收藏
下载资源

第二讲电子政务基础设施篇精编版

上传人:ahu****ng1 文档编号:141966786 上传时间:2020-08-14 格式:PPTX 页数:130 大小:1.01MB
返回 下载 相关 举报
第二讲电子政务基础设施篇精编版_第1页
第1页 / 共130页
第二讲电子政务基础设施篇精编版_第2页
第2页 / 共130页
第二讲电子政务基础设施篇精编版_第3页
第3页 / 共130页
第二讲电子政务基础设施篇精编版_第4页
第4页 / 共130页
第二讲电子政务基础设施篇精编版_第5页
第5页 / 共130页
点击查看更多>>
资源描述

《第二讲电子政务基础设施篇精编版》由会员分享,可在线阅读,更多相关《第二讲电子政务基础设施篇精编版(130页珍藏版)》请在金锄头文库上搜索。

1、1,第二讲 基础设施篇, 2013,2,主要内容,第五章 网络基础设施 电子政务网络的体系结构 电子政务的网络基础设施设计 电子政务的网络接口设计原则 第六章 网络信任域基础设施 网络信任域技术 电子政务网络信任域的构建,3,主要内容,第七章 公钥基础设施 公钥密码技术 公钥基础设施PKI技术 数字证书认证中心CA的系统设计 密钥管理中心KM的系统设计 数字证书审核注册中心RA的系统设计 密钥和证书管理 第八章 授权管理基础设施 授权管理基础设施PMI技术 授权管理服务系统 授权管理中心AA的系统设计 通用业务流程,4,第五章 网络基础设施,本章主要内容 电子政务网络的体系结构 电子政务的网络

2、基础设施设计 电子政务的网络接口设计原则,5,5.1 电子政务网络的体系结构,电子政务网络的体系结构包括 外网 Internet 内网 公众服务业务网 负责提供与统一的安全电子政务平台中的电子政务服务业务系统相对应的数据服务支持功能 非涉密政府办公网 负责提供对部分业务数据的审批等处理 涉密政府办公网(专网) 负责提供政府内部办公业务数据的流转,6,电子政务网络的体系结构,统一的安全电子政务平台 负责承载各类具体的电子政务业务系统并围绕一站式电子政务服务框架将电子政务业务系统连接成一个有机的整体 其上提供 统一的接入平台 统一的Web门户平台 统一的Web服务平台 统一的信息交换平台,7,电子

3、政务网络的体系结构,建设内容 统一的安全电子政务平台 自身建设 与外部的Internet、电信公网(PSTN)、短信服务网络、以及无线接入网络的互联 政务内网 对每个政府部门分别进行公众服务业务网络、非涉密政府办公网络、涉密政府办公网络系统 政务专网 在政务内网中的非涉密政府办公网络之间建立互联的非涉密政务专网,而在内部涉密政府办公网络之间则建立互联的涉密政务专网,网络信任域,网络信任域,网络信任域,网络信任域,电信公网,Internet,金融机构,金融机构,金融机构,金融机构,统一接入平台,统一接入平台,统一接入平台,统一接入平台,GSM,GSM,GSM,GSM,GSM,GSM,涉密交换平台

4、,涉密交换平台,涉密交换平台,涉密交换平台,电子政务网络系统基础设施总体结构,9,金融服务系统,统一的安全电子政务平台,统一的信息交换平台,可信的政务一站式服务,统一的Web门户平台,统一的接入平台,金融机构,公共服务网,内部办公网,社保,公共服务网,内部办公网,工商,公共服务网,内部办公网,税务,.,PKI/PMI,国务院办公厅涉密网,涉密交换平台,VPN,安全岛,网络信任域,电子政务网络系统基础设施总体结构中的 网络信任域结构,电信公网,Internet,10,统一的接入平台,统一的Web门户平台,统一的Web服务平台,统一的数据交换平台,PKI/PMI,可信 SOAP,可信 SOAP,业

5、务处理,其他系统,办公处理,其他系统,公众服务业务系统,非涉密办公网,Data,可信 SOAP,业务处理,其他系统,办公处理,其他系统,公众服务业务系统,非涉密办公网,Data,可信 SOAP,业务处理,其他系统,办公处理,其他系统,公众服务业务系统,非涉密办公网,Data,逻辑隔离,逻辑隔离,逻辑隔离,工商系统,税务系统,社保系统,非涉密政务专网,政务内网的总体结构,涉密办公网,涉密办公网,涉密办公网,涉密政务专网,11,5.2 电子政务的网络基础设施设计,统一的安全电子政务平台 是整个电子政务建设的基础(枢纽)工程 统一接入平台、统一的Web门户平台、统一的Web服务平台、统一的信息交换平

6、台之间通过具有第三层交换功能的(全双工的冗余链路互联的)交换机设备进行互联,形成单点无破损的结构 提供对多种接入终端的支持 对Internet和电信公网采用两种接入方式 直接接入:负责普通用户访问电子政务服务 虚拟专用网(VPN)接入:负责移动办公和有待安全需求的用户的安全接入,12,电子政务的网络基础设施设计,公众服务业务网络 提供各类具体的公众政务服务资源 可以通过可信SOAP负责与统一的信息交换平台相连接,作为统一的信息交换平台的数据源而工作 非涉密政府办公网络 运行政府部门内部非涉密的办公系统,完成日常的办公业务处理 对从统一的安全电子政务平台上运行的公众政务服务业务系统中所获得的业务

7、服务请求进行处理 对可能涉及到的敏感信息部分,可以采用与公众服务业务网络物理隔离措施(网闸等),13,电子政务的网络基础设施设计,涉密政务办公网络(即政务内网) 根据国家保密局的要求必须将其与非涉密网络进行物理隔离(完全的物理隔离,不可采用网闸等时断时开措施) 网络安全结构设计 对整个系统内部的安全区域清晰地划分,即与接入平台以及Web服务门户系统直接相连的网络系统为非安全的网络,除此之外,其余的内部网络系统均可以视为安全的网络系统,14,5.3 电子政务的网络接口设计原则,四类接口 统一的安全电子政务平台的对外服务接口 面向社会提供对电子政务业务服务的访问接入功能 提供对GSM、Intern

8、et、电信公网、CDMA四种典型的接入方式 公众服务业务网络与非涉密政府办公网络的接口 非涉密政府办公网络不可直接与公众服务业务网直接连接,需要采用网络逻辑隔离措施 提供网络接入控制和配套的安全保护措施 非涉密政府办公网络与涉密政府办公网络的接口 两网之间必须采用物理隔离(国密办要求),15,电子政务的网络接口设计原则,四类接口 统一的安全电子政务平台与公众服务业务网络的接口 是对整个电子政务平台所承载的具体电子政务应用系统提供安全性保障的业务数据交换接口 对应用层的数据交换提供两个层次的安全功能 网络层的安全功能 通过PKI网关提供信息传输的安全保护,确保传输过程中的机密性、完整性 应用层的

9、安全功能 通过可信SOAP服务器完成,重点在应用层结合安全SOAP的访问控制技术和cegXML所提供的元素级安全功能提供对交换数据的安全保护,16,第六章 网络信任域基础设施,本章主要内容 网络信任域的体系结构 网络信任域技术 电子政务网络信任域的构建,17,6.1 网络信任域及其体系结构,网络信任域是构建电子政务网络基础设施的关键技术之一 区别 传统的Internet 对等的、无中心的、无管理的 网络信任域 可管理的、有中心的 通过下面三个层面的安全措施确保数据的机密性、完整性、身份认证、不可抵赖性、授权服务 终端设备的安全可信接入 采用接入认证交换机 网络设备的安全可信管理 采用PKI网关

10、(此为构建网络信任域的关键机制) 数据信息的安全可信传输 采用信任域管理服务平台,网络信任域1,安全可信接入,接入认证交换机,终端设备,终端设备,终端设备,终端设备,网络信任域2,安全可信接入,接入认证交换机,终端设备,终端设备,终端设备,终端设备,安全可信通信,更高一级的网络信任域,网络信任域的组织示意图,19,6.2 构建网络信任域的核心技术,1. 基于PKI(Public Key Infrastructure)的身份认证 为网络信任域中的所有用户和设备颁发PKC(Public Key Certificate) 网络信任域可以采用基于PKI的双密钥对机制,采用符合ITU-T X.509 V

11、4规范的证书格式 结合IPSec协议,以加密密文的形式进行信息传输 “一人一证,一机一证” 解决网络中“你是谁”的问题,20,构建网络信任域的核心技术,2. 基于PMI(Privilege Management Infrastructure)的授权服务 向用户和应用程序提供授权管理服务 提供用户身份到应用授权的映射功能 可以采用基于PMI的属性证书机制,对用户、设备的身份及其权限和许可信息进行绑定 解决网络中“你能做什么”的问题,21,构建网络信任域的核心技术,3. 基于硬件形式的证书存储 将用户、设备的数字证书存储在客户端的实体鉴别密码器中,因此提高了系统的安全级别 此外还提供密钥的生成和管

12、理、实体鉴别、数字签名的生成和验证、以及证书管理和密码运算等功能 4. 基于PKI和IEEE802.1X标准的可信接入 实现“基于端口的网络接入控制”,对以端对端方式连接到网络端口的设备进行认证和核准,以阻止非法用户接入该端口,22,构建网络信任域的核心技术,5. 基于PKI的可信传输 网络信任域提供了构建VPN的设备(PKI网关),其认证和加密都基于PKI技术 系统通过采用PKI身份证书来实现对PKI网关的运行、管理、配置以及VPN虚拟专网的动态构建 通过PKI身份证书的认证机制来实现对终端用户的身份鉴别,基于PKI的VPN也能够提供对用户数据的保护功能 因此,基于PKI技术就可以在两个PK

13、I网关之间构建一个端对端的加密安全通道,23,构建网络信任域的核心技术,6. 基于PKI的信任域综合管理系统 是网络信任域的管理操作平台,负责对网络信任域内的用户和网元进行设置和信息提取,并负责对整个网络信任域环境的安全运行进行检测和管理,使网络信任域得以实现的支撑管理系统 采用基于SNMP(Simple Network Management Protocol,简单网络管理协议)协议的操作接口,能够实现网络信任域中的设备管理配置,以及监控数据和业务数据的采集 采用基于PKI技术实现信任域管理功能 对环境内的所有设备进行基于PKI身份证书的验证和管理,确保网络元素的可信接入 通过PKI技术,为环

14、境中的所有信息提供安全通道,24,构建网络信任域的核心技术,6. 基于PKI的信任域综合管理系统(续) 网络信任域管理的核心思想 基于统一的PKI机制,建立分布式的、逐级可信的信任域管理。 采用策略一致的PKI证书发布及认证机制,协调管理员可以根据网络的规模的网络的分布状况,为整个系统建立多级信任域管理的分层模型,并为每个信任域架构服务于本信任域的信任域综合管理系统 位于系统上层的信任域可以接收下层信任域采集的业务数据,负责对下层的信任域提供系统管理和信任服务,通过分层管理可以构建范围更广的网络信任域,25,接入认证交换机,为了实现网络信任域的可信接入,首先应对接入认证交换机和认证服务器进行身

15、份认证。 接入认证交换机和认证服务器采用内置PKI证书方式进行唯一的身份标识,在接入认证交换机后端的认证服务器进行信息交互时必须进行交互身份认证,从而确保双方身份的真实性。 为接入认证交换机对接入设备的认证通过了可信的基础,同时通过交互式身份验证,为交换机与认证服务器之间的信息及交互提供了加密的通道(采用UDP协议),确保了认证信息的安全传输,26,接入终端设备,网络信任域的可信接入是终端设备/用户的可信接入。基于802.1x标准,接入交换机的每个端口为接入设备提供了一个物理网络端口上的两个逻辑端口: 带接入控制开关的受控端口,该端口与后端的业务资源系统相连 不带控制开关的非受控端口,该端口与

16、交换机内部负责执行802.1x协议的认证端口接入模块(Port Access Entity, PAE)相连。 非受控端口接入单元将作为接入设备的认证代理,负责与后端的认证服务器进行交互,共同完成对接入设备的认证过程,并根据认证的结果控制受控端口的接入控制开关,确保只有合法的设备和用户才可以接入网络的业务资源,而非法用户或未通过认证的用户将从链路层上与网络隔离,从而极大地保证了网络环境的安全型和可控制性,基于端口的网络接入控制的实现机制结构框图,硬件证书,接入终端,客户端PAE,受控端口,非受控端口,认证方PAE,端口接入控制开关,认证控制,认证服务器,网络业务资源,核心交换平台,认证服务系统,内含身份证书的接入认证交换机,端口访问实体:(PAE,Port Accessing Entity)网络访问技术的核心部分是PAE(端口访问实

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 管理学资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号