《陕西省区县级电子政务培训幻灯片-信息安全基础设施-ca》由会员分享,可在线阅读,更多相关《陕西省区县级电子政务培训幻灯片-信息安全基础设施-ca(41页珍藏版)》请在金锄头文库上搜索。
1、信息安全基础设施,2009年11月,陕西省县级电子政务建设要求与技术规范编写组,陕西省县级电子政务建设 培训教材,5,统一授权,安全传输,统一审计,信息安全及PKI,5,数字证书技术及应用,信息安全基础设施介绍,区县电子政务信息安全基础设施,PKI公钥基础设施,信息安全是指信息网络的硬件、软件及其系统中的数据信息受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,它是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术等综合技术的学科。,信息安全介绍,信息安全所属层次,已解决的安全问题,物理(设备、环境、链路等)安全 防范攻击(针对设备、
2、链路、主机、服务器) 主机安全 防范入侵破坏 主要针对外部攻击,待解决的安全问题,你是谁(身份认证,解决信任问题) 能干什么(授权管理,解决访问控制) 何时干了什么(责任认定,解决管理问题) 数据保护(数据加密,解决数据安全问题),主要的信息安全威胁 缺乏可信身份:非法、匿名用户登录和使用相关信息资源及系统; 信息窃取:非法用户通过数据窃听的手段获得敏感信息。 信息篡改:非法用户对合法用户之间的通讯信息进行修改,再发送给接收者。 行为否认:合法用户否认已经发生的行为。 非授权访问:未经系统授权而使用网络或计算机资源。,信息安全的实现目标 身份真实性:实现可信的强身份认证,建立信任体系。 信息保
3、密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义。 信息完整性:保证数据的一致性,防止数据被非法用户篡改。 不可抵赖性:建立有效的责任机制,防止用户否认其行为。 可 审 查 性: 对出现的网络安全问题提供调查的依据和手段。,信息安全威胁及目标,政务内网、政务外网、公共服务网的网络环境,都存在对电子政务的安全威胁,包括网上黑客入侵和犯罪、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等。 数据作为系统最终的元素是安全保障的根本,对电子政务而言尤其重要,它涉及国家机密、部门工作秘密、内部敏感信息和开放服务信息,其主要安全隐患
4、是窃取、篡改、假冒、抵赖、销毁。同时电子政务网络是涉密系统,黑客可能渗透到国家职能部门,内部人员很容易通过网络安全防护不严的特点直接攻击系统漏洞、利用漏洞窃取信息、假冒身份、阻塞服务等,这也是电子政务的重要安全问题。,电子政务应用存在的信息安全隐患,安全 需求,数据保密性,身份真实性(认证),数据完整性,行为防抵赖,系统可用性,系统可靠性,电子政务信息安全需求,5,统一授权,安全传输,统一审计,信息安全及PKI,5,数字证书技术及应用,信息安全基础设施介绍,区县电子政务信息安全基础设施,PKI公钥基础设施,公钥基础设施(Public Key Infrastructure,简称PKI)是目前信息
5、安全建设的基础与核心,是电子政务、电子商务信息安全实施的基本保障。对PKI技术的研究和开发成为目前信息安全领域的热点。,公钥基础设施PKI,是一个包括硬件、软件、人员、安全策略和规程的集合,用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。,是利用非对称密码算法原理和技术 ,提供对用户透明的公钥加密和数字签名等服务的综合系统,使一个组织构建起一个可维护可信任的网络体系。,PKI基础设施就是一个普适性基础,它在一个大环境里起着信息安全基本框架的作用。作为基础设施,需要实现“应用支撑”的功能,可以让“应用”正常工作。 PKI基础设施具有以下特性: 具有易于使用、人性化较好的
6、界面; 基础设施提供的安全服务可以预测并且有效; 应用设备无须了解基础设施的工作原理。,PKI呈现的特点,PKI体系结构,相关术语解释,Private Key 即私钥,经由数学运算产生的密钥(由持有者保管),用于制作数字签名,亦可依据其运算方式,就相对应的公开密钥加密的文件或信息(以确保资料的机密性)予以解密。 Public Key 即公钥,经由数学运算所产生的密钥,可公开取得、并可用于确认由其对应的私钥所产生的数字签名。公开密钥亦可依据其运算方式,将信息或档案加密,再以对应的私钥进行解密。 非对称加密 公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果
7、用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。 数字签名 数字签名就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证。 强身份认证 采用两种以上的身份认证方式来确认登录企业内部系统的人员的真实身份。USB Key加数字证书方式是非常好的强身份认证解决方案 。,PKI信息安全服务,解决信息安全核心问题 身份真实性 信息保密性 信息完整性 授权合法性 行为不可抵赖性 安全保障内容 建立信任体系(强身份认证PKI、PKI应用) 数据安全性(数据加密及解密、数据传输安全) 合法授权(合法的授权机制,严格的访问控制) 责
8、任认定(数字签名、电子举证及证据采集),数字证书是最成熟的安全技术产品之一,技术实现较容易,很好地解决了安全性与易用性之间的矛盾; 在电子政务、电子商务行业有大量的成功案例; 具有安全可靠,便于携带、使用方便、成本低廉的优点,加上PKI 体系完善的数据保护机制,目前业内主流的安全认证模式。 使用第三方认证机构CA签发的数字证书进行身份认证,具备法律效力。,数字证书认证,信息完整性就是确认没有修改,即无论是传输还是存储过程中的数据经过检查没有被修改。 为了保护数据,防范这种攻击,必须采用加密技术。 PKI的完整服务就能够完全满足这样的需求,完整性可以应用到信息流、单个信息或消息中选定的字段。而且
9、,最有用和最直接的保护方式是对整个信息流的保护。,信息完整性,信息保密性,信息保密性就是确保信息的秘密,即除了指定的实体外,无人能读出这段数据。保密性可以防止被动攻击而对传送数据加以保护;保密性的另一方面是保护通信流,以防止分析。 PKI的保密服务是一个框架结构,可以实现信息的加密。通过它可以完成算法协商和密钥交换,而且对参与通信的实体是完全透明的。,行为不可抵赖性,交易的双方签名确认,一旦有纠纷,可以通过法律取电子签名为证据; 私钥只有私人保有,国家无强制备份托管,具有不可抵赖性; 电子签名法对电子签名的法律地位的认可。,电子政务的重要性使得其信息价值倍增,但它本身存在着管理和技术实现的脆弱
10、性,因此电子政务系统容易受到敌对国家和国内外组织、敌对个人犯罪分子以及黑客的攻击,造成政府机密信息的泄漏、破坏甚至被恶意的篡改,对我国的国家安全造成严重威胁。,电子政务应用PKI技术的重要性,电子政务系统是一个涉及到纵向、横向数百个政府部门,连接数千个政府机关及相关单位的系统,如果没有一套强健完善的信任体系,那么系统运行过程中,重要文件、敏感信息的失密、伪造、篡改将泛滥成灾,从而严重影响系统的正常稳定运行,甚至造成难以估计的严重后果。因此,必须采用PKI技术建立一套高可信度的政务信任体系,也就是建立电子政务的PKI系统。,电子政务中的PKI系统是电子政务安全系统的核心,是不可缺少的。,PKI是
11、电子政务安全的技术基石,在此核心技术的基础上,综合采用其它的安全手段和安全管理措施,才能够为电子政务提供一个可信、保密、稳定的业务环境。,电子政务应用PKI技术的重要性,在PKI中,公钥证书将保证电子政务应用涉及的数据的不可否认性和鉴权性;公钥/私钥的交叉使用将保证政务数据的机密性;数字签名将保证政务数据的完整性、操作行为不可否认性。因此,PKI技术正在越来越多地被运用到电子政务应用中去。,信息安全相关政策文件,陕办发【2006】39号 陕西省电子政务网络与信息安全管理暂行办法摘要 陕信化办发【2006】66号 公务员信息化设备配置与使用管理规范 国办发【2006】11号 国务院办公厅转发 国
12、家网络与信息安全协调小组 关于网络信任体系建设若干意见的通知 陕信化办发【2006】70号 陕西省信息化领导小组办公室关于加紧建设陕西省电子政务统一平台的通知 陕信化办发【2006】71号 关于开展陕西省电子政务通用办公资源业务系统与信息安全身份认证应用试点通知 陕办发【2003】76号 关于进一步推动全省数字证书认证应用业务的意见的通知 陕信化办【2004】36号 关于进一步推广数字证书应用 保障信息安全工作的通知 陕信化办发【2007】37号,5,统一授权,安全传输,统一审计,信息安全及PKI,5,数字证书技术及应用,信息安全基础设施介绍,区县电子政务信息安全基础设施,PKI公钥基础设施,
13、数字证书,又叫“数字身份证”、“网络身份证”,是由CA中心发放并经CA中心数字签名的,包含证书持有者信息和公开密钥的信息包,可以用来证明持有者的真实身份的一种电子文件。,数字证书介绍,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障信息网络应用的安全性。,数字证书包含的内容,一个数字证书主要包含以下内容: 证书的版本信息; 证书的序列号,每个证书都有一个唯一的证书序列号; 证书的发行机构名称; 证书的有效期; 证书所有人的名称; 证书所有人的公开密钥; 证书发行者对证书
14、的签名。,数字证书包含的内容,由法定第三方认证中心颁发的数字证书,具有权威性与法律性,准确、真实地标明了证书持有人的身份信息,数字证书介质,双因子认证 每一个U-KEY都具有硬件介质及PIN码。 用户只有同时取得了U-KEY和PIN码,才可以登陆系统。即所谓“双因子认证”。,按照国家规定,陕西CA采用U-Key作为数字证书的存储介质U-Key具有如下的特点:,带有安全存储空间,U-KEY具有8K-128K的安全数据存储空间,可以存储数字证书、用户密钥等秘密数据。对该存储空间的读写操作必须通过专用程序实现,用户无法直接读取,其中私钥是绝对不可导出的,杜绝了恶意复制用户数字证书盗取用户身份信息的可
15、能性。,硬件的加解密算法,内置CPU或智能卡芯片,可以实现加解密和签名的各种算法。加解密运算在U-KEY内运行,保证了用户密钥不会出现在计算机内存中,从而杜绝了用户密钥被黑客截取的可能性。,数字证书在电子政务中的应用,国家电子政务建设信息安全方面的统一标准要求电子政务建设必须把内外网的网络安全性和保障网内信息传输的机密性、完整性、不可抵赖性放在首要位置。 各个地区要以数字证书中心为重点进行电子政务信息安全基础设施的建设,作为实现政务信息安全的技术支撑和为实现省市县乃至全国政务内外网互联互通提供有力技术保障。,政策支持,基于先进的密码技术的数字证书认证技术适应电子政务安全保障的多层次要求,很好地
16、解决了诸如网络身份识别、数据信息保密、数据信息防篡改、网络操作行为不可抵赖等问题,完全满足电子政务业务的安全保密性要求。,基于数字证书认证技术确认用户身份的真实性、合法性应用于不同的电子政务应用安全登录机制; 基于数字证书技术的电子签章技术保证公文传输的安全性及法律性应用于政务公文系统、协同OA系统等; 基于数字证书技术保证数据文件的完整性使用数据加密、数字签名应用于电子政务应用; 基于数字证书技术保证网络操作行为的不可抗抵赖性政务行政审批系统、网上政务办公系统,数字证书在电子政务中的应用,5,统一授权,安全传输,统一审计,信息安全及PKI,5,数字证书技术及应用,信息安全基础设施介绍,区县电子政务信息安全基础设施,PKI公钥基础设施,信息安全基础设施是一个完整的PKI架构完整实现。一个完整的PKI架构包括证书生产体系、证书服务体系、PKI安全中间件和安全应用支撑平台、以及数字证书和基于数字证书的安全应用,其中PKI安全中间件是安全支撑平台的开发环境和运行环境,通过PKI安全中间件可将PK
