政府业务应用安全数字认证解决方案技术白皮书V1.0.docVIP

政务业务应用安全数字认证 解决方案技术版本 V.0 成都国科海博计算机系统有限公司 Chengdu GKHB Computer System Co.,Ltd 目录 第一章 背景概述 1 1.1 概述 1 1.2 安全概述 2 1.2.1基于内网的安全 3 1.2.2基于广域网的安全 4 1.2.3互联网安全案例 4 第二章 市场分析 6 2.1 全国市场需求和需求增长情况 6 2.1.1数字认证是信息化建设中的战略要地 6 2.1.2数字认证是信息化建设的安全基础设施 6 2.1.3数字认证技术是电子政务的必然要求 7 2.2 目标市场分析 7 2.3 市场定位 8 第三章 设计依据 10 3.1 设计标准 10 3.2 设计原则 10 3.3 设计思想 11 第四章 系统架构 13 4.1 系统架构设计 13 4.2 证书分类 14 4.3 认证体系建设 15 第五章 功能介绍 19 5.1 运行CA中心的功能 19 5.1.1证书服务功能 19 5.1.2密钥服务功能 19 5.1.3证书和证书验证服务功能 20 5.1.4CA管理功能 20 5.1.5应用开发功能 21 5.2 证书应用集成功能 21 5.2.1可信身份统一标识 21 5.2.2证书认证 22 5.2.3电子签名 22 5.3 统一信任管理功能 23 5.3.1集中用户管理 23 5.3.2集中认证管理 24 5.3.3集中授权管理 26 5.3.4集中证书管理 30 5.3.5集中审计管理 31 5.4 电子签章功能 31 5.5 证据保全功能 31 5.5.1系统功能 32 5.5.2实现原理 32 5.6 时间戳功能 32 第六章 方案优势 34 6.1 全新的市场 34 6.2 信息化发展的必要途径 34 6.3 核心技术与公司产品融合 34 6.4 更高的应用价值 35 第七章 运行环境 36 第八章 应用价值 37 术语表 38 关于国科海博 39 修订历史记录 日期 版本 2011-9-1 1.0 徐睿 征求意见稿 背景概述 图1.1信息安全之痛 网络安全四要素：身份认证、机密性、完整性、抗抵赖 在信息安全业界，人们公认的应用层信息安全要素包括了身份识别、信息交互时的机密性、信息传输的完整性以及在交互后的责任认定防抵赖四点。这几点要素囊括了信息安全在联网应用的事前、事中、事后各个环节的关键节点。解决了这几点，意味着在整个应用交互活动中双方的信息是安全的，双方的责任是明确的，双方产生的纠纷是可追溯、可判定、有据可查的。 随着政府信息化进程的不断深入，越来越多的政府机构建设了众多的业务信息系统，通过内部的局域网络、广泛的广域网络进行部门内部、跨部门、跨系统的信息互动、日常办公、资源数据共享等操作。在系统内部、系统与系统之间就产生了巨大的安全隐患：怎样确保系统的基本安全，不被病毒、木马等黑客行为破坏？怎样保证数据的机密？怎样确定人员的身份？怎样防止信息的完整？部门之间进行联动、协同时怎样进行责任的判定？系统的基本安全可以通过防火墙、入侵检测、防护软件等软、硬件来进行确保。但是信息的机密性、完整性、身份认证、防抵赖等是单纯的硬件设备和安全软件产品无法解决的。 而近年来，随着网络应用的发展和人们计算机水平的提高，基于网络的病毒、黑客攻击行为呈爆炸式的增长，网络安全事故层出不穷。给人们的生产、生活带来了极其巨大的影响。 因此，对操作人员的身份进行认证、对其权限进行划分、对交互数据进行加密、对责任进行认定成为了政府信息化建设亟待解决的问题。 1.2.1基于内网的安全 人员身份认证 传统的“用户名+口令”方式不能将使用者真实身份与账号结合起来，只要知道账号都可以登录系统操作。容易造成信息安全事故。 信息机密传输 单位的很多信息都是机密的信息，如财务信息、纳税信息、工资信息等。这些信息在内部的网络上传输。只能由特定的人员才有权限查阅。目前的内网安全防护不能保证机密信息的传输不被不怀好意人士通过技术手段窃取。从而造成单位敏感信息泄露。 信息的完整 在内网上流转的信息在面对日益隐蔽、高明的黑客工具、病毒木马时信息的完整性面临极大地挑战。上级的通知、下级的汇报、各种报表在内部的网络环境中都可能被他人修改而造成不可估量的损失。 行为的不可抵赖 各单位工作人员在内网进行日常办公，通过内网处理各种工作事务。各人员提交的数据代表其处理结果。在其工作出现失误时，内网相对开放的网络环境没有有效的技术手段来确定人员的责任。 1.2.2基于广域网的安全 图1.2互联网安全威胁 互联网是开放的，开放的网络环境对通过互联网进行的各种事宜的安全提出了极大地挑战。如何对交互各