统一的安全支撑平台的支持下,实现整个电子政务系统应用的安全性。
根据本人对国内国外各个比较成功的电子政务安全支撑平台方案的研究发现,现在的电子政务安全技术分为基于PKI/CA的身份认证技术、加解密、时间戳等技术,各有各的优点,各有各的不足之处。
因此需要设计一个电子政务系统的实例,然后再针对设计的电子政务系统实例进行设计其安全支撑平台。
电子政务建设工程是一个复杂的系统工程,其总体框架必须按照分层的思想加以设计和实现。
电子政务系统可分为四个逻辑层次:
网络基础设施逻辑层、安全支撑逻辑层、应用支撑逻辑层以及电子政务应用逻辑层等四个部分。
这种逻辑结构便于对具体电子政务建设任务进行分解,有助于系统建设的统筹规划和分步实施。
安全支撑逻辑层是提供贯穿整个电子政务系统的安全保障层。
安全支撑逻辑层主要运用公钥基础设施PKI技术,结合传统的信息安全防御手段,为电子政务应用提供安全保障和各种安全服务,是建立一个通用的、高性能的安全电子政务平台的必要条件。
安全支撑逻辑层包括证书认证服务、密钥管理及密码服务系统、授权服务系统、时间戳服务系统以及基本安全防护系统五个部分。
实现核心是建立数字证书认证中心CA,通过为系统中的每个实体颁发身份证书,采用公钥技术为电子政务应用系统提供身份认证、数据机密性、完整性、行为的不可抵赖性等安全服务,并实现基于PKC证书的授权管理。
目前,具体包括硬件网络平台、政务门户网站、一体化行政审批系统(试点)、协同办公系统(试点)和信息交换平台等第一批建设项目将基本完成,具备很好的实验条件
当前,我国电子政务正处于迅速发展的阶段,以电子政务带动信息化,成为一项可以达成的目标。
在电子政务系统的建设过程中,信息安全成为其能否顺利实施的关键因素之一。
从安全的角度看,政务信息关系到党政部门、乃至整个国家的利益,因此它要比商务或个人信息更为敏感,需要更高的安全性。
所以,需要寻求一种在大规模应用环境下建设具有高安全性信息管理系统的技术手段,从政务信息管理系统与关键安全技术结合的角度研究不同实体、不同层次的安全需求和逻辑关系,提出适合大规模应用环境下的保障政务信息安全的解决方案,以满足电子政务的需求。
基于国家发展改革委电子政务试点示范工程(以下简称示范工程),本课题通过投资项目管理信息系统(以项目动态监测系统为主)的设计、开发,重点研究用户身份的确认、用户权限的限定、信息传输过程中的正确性和保密性、业务办理动作的不可抵赖性以及系统之间安全可靠的数据传输等方面,探讨、分析和实现基于安全应用支撑平台实现可信政务信息共享与交换的关键技术。
第二章**市电子政务安全需求分析
**市电子政务建设是一项重要工程,也是市政府的形象工程,本章根据**市政府电子政务建设的实际情况,开始进行市级电子政务安全平台构建的阐述,首先进行市级电子政务需求的分析。
2.1电子政务的建设背景
通过技术手段构建市级电子政务,可优化市政府工作流程,提高政府工作效率,增强政府对社会的服务职能,提高市政府工作的透明性和开放性,以政务公开和行政审批为重点,以为民办事为宗旨,统一规划,协同建设,分级管理,资源共享。
以政府业务流为主线,以用户为中心,按市民、企业、外来投资者、外来旅游者等不同的服务对象,从用户需求及政府提供的公共服务角度出发,来进行设计。
本次探讨是针对**市电子政务建设需求而进行的。
**市电子政务建设包含了内网、外网和涉密网、政务信息数据库建设、电子政务应用系统、网站总体架构设计、网络结构设计、安全平台设计、系统安全方案等几个方面,所涉及的关键技术有Web应用技术、中间件技术、数据库技术、信息安全技术、全文检索技术、数据仓库和数据挖掘技术、网络技术、分布计算技术、数据通信技术、移动计算技术、中文处理技术、多媒体技术,以及智能技术等,而安全与保密问题是电子政务系统必须妥善解决的一个重要方面。
通过为公民配备各自的数字签名,并在电子公务的处理过程中对信息及机密实行最高标准的保护,电子政府不仅将会对网上传递服务的方式充满信心,而且还将给整个经济领域的电子商务发展注入一支兴奋剂。
但是,假如政府在安全和保密问题上出现闪失,那么它们就将失去公众对政府的信任。
为了保证电子政务的安全性,必须从不同方面做好防范措施。
首先,在电子政务投入使用之前,必须设立电子认证机构,由认证机构通过密码技术来确认本人的身份以及电子邮件是否来自本人或政府机关;第二,必须大力开发计算机防病毒技术和计算机安全技术,防止不法分子中途篡改数据等犯罪行为;第三,必须在法律上逐步建立和完善相关的法案,给予电子署名与手写签名、盖章相同的法律保障,制定出规范电子政务安全性的法规,例如“禁止非法入侵网络法”、“电子银行法”、“网络信息保护法”等等:
第四,必须在政府各部门建立安全管理体系,包括安全检测、运行安全、信息安全、计算机安全、人员管理、计算机网络管理以及网络公共秩序安全等等;第五,必须不断完善密码技术,充分利用与电子政府相适应的电子安全技术,(包括用户身份的验证、网络的安全、主机的安全、内容的安全、系统
升级会员 