電子政務工程設計課件

網絡系統(tǒng)集成與工程設計第9章2023/6/7

SXTU-INC-YW

本章知識要點：電子政務業(yè)務模型電子政務體系結構電子政務通信平臺設計內、外網物理隔離電子政務信息系統(tǒng)PKI技術，CA證書服務器，安裝證書服務，證書頒發(fā)機構的配置和管理，客戶端的證書管理SSL安全機制，基于SSL的Web服務器VPN的技術與類型，VPN方案設計，基于VPN政務網絡互連。第9章電子政務工程設計2023/6/7

SXTU-INC-YW

本章重點：電子政務業(yè)務模型電子政務體系結構電子政務通信平臺設計內、外網物理隔離電子政務CA的建立和管理SSL安全機制VPN的技術與方案設計，基于VPN政務網絡互連。本章難點：基于VPN政務網絡互連第9章電子政務工程設計2023/6/7

SXTU-INC-YW

9.1電子政務概述9.1.1電子政務的背景電子政務是指政府機構利用信息化手段，實現(xiàn)各類政府職能。其核心是應用信息技術，提高政府事務處理的效率，改善政府組織和公共管理。背景：信息技術的飛速發(fā)展

發(fā)達國家提出“電子政務（電子政府）計劃”我國的電子政務2023/6/7

SXTU-INC-YW

9.1.2電子政務業(yè)務與信息流1.電子政務業(yè)務模型

根據政府機構的業(yè)務形態(tài)來看，通常電子政務主要包括三個應用領域。其業(yè)務模型可以用圖9.1表示。

圖9.1電子政務業(yè)務模型

面向社會公眾和企業(yè)組織，為其提供政策、法規(guī)、條例和流程的查詢服務。借助互聯(lián)網實現(xiàn)政府機構的對外辦公，如：申請、申報等，提高政府的運作效率，增加透明度。以信息化手段提高政府機構內部辦公的效率，如：公文報送、信息通知和信息查詢等。2023/6/7

SXTU-INC-YW

9.1.2電子政務業(yè)務與信息流2.電子政務信息流在電子政務系統(tǒng)中主要存在三種信息流，如圖9.2所示。

圖9.2電子政務信息流模型

2023/6/7

SXTU-INC-YW

9.1.3電子政務體系結構與特點1.電子政務體系結構構建的電子政務體系結構主要包括三個應用系統(tǒng)和一個網絡通信平臺。如圖9.3所示。圖9.3電子政務平臺系統(tǒng)結構

2023/6/7

SXTU-INC-YW

9.1.3電子政務體系結構與特點2.電子政務系統(tǒng)的特點一個成熟的電子政務系統(tǒng)，不但能夠利用信息技術，實現(xiàn)信息流的高效率運轉，還應具備如下特點：（1）安全性。（2）整合性。（3）可擴展性。（4）示范性。政府機構的信息安全是電子政務實施的第一要素。電子政務系統(tǒng)不但能夠實現(xiàn)內外網的物理隔離，有效防止泄密；同時也應確保內、外網具有強大的抵御攻擊能力，防止非法侵入帶來的損失。電子政務系統(tǒng)應能實現(xiàn)政府內部辦公和外部事務處理的整合，通過建立政務辦公信息流和事務信息流的平滑對接，提高信息流的效率。同時，能夠實現(xiàn)多種溝通模式的整合，通過通信平臺的多樣化優(yōu)勢，提高電子政務系統(tǒng)的覆蓋能力。電子政務系統(tǒng)的實施是一個分階段的長期過程，電子政務系統(tǒng)的構造應具有高度的擴展性，以降低系統(tǒng)擴充的投入成本，并滿足信息技術高速發(fā)展的需要。電子政務系統(tǒng)采用的技術和產品應對社會具有廣泛的示范性和引導性，電子政務平臺的總體結構應依據國家電子政務安全規(guī)范和電子政務標準技術參考模型設計。2023/6/7

SXTU-INC-YW

9.2電子政務系統(tǒng)設計9.2.1電子政務網絡平臺1.電子政務內網電子政務內網是各種應用的統(tǒng)一通信平臺，主干網要求具有安全、可靠和高帶寬等特性。某市電子化辦公涉及20多個業(yè)務部門，這些部門分部在不同的地理位置，距離市政府大樓幾十米至幾公里?？紤]到政務主干網的負載均衡和光纜敷設便利等因素，政務主干網可采用多星型拓撲結構。整體網絡設置三個主結點（市政府主樓、市委主樓和科技局主樓）向外輻射，通過各部門（局、科室）所在的建筑樓結點構成主干網。如圖9.4所示。2023/6/7

SXTU-INC-YW

9.2.1電子政務網絡平臺圖9.4市政府網絡拓撲結構圖

2023/6/7

SXTU-INC-YW

9.2.1電子政務網絡平臺2.電子政務外網電子政務外網（Web網站）位于市政府主樓第3層的網絡中心主機房內。電子政務外網是政府對外的門戶網站，網站拓撲結構要嚴格按照DMZ的要求設計。如圖9.5所示。圖9.5政務外網體系結構圖

2023/6/7

SXTU-INC-YW

9.2.2內、外網物理隔離電子政務內、外網物理隔離采用物理隔離網閘X-gap8100（中網公司產品），可以實現(xiàn)兩個網絡之間的物理隔離。如圖9.6所示。圖9.6內、外網物理隔離結構圖

2023/6/7

SXTU-INC-YW

9.2.3電子政務信息系統(tǒng)1.系統(tǒng)功能結構電子政務信息系統(tǒng)一般分為政府公共服務網站和政府內部辦公網站，其功能結構如圖9.7所示。圖9.7電子政務系統(tǒng)功能結構圖

2023/6/7

SXTU-INC-YW

9.2.3電子政務信息系統(tǒng)2.政務外網應用

面向公共管理服務政務外網業(yè)務系統(tǒng)主要包括：為公眾用戶提供接入和工作流引擎、通用電子政務構件、個性化管理以及服務集成等基本的功能。如：網上報表管理、登記申報及審批業(yè)務辦理、網上人才招聘管理、招商管理、網上稅務、網上勞保等應用系統(tǒng)。2023/6/7

SXTU-INC-YW

9.2.3電子政務信息系統(tǒng)3.政務內網應用

政務內網應用系統(tǒng)強調的是政府內部在各類政務工作中，運用先進的信息技術和管理思想，大幅度提高辦事效率，提高政務工作的質量。而在政府內部，電子政務的許多目標是要通過辦公自動化來實現(xiàn)的。離開了辦公自動化，政府內部的電子政務也就失去了基礎。面向辦公業(yè)務的OA系統(tǒng)功能包括：公文管理、督查管理、檔案管理、政務信息、內部事務、值班管理、會議管理、輔助決策、公用信息等。2023/6/7

SXTU-INC-YW

9.2.3電子政務信息系統(tǒng)4.政務處理邏輯結構

政務處理邏輯組織將系統(tǒng)結構劃分成數據層、組件層、功能層和應用層，如圖9.8所示。圖9.8電子政務處理邏輯結構

2023/6/7

SXTU-INC-YW

9.3電子政務CA的建立和管理PKI是信息安全技術的核心，也是電子政務的關鍵和基礎技術。電子政務在選擇PKI解決方案時，可以向第三方證書認證（CA，CertificateAuthority）提供商外購PKI；或部署自己的政府級PKI，或部署混合模式PKI體系。由第三方CA提供根CA，將CA頒發(fā)限定于政府內部范圍。2023/6/7

SXTU-INC-YW

9.3.1PKI技術1.PKI的組成PKI是一種以公開密鑰技術為基礎，以數據的機密性、完整性和不可抵賴性為安全目的，構建的認證、授權和加密等硬件、軟件的綜合設施。PKI的基礎技術包括加密、數字簽名、數據完整性機制、數字信封、雙重數字簽名等。完整的PKI系統(tǒng)必須具有權威認證機構（CA）、數字證書庫、密鑰備份及恢復系統(tǒng)、證書作廢系統(tǒng)和應用接口（API）等基本構件和系統(tǒng)。

2023/6/7

SXTU-INC-YW

9.3.1PKI技術2.PKI的功能

（1）認證機構（CA）（2）數字證書庫（3）密鑰備份及恢復系統(tǒng)（4）證書作廢系統(tǒng)（5）應用接口（API）2023/6/7

SXTU-INC-YW

9.3.1PKI技術3.PKI的安全機制

PKI安全平臺能夠提供智能化的信任與有效授權服務。其中，信任服務主要是解決在茫茫網海中如何確認“你是你、我是我、他是他”的問題；授權服務主要是解決在網絡中“每個實體能干什么”的問題。2023/6/7

SXTU-INC-YW

9.3.2CA證書服務器的選擇通常來說，CA是證書的簽發(fā)機構，它是PKI的核心。公鑰體制的密鑰管理主要是針對公鑰的管理問題。目前較好的解決方案是數字證書機制。在實際應用中，CA除了服務器硬件（可選用PC服務器），還要選擇合適的CA軟件。在選擇CA產品時，要重點考慮所支持的相關PKI標準、易管理性、伸縮能力以及成本費用。2023/6/7

SXTU-INC-YW

9.3.3規(guī)劃證書頒發(fā)機構1.根CA與從屬CA

根據層次結構，CA可劃分為根CA和從屬CA。（1）根CA是公鑰體系中第一個證書頒發(fā)機構，它是所有信任的起源。根CA可以為其他CA創(chuàng)建證書，也可以為其他計算機、用戶和服務創(chuàng)建證書。根CA最重要的角色是作為信任的根，是整個政府（企業(yè)）認證體系的中心，需要最根本的保護。對大多數基于證書的應用程序來說，使用的證書認證都可以跟蹤到根。（2）從屬CA必須從根CA或者從一個已由根CA授權，可頒發(fā)從屬CA證書的從屬CA處獲得證書。從屬CA可直接頒發(fā)證書。在建立CA時，從屬CA要通過上級CA獲得自己的CA證書，而根CA則是創(chuàng)建自簽名的證書。2023/6/7

SXTU-INC-YW

9.3.3規(guī)劃證書頒發(fā)機構2．企業(yè)CA與獨立CA

（1）企業(yè)CA具有下列特點。①企業(yè)CA需要活動目錄（ActiveDirectory）。②安裝企業(yè)根CA時，對于域中的所有用戶和計算機，它都會自動添加到受信任的根證書頒發(fā)機構的證書存儲區(qū)中。③企業(yè)CA根據申請證書的類型設置策略和安全權限，立即頒發(fā)證書或立即拒絕請求。④可以為使用智能卡登錄到Windows2000域頒發(fā)證書。⑤企業(yè)退出模塊向活動目錄（ActiveDirectory）發(fā)布用戶證書和證書吊銷列表。⑥企業(yè)CA使用基于證書模板的證書類型。2023/6/7

SXTU-INC-YW

9.3.3規(guī)劃證書頒發(fā)機構2．企業(yè)CA與獨立CA

（2）獨立CA具有下列特點。①獨立CA不需要使用活動目錄（ActiveDirectory）。②向獨立CA提交證書申請時，證書申請者必須在證書申請中明確提供所有關于自己的標識信息以及證書申請所需的證書類型。（向企業(yè)CA提交證書申請時無需提供這些信息，因為企業(yè)用戶的信息已經在ActiveDirectory中，并且證書類型由證書模板說明。）③默認情況下，發(fā)送到獨立CA的所有證書申請都被設置為特定狀態(tài)，由管理員審查頒發(fā)，也可根據需要改為自動頒發(fā)證書。④不使用驗證模板。⑤使用智能卡不能頒發(fā)用來登錄到Windows2000域的證書，但可以頒發(fā)其他類型的證書并存儲在智能卡上。⑥管理員必須向域用戶的信任根存儲區(qū)明確分配獨立CA的證書，或者必須讓用戶自己執(zhí)行該任務。2023/6/7

SXTU-INC-YW

9.3.3規(guī)劃證書頒發(fā)機構3．微軟的4種CA（1）企業(yè)根CA。證書層次結構中的最高級證書頒發(fā)機構，需要ActiveDirectory，自行簽發(fā)自己的CA證書，并將該證書發(fā)布至域中所有Windows2000服務器和工作站上。這種CA安裝在域控制器或者域成員計算機上。（2）企業(yè)從屬CA。必須從另一證書頒發(fā)機構獲得自己的CA證書。如果使用ActiveDirectory、證書模板和智能卡登錄到Windows2000計算機時，應選用這種類型。（3）獨立根CA。也是證書層次結構中的最高級證書頒發(fā)機構，它不需要ActiveDirectory支持，適于作為獨立的證書頒發(fā)機構，向外部發(fā)放證書。獨立CA安裝在獨立的服務器上。（4）獨立從屬CA。必須從另一證書頒發(fā)機構獲得自己的CA證書，用于建立多層次的獨立證書頒發(fā)體系。2023/6/7

SXTU-INC-YW

9.3.3規(guī)劃證書頒發(fā)機構4．規(guī)劃證書層次結構通過根CA和從屬CA可建立證書層次結構，如圖9.9所示。

圖9.9證書頒發(fā)層次體系

2023/6/7

SXTU-INC-YW

9.3.4安裝證書服務安裝企業(yè)CA需要ActiveDirectory環(huán)境，證書服務器必須是域控制器或域成員服務器。本例是在域控制器上安裝企業(yè)根CA，用于為政府內部提供證書服務。

（1）鼠標左鍵雙擊“控制面板”中的“添加/刪除程序”，選擇“添加/刪除Windows組件”，然后從“組件”列表中選取“證書服務”。（2）鼠標左鍵單擊“下一步”按鈕，打開“Microsoft證書服務”對話框，系統(tǒng)提示安裝證書服務后，不能更改計算機名，也不能將計算機加入到域或從域中刪除，鼠標左鍵單擊“是”按鈕。2023/6/7

SXTU-INC-YW

9.3.4安裝證書服務（3）選擇證書頒發(fā)機構（CA）類型，如圖9.10所示的對話框，。共有4種類型，這里選擇默認的“企業(yè)根CA”，然后鼠標左鍵單擊“下一步”按鈕。圖9.10選擇證書頒發(fā)機構類型

2023/6/7

SXTU-INC-YW

9.3.4安裝證書服務（4）如果選擇“高級選項”復選框，將打開如圖9.11所示的對話框，設置加密服務提供程序、密鑰長度和散列算法，否則直接進入下一操作步驟。一般來說，密鑰越長越安全，不過應注意的是較長的密鑰，需要花更長的時間才能生成。圖9.11設置證書類型的高級選項

2023/6/7

SXTU-INC-YW

9.3.4安裝證書服務（5）設置證書頒發(fā)機構標識信息，如圖9.12所示?！癈A名稱”就是證書頒發(fā)機構的命名，對于ActiveDirectory體系，它也是一個公用名稱。對于根證書頒發(fā)機構，“有效期”應當長一些，以減少頻繁續(xù)訂根證書的要求。圖9.12設置證書頒發(fā)機構標識信息

2023/6/7

SXTU-INC-YW

9.3.4安裝證書服務（6）設置證書服務數據庫的存儲位置，如圖9.13所示的對話框。證書服務對數據庫、配置數據、備份數據和記錄數據使用本地存儲設備。“證書數據庫”和“證書數據庫日志”分別指定證書數據庫和日志記錄的存儲位置，使用默認值即可。

圖9.13設置證書數據庫存儲位置

2023/6/7

SXTU-INC-YW

9.3.4安裝證書服務（7）鼠標左鍵單擊“下一步”按鈕，如果計算機上正在運行IIS，系統(tǒng)就提示立即停止IIS服務，鼠標左鍵單擊“確定”按鈕，開始安裝證書服務相關的組件和程序，直至完成。安裝完畢，證書服務將自動啟動，這樣也就建成了一個基本的證書頒發(fā)機構。安裝有證書服務的計算機即為證書服務器。2023/6/7

SXTU-INC-YW

9.3.5證書頒發(fā)機構的配置和管理1．管理證書

選擇“開始”→“程序”→“管理工具”→“證書頒發(fā)機構”，即可打開如圖9.14所示的“證書頒發(fā)機構”管理單元，通過該管理單元對證書頒發(fā)機構進行管理和配置。圖9.14“證書頒發(fā)機構”管理單元

2023/6/7

SXTU-INC-YW

9.3.5證書頒發(fā)機構的配置和管理2．配置策略模塊（1）從“證書頒發(fā)機構”管理單元中選擇相應的證書服務，單擊鼠標右鍵，從快捷菜單中選擇“屬性”，打開屬性設置對話框，切換到“策略模塊”選項卡，鼠標左鍵單擊“配置”按鈕，打開如圖9.15所示的對話框。對于企業(yè)CA來說，“始終頒發(fā)證書”是惟一的選擇，根據用戶申請自動頒發(fā)證書。圖9.15設置頒發(fā)證書的默認操作

2023/6/7

SXTU-INC-YW

9.3.5證書頒發(fā)機構的配置和管理（2）切換到如圖9.16所示的“X.509擴展”選項卡，可以添加或刪除用戶獲取證書吊銷列表和證書的URL地址。企業(yè)CA的證書服務提供基于Web和LDAP的訪問，這些URL地址可以是HTTP、LDAP或文件地址。其中“%SERVER

DNS

NAME%”表示證書名稱。圖9.16設置獲取證書吊銷列表和證書的位置

2023/6/7

SXTU-INC-YW

9.3.5證書頒發(fā)機構的配置和管理（3）回到證書服務屬性設置對話框，切換到“退出模塊”，鼠標左鍵單擊“配置”按鈕，打開如圖9.17所示的對話框，選中“允許在ActiveDirectory中發(fā)行征書”復選框。圖9.17設置證書發(fā)行

2023/6/7

SXTU-INC-YW

9.3.5證書頒發(fā)機構的配置和管理3．備份和還原證書頒發(fā)機構

備份和還原操作的目的是保護證書頒發(fā)機構及其可操作數據，以免因硬件或存儲媒體出現(xiàn)故障而導致數據丟失。通過使用證書頒發(fā)機構管理單元可以備份和還原：公鑰、私鑰和CA證書，證書數據庫，公鑰和私鑰使用PKCS12的PFX格式備份或還原等類的信息。證書頒發(fā)機構提供了備份向導和還原向導。管理單元選擇相應的證書服務，單擊鼠標右鍵，從快捷菜單中選擇“所有任務”→“備份CA”或“還原CA”，即可啟動向導程序。2023/6/7

SXTU-INC-YW

9.3.5證書頒發(fā)機構的配置和管理4．續(xù)訂CA證書由證書頒發(fā)機構所頒發(fā)的每一份證書都具有有效期限。CA的生存時間包括其所有CA證書的過去和現(xiàn)在的有效期。證書服務強行實施的規(guī)則是，CA永遠不會頒發(fā)在超出自己證書的到期時間后有效的證書。因此，當CA自身的證書達到它的有效期時，它頒發(fā)的所有證書也將到期。這樣，如果CA因為某種目的沒有續(xù)訂，并且CA的生存時間已到，則管理員確認當前到期的CA發(fā)出的所有證書不再作有效的安全憑據。2023/6/7

SXTU-INC-YW

9.3.5證書頒發(fā)機構的配置和管理5．管理證書模板默認情況下，提供的證書模板有限，可根據需要添加，操作步驟如下。（1）以管理員身份登錄到系統(tǒng)，打開“證書頒發(fā)機構”管理單元。鼠標左鍵單擊控制臺左側列表中的“策略設置”，右側窗格中顯示已有的證書模板列表。如圖9.18所示。圖9.18查看現(xiàn)有證書模板

2023/6/7

SXTU-INC-YW

9.3.5證書頒發(fā)機構的配置和管理5．管理證書模板（2）在“操作”菜單上選擇“新建”→“要頒發(fā)的證書”，打開如圖9.19所示的對話框。從列表中選擇要使用的新證書模板，并單擊“確定”按鈕。圖9.19選擇證書模板

2023/6/7

SXTU-INC-YW

9.3.6證書申請和注冊證書注冊是請求、接收和安裝證書的過程。無論是用戶、計算機還是服務，要想利用證書，必須首先從證書服務器獲得有效的證書?？梢酝ㄟ^：①組策略自動請求證書，②使用證書申請向導，③瀏覽器獲得證書等3種方式獲取證書。1.通過組策略自動請求證書

在活動目錄域環(huán)境中，通過使用公鑰策略中的自動證書設置，活動目錄域或組織單位的計算機成員可以向Windows2000企業(yè)證書服務器自動請求證書，這樣就不用為每臺計算機注冊與計算機相關的證書。只有運行Windows2000或WindowsXP的域成員計算機能夠自動請求證書。配置自動證書注冊的關鍵是在組策略創(chuàng)建自動證書請求。2023/6/7

SXTU-INC-YW

9.3.6證書申請和注冊2.使用MMC手工申請證書

符合下列條件才能使用證書申請向導。（1）ActiveDirectory環(huán)境。（2）客戶端計算機運行Windows2000或WindowsXP，并且加入到域作為域成員。（3）證書頒發(fā)機構必須是Windows2000企業(yè)CA。證書申請向導使用基于MMC（管理控制臺）的證書管理單元，能夠直接從企業(yè)CA獲取證書。在使用證書管理單元之前，必須將其添加到MMC控制臺。2023/6/7

SXTU-INC-YW

9.3.6證書申請和注冊3．使用Web瀏覽器申請證書使用Web瀏覽器申請證書是一種更通用，自定義功能更強的方法。遇到以下情況之一時，一般采用這種方法。①受理申請的證書頒發(fā)機構為Windows2000獨立CA，或者是通過Internet提供證書服務的第三方證書服務器。②客戶端計算機運行Windows操作系統(tǒng)，如Macintosh（Apple機）、Linux等。③客戶端計算機運行Windows98/Me/NT。④客戶端計算機運行Windows2000/XP，但不是域成員，或不能訪問域控制器。⑤客戶端計算機需要通過NAT服務器來訪問證書服務器。2023/6/7

SXTU-INC-YW

9.3.6證書申請和注冊下面以使用IE瀏覽器申請證書Windows2000企業(yè)CA為例，說明操作過程。（1）打開IE瀏覽器，在地址欄中輸入證書頒發(fā)機構的URL地址。對于集成到IIS的證書服務，其地址為“http://servername/certsrv”。默認情況下，將出現(xiàn)“輸入網絡密碼”對話框，要求使用Web瀏覽器的證書申請者提供用戶名和密碼。驗證通過后，將出現(xiàn)如圖9.20所示的對話框。圖9.20基于Web的證書申請頁面

2023/6/7

SXTU-INC-YW

9.3.6證書申請和注冊（2）選擇“申請證書”。鼠標左鍵單擊“下一步”按鈕，出現(xiàn)“選擇申請類型”界面，這里選擇“高級申請”單選鈕。如圖9.21所示。圖9.21選擇證書申請類型

2023/6/7

SXTU-INC-YW

9.3.6證書申請和注冊（3）選擇高級證書申請方式。鼠標左鍵單擊“下一步”按鈕，出現(xiàn)“高級證書申請”界面，如圖9.22所示。共有3個選項，這里選擇第1個選項，以表格形式提交申請。圖9.22高級證書申請方式

2023/6/7

SXTU-INC-YW

9.3.6證書申請和注冊（4）填寫申請表單。鼠標左鍵單擊“下一步”按鈕，出現(xiàn)“填寫申請表單”界面，如圖9.23所示。在“證書模板”下拉列表中選擇所需的證書類型。其他要注意的選項填寫如下。①“CSP”（加密服務提供程序）。MicrosoftBaseCryptographicProviderv1.0②“密鑰用法”。簽名或者兩者。③“密鑰大小”。512。如果CSP選擇“MicrosoftEnhancedCryptographicProvider”，則可以選擇較大的密鑰值。但是，注冊申請可能會失敗，因為Windows2000的版本可能沒有安裝StrongCryptographyPack（加固密碼系統(tǒng)組件）。④“創(chuàng)建新密鑰對”。選中該選項。⑤“使用本地機器保存”。對于計算機身份驗證應選中該復選框。2023/6/7

SXTU-INC-YW

9.3.6證書申請和注冊（5）安裝此證書。鼠標左鍵單擊“提交”（由于企業(yè)證書服務器自動頒發(fā)證書，因此用戶會立即收到證書已發(fā)布的通知信息）如圖9.24所示。鼠標左鍵單擊“安裝此證書”，即開始安裝，證書已經成功安裝提示，如圖9.25所示。

圖9.24安裝證書

圖9.25安裝證書成功

2023/6/7

SXTU-INC-YW

9.3.6證書申請和注冊（6）完成證書安裝后，關閉IE瀏覽器。要進一步查看獲得的證書，可通過“客戶端證書管理”進行。在企業(yè)證書服務器上打開Internet信息服務管理器，用鼠標右鍵單擊“默認Web站點”的CertSrv目錄。再鼠標左鍵單擊“屬性”，在“目錄安全性”選項卡單擊“匿名訪問和身份驗證控制”下的“編輯”，打開“驗證方法”對話框，只選擇“集成Windows驗證”復選框，如圖9.26所示。

圖9.26設置證書頒發(fā)機構的Web目錄安全性

2023/6/7

SXTU-INC-YW

9.3.7客戶端的證書管理客戶端的證書管理主要包括申請和安裝證書，從證書存儲區(qū)查找、查看、導入和導出證書。導入和導出證書也是常用的客戶證書還原和備份手段。對于Window98計算機來說，一般使用支持安全功能的瀏覽器（如IE）來進行管理。Windows2000/XP計算機則提供了基于MMC的證書管理單元，功能更強大。使用Windows2000證書管理單元可管理用戶、計算機或服務的證書。

2023/6/7

SXTU-INC-YW

9.3.7客戶端的證書管理可以查看現(xiàn)有證書的細節(jié)。如圖9.27所示，展開MMC控制臺樹；鼠標左鍵雙擊要查看的證書，打開如圖9.28所示的對話框，查看基本信息。

圖9.27展開MMC控制臺樹

圖9.28查看證書基本信息

2023/6/7

SXTU-INC-YW

9.3.7客戶端的證書管理切換到“詳細信息”選項卡，如圖9.29示，查看詳細信息，顯示該證書的每個字段和擴展字段。切換“證書路徑”選項卡，查看證書的發(fā)行關系和證書頒發(fā)信任路徑，如圖9.30示。

圖9.29查看證書詳細信息

圖9.30查看證書路徑信息

2023/6/7

SXTU-INC-YW

9.3.7客戶端的證書管理檢查受信任的根證書頒發(fā)機構。在MMC控制臺中展開“受信任的根證收頒發(fā)機構”，然后鼠標左擊“證書”文件夾，如圖9.31示。

圖9.31查找根證書頒發(fā)機構證書

2023/6/7

SXTU-INC-YW

9.3.7客戶端的證書管理查找?guī)в蓄C發(fā)者證書頒發(fā)機構（這里為myCA）的名稱的證書，然后查看該證書是否有效，如圖9.32示。

圖9.32查找根證書頒發(fā)機構證書常規(guī)選項

2023/6/7

SXTU-INC-YW

9.3.7客戶端的證書管理打開證書管理單元，選擇菜單“查看”→“選項”，選擇證書模式。這里選擇“證書目的”，鼠標左鍵單擊“確定”按鈕，將切換到如圖9.33所示的界面，按證書用途來顯示排列證書。

圖9.33“證書目的”視圖模式

2023/6/7

SXTU-INC-YW

9.4基于SSL的Web安全機制9.4.1SSL安全機制SSL是一種安全性很高的認證方式，是通過SSL安全機制使用的數字證書。SSL位于HTTP層和TCP層之間，建立用戶與服務器之間的加密通信，確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎上的，任何用戶都可以獲得公共密鑰來加密數據，但解密數據必須要通過相應的私人密鑰。使用SSL安全機制時，首先客戶端與服務器建立連接，服務器把它的數字證書與公共密鑰一并發(fā)送給客戶端?？蛻舳穗S機生成會話密鑰，用從服務器得到的公共密鑰對會話密鑰進行加密，并把會話密鑰在網絡上傳遞給服務器；而會話密鑰只有在服務器端用私人密鑰才能解密。這樣，客戶端和服務器端就建立了一個惟一的安全通道。

2023/6/7

SXTU-INC-YW

9.4基于SSL的Web安全機制9.4.2基于SSL的Web服務器在瀏覽器和IISWeb服務器之間建立SSL連接，必須具備以下條件。（1）在Web服務器上安裝“證書服務”組件。（2）從可信的證書頒發(fā)機構獲取Web服務器證書。（3）在Web服務器上安裝服務器證書。（4）在Web服務器上設置SSL選項。（5）客戶端必須同Web服務器信任同一證書認證機構（安裝CA證書）。IIS5.0提供了三個新的安全任務向導，用來簡化大多數維護Web站點的安全所需的安全任務。

2023/6/7

SXTU-INC-YW

9.4基于SSL的Web安全機制9.4.2基于SSL的Web服務器（6）Web服務器證書向導用來管理IIS和服務器證書中的SSL。（7）CTL向導用來管理證書信任列表（CTL，CertificateTrustList）。證書信任列表列出了每個Web站點或虛擬目錄所信任的證書頒發(fā)機構。（8）權限向導分配Web和NTFS訪問權限給Web站點、虛擬目錄以及服務器上的文件。建立了SSL安全機制后，只有SSL允許的客戶才能與SSL允許的Web站點進行通信，并且在使用URL資源定位器時，輸入https://，而不是http://。

2023/6/7

SXTU-INC-YW

9.5電子政務VPN的建立及使用9.5.1VPN技術與類型1.VPN技術：要能夠使得政務網內一個局域網的數據透明的穿過公用網到達另一個局域網，VPN采用了一種稱之為隧道的技術。如圖9.34所示。

圖9.34基于隧道的VPN網絡

2023/6/7

SXTU-INC-YW

9.5.1VPN技術與類型根據ISO模型，VPN的主要協(xié)議如表9.2所示。

表9.2VPN的主要協(xié)議標準

OSI模型安全技術安全協(xié)議應用層表示層應用代理

會話層傳輸層會話層代理SOCKSv5/SSL網絡層數據鏈路層物理層包過濾IPSecPPTP/L2F/L2TP2023/6/7

SXTU-INC-YW

9.5.1VPN技術與類型2.VPN類型（1）AccessVPN（遠程訪問虛擬專網）（2）IntranetVPN（內部虛擬專網）（3）ExtranetVPN（擴展內部虛擬專網）

該類型與傳統(tǒng)的遠程訪問網絡相對應。在AccessVPN方式下，遠端用戶不需要通過長途電話撥號到政府遠程接入端口，而是撥號接入到用戶本地的ISP，利用VPN系統(tǒng)在公眾網上建立一個從客戶端到網關的安全傳輸通道。該類型與政府內部的Intranet相對應。在IntranetVPN方式下，政府兩個異地機構的局域網互連不租用專線，而是政府分支機構網絡利用VPN特性可以在ChinaNET上組建省、市和縣范圍內的IntranetVPN。該類型與政府網和相關企業(yè)網、教育網所構成的Extranet相對應。該類型與IntranetVPN沒有本質的區(qū)別，但由于是不同集團用戶的網絡相互通信，所以要更多的考慮設備的互連，地址的協(xié)調，安全策略的協(xié)商等問題。2023/6/7

SXTU-INC-YW

9.5.2VPN方案選型以北京天融信網絡安全有限公司的VPN產品為例，介紹端到端的VPN解決方案。天融信的VPN產品由三部分組成。它們是網關VPN、VPN客戶端VRC（VPNRemoteClient），以及VPN安全集中管理系統(tǒng)SCM（SecurityCenterManager）。網關VPN，包括SJW11-A網絡密碼機及帶VPN功能的防火墻系列產品。主要用于網絡邊界處，可以提供邊界與邊界之間，邊界與客戶端之間的傳輸加密和認證，支持SCM統(tǒng)一管理。SJW11-A具有多個網絡接口，可安裝于政府內網的各局域網出口處，或安裝于政府內網與外網的接口處。

2023/6/7

SXTU-INC-YW

9.5.2VPN方案選型以北京天融信網絡安全有限公司的VPN產品為例，介紹端到端的VPN解決方案。VPN客戶端VRC主要用于客戶端?？梢蕴峁┳烂媾c桌面、桌面與邊界之間的傳輸加密和認證，支持SCM統(tǒng)一管理。VRC運行于Windows98/2000/XP平臺，可以滿足移動用戶、家庭辦公用戶、分支機構用戶的需求。TOPSEC密鑰存儲器。VRC客戶端密鑰的存儲TOPSEC-KEY，用于客戶端的證書和密鑰信息存儲加密，可以和VPN網關和VRC配合使用。VPN安全集中管理系統(tǒng)SCM支持對網關VPN和VRC策略集中管理、安裝配置自動分發(fā)和運行監(jiān)控等功能。

SCM主要用于網絡邊界處，可以提供邊界與邊界之間，邊界與客戶端之間傳輸的加密和認證，支持SCM統(tǒng)一管理。

2023/6/7

SXTU-INC-YW

9.5.3基于VPN的政務網絡互連市政府網絡和縣分支網絡均在同一個大的局域網里，IP可以任意分配。要求各縣分支網絡能夠安全訪問市政府網絡的同時，各縣分支網絡之間也能實現(xiàn)安全訪問。

1.方案設計圖9.35基于VPN政務網絡互連拓撲圖

2023/6/7

SXTU-INC-YW

9.5.3基于VPN的政務網絡互連（1）端到端的隧道通信。

（2）網絡到網絡的隧道通信。

（3）端到網絡的隧道通信。

2.系統(tǒng)運行市政府網內部計算機和縣政府內部計算機都已經分別安裝了VRC軟件，當市政府計算機和某縣政府計算機需要通信時，VRC軟件會自動從SCM處獲得隧道政策，然后在市政府計算機和縣政府計算機之間建立端到端的隧道。在市政府計算機和縣政府計算機的所有通信都可以通過這條隧道進行保護，從而實現(xiàn)了政府網內部主機的私有通信。此外在任意兩縣政府網的計算機之間，同樣也通過VRC軟件建立了端到端的加密隧道。這樣也就實現(xiàn)了不同網絡之間主機的私有通信。市政府內部網和縣的分支機構網絡已經安裝了VPN網關SJW11-A，在