9第九章 電子政務工程設計

第九章電子政務工程設計本章重點：電子政務概述電子政務系統(tǒng)設計電子政務CA的建立和管理基于SSL的web安全機制電子政務VPN的建立第九章：電子政務工程電子政務概述：電子政務的背景電子政務是指政府機構(gòu)利用信息化手段，實現(xiàn)各類政府職能。其核心是：應用信息技術(shù)，提高政府事務處理的信息流效率，改善政府組織和公共管理。1993年，美國全國績效評估委員會（NPR）提出《創(chuàng)建經(jīng)濟高效的政府》和《運用信息技術(shù)改造政府》兩份報告，揭開了美國電子政務建設的序幕。我國的電子政務起步于20世紀80年代末期，1999年，40多個部委的信息主管部門共同倡議發(fā)起了“政府上網(wǎng)工程”，開始系統(tǒng)推進電子政務的發(fā)展，2002年7月3日，國家信息化領導小組審議通過《中國電子政務建設指導意見》，提出了“十五”期間我國電子政務建設的目標是：初步建成標準統(tǒng)一、功能完善、安全可靠的政務信息網(wǎng)絡平臺；重點業(yè)務系統(tǒng)建設，基礎性、戰(zhàn)略性政務信息庫建設取得實質(zhì)性成效，信息資源共享程度有較大提高；初步形成電子政務安全保障體系，人員培訓工作得到加強，與電子政務相關法規(guī)和標準的制定取得重要進展。這標志著中國電子政務建設進入了一個全面規(guī)劃、整體發(fā)展的新階段。第九章：電子政務工程電子政務概述：電子政務業(yè)務與信息流電子政務的業(yè)務模型

政務信息查詢

公共政務辦公

政府辦公自動化第九章：電子政務工程電子政務概述：電子政務業(yè)務與信息流電子政務的信息流

政務辦公信息流

公共事務信息流

政務咨詢信息流第九章：電子政務工程電子政務概述：電子政務的體系結(jié)構(gòu)與特點電子政務體系結(jié)構(gòu)

公共信息WEB

政府內(nèi)部辦公平臺

信息安全交換系統(tǒng)

政府網(wǎng)絡通信平臺第九章：電子政務工程電子政務概述：電子政務的體系結(jié)構(gòu)與特點電子政務體系的特點

安全性

整合性

可擴展性

示范性第九章：電子政務工程電子商務概述：電子商務?？s寫為EC（ElectronicCommerce),有人也稱為電子貿(mào)易，它是指采用網(wǎng)絡技術(shù)實現(xiàn)數(shù)據(jù)的交換，從而完成整個的商業(yè)交易過程。電子商務所包含的內(nèi)容非常多，不僅包括商業(yè)交易，還包括政府職能部門提供電子化服務，電子銀行，跨企業(yè)共同協(xié)作，網(wǎng)絡購物等等。電子安全交易協(xié)議(SecureElectronicTransferProtocol)1997年5月31日，由美國VISA和Mastercard國際組織等聯(lián)合指定，該協(xié)議得到大多數(shù)廠商的認可和支持，為在開發(fā)網(wǎng)絡上的電子商務提供了一個關鍵的安全環(huán)境。第九章：電子政務工程電子商務概述：企業(yè)間的電子商務（B2B）即企業(yè)與企業(yè)（Business-Business）之間，通過Internet或?qū)Ｓ镁W(wǎng)方式進行電子商務活動。企業(yè)與消費者之間的電子商務（B2C）即企業(yè)通過Internet為消費者提供一個新型的購物環(huán)境——網(wǎng)上商店，消費者通過網(wǎng)絡在網(wǎng)上購物、在網(wǎng)上支付。

電子商務的體系結(jié)構(gòu)與電子政務非常相似，其核心都是基于安全網(wǎng)絡的信息系統(tǒng)，電子商務對信息安全的要求主要是交易、支付過程。而電子政務則主要側(cè)重內(nèi)部數(shù)據(jù)的安全。第九章：電子政務工程電子政務系統(tǒng)設計：電子政務網(wǎng)絡平臺電子政務內(nèi)網(wǎng)

以一個城市為例，以市政府為網(wǎng)絡核心，采用星型結(jié)構(gòu)輻射到之內(nèi)各政務、業(yè)務部門，中間鏈路可以采用光纜、幀中繼、E1等等。

核心交換機可以采用雙核心或快速交換環(huán)網(wǎng)技術(shù)；

路由協(xié)議采用安全認證的OSPF等；

市政府的服務器單獨作為一個子網(wǎng)；各業(yè)務、政務部門可以設立本地的服務器也可以放在中心服務器子網(wǎng)中。電子政務外網(wǎng)

外網(wǎng)通過防火墻、物理隔離網(wǎng)閘、路由器接入。第九章：電子政務工程電子政務系統(tǒng)設計：內(nèi)外網(wǎng)隔離技術(shù)物理隔離網(wǎng)閘

物理隔離網(wǎng)閘從網(wǎng)絡的7層將數(shù)據(jù)還原，然后以“擺渡文件”的形式來傳遞數(shù)據(jù)。它有以下特點:

1、采用主機CPU的時鐘作為開關。

2、抗攻擊內(nèi)核

3、完全支持所有的Internet標準

4、基于協(xié)議的內(nèi)容檢測

5、支持身份認證物理隔離網(wǎng)卡

在各部門辦公室通過隔離網(wǎng)卡來實現(xiàn)內(nèi)外網(wǎng)的分離。第九章：電子政務工程電子政務系統(tǒng)設計：電子政務信息系統(tǒng)第九章：電子政務工程電子政務系統(tǒng)設計：電子政務信息系統(tǒng)

政務處理邏輯結(jié)構(gòu)第九章：電子政務工程電子政務CA的建立和管理：電子政務的安全管理有PKI提供相關的證書和認證體系。在選擇PKI部署時，可以選用CA（CertificateAuthority）的PKI，也可以部署政府級PKI，還可以混合使用。PKI技術(shù)

公鑰基礎設施（PublicKeyInfrastructure，簡稱PKI）是跟隨電子商務一同發(fā)展起來的技術(shù)，是目前網(wǎng)絡安全建設的基礎與核心，是電子商務/電子政務安全實施的基本保障，其價值在于使用戶能夠方便地使用加密、數(shù)字簽名等安全服務。PKI是以公開密鑰密碼學為理論技術(shù)基礎的一整套網(wǎng)絡信息安全技術(shù)設施與服務。其內(nèi)容包括數(shù)字證書、不對稱密鑰密碼技術(shù)、認證中心、證書和密鑰的管理、安全代理軟件、不可否認性服務、時間戳服務、相關信息標準、操作規(guī)范等。

第九章：電子政務工程電子政務CA的建立和管理：PKI的功能

1、認證機構(gòu)CA

2、數(shù)字證書庫，數(shù)字證書和公鑰

3、密鑰備份及恢復系統(tǒng)；私鑰管理。

4、證書作廢系統(tǒng)

5、應用接口（API）PKI的安全機制

1、認證

2、密鑰管理

3、完整性和不可否認性

第九章：電子政務工程電子政務CA的建立和管理：CA服務器的選擇

1、可以選擇PC服務器即可

2、操作系統(tǒng)，windows2000server

3、CA系統(tǒng)，支持相關標準、易管理、成本問題規(guī)劃證書頒發(fā)機構(gòu)

1、根CA和從屬CA

2、企業(yè)CA和獨立CA

3、微軟的4種CA

4、規(guī)劃證書層次結(jié)構(gòu)

第九章：電子政務工程基于SSL的Web安全機制：SSL安全機制

1、SSL（SecuritySocketLayer）安全套接字層是由Netscape公司設計的一個開放的協(xié)議，在應用層協(xié)議（如HTTP、FTP等）和TCP/IP協(xié)議之間提供分層的數(shù)據(jù)安全的機制；對于一個TCP/IP連接，SSL提供數(shù)據(jù)加密、服務器認證、信息完整性和可選的客戶端認證；SSL已經(jīng)被認定為因特網(wǎng)上WEB瀏覽器和服務器的標準安全方法。

2、通常我們使用HTTP訪問一個網(wǎng)頁，其消息是明文傳輸。

3、SSL可以全面加密整個網(wǎng)絡傳輸信道（隧道）

4、使用SSL客戶端通過瀏覽器訪問服務器時，服務器會向客戶端傳送數(shù)字證書和公鑰，客戶端生成會話密鑰；并對會話加密。第九章：電子政務工程基于SSL的Web安全機制：基于SSL的Web服務器

1、在Web服務器上安裝證書服務。

2、從可靠的證書頒發(fā)機構(gòu)獲取服務器的Web證書。

4、在Web服務器上設置SSL選項。

5、客戶端必須信任服務器的證書

6、WEb服務器來管理IIS和服務器證書中的SSL。

7、CTL（CertificationTrustList）證書信任列表

8、權(quán)限向?qū)Х峙涓鱓eb站點和NTFS虛擬目錄上的文件第九章：電子政務工程電子政務VPN的建立及使用：VPN技術(shù)與類型

1、VPN即虛擬專用網(wǎng)(VirtualPrivateNetwork)，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。通過對網(wǎng)絡數(shù)據(jù)的封包和加密傳輸，在一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，從而實現(xiàn)在公網(wǎng)上傳輸私有數(shù)據(jù)、達到私有網(wǎng)絡的安全級別。

2、VPN的主要標準

會話層：SOCKSV5和SSL

網(wǎng)絡層：IPSec

數(shù)據(jù)鏈路層：PPTP/L2F/L2TP第九章：電子政務工程電子政務VPN的建立