第4章+電子政務(wù)的信息技術(shù)架構(gòu).ppt

1、第四章 電子政務(wù)的信息技術(shù)架構(gòu),第四章 電子政務(wù)的信息技術(shù)架構(gòu),2,電子政務(wù),第四章 電子政務(wù)的信息技術(shù)架構(gòu),了解電子政務(wù)的總體技術(shù)架構(gòu)的主要層次，以及各層次的主要功能 掌握電子政務(wù)基礎(chǔ)設(shè)施層和信息資源服務(wù)層涉及到的主要技術(shù) 重點(diǎn)掌握電子政務(wù)業(yè)務(wù)支撐層關(guān)鍵技術(shù),學(xué)習(xí)目標(biāo),第四章 電子政務(wù)的信息技術(shù)架構(gòu),3,電子政務(wù),第四章 電子政務(wù)的信息技術(shù)架構(gòu),第一節(jié) 電子政務(wù)的總體技術(shù)架構(gòu) 第二節(jié) 電子政務(wù)基礎(chǔ)設(shè)施層 第三節(jié) 信息資源服務(wù)層 第四節(jié) 電子政務(wù)業(yè)務(wù)支撐層 本章小結(jié),第四章 電子政務(wù)的信息技術(shù)架構(gòu),4,電子政務(wù),第一節(jié) 電子政務(wù)的總體技術(shù)架構(gòu),一、電子政務(wù)的分層邏輯模型 二、基礎(chǔ)設(shè)施層 三、信

2、息資源服務(wù)層 四、電子政務(wù)業(yè)務(wù)應(yīng)用支撐層 五、應(yīng)用層,第四章 電子政務(wù)的信息技術(shù)架構(gòu),5,電子政務(wù),一、電子政務(wù)的分層邏輯模型,電子政務(wù)作為一個(gè)復(fù)雜的系統(tǒng)工程，其總體技術(shù)架構(gòu)可以采用分層的系統(tǒng)體系結(jié)構(gòu)來加以設(shè)計(jì)和實(shí)現(xiàn)。 一方面能夠較好地實(shí)現(xiàn)建設(shè)任務(wù)的分解，使整個(gè)電子政務(wù)系統(tǒng)的建設(shè)任務(wù)能夠在明確接口定義的基礎(chǔ)上進(jìn)行并發(fā)建設(shè)，縮短整體的建設(shè)周期 另一方面能夠在接口保持不變的前提下，保證電子政務(wù)系統(tǒng)對(duì)各層基礎(chǔ)技術(shù)的發(fā)展具有良好的適應(yīng)性，并且較好地體現(xiàn)以數(shù)據(jù)獲取和整合為核心、以信息安全為基礎(chǔ)、面向公眾服務(wù)的電子政務(wù)的功能定位。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),6,電子政務(wù),一、電子政務(wù)的分層邏輯模型,

3、第四章 電子政務(wù)的信息技術(shù)架構(gòu),7,電子政務(wù),二、基礎(chǔ)設(shè)施層,基礎(chǔ)設(shè)施層是整個(gè)電子政務(wù)體系的最終信息承載者，為電子政務(wù)系統(tǒng)提供政務(wù)信息以及其他運(yùn)行管理信息的傳輸和交換平臺(tái)，位于整個(gè)分層體系結(jié)構(gòu)的最底層?；A(chǔ)設(shè)施層主要由網(wǎng)絡(luò)基礎(chǔ)設(shè)施和信息安全基礎(chǔ)設(shè)施兩部分組成。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),8,電子政務(wù),二、基礎(chǔ)設(shè)施層,（一）網(wǎng)絡(luò)基礎(chǔ)設(shè)施 作為提供信息傳輸與交換的基礎(chǔ)設(shè)施體系，網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)是整個(gè)電子政務(wù)系統(tǒng)建設(shè)和發(fā)展的基礎(chǔ)和前提。整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施根據(jù)電子政務(wù)應(yīng)用的實(shí)際需求可以劃分為互聯(lián)網(wǎng)、公眾服務(wù)業(yè)務(wù)網(wǎng)、非涉密政府辦公網(wǎng)和涉密政府辦公網(wǎng)這幾大部分。 構(gòu)建網(wǎng)絡(luò)基礎(chǔ)設(shè)施的關(guān)鍵技術(shù)是網(wǎng)絡(luò)技術(shù)

4、和通信技術(shù)。網(wǎng)絡(luò)信任域是構(gòu)建網(wǎng)絡(luò)基礎(chǔ)設(shè)施的關(guān)鍵技術(shù)之一。不同于互聯(lián)網(wǎng)“對(duì)等的、無(wú)中心的、無(wú)管理的”組織設(shè)計(jì)思想，網(wǎng)絡(luò)信任域基礎(chǔ)設(shè)施在技術(shù)上旨在構(gòu)建一個(gè)可以管理的、有中心的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),9,電子政務(wù),二、基礎(chǔ)設(shè)施層,（二）信息安全基礎(chǔ)設(shè)施 信息安全基礎(chǔ)設(shè)施在網(wǎng)絡(luò)基礎(chǔ)設(shè)施所提供的信息傳輸服務(wù)平臺(tái)的基礎(chǔ)上，增加了面向電子政務(wù)應(yīng)用的通用安全服務(wù)，為電子政務(wù)應(yīng)用提供了一個(gè)通用的、高性能的可信和授權(quán)的計(jì)算平臺(tái)，即所謂的智能化信任和授權(quán)平臺(tái)。智能化信任和授權(quán)基礎(chǔ)設(shè)施層的引入使電子政務(wù)應(yīng)用系統(tǒng)能夠以便捷而靈活的方式來構(gòu)建自身的安全體系。 我國(guó)的國(guó)家信息安全基礎(chǔ)設(shè)施NISI（N

5、ational Information Security Infrastructure）以公鑰基礎(chǔ)設(shè)施PKI、授權(quán)管理基礎(chǔ)設(shè)施PMI和可信時(shí)間戳服務(wù)系統(tǒng)為重點(diǎn)，還包括安全保密管理系統(tǒng)等。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),10,電子政務(wù),三、信息資源服務(wù)層,信息資源服務(wù)層一般負(fù)責(zé)管理存放政府各類基礎(chǔ)數(shù)據(jù)，通過數(shù)據(jù)轉(zhuǎn)換、加工、提取和過濾等過程，向應(yīng)用服務(wù)層提供數(shù)據(jù)。由于信息資源服務(wù)層是在信息資源規(guī)范化組織和管理的前提下，在實(shí)現(xiàn)信息的有效提取、高度集成、充分共享的基礎(chǔ)上提供各種服務(wù)的，因此它能有效提高政府機(jī)關(guān)資源的利用率，降低資源消耗，節(jié)約內(nèi)部辦公成本。該平臺(tái)一般包括數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)管理系統(tǒng)。,第四章

6、 電子政務(wù)的信息技術(shù)架構(gòu),11,電子政務(wù),四、電子政務(wù)業(yè)務(wù)應(yīng)用支撐層,電子政務(wù)業(yè)務(wù)應(yīng)用支撐層是一站式電子政務(wù)服務(wù)得以實(shí)現(xiàn)的重要技術(shù)支持。作為為電子政務(wù)各種最終應(yīng)用提供硬件、軟件支撐的服務(wù)系統(tǒng)，應(yīng)用支撐層分別對(duì)外網(wǎng)的公共服務(wù)系統(tǒng)和內(nèi)網(wǎng)的辦公系統(tǒng)提供安全系統(tǒng)支撐。 業(yè)務(wù)支撐層作為電子政務(wù)軟件平臺(tái)中十分重要的一個(gè)層次，應(yīng)對(duì)應(yīng)用系統(tǒng)的開發(fā)、運(yùn)行提供全面的支持。針對(duì)業(yè)務(wù)過程的集成，應(yīng)用支撐層采用統(tǒng)一的整合技術(shù)，將應(yīng)用程序、管理系統(tǒng)、數(shù)據(jù)系統(tǒng)，統(tǒng)一在安全的支撐平臺(tái)上，通過應(yīng)用支撐平臺(tái)的各種引擎服務(wù)，針對(duì)外部不同系統(tǒng)的請(qǐng)求加以處理，然后驅(qū)動(dòng)其他應(yīng)用系統(tǒng)來協(xié)同完成業(yè)務(wù)過程。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),1

7、2,電子政務(wù),五、應(yīng)用層,電子政務(wù)建設(shè)的應(yīng)用系統(tǒng)根據(jù)其面向的用戶種類，可以分為對(duì)內(nèi)電子政務(wù)應(yīng)用系統(tǒng)和對(duì)外電子政務(wù)應(yīng)用系統(tǒng)兩類。其中，對(duì)內(nèi)電子政務(wù)應(yīng)用系統(tǒng)主要面向政府公務(wù)員，提供辦公支持、公文流轉(zhuǎn)等服務(wù)；而對(duì)外電子政務(wù)應(yīng)用系統(tǒng)主要是面向公眾，提供各政府職能部門的相關(guān)業(yè)務(wù)，如網(wǎng)上項(xiàng)目申報(bào)、網(wǎng)上納稅等。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),13,電子政務(wù),第二節(jié) 電子政務(wù)基礎(chǔ)設(shè)施層,一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施 二、網(wǎng)絡(luò)信任域基礎(chǔ)設(shè)施 三、公鑰基礎(chǔ)設(shè)施PKI 四、授權(quán)管理基礎(chǔ)設(shè)施PMI,第四章 電子政務(wù)的信息技術(shù)架構(gòu),14,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（一）網(wǎng)絡(luò)基礎(chǔ)設(shè)施的體系結(jié)構(gòu) 電子政務(wù)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施主要包括互聯(lián)

8、網(wǎng)、公眾服務(wù)業(yè)務(wù)網(wǎng)、非涉密政府辦公網(wǎng)和涉密政府辦公網(wǎng)幾大部分。而公眾服務(wù)業(yè)務(wù)網(wǎng)、非涉密政府辦公網(wǎng)和涉密政府辦公網(wǎng)三部分又統(tǒng)稱為政務(wù)內(nèi)網(wǎng)。其中公眾服務(wù)業(yè)務(wù)網(wǎng)絡(luò)負(fù)責(zé)提供與統(tǒng)一的電子政務(wù)服務(wù)業(yè)務(wù)系統(tǒng)相對(duì)應(yīng)的數(shù)據(jù)服務(wù)支持功能，非涉密的政府辦公網(wǎng)絡(luò)負(fù)責(zé)提供對(duì)部分業(yè)務(wù)數(shù)據(jù)的審批等處理，而涉密政府辦公網(wǎng)則是政府內(nèi)部的運(yùn)行有涉密信息的辦公網(wǎng)絡(luò)系統(tǒng)。政務(wù)內(nèi)網(wǎng)可以視為整個(gè)電子政務(wù)網(wǎng)絡(luò)系統(tǒng)中的內(nèi)部用戶網(wǎng)絡(luò)。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),15,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（一）網(wǎng)絡(luò)基礎(chǔ)設(shè)施的體系結(jié)構(gòu),第四章 電子政務(wù)的信息技術(shù)架構(gòu),16,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（一）網(wǎng)絡(luò)基礎(chǔ)設(shè)施的體系結(jié)構(gòu) 1統(tǒng)一的安全電子政

9、務(wù)平臺(tái) 統(tǒng)一的安全電子政務(wù)平臺(tái)是整個(gè)電子政務(wù)建設(shè)的基礎(chǔ)工程，也是整個(gè)電子政務(wù)系統(tǒng)的樞紐。其主要功能是為有關(guān)政府部門的對(duì)外業(yè)務(wù)服務(wù)應(yīng)用提供數(shù)據(jù)的傳輸與交換平臺(tái)，并提供與內(nèi)部政務(wù)專網(wǎng)以及互聯(lián)網(wǎng)/電信公網(wǎng)的接入接口。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),17,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（1）統(tǒng)一的接入平臺(tái),第四章 電子政務(wù)的信息技術(shù)架構(gòu),18,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（1）統(tǒng)一的接入平臺(tái) 撥號(hào)接入。在不需要經(jīng)常連接到網(wǎng)絡(luò)的政府部門中，可以使用這種方式。它只需要一條電話線、一個(gè)調(diào)制解調(diào)器和一臺(tái)計(jì)算機(jī)就可以接入電子政務(wù)系統(tǒng)中。這種方式的缺點(diǎn)是速率低、可靠性差。 綜合業(yè)務(wù)數(shù)字網(wǎng)。綜合業(yè)務(wù)數(shù)字網(wǎng)（Inte

10、grated Services Digital Network，簡(jiǎn)稱ISDN）是使用電話線路傳遞音頻、數(shù)據(jù)和視頻的技術(shù)。ISDN在根線路上創(chuàng)建多條信道，即創(chuàng)建在條線路上結(jié)合多種信號(hào)的多路復(fù)用數(shù)據(jù)通道。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),19,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（1）統(tǒng)一的接入平臺(tái) 數(shù)字用戶線路。數(shù)字用戶線路（x Digital Subscriber Line，xDSL）是一種通過在現(xiàn)有的電信網(wǎng)絡(luò)上使用高級(jí)調(diào)制技術(shù)，在用戶和電信運(yùn)營(yíng)商之間形成高速網(wǎng)絡(luò)連接的技術(shù)，速率可以從64kb/s到52Mb/s。 數(shù)字?jǐn)?shù)據(jù)網(wǎng)絡(luò)。數(shù)字?jǐn)?shù)據(jù)網(wǎng)絡(luò)（Digital Data Network，簡(jiǎn)稱DDN）是利用

11、光纖數(shù)字傳輸通道和數(shù)字交叉復(fù)用節(jié)點(diǎn)組成的傳輸網(wǎng)，可以為用戶提供各種速率的高質(zhì)量數(shù)字專用電路和其他新業(yè)務(wù)，以滿足用戶多媒體通信和組建中高速計(jì)算機(jī)通信網(wǎng)的需要。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),20,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（1）統(tǒng)一的接入平臺(tái) 混合光纖電纜?；旌瞎饫w電纜（Hybrid Fiber Coax，簡(jiǎn)稱HFC），是光纖和同軸電纜的結(jié)合：光纖用于中央設(shè)備，同軸電纜用于連接個(gè)人用戶。從本質(zhì)上說，HFC是層次結(jié)構(gòu)的，在需要最高帶寬的網(wǎng)絡(luò)端口上使用光纖，在可容忍低速率的部分使用同軸電纜。 光纖到用戶。光纖到用戶（Fiber To The Curb，簡(jiǎn)稱FTTC）使用光纖作為高容量干線，將光纖

12、延伸到終端用戶旁邊。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),21,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（1）統(tǒng)一的接入平臺(tái) GSM/GPRS接入。傳統(tǒng)的具有GSM/GPRS功能的手持移動(dòng)終端設(shè)備，主要是手機(jī)或個(gè)人數(shù)字助理（Personal Digital Assistant，簡(jiǎn)稱PDA），統(tǒng)一的電子政務(wù)接入平臺(tái)主要提供負(fù)責(zé)基于短信和基于無(wú)線應(yīng)用協(xié)議（Wireless Application Protocol，簡(jiǎn)稱WAP）兩種典型的接入方式。 CDMA接入。隨著第三代移動(dòng)技術(shù)的實(shí)現(xiàn)和移動(dòng)通信與互聯(lián)網(wǎng)的融合，全球正迅速向移動(dòng)信息時(shí)代邁進(jìn)。CDMA 接入方式提供了強(qiáng)大的移動(dòng)數(shù)據(jù)通信能力，使得實(shí)現(xiàn)任何人在任何地方、

13、任何時(shí)間與其他任何人進(jìn)行任何方式的通信最終成為可能。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),22,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（2）統(tǒng)一的Web門戶平臺(tái),第四章 電子政務(wù)的信息技術(shù)架構(gòu),23,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（2）統(tǒng)一的Web門戶平臺(tái) Web門戶服務(wù)平臺(tái)。 在技術(shù)方面，Web門戶服務(wù)平臺(tái)采用可信XML技術(shù)和可信SOAP的應(yīng)用集成技術(shù)等核心技術(shù)。 在結(jié)構(gòu)設(shè)計(jì)方面，Web門戶服務(wù)系統(tǒng)所提供的Web計(jì)算平臺(tái)是建立在J2EE的四層計(jì)算結(jié)構(gòu)基礎(chǔ)之上的，并采用了將表現(xiàn)層、業(yè)務(wù)邏輯層和數(shù)據(jù)訪問層相互獨(dú)立的分層化構(gòu)件設(shè)計(jì)結(jié)構(gòu)，提供了靈活的系統(tǒng)構(gòu)件能力和系統(tǒng)性能的動(dòng)態(tài)擴(kuò)展支持。,第四章 電子政務(wù)的信息技術(shù)

14、架構(gòu),24,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（2）統(tǒng)一的Web門戶平臺(tái) Web門戶服務(wù)平臺(tái)。 Web門戶服務(wù)是主要是由WEB服務(wù)單元和LDAP單元構(gòu)成的。其主要的功能是接受HTTP請(qǐng)求，并返回靜態(tài)或動(dòng)態(tài)的響應(yīng)，同時(shí)提供相應(yīng)的目錄服務(wù)的安全調(diào)用功能接口。 一般而言，Web門戶服務(wù)系統(tǒng)是建立在J2EE的四層計(jì)算結(jié)構(gòu)基礎(chǔ)之上的，并采用了將表現(xiàn)層、業(yè)務(wù)邏輯層和數(shù)據(jù)訪問層相互獨(dú)立的分層化構(gòu)件設(shè)計(jì)結(jié)構(gòu)，提供了靈活的系統(tǒng)構(gòu)件能力和系統(tǒng)性能的動(dòng)態(tài)擴(kuò)展支持。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),25,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（2）統(tǒng)一的Web門戶平臺(tái) 門戶應(yīng)用服務(wù)平臺(tái)。 門戶應(yīng)用服務(wù)平臺(tái)是由App服務(wù)單元、DB服務(wù)

15、單元、DBP服務(wù)單元構(gòu)成的。 App服務(wù)單元主要負(fù)責(zé)具體的業(yè)務(wù)邏輯（business logic）管理、進(jìn)行分布式計(jì)算，同時(shí)提供業(yè)務(wù)的并發(fā)控制、安全管理、資源和容錯(cuò)管理等服務(wù)； DB服務(wù)單元負(fù)責(zé)提供數(shù)據(jù)的查詢、更新、索引、高速緩存、查詢優(yōu)化、安全及多用戶存取控制等服務(wù)； DBP服務(wù)單元負(fù)責(zé)數(shù)據(jù)庫(kù)的路徑查找。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),26,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（2）統(tǒng)一的Web門戶平臺(tái) 系統(tǒng)運(yùn)行維護(hù)平臺(tái)。 在門戶平臺(tái)中，系統(tǒng)運(yùn)行維護(hù)平臺(tái)的主要功能是提供對(duì)電子政務(wù)系統(tǒng)的運(yùn)行維護(hù)，包括業(yè)務(wù)應(yīng)用系統(tǒng)的業(yè)務(wù)邏輯、門戶系統(tǒng)的表示邏輯以及門戶系統(tǒng)的存儲(chǔ)數(shù)據(jù)的運(yùn)行維護(hù)等，特別是要對(duì)Web門戶服

16、務(wù)系統(tǒng)中的電子政務(wù)門戶系統(tǒng)提供運(yùn)行維護(hù)的支持功能。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),27,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（2）統(tǒng)一的Web門戶平臺(tái) 安全保密服務(wù)平臺(tái)。 電子政務(wù)系統(tǒng)是一個(gè)龐大而復(fù)雜的網(wǎng)絡(luò)信息系統(tǒng)，雖然有一系列技術(shù)上的安全措施，但是，只有制定統(tǒng)一而嚴(yán)密的安全管理策略，并將這些技術(shù)有機(jī)地結(jié)合起來，才能保證電子政務(wù)應(yīng)用系統(tǒng)的安全性。 安全保密服務(wù)平臺(tái)主要由入侵檢測(cè)系統(tǒng)、漏洞掃描技術(shù)、病毒防治系統(tǒng)、安全審計(jì)系統(tǒng)等安全功能單元組成。這些單元以一定的方式有機(jī)地組合起來，構(gòu)成一個(gè)功能強(qiáng)大的安全保密管理平臺(tái)。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),28,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（2）統(tǒng)一的Web門

17、戶平臺(tái) 系統(tǒng)運(yùn)行維護(hù)平臺(tái)。 系統(tǒng)運(yùn)行維護(hù)平臺(tái)的具體功能主要包括：基于PKI技術(shù)的可信發(fā)布、基于PKI技術(shù)的可信日志管理、支持設(shè)備證書、訪問控制等。 系統(tǒng)運(yùn)行維護(hù)平臺(tái)的服務(wù)結(jié)構(gòu)主要可以從以下兩個(gè)方面進(jìn)行設(shè)計(jì)。 一是Web服務(wù)業(yè)務(wù)的審核。 二是Web服務(wù)業(yè)務(wù)的發(fā)布。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),29,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（2）統(tǒng)一的Web門戶平臺(tái) 系統(tǒng)運(yùn)行維護(hù)平臺(tái)。 系統(tǒng)運(yùn)行維護(hù)平臺(tái)的安全結(jié)構(gòu)主要可以從以下幾個(gè)方面進(jìn)行設(shè)計(jì)。 首先，內(nèi)部安全域劃分。 其次，在系統(tǒng)的接口控制方面，對(duì)系統(tǒng)運(yùn)行維護(hù)平臺(tái)對(duì)外的網(wǎng)絡(luò)管理接口進(jìn)行訪問控制，確保網(wǎng)管流程中數(shù)據(jù)采集和控制指令的安全性； 最后，在網(wǎng)管操作

18、的安全審計(jì)方面，對(duì)系統(tǒng)運(yùn)行維護(hù)平臺(tái)所進(jìn)行的網(wǎng)絡(luò)管理操作過程進(jìn)行安全審計(jì)，以便能對(duì)現(xiàn)有網(wǎng)絡(luò)配置的合理性進(jìn)行分析。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),30,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（2）統(tǒng)一的Web門戶平臺(tái) 安全保密服務(wù)平臺(tái)。 電子政務(wù)系統(tǒng)是一個(gè)龐大而復(fù)雜的網(wǎng)絡(luò)信息系統(tǒng)，雖然有一系列技術(shù)上的安全措施，但是，只有制定統(tǒng)一而嚴(yán)密的安全管理策略，并將這些技術(shù)有機(jī)地結(jié)合起來，才能保證電子政務(wù)應(yīng)用系統(tǒng)的安全性。因此，有必要建設(shè)安全保密管理系統(tǒng)來負(fù)責(zé)這方面的工作。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),31,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（2）統(tǒng)一的Web門戶平臺(tái) 安全保密服務(wù)平臺(tái)。 在安全保密系統(tǒng)的體系結(jié)構(gòu)方面，

19、安全保密管理系統(tǒng)以風(fēng)險(xiǎn)分析、安全策略配置、系統(tǒng)實(shí)施、狀態(tài)監(jiān)測(cè)和實(shí)時(shí)反應(yīng)來建立完善的信息系統(tǒng)安全模型，并以此為基礎(chǔ)，建立全面和長(zhǎng)遠(yuǎn)的可實(shí)施安全策略，采取規(guī)范的安全防范措施，進(jìn)行電子政務(wù)應(yīng)用系統(tǒng)的安全保密管理。 在安全保密管理系統(tǒng)的組成和功能方面，安全保密管理系統(tǒng)主要通過建立合理的安全管理模型，使整個(gè)電子政務(wù)系統(tǒng)配置一致的安全策略；保證所有可能的攻擊能夠被檢測(cè)、監(jiān)控和及時(shí)地以適當(dāng)?shù)姆绞接枰皂憫?yīng)；提供實(shí)時(shí)監(jiān)控并識(shí)別攻擊者的路徑；提供及時(shí)的安全報(bào)警；提供準(zhǔn)確的安全審計(jì)和趨勢(shì)分析數(shù)據(jù)，支持安全步驟的計(jì)劃和評(píng)估等。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),32,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（2）統(tǒng)一的Web門戶平

20、臺(tái) 安全保密服務(wù)平臺(tái)。 安全保密管理系統(tǒng)主要由安全策略配置和管理系統(tǒng)、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、安全審計(jì)系統(tǒng)、病毒防治系統(tǒng)以及風(fēng)險(xiǎn)評(píng)估分析等功能模塊組成。 安全策略配置和管理。根據(jù)系統(tǒng)的實(shí)際情況設(shè)置安全策略，如管理與配置系統(tǒng)安全事件通報(bào)，實(shí)時(shí)反映策略的管理與配置，病毒防治、入侵檢測(cè)、漏洞掃描等策略的管理與配置等。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),33,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（3）統(tǒng)一的一站式服務(wù)平臺(tái)。 統(tǒng)一的一站式服務(wù)平臺(tái)提供可信的Web Service的運(yùn)行環(huán)境。 所謂“一站式”服務(wù)，簡(jiǎn)單來講就是服務(wù)的提供者針對(duì)特定的用戶群，通過網(wǎng)絡(luò)提供一個(gè)有統(tǒng)一入口的服務(wù)平臺(tái)，用戶通過訪問統(tǒng)一的門

21、戶即可得到全程服務(wù)。一站式電子政務(wù)的出現(xiàn)為社會(huì)公眾提供了一種全新的電子政務(wù)服務(wù)方式：公民或者企業(yè)只需要登錄電子政府的門戶站點(diǎn)，就可以得到所需要的完整服務(wù)，避免了傳統(tǒng)方式的煩瑣和不便（后臺(tái)的處理可能跨越不同政府部門或者同一政府部門的不同處室），對(duì)公眾是完全透明的。一站式服務(wù)的推廣應(yīng)用可以提高政府的工作效率，最大程度地為公眾提供方便。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),34,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（4）統(tǒng)一的數(shù)據(jù)交換平臺(tái)。 為實(shí)現(xiàn)整個(gè)電子政務(wù)網(wǎng)內(nèi)資源的共享互通，統(tǒng)一的數(shù)據(jù)交換平臺(tái)必須提供高性能、跨平臺(tái)、跨系統(tǒng)、跨應(yīng)用和跨地區(qū)的數(shù)據(jù)交換功能，使得各行業(yè)各部門的系統(tǒng)都可統(tǒng)一通過這一平臺(tái)進(jìn)行信息交換

22、。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),35,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,2公眾服務(wù)業(yè)務(wù)網(wǎng)絡(luò) 一站式服務(wù)框架下的公眾服務(wù)業(yè)務(wù)網(wǎng)絡(luò)主要是構(gòu)建和運(yùn)行在一站式電子政務(wù)服務(wù)框架下的提供各類具體的公眾政務(wù)服務(wù)資源的業(yè)務(wù)網(wǎng)絡(luò)，屬于非涉密網(wǎng)絡(luò)。它通過可信SOAP（Simple Object Access Protocol，簡(jiǎn)單對(duì)象訪問協(xié)議）服務(wù)器與統(tǒng)一的信息交換平臺(tái)相連接，作為統(tǒng)一的信息交換平臺(tái)的數(shù)據(jù)源而工作。由于采用統(tǒng)一的機(jī)算結(jié)構(gòu)，使得系統(tǒng)之間的互聯(lián)、互通和互操作更加方便，也有助于各類電子政務(wù)新業(yè)務(wù)的開發(fā)和加載。一站式電子政務(wù)服務(wù)框架中所運(yùn)行的政務(wù)公眾服務(wù)系統(tǒng)的最終業(yè)務(wù)數(shù)據(jù)全部存儲(chǔ)在對(duì)應(yīng)的政府部門的公眾服務(wù)業(yè)

23、務(wù)網(wǎng)絡(luò)中。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),36,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,3非涉密政府辦公網(wǎng)絡(luò) 非涉密政府辦公網(wǎng)絡(luò)是作為政府部門內(nèi)部的辦公業(yè)務(wù)網(wǎng)絡(luò)以及公眾服務(wù)業(yè)務(wù)網(wǎng)絡(luò)的支撐網(wǎng)絡(luò)運(yùn)行的。非涉密政府辦公網(wǎng)絡(luò)一方面運(yùn)行政府部門內(nèi)部非涉密的辦公系統(tǒng)，完成日常的辦公業(yè)務(wù)處理，另一方面也需要對(duì)從公眾政務(wù)服務(wù)業(yè)務(wù)系統(tǒng)中所獲得的業(yè)務(wù)服務(wù)請(qǐng)求進(jìn)行處理。由于非涉密政府辦公網(wǎng)絡(luò)中可能涉及到部分敏感信息，因此，需要與公眾服務(wù)業(yè)務(wù)網(wǎng)絡(luò)之間通過邏輯隔離措施加以隔離。非涉密政務(wù)辦公網(wǎng)絡(luò)之間則通過非涉密政務(wù)專網(wǎng)連接。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),37,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,4涉密政府辦公網(wǎng)絡(luò) 涉密政務(wù)辦公網(wǎng)絡(luò)作

24、為政府內(nèi)部的辦公網(wǎng)絡(luò)系統(tǒng)，由于其中運(yùn)行有涉密的信息，因此必須與非涉密網(wǎng)絡(luò)進(jìn)行物理隔離。涉密政府辦公網(wǎng)絡(luò)之間則通過涉密政務(wù)專網(wǎng)進(jìn)行相互聯(lián)接。 電子政務(wù)目的在于推進(jìn)業(yè)務(wù)協(xié)同、信息共享、互聯(lián)互通和安全可靠。網(wǎng)絡(luò)的互聯(lián)互通和安全可靠是實(shí)現(xiàn)電子政務(wù)系統(tǒng)業(yè)務(wù)協(xié)同和信息共享的基礎(chǔ)。無(wú)論是原有的或新建的縱向?qū)＞W(wǎng)，還是原有的或新建的局域網(wǎng)，都需要橫向和縱向的互聯(lián)以實(shí)現(xiàn)同級(jí)部門之間和上下級(jí)之間業(yè)務(wù)的協(xié)同。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),38,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,4涉密政府辦公網(wǎng)絡(luò),第四章 電子政務(wù)的信息技術(shù)架構(gòu),39,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,4涉密政府辦公網(wǎng)絡(luò),第四章 電子政務(wù)的信息技術(shù)架構(gòu),40,

25、電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（二）網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全設(shè)計(jì) 由于電子政務(wù)的目標(biāo)運(yùn)行環(huán)境中需要處理大量敏感的政務(wù)信息，因此，在統(tǒng)一的安全電子政務(wù)平臺(tái)的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)中，需要著重進(jìn)行網(wǎng)絡(luò)系統(tǒng)的安全性設(shè)計(jì)。 由于統(tǒng)一的安全電子政務(wù)平臺(tái)采用了統(tǒng)一的核心交換平臺(tái)和統(tǒng)一的系統(tǒng)接入平臺(tái)，因此，對(duì)整個(gè)系統(tǒng)內(nèi)部的安全域劃分提供了清晰的界定準(zhǔn)則：和接入平臺(tái)以及Web服務(wù)的門戶系統(tǒng)直接相連的網(wǎng)絡(luò)系統(tǒng)為非安全的網(wǎng)絡(luò)，除此之外，其余的內(nèi)部網(wǎng)絡(luò)系統(tǒng)均可視為安全的網(wǎng)絡(luò)系統(tǒng)。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),41,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（二）網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全設(shè)計(jì) 在安全網(wǎng)絡(luò)系統(tǒng)內(nèi)，可以允許敏感的信息進(jìn)行傳輸和交換；而對(duì)于

26、非安全的網(wǎng)絡(luò)系統(tǒng)，則需要綜合采取物理層、網(wǎng)絡(luò)層和應(yīng)用層等多個(gè)層面的安全機(jī)制。安全和非安全網(wǎng)絡(luò)系統(tǒng)之間的邊界網(wǎng)絡(luò)及其設(shè)備將是整個(gè)系統(tǒng)設(shè)計(jì)的關(guān)鍵，也是系統(tǒng)安全策略的主要實(shí)施者。 統(tǒng)一的安全電子政務(wù)平臺(tái)中的接入平臺(tái)可以提供對(duì)訪問用戶物理接入的安全控制。對(duì)于統(tǒng)一的安全電子政務(wù)平臺(tái)中安全保密級(jí)別較高的網(wǎng)絡(luò)子系統(tǒng)，可以通過網(wǎng)絡(luò)層的安全保護(hù)機(jī)制提供對(duì)所傳輸敏感信息的保護(hù)。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),42,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（二）網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全設(shè)計(jì) 對(duì)于統(tǒng)一的安全電子政務(wù)平臺(tái)中關(guān)鍵網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)，可以采用基于信任和授權(quán)服務(wù)機(jī)制的安全管理機(jī)制實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的分配和管理。 對(duì)于統(tǒng)一的安

27、全電子政務(wù)平臺(tái)中間的各網(wǎng)元，可以采用本地與遠(yuǎn)程兩級(jí)的安全運(yùn)行監(jiān)管機(jī)制，并通過與系統(tǒng)安全漏洞掃描、系統(tǒng)入侵檢測(cè)和系統(tǒng)安全審計(jì)等相關(guān)管理子系統(tǒng)的配合提供對(duì)全網(wǎng)的安全運(yùn)行管理。 對(duì)于統(tǒng)一的安全電子政務(wù)平臺(tái)中的關(guān)鍵網(wǎng)絡(luò)部分，還可進(jìn)一步通過機(jī)房物理安全防護(hù)等物理安全保護(hù)措施來提供附加的安全保障。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),43,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（三）網(wǎng)絡(luò)基礎(chǔ)設(shè)施的接口設(shè)計(jì) 整個(gè)電子政務(wù)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施主要涉及到四類接口：統(tǒng)一的安全電子政務(wù)平臺(tái)的對(duì)外服務(wù)接口、統(tǒng)一的安全電子政務(wù)平臺(tái)與公眾服務(wù)業(yè)務(wù)網(wǎng)絡(luò)的接口、公眾服務(wù)業(yè)務(wù)網(wǎng)絡(luò)與非涉密政府辦公網(wǎng)絡(luò)的接口、非涉密政府辦公網(wǎng)絡(luò)與涉密政府辦公網(wǎng)絡(luò)的接

28、口。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),44,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（三）網(wǎng)絡(luò)基礎(chǔ)設(shè)施的接口設(shè)計(jì) 1統(tǒng)一的安全電子政務(wù)平臺(tái)的對(duì)外服務(wù)接口 統(tǒng)一的安全電子政務(wù)平臺(tái)的對(duì)外服務(wù)接口主要是面向社會(huì)公眾提供對(duì)電子政務(wù)業(yè)務(wù)服務(wù)的訪問接入功能。為了適應(yīng)電子政務(wù)公眾服務(wù)的多樣化用戶需求，該接口需要提供對(duì)GSM、互聯(lián)網(wǎng)、電信公網(wǎng)、CDMA等多種典型的接入方式，以方便各種不同終端類型的公眾用戶的業(yè)務(wù)接入。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),45,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（三）網(wǎng)絡(luò)基礎(chǔ)設(shè)施的接口設(shè)計(jì) 2統(tǒng)一的安全電子政務(wù)平臺(tái)與公眾服務(wù)業(yè)務(wù)網(wǎng)絡(luò)的接口 統(tǒng)一的安全電子政務(wù)平臺(tái)與公眾服務(wù)業(yè)務(wù)網(wǎng)絡(luò)的接口，是對(duì)整個(gè)電子

29、政務(wù)平臺(tái)所承載的具體電子政務(wù)應(yīng)用系統(tǒng)提供安全性保證的業(yè)務(wù)數(shù)據(jù)交換接口。 對(duì)于應(yīng)用層的數(shù)據(jù)交換接口而言，需要提供兩個(gè)層次的安全功能，即網(wǎng)絡(luò)層和應(yīng)用層的安全功能。其中網(wǎng)絡(luò)層主要是通過PKI網(wǎng)關(guān)提供信息傳輸?shù)陌踩Ｗo(hù)功能，確保傳輸過程中的機(jī)密性、完整性。而應(yīng)用層的安全功能則是主要通過可信SOAP服務(wù)器來完成，重點(diǎn)在應(yīng)用層結(jié)合安全SOAP的訪問控制技術(shù)和cegXML所提供的元素級(jí)安全功能提供對(duì)交換業(yè)務(wù)數(shù)據(jù)的安全保護(hù)。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),46,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（三）網(wǎng)絡(luò)基礎(chǔ)設(shè)施的接口設(shè)計(jì) 3公眾服務(wù)業(yè)務(wù)網(wǎng)絡(luò)與非涉密政府辦公網(wǎng)絡(luò)的接口 由于非涉密政府辦公網(wǎng)絡(luò)可能涉及到部分的敏感信

30、息，因此，不能直接與公眾服務(wù)業(yè)務(wù)網(wǎng)絡(luò)連接，而是必須進(jìn)行邏輯隔離。對(duì)于公眾服務(wù)業(yè)務(wù)網(wǎng)絡(luò)與非涉密政府辦公網(wǎng)絡(luò)之間的接口，它應(yīng)該提供公眾服務(wù)業(yè)務(wù)網(wǎng)絡(luò)與非涉密政府辦公網(wǎng)絡(luò)之間的網(wǎng)絡(luò)邏輯隔離功能。 考慮到該接口可能面臨的來自內(nèi)部和外部的安全威脅，該接口需要提供網(wǎng)絡(luò)接入控制和配套的安全保護(hù)措施。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),47,電子政務(wù),一、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,（三）網(wǎng)絡(luò)基礎(chǔ)設(shè)施的接口設(shè)計(jì) 4非涉密政府辦公網(wǎng)絡(luò)與涉密政府辦公網(wǎng)絡(luò)的接口 由于涉密政府辦公網(wǎng)絡(luò)系統(tǒng)主要運(yùn)行涉密的內(nèi)部政府辦公系統(tǒng)，因此，根據(jù)國(guó)家保密局的要求，應(yīng)與非涉密政府辦公網(wǎng)絡(luò)之間進(jìn)行物理隔離。,電子政務(wù),48,第四章 電子政務(wù)的信息技術(shù)架構(gòu)

31、,【案例4-1】黑龍江省電子政務(wù)網(wǎng)絡(luò)體系建設(shè),第四章 電子政務(wù)的信息技術(shù)架構(gòu),49,電子政務(wù),二、網(wǎng)絡(luò)信任域基礎(chǔ)設(shè)施,（一）網(wǎng)絡(luò)信任域的體系結(jié)構(gòu) 作為構(gòu)建網(wǎng)絡(luò)基礎(chǔ)設(shè)施的關(guān)鍵技術(shù)之一，網(wǎng)絡(luò)信任域技術(shù)是為實(shí)現(xiàn)信息安全的最終目的確保數(shù)據(jù)的機(jī)密性、數(shù)據(jù)的完整性、身份認(rèn)證、不可抵賴性和授權(quán)服務(wù)，提供安全保障的。下頁(yè)圖所示為網(wǎng)絡(luò)信任域的組織示意圖，從圖中可以看出，網(wǎng)絡(luò)信任域主要是從終端設(shè)備的安全可信接入、網(wǎng)絡(luò)設(shè)備的安全可信管理、數(shù)據(jù)信息的安全可信傳輸?shù)确矫孢M(jìn)行組織和管理的。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),50,電子政務(wù),二、網(wǎng)絡(luò)信任域基礎(chǔ)設(shè)施,（一）網(wǎng)絡(luò)信任域的體系結(jié)構(gòu),第四章 電子政務(wù)的信息技術(shù)架構(gòu),

32、51,電子政務(wù),二、網(wǎng)絡(luò)信任域基礎(chǔ)設(shè)施,1基于PKI和IEEE 8021X標(biāo)準(zhǔn)的安全可信接入 網(wǎng)絡(luò)信任域在網(wǎng)絡(luò)的終端接入環(huán)節(jié)采用網(wǎng)絡(luò)接入認(rèn)證交換機(jī)，其關(guān)鍵機(jī)制就是基于PKI的數(shù)字證書認(rèn)證接入控制?；赑KI的證書認(rèn)證優(yōu)于其他傳統(tǒng)的基于口令、IP地址、MAC地址等的身份認(rèn)證方式，它不但可以為信任域中的所有用戶和設(shè)備頒發(fā)數(shù)字公鑰證書（Public Key Certificate，PKC），以此證明該用戶或設(shè)備是可信或合法的，而且也為可信接入控制和可信管理打下基礎(chǔ)。 網(wǎng)絡(luò)信任域系統(tǒng)的可信接入應(yīng)該遵循IEEE 8021x標(biāo)準(zhǔn)，對(duì)以端對(duì)端的方式連接到網(wǎng)絡(luò)端口的設(shè)備進(jìn)行認(rèn)證和核準(zhǔn)，實(shí)現(xiàn)基于端口的網(wǎng)絡(luò)接入控

33、制，從而阻止非法用戶接入該端口。同時(shí)，將PKI與IEEE 8021x標(biāo)準(zhǔn)進(jìn)行有機(jī)結(jié)合，從而實(shí)現(xiàn)以PKI證書認(rèn)證為基礎(chǔ)的、基于端口的網(wǎng)絡(luò)可信接入控制。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),52,電子政務(wù),二、網(wǎng)絡(luò)信任域基礎(chǔ)設(shè)施,2基于PKI、PMI的安全可信管理 網(wǎng)絡(luò)信任域的安全可信管理通過信任域管理服務(wù)平臺(tái)實(shí)現(xiàn)。網(wǎng)絡(luò)信任域管理服務(wù)平臺(tái)采用基于SNMP（Simple Network Management Protocol，簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）協(xié)議的網(wǎng)絡(luò)管理接口，通過該端口對(duì)所屬的網(wǎng)絡(luò)設(shè)備進(jìn)行管理配置以及運(yùn)行監(jiān)控和業(yè)務(wù)數(shù)據(jù)的采集；同時(shí)采用PKI技術(shù)對(duì)接入網(wǎng)絡(luò)的實(shí)體進(jìn)行基于“一實(shí)體一證”的管理和控制，以確

34、保只有可信的用戶或設(shè)備才能接入網(wǎng)絡(luò)并且訪問相關(guān)的資源，并為信任域網(wǎng)絡(luò)環(huán)境中的所有信息傳輸提供安全通道。此外，為有效解決授權(quán)服務(wù)管理問題，網(wǎng)絡(luò)信任域管理系統(tǒng)應(yīng)該采用基于PMI的屬性證書機(jī)制，對(duì)用戶、設(shè)備的身份及權(quán)限以及許可信息進(jìn)行綁定，從而使應(yīng)用系統(tǒng)與權(quán)限管理能夠靈活方便地進(jìn)行結(jié)合。PKI和PMI的結(jié)合為網(wǎng)絡(luò)信任域及其上層的應(yīng)用提供了信息服務(wù)的安全保障。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),53,電子政務(wù),二、網(wǎng)絡(luò)信任域基礎(chǔ)設(shè)施,2基于PKI、PMI的安全可信管理 網(wǎng)絡(luò)信任域管理的核心思想是：基于統(tǒng)一的PKI機(jī)制，建立分布式的、逐級(jí)可信的信任域管理。采用策略一致的PKI證書發(fā)布及認(rèn)證機(jī)制，系統(tǒng)管理員

35、可以根據(jù)網(wǎng)絡(luò)的規(guī)模和網(wǎng)絡(luò)的分布狀況，為整個(gè)系統(tǒng)建立多級(jí)信任域管理的分層模型，并實(shí)現(xiàn)每個(gè)信任域架構(gòu)服務(wù)于本信任域的信任域綜合管理系統(tǒng)；而位于系統(tǒng)上層的信任域可以接收底層信任域所采集的業(yè)務(wù)數(shù)據(jù)，負(fù)責(zé)對(duì)底層的信任域提供系統(tǒng)管理和信任服務(wù)，通過分層管理可以構(gòu)建范圍更廣的網(wǎng)絡(luò)信任域。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),54,電子政務(wù),二、網(wǎng)絡(luò)信任域基礎(chǔ)設(shè)施,3基于PKI的安全可信傳輸 網(wǎng)絡(luò)信任域在數(shù)據(jù)通信環(huán)節(jié)采用PKI安全網(wǎng)關(guān)來構(gòu)建虛擬專用網(wǎng)VPN，以解決在不可信環(huán)境中信息傳輸?shù)陌踩珕栴}。PKI安全網(wǎng)關(guān)采用基于數(shù)字證書的密鑰交換協(xié)議，同時(shí)結(jié)合IP安全協(xié)議（IP Security，IPsec），可以保證網(wǎng)絡(luò)

36、通信的可信和安全。首先，系統(tǒng)通過采用PKI身份證書來實(shí)現(xiàn)對(duì)PKI網(wǎng)關(guān)的運(yùn)行、管理、配置以及VPN虛擬專網(wǎng)的動(dòng)態(tài)構(gòu)建；其次，通過PKI身份證書的認(rèn)證機(jī)制來實(shí)現(xiàn)對(duì)終端用戶的身份鑒別，這樣，就可以在兩個(gè)PKI網(wǎng)關(guān)之間構(gòu)建一個(gè)端對(duì)端的加密安全通道，從而實(shí)現(xiàn)對(duì)用戶數(shù)據(jù)的保護(hù)。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),55,電子政務(wù),二、網(wǎng)絡(luò)信任域基礎(chǔ)設(shè)施,（二）網(wǎng)絡(luò)信任域的構(gòu)建 下頁(yè)圖所示為電子政務(wù)網(wǎng)絡(luò)信任域的結(jié)構(gòu)示意圖。從圖中可以看出，電子政務(wù)網(wǎng)絡(luò)信任域主要從電子政務(wù)專網(wǎng)和電子政務(wù)內(nèi)網(wǎng)終端設(shè)備的接入、數(shù)據(jù)信息的傳輸和設(shè)備管理三個(gè)方面構(gòu)建一個(gè)可信的電子政務(wù)網(wǎng)絡(luò)信任域。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),56,電子

37、政務(wù),二、網(wǎng)絡(luò)信任域基礎(chǔ)設(shè)施,（二）網(wǎng)絡(luò)信任域的構(gòu)建,第四章 電子政務(wù)的信息技術(shù)架構(gòu),57,電子政務(wù),二、網(wǎng)絡(luò)信任域基礎(chǔ)設(shè)施,1安全可信的政務(wù)內(nèi)網(wǎng) 政務(wù)內(nèi)網(wǎng)通過接入認(rèn)證交換機(jī)確保政務(wù)內(nèi)網(wǎng)的用戶或設(shè)備的可信接入。而本地網(wǎng)絡(luò)信任域管理系統(tǒng)在負(fù)責(zé)管理本地設(shè)備的同時(shí)，作為審核注冊(cè)代理向證書認(rèn)證中心（CA）申請(qǐng)證書。 當(dāng)接入政務(wù)內(nèi)網(wǎng)的設(shè)備由網(wǎng)絡(luò)信任域管理系統(tǒng)代理公鑰證書（PKC）時(shí)，該設(shè)備的MAC地址被寫入PKC中。通過對(duì)網(wǎng)絡(luò)接入交換機(jī)進(jìn)行系統(tǒng)設(shè)置，可以將交換機(jī)上的每個(gè)端口都與對(duì)應(yīng)設(shè)備的MAC地址進(jìn)行一對(duì)一的綁定。當(dāng)某個(gè)設(shè)備準(zhǔn)備接入網(wǎng)絡(luò)時(shí)，就向接入認(rèn)證交換機(jī)提交PKC，接入認(rèn)證交換機(jī)負(fù)責(zé)對(duì)提交的PKC進(jìn)

38、行有效性檢查。確認(rèn)證書有效后，接入認(rèn)證交換機(jī)將對(duì)證書進(jìn)行解密，獲取設(shè)備信息，并掃描交換機(jī)的端口，尋找與用戶終端設(shè)備的MAC地址一致的端口，然后與之建立連接。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),58,電子政務(wù),二、網(wǎng)絡(luò)信任域基礎(chǔ)設(shè)施,2安全可信的政務(wù)專網(wǎng) 政務(wù)專網(wǎng)作為政府系統(tǒng)的主干網(wǎng)絡(luò)，是各級(jí)政府和政府組成部門相互間的信息傳輸網(wǎng)，應(yīng)通過PKI網(wǎng)關(guān)構(gòu)建VPN組網(wǎng)方式在網(wǎng)絡(luò)層提供數(shù)據(jù)加密通信環(huán)境，防止信息被非法竊取和篡改，以確保設(shè)備數(shù)據(jù)的安全傳輸。 為保證政府單位內(nèi)部信息、各級(jí)政府單位間信息傳輸?shù)摹皺C(jī)密性”、“完整性”，還應(yīng)該在政務(wù)專網(wǎng)與每個(gè)政務(wù)內(nèi)網(wǎng)的接口處放置一臺(tái)PKI網(wǎng)關(guān)池，配合政務(wù)內(nèi)網(wǎng)內(nèi)的PKI

39、安全網(wǎng)關(guān)，從而建立起一條“安全通道”。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),59,電子政務(wù),二、網(wǎng)絡(luò)信任域基礎(chǔ)設(shè)施,3安全可信的逐級(jí)分布式網(wǎng)絡(luò)信任域管理平臺(tái) 網(wǎng)絡(luò)信任域管理平臺(tái)作為網(wǎng)絡(luò)信任域的網(wǎng)管系統(tǒng)，在底層的信任與授權(quán)服務(wù)基礎(chǔ)設(shè)施提供的信任與授權(quán)服務(wù)的基礎(chǔ)上，能夠?qū)崿F(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)信任域的安全管理、業(yè)務(wù)管理以及資源管理。 網(wǎng)絡(luò)信任域管理平臺(tái)采用統(tǒng)一發(fā)證、分布式逐級(jí)管理的模式來組織。所謂統(tǒng)一發(fā)證是指：建立統(tǒng)一的電子政務(wù)設(shè)備證書認(rèn)證管理中心，負(fù)責(zé)簽發(fā)電子政務(wù)系統(tǒng)中設(shè)備的數(shù)字證書（PKC），即構(gòu)建設(shè)備信任服務(wù)系統(tǒng)。而分布式逐級(jí)管理是指：網(wǎng)絡(luò)信任域按實(shí)際的責(zé)任和管理范圍來劃分，每個(gè)政務(wù)內(nèi)網(wǎng)為一個(gè)基本信任域，

40、每個(gè)基本信任域都有自己的網(wǎng)絡(luò)信任域管理平臺(tái)，負(fù)責(zé)本信任域的管理，而基本信任域管理平臺(tái)則由上一級(jí)電子政務(wù)網(wǎng)絡(luò)信任域管理平臺(tái)負(fù)責(zé)管理，這樣就可以構(gòu)筑一個(gè)責(zé)任明確、管理方便、覆蓋全系統(tǒng)的安全可信的網(wǎng)絡(luò)信任域管理體系。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),60,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,公鑰基礎(chǔ)設(shè)施（PKI）是信息安全基礎(chǔ)設(shè)施的重要組成部分，是一種普遍適用的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。數(shù)字證書認(rèn)證中心CA（Certificate Authority，CA）、審核注冊(cè)中心RA（Registration Authority）、密鑰管理中心KM（Key Manager）都是組成PKI的關(guān)鍵組件。 PKI作為提供信

41、息安全服務(wù)的公共基礎(chǔ)設(shè)施，是目前公認(rèn)的保障網(wǎng)絡(luò)社會(huì)安全的最佳體系。實(shí)際上，授權(quán)管理基礎(chǔ)設(shè)施、可信時(shí)間戳服務(wù)系統(tǒng)、安全保密管理系統(tǒng)、統(tǒng)一的安全電子政務(wù)平臺(tái)等的構(gòu)筑都離不開它的支持。如何推廣PKI應(yīng)用，加強(qiáng)系統(tǒng)之間、部門之間、國(guó)家之間PKI體系的互通互聯(lián)，已經(jīng)成為目前PKI建設(shè)亟待解決的重要問題。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),61,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,（一）公開密鑰密碼技術(shù) 信息安全技術(shù)包括密碼技術(shù)、鑒別技術(shù)、訪問控制技術(shù)、口令控制技術(shù)、防火墻技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)病毒防治技術(shù)、防電磁泄漏技術(shù)和計(jì)算機(jī)安全檢測(cè)技術(shù)等，其中，密碼技術(shù)是最為核心的信息安全技術(shù)。 根據(jù)密碼算法所使用的加密密鑰

42、和解密密鑰是否相同，以及能否由加密過程推導(dǎo)出解密過程（或者由解密過程推導(dǎo)出加密過程），可以將密碼體制分為對(duì)稱密碼體制（也叫作單密鑰密碼體制、秘密密鑰密碼體制、對(duì)稱密鑰密碼體制）和非對(duì)稱密碼體制（也叫作雙鑰密碼體制、公開密鑰密碼體制、非對(duì)稱密鑰密碼體制）。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),62,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,（一）公開密鑰密碼技術(shù) 如果一個(gè)加密系統(tǒng)的加密密鑰和解密密鑰相同，或者雖然不相同但是由其中的任意一個(gè)很容易地推導(dǎo)出另一個(gè)，所采用的就是對(duì)稱密碼體制。對(duì)稱密碼體制從加密模式上可分為序列密碼（或稱流密碼）和分組密碼（或稱塊密碼）兩大類。 如果一個(gè)加密系統(tǒng)的加密和解密是分別采用

43、兩個(gè)不同的密鑰實(shí)現(xiàn)的，并且由加密密鑰推導(dǎo)出解密密鑰（或者由解密密鑰推導(dǎo)出加密密鑰）在計(jì)算上是不可行的，那么該系統(tǒng)所采用的就是非對(duì)稱密碼體制。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),63,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,1公開密鑰密碼體制的原理 公開密鑰密碼體制最大的特點(diǎn)是使用兩個(gè)不同的密鑰：一個(gè)用來加密信息，稱為加密密鑰；另一個(gè)用來解密信息，稱為解密密鑰。 用戶把加密密鑰公開，因此加密密鑰也稱為公開密鑰，簡(jiǎn)稱公鑰。解密密鑰保密，因此解密密鑰也稱為私有密鑰，簡(jiǎn)稱私鑰。 公鑰和私鑰是數(shù)學(xué)相關(guān)的，用某用戶的公鑰加密的數(shù)據(jù)只能用該用戶的私鑰才能解密，因而要求用戶的私鑰不能透露給自己不信任的任何人。通常，公

44、開密鑰用于對(duì)機(jī)密信息的加密，私有密鑰則用于對(duì)加密信息的解密。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),64,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,1公開密鑰密碼體制的原理 非對(duì)稱密鑰算法的特點(diǎn)是： 僅知道密碼算法和加密密鑰，要確定解密密鑰，這在計(jì)算上是不可能的； 兩個(gè)相關(guān)密鑰中的任何一個(gè)都可以用作加密而讓另一個(gè)用于解密。也就是說，一對(duì)密鑰中哪一個(gè)作為公鑰、哪一個(gè)作為私鑰完全可以自己制定。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),65,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,1公開密鑰密碼體制的原理 從本質(zhì)上講，設(shè)計(jì)一個(gè)公開密碼體制就是構(gòu)造一個(gè)陷門單向函數(shù)。設(shè)X為明文，Y為密文。滿足以下兩條件的f則稱為陷門單向函數(shù)。 算

45、Yf（X）容易，而已知Y，反求X則很難，即求Xf（Y）很難； 若陷門（參數(shù)）已知，則容易由Y求X。 顯然，若能構(gòu)造出這樣的陷門單向函數(shù)，也就找到了一個(gè)公鑰密碼體制。由X計(jì)算Y即是進(jìn)行公鑰加密過程，而由Y求X即是解密過程。而陷門參數(shù)正是秘密密鑰。不知道秘密密鑰即不知道陷門，則難以由密文Y推出明文X。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),66,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,1公開密鑰密碼體制的原理 自公鑰加密問世以來，學(xué)者們提出了許多種公鑰加密方法，它們的安全性都是基于復(fù)雜的數(shù)學(xué)難題。根據(jù)所基于的數(shù)學(xué)難題來分類，有以下3類系統(tǒng)目前被認(rèn)為是安全和有效的：大整數(shù)因子分解系統(tǒng)（代表性的有RSA）、橢園曲

46、線離散對(duì)數(shù)系統(tǒng)（ECC）和離散對(duì)數(shù)系統(tǒng)（代表性的有DSA）。其他的典型算法還有：ELGamal和DiffieHellman（DH）等。公鑰密碼能夠用于數(shù)據(jù)加密、密鑰分發(fā)、數(shù)字簽名、身份認(rèn)證、信息的完整性認(rèn)證、信息的非否認(rèn)性認(rèn)證等。其中可以用于加密的算法有：RSA，ECC，ELGamal等；可以用于密鑰分發(fā)的算法有：RSA，ECC，DH等；可以用于數(shù)字簽名、身份認(rèn)證、信息的完整性認(rèn)證、信息的非否認(rèn)性認(rèn)證的有RSA，ECC，DSA，ELGamal等。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),67,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,2公開密鑰密碼技術(shù)的特點(diǎn) （1）密鑰分發(fā)簡(jiǎn)單，解決了大規(guī)模網(wǎng)絡(luò)應(yīng)用中密鑰的分

47、發(fā)問題。 （2）需要秘密保存的密鑰量少，解決了大規(guī)模網(wǎng)絡(luò)應(yīng)用中密鑰的管理問題。 （3）可以進(jìn)行數(shù)字簽名，實(shí)現(xiàn)了網(wǎng)絡(luò)中的數(shù)字簽名機(jī)制。 （4）互不相識(shí)的人之間也能進(jìn)行保密對(duì)話。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),68,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,（二）PKI的服務(wù) 公鑰基礎(chǔ)設(shè)施PKI是以公開密鑰技術(shù)為基礎(chǔ)，以數(shù)據(jù)的機(jī)密性、完整性和不可抵賴性為安全目的而構(gòu)建的認(rèn)證、授權(quán)、加密等硬件、軟件的綜合設(shè)施。 PKI安全體系是提供信息安全服務(wù)的最具有普適性的安全基礎(chǔ)設(shè)施。該體系在統(tǒng)一的安全認(rèn)證標(biāo)準(zhǔn)和規(guī)范基礎(chǔ)上提供在線身份認(rèn)證、CA認(rèn)證、數(shù)字簽名以及相關(guān)安全應(yīng)用組建模塊的集合。,第四章 電子政務(wù)的信息技術(shù)

48、架構(gòu),69,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,（二）PKI的服務(wù) 1認(rèn)證 在現(xiàn)實(shí)生活中，認(rèn)證采用的方式通常是兩個(gè)人事前進(jìn)行協(xié)商，確定一個(gè)秘密，然后，依據(jù)這個(gè)秘密進(jìn)行相互認(rèn)證。隨著網(wǎng)絡(luò)的擴(kuò)大和用戶的增加，事前協(xié)商秘密會(huì)變得非常復(fù)雜，特別是在電子政務(wù)中，經(jīng)常會(huì)有新聘用和退休的情況。另外，在大規(guī)模的網(wǎng)絡(luò)中，兩兩進(jìn)行協(xié)商幾乎是不可能的。透過一個(gè)密鑰管理中心來協(xié)調(diào)也會(huì)有很大的困難，而且當(dāng)網(wǎng)絡(luò)規(guī)模巨大時(shí)，密鑰管理中心甚至有可能成為網(wǎng)絡(luò)通信的瓶頸。 PKI通過證書進(jìn)行認(rèn)證，證書作為一個(gè)通信雙方均信賴的第三方證明，通過它，通信雙方可以安全地進(jìn)行互相認(rèn)證，而不用擔(dān)心對(duì)方是假冒的。,第四章 電子政務(wù)的信息技術(shù)架構(gòu)

49、,70,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,（二）PKI的服務(wù) 2支持密鑰管理 通過加密證書，通信雙方可以協(xié)商一個(gè)秘密，而這個(gè)秘密可以作為通信加密的密鑰。在需要通信時(shí)，可以在認(rèn)證的基礎(chǔ)上協(xié)商一個(gè)密鑰。在大規(guī)模的網(wǎng)絡(luò)中，特別是在電子政務(wù)中，密鑰恢復(fù)也是密鑰管理的一個(gè)重要方面，政府決不希望加密系統(tǒng)被犯罪分子竊取使用。當(dāng)政府的個(gè)別職員背叛或利用加密系統(tǒng)進(jìn)行反政府活動(dòng)時(shí)，政府可以通過法定的手續(xù)解密其通信內(nèi)容，保護(hù)政府的合法權(quán)益。PKI能夠通過良好的密鑰恢復(fù)能力，提供可信的、可管理的密鑰恢復(fù)機(jī)制。PKI的普及應(yīng)用能夠保證在全社會(huì)范圍內(nèi)提供全面的密鑰恢復(fù)與管理能力，保證網(wǎng)上活動(dòng)的健康有序發(fā)展。,第四章 電子

50、政務(wù)的信息技術(shù)架構(gòu),71,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,（二）PKI的服務(wù) 3完整性與不可否認(rèn) 完整性與不可否認(rèn)是PKI提供的最基本的服務(wù)。一般來說，完整性也可以通過雙方協(xié)商一個(gè)秘密來解決，但一方有意抵賴時(shí)，這種完整性就無(wú)法接受第三方的仲裁。而PKI提供的完整性是可以通過第三方仲裁的，并且這種可以由第三方進(jìn)行仲裁的完整性是通信雙方都不可否認(rèn)的。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),72,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,（三）PKI的體系結(jié)構(gòu) 1信任服務(wù)體系概述 信任服務(wù)體系主要是為網(wǎng)絡(luò)信息空間提供一個(gè)信任的基準(zhǔn)，即在用戶實(shí)體和虛擬網(wǎng)絡(luò)空間中的用戶角色之間建立一種映射關(guān)系，以便能將現(xiàn)實(shí)物理世界

51、中的信任關(guān)系移植到虛擬的網(wǎng)絡(luò)空間中去。 目前，建立信任服務(wù)體系的關(guān)鍵技術(shù)主要是公鑰基礎(chǔ)設(shè)施PKI技術(shù)。PKI技術(shù)通過公鑰密碼體制中用戶私鑰的機(jī)密性來提供用戶身份的惟一性驗(yàn)證，并通過公鑰數(shù)字證書的方式為每個(gè)合法用戶的公鑰提供一個(gè)合法性的證明，從而建立了從用戶公鑰到證書ID號(hào)之間的惟一映射關(guān)系。數(shù)字證書中的信息利用數(shù)字信封技術(shù)和數(shù)字簽名技術(shù)提供了對(duì)其完整性的保護(hù)，因此可以通過公開的方式，如輕型目錄訪問協(xié)議（Light weight Directory Access Protocol，LDAP）服務(wù)，對(duì)外進(jìn)行發(fā)布。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),73,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,（三）PKI

52、的體系結(jié)構(gòu) 2信任服務(wù)體系結(jié)構(gòu) 對(duì)于整個(gè)國(guó)家的信任服務(wù)體系而言，信任服務(wù)的基準(zhǔn)體系將包括自然人證書認(rèn)證體系、機(jī)構(gòu)證書認(rèn)證體系和設(shè)備證書認(rèn)證體系，需要由國(guó)家有關(guān)部門統(tǒng)一規(guī)劃和建設(shè)。這些基準(zhǔn)的信任服務(wù)體系構(gòu)成了所有其他信任鏈結(jié)構(gòu)的基礎(chǔ)，各政府職能部門可以作為這些基準(zhǔn)信任服務(wù)體系的受理審核部門，從而建立全國(guó)統(tǒng)一的服務(wù)體系。 對(duì)于電子政務(wù)應(yīng)用系統(tǒng)而言，將在基準(zhǔn)信任服務(wù)體系的基礎(chǔ)上，通過授權(quán)服務(wù)體系來建立業(yè)務(wù)授權(quán)體系，發(fā)放屬性證書而非公鑰證書。這種業(yè)務(wù)運(yùn)行模式可以簡(jiǎn)化信任鏈的結(jié)構(gòu)，并使公鑰證書體系和屬性證書體系之間的業(yè)務(wù)分工更加明確。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),74,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PK

53、I,（三）PKI的體系結(jié)構(gòu) 2信任服務(wù)體系結(jié)構(gòu),第四章 電子政務(wù)的信息技術(shù)架構(gòu),75,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,（三）PKI的體系結(jié)構(gòu) 2信任服務(wù)體系結(jié)構(gòu) （1）國(guó)家電子政務(wù)認(rèn)證和管理中心 國(guó)家電子政務(wù)認(rèn)證和管理中心是整個(gè)信任服務(wù)體系的信任源點(diǎn)（Source of Authentication，SOA）和信任基準(zhǔn)點(diǎn)，也是整個(gè)信任服務(wù)體系的最終信任源和最高管理機(jī)構(gòu)。其職責(zé)主要包括：證書策略的管理、CA根證書的發(fā)放與管理、下級(jí)CA的設(shè)立審核及管理、信任服務(wù)體系業(yè)務(wù)的規(guī)范化管理等。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),76,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,（三）PKI的體系結(jié)構(gòu) 2信任服務(wù)體系

54、結(jié)構(gòu) （2）CA中心 CA是信任服務(wù)體系中的核心業(yè)務(wù)節(jié)點(diǎn)，負(fù)責(zé)提供信任服務(wù)體系的信任服務(wù)，如數(shù)字證書的申請(qǐng)注冊(cè)、證書簽發(fā)和管理等。CA是PKI的核心執(zhí)行機(jī)構(gòu)，是PKI的主要組成部分，通常被稱為認(rèn)證中心（從廣義上講，認(rèn)證中心還應(yīng)該包括證書申請(qǐng)注冊(cè)機(jī)構(gòu)RA）。對(duì)于具體的信任服務(wù)體系，CA中心由具有設(shè)立CA中心業(yè)務(wù)需求的各電子政務(wù)應(yīng)用單位或其主管政府部門根據(jù)具體的業(yè)務(wù)量分布狀況負(fù)責(zé)建設(shè)，并與國(guó)家電子政務(wù)認(rèn)證和管理中心通過業(yè)務(wù)協(xié)議達(dá)成相互信任關(guān)系。CA中心的主要功能包括：各類證書的發(fā)放和管理、證書撤銷列表的管理、下級(jí)RA的設(shè)立審核及管理等。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),77,電子政務(wù),三、公鑰基礎(chǔ)

55、設(shè)施PKI,（三）PKI的體系結(jié)構(gòu) 2信任服務(wù)體系結(jié)構(gòu) （3）RA中心 RA中心是信任服務(wù)體系中核心業(yè)務(wù)節(jié)點(diǎn)的擴(kuò)展服務(wù)節(jié)點(diǎn)，是與具體的電子政務(wù)應(yīng)用系統(tǒng)結(jié)構(gòu)和業(yè)務(wù)邏輯密切相關(guān)的服務(wù)節(jié)點(diǎn)，由具有設(shè)立RA中心業(yè)務(wù)需求的各電子政務(wù)應(yīng)用單位或其主管政府部門負(fù)責(zé)進(jìn)行建設(shè)，并與主管的CA中心通過業(yè)務(wù)協(xié)議達(dá)成相互信任關(guān)系。RA中心負(fù)責(zé)提供信任服務(wù)體系內(nèi)的證書受理審核和注冊(cè)服務(wù)，如證書申請(qǐng)的受理、證書申請(qǐng)的初級(jí)審核、業(yè)務(wù)受理點(diǎn)的設(shè)立審核及管理等。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),78,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,（三）PKI的體系結(jié)構(gòu) 2信任服務(wù)體系結(jié)構(gòu) （4）CA業(yè)務(wù)受理核發(fā)點(diǎn) CA業(yè)務(wù)受理核發(fā)點(diǎn)是信任

56、服務(wù)體系的最終面向用戶的服務(wù)受理和證書載體的用戶代理節(jié)點(diǎn)，是與最終電子政務(wù)應(yīng)用用戶的接口，作為RA中心的附屬機(jī)構(gòu)，由各RA中心自行建設(shè)，并報(bào)經(jīng)主管CA中心同意并簽發(fā)相應(yīng)的證書。CA業(yè)務(wù)受理點(diǎn)的設(shè)立地點(diǎn)和數(shù)目由各RA中心根據(jù)自身的業(yè)務(wù)發(fā)展需求而定。其主要職責(zé)包括：證書請(qǐng)求的接收、用戶資料的初級(jí)審核與提交、用戶證書的物理介質(zhì)制作等。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),79,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,（三）PKI的體系結(jié)構(gòu) 2信任服務(wù)體系結(jié)構(gòu) 在上述全網(wǎng)一致的證書策略管理機(jī)制中，可能各信任服務(wù)體系之間的策略存在不一致性。因此，在不同的信任服務(wù)子體系建立信任鏈互聯(lián)時(shí)，必須首先就所使用的證書策略達(dá)

57、成一致。 下圖所示為一典型的PKI基本組織框架。它至少包括證書認(rèn)證機(jī)構(gòu)（CA）、密鑰管理中心（Key Manager，KM）、用戶注冊(cè)機(jī)構(gòu)（Registration Authority，RA）和PKI用戶。同時(shí)還應(yīng)該包括相關(guān)的法律、業(yè)務(wù)環(huán)境等因素。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),80,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,（三）PKI的體系結(jié)構(gòu) 2信任服務(wù)體系結(jié)構(gòu),第四章 電子政務(wù)的信息技術(shù)架構(gòu),81,電子政務(wù),三、公鑰基礎(chǔ)設(shè)施PKI,（四）PKI在電子政務(wù)中的作用和地位 1通過PKI可以構(gòu)建一個(gè)可管、可控、安全的互聯(lián)網(wǎng)絡(luò) 2通過PKI可以在互聯(lián)網(wǎng)中構(gòu)建一個(gè)完整的授權(quán)服務(wù)體系 3通過PKI可以建

58、設(shè)一個(gè)普適性好、安全性高的統(tǒng)一平臺(tái),第四章 電子政務(wù)的信息技術(shù)架構(gòu),82,電子政務(wù),四、授權(quán)管理基礎(chǔ)設(shè)施PMI,授權(quán)管理基礎(chǔ)設(shè)施（Privilege Management Infrastructure，PMI）是國(guó)家信息安全基礎(chǔ)設(shè)施（National Information Security Infrastructure，NISI）的重要組成部分，目標(biāo)是向用戶和應(yīng)用程序提供授權(quán)管理服務(wù)，提供用戶身份到應(yīng)用授權(quán)的映射功能，提供與實(shí)際應(yīng)用處理模式相應(yīng)的、與具體應(yīng)用系統(tǒng)開發(fā)和管理無(wú)關(guān)的授權(quán)和訪問控制機(jī)制，簡(jiǎn)化具體應(yīng)用系統(tǒng)的開發(fā)與維護(hù)。PMI是一個(gè)由屬性證書、屬性權(quán)威、屬性證書庫(kù)等部件構(gòu)成的綜合系統(tǒng)，

59、用來實(shí)現(xiàn)權(quán)限和證書的產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撤銷等功能。PMI使用屬性證書表示和容納權(quán)限信息，通過管理證書的生命周期實(shí)現(xiàn)對(duì)權(quán)限生命周期的管理。屬性證書的申請(qǐng)、簽發(fā)、注銷、驗(yàn)證流程對(duì)應(yīng)著權(quán)限的申請(qǐng)、發(fā)放、撤銷、使用和驗(yàn)證的過程。而且，使用屬性證書進(jìn)行權(quán)限管理方式使得權(quán)限的管理不必依賴某個(gè)具體的應(yīng)用，而且利于權(quán)限的安全分布式應(yīng)用。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),83,電子政務(wù),四、授權(quán)管理基礎(chǔ)設(shè)施PMI,（一）基于PMI技術(shù)的授權(quán)管理模式 授權(quán)服務(wù)體系主要是為網(wǎng)絡(luò)空間提供用戶操作授權(quán)的管理，即在虛擬網(wǎng)絡(luò)空間中的用戶角色與最終應(yīng)用系統(tǒng)中用戶的操作權(quán)限之間建立一種映射關(guān)系。授權(quán)服務(wù)體系一般需要與信任服務(wù)體系協(xié)同工作，才能完成從特定用戶的現(xiàn)實(shí)空間身份到特定應(yīng)用系統(tǒng)中的具體操作權(quán)限之間的轉(zhuǎn)換。 目前建立授權(quán)服務(wù)體系的關(guān)鍵技術(shù)主要是PMI技術(shù)。PMI技術(shù)通過數(shù)字證書機(jī)制來管理用戶的授權(quán)信息，并將授權(quán)管理功能從傳統(tǒng)的應(yīng)用系統(tǒng)中分離出來，以獨(dú)立服務(wù)的方式面向應(yīng)用系統(tǒng)提供授權(quán)管理服務(wù)。,第四章 電子政務(wù)的信息技術(shù)架構(gòu),84,電子政務(wù),四、授權(quán)管理基礎(chǔ)設(shè)施PMI,（二）電子政務(wù)授權(quán)服務(wù)系統(tǒng)的體系架構(gòu) 授權(quán)管理基礎(chǔ)設(shè)施PMI在體系上可以分為三級(jí)，分別是信任源點(diǎn)（SOA中心）、屬性權(quán)威機(jī)構(gòu)（AA中心）和業(yè)務(wù)受理點(diǎn)。在實(shí)際應(yīng)用中，這種分級(jí)體系可以根據(jù)需要進(jìn)行靈活配置，可以是三級(jí)、二