信任体系
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
摘要:网络信任体系是国家电子政务外网安全保障体系建设的重要内容,是电子政务外网建设中不可缺少的部分。本文主要阐述了国家电子政务外网信任体系的建设目标、建设内容及具体实践。
关键词:政务外网网络信任体系信息安全 PKI CA
一、政务外网信任体系建设背景
众所周知,网络信任体系是国家信息安全保障体系建设的重要内容。2003年9月,中共中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出,“规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设”,首次在国家信息安全保障层面提出了建设网络信任体系的要求。
网络信任体系是以密码技术为基础,以法律法规、技术标准和基础设施为主要内容,以解决网络应用中身份认证、授权管理和责任认定等为目的的可信体系。身份认证在网络环境中确认用户的身份,提供了网络行为主体的真实性;授权管理是对网络中各种行为主体访问、利用、处理信息资源而进行管理的重要手段;责任认定是实现网络行为可核查、网络事件责任可追究的技术基础。即基于网络信任体系,可以确定网络活动参与者“是谁?能做什么?做了什么?”。
国家电子政务外网信任体系是国家电子政务网络信任体系的重要组成部分。从总体网络结构看,我国电子政务网络由政务内网和政务外网组成,在政务内网和政务外网网络域中,都要建立自己的网络信任体系,共同组成国家电子政务网络信任体系。因此,作为国家网络信任体系的重要组成部分,政务外网信任体系肩负着保证外网业务系统稳定、有效运行的重要使命,是保障国家政务安全的重要信息安全基础设施。
二、政务外网信任体系服务功能
国家电子政务外网信任体系为政务外网承载的各类业务提供以下服务功能:
①为国家电子政务外网接入系统的服务对象签发数字证书,作为接入系统的身份凭证。
②对城域网接入系统和骨干广域网接入系统提供身份认证,确保接入系统用户身份的合法性。
③为国家电子政务外网的系统管理员、安全员、系统操作员和使用者提供身份认证、授权管理和责任认定。
④通过构建的国家电子政务外网接入认证网关,为外网网站提供一站式的单点登录和身份认证服务。
⑤为国家电子政务外网的公共服务设施提供安全、保密服务,主要包括:为外网的国家公务员提供安全电子邮件服务,提供安全FTP服务、可信时间戳服务,以及音频流、视频流等各类业务的安全、保密服务。
⑥为国家电子政务外网所建设的公共应用服务系统,如:目录服务系统、资源共享系统等提供网络信任技术支持与服务。
⑦为国家电子政务外网城域网的相关国家部委和骨干广域网的相关省(直辖市、自治区)提供网络信任体系技术支持。
三、政务外网信任体系建设原则
⒈标准化原则
按标准化的原则进行设计,使国家电子政务外网逐步形成统一的网络信任体系。
⒉可拓展性原则
充分考虑到今后国家电子政务外网业务类型的不断发展,整个网络信任体系必须具有良好的开放性和拓展性。数字证书的签发数量和管理容量可以按需要进行拓展;系统中的应用软件和密码设备可以平滑地进行升级;系统的各类性能指标能够不断地满足国家电子政务外网业务发展的需求。
⒊安全可靠性原则
建设成结构合理、技术先进、高安全可靠性的国家电子政务外网网络信任体系,防止对网络信任体系本身的各种非法攻击,确保网络信任体系能够安全、稳定地持续运转。国家电子政务外网网络信任体系的密码算法和密码设备定位商用密码(非涉密级),支持非涉及国家秘密的各类业务应用,并严格执行国家商用密码相关政策。
⒋简便实用性原则
政务外网网络信任体系方案制定具有统一、规范的用户界面和简便的操作规程,确保用户操作、使用方便。根据国家电子政务外网承载的具体业务和网络信任体系的服务功能,
对网络信任体系中的各类设备进行科学、合理的部署,确保做到对外网中承载的不同业务具有不同的服务内容;努力做到国家电子政务外网网络信任体系的升级、拓展,与应用系统无关,不影响各类业务的具体应用,对应用系统透明。
⒌节约投资原则
国家电子政务外网信任体系的建设,将按照统筹规划、分步实施的原则逐步完成。在建设过程中,原则上根据不同阶段的应用需求,本着厉行节约的原则,小步快跑,尽可能以较小的投资,取得最大限度的应用回报。
四、政务外网信任体系建设内容
政务外网信任体系将紧密依托国家电子政务外网网络环境,旨在建立国家电子政务外网安全平台,为政务外网用户提供各种不同级别的安全保障与服务。政务外网信任体系是以PKI/CA(Public Key Infrastructure/Certification Authority,公钥基础设施/认证中心)公钥基础设施为核心的安全支撑平台,主要包括:身份认证、授权管理、责任认定等。此外,政务外网信任体系建设还包括时间戳服务系统、密码服务系统以及安全应用平台建设。
⒈身份认证体系
以树型结构建设的政务外网数字证书认证体系,主要包括政务外网根CA、运行CA、各部委RA(Registration Authority,注册审批机构)、名省市RA及其下属LRA(Local Registration Authority,本地注册审批机构)等。政务外网根CA建立在国家密码管理局,是整个政务外网信任体系的信任源点,用来制定政务外网安全策略,签发和管理运行CA证书。运行CA是政务外网CA向下级传递信任的桥梁,用来签发和管理各部委二级CA证书、各省市二级CA证书。对于没有二级CA中心建设需求的部门和地区,将建设运行CA的RA系统,由运行CA直接提供证书服务。各部委二级CA和各省市二级CA主要面向相应的部门内部和本地区,为其业务应用提供数字证书签发管理服务。
⒉权限管理系统
由于权限管理(即授权管理)系统直接面向业务应用,不同业务应用对权限管理的需求、应用模式、应用对象、粒度控制、权限策略等不尽相同。因此,不同于CA系统,政务外网信任体系不可能建设统一的权限管理中心,为所有业务应用提供统一的权限管理服