ch09电执子政务网络设计.ppt

; 电子政务网络体系架构;9.1.2 市级电子政务功能需求;电子政务城域网建设要求 ;9.2 市级电子政务城域网设计;9.2.1 电子政务城域骨干网;城域网核心层RRPP技术 ;逻辑子网VLAN划分 ;9.2.2 电子政务信息系统;电子政务业务模型;电子政务信息流;电子政务体系结构;电子政务信息系统功能结构;政务处理逻辑结构;9.2.3 城域网的汇聚与接入;技术方案 ;通信安全 ;9.2.4 基于EPON的接入;网络屏蔽线安装技术 电子政务办公专网拓扑结构 电子政务专网的安全体系结构 ;9.3.1超五类屏蔽双绞线安装技术 ;屏蔽布线安装工艺要求;9.3.2 电子政务办公专网拓扑结构;9.3.3 电子政务专网的安全体系结构;9.4 网络存储技术方案;9.4.1 多服务器集中存储;多服务器集中存储拓扑结构 ;9.4.2 远程灾难备份与恢复;9.5 电子政务安全技术;9.5.1 电子政务PKI部署;PKI定义与作用;PKI组成与功能;PKI功能结构 ;PKI的安全机制;保密文件特性 （1）防假冒。通过数字签名进行身份认证。 例如，某用户自己申请了证书（私钥），获得了数字标识，可以实现向别人发送“数字签名”的邮件，别人就可以判断相关邮件确实是该用户发送的。 （2）保密性。只有收件人才能解密查看。 （3）完整性。保证邮件没有被中途篡改。 （4）不可否认性。发件人的数字证书中的“私钥”只有发件人唯一拥有，发件人利用其数字证书在传送前对电子邮件进行数字签名，发件人就无法否认发送过这个电子邮件。;数字证书应集成加密与签名的双重安全措施，以确保电子文件的真实性和保密性。对于企业或组织内部的邮件用户无需到Internet上申请，可以由管理员统一发放和管理证书。 正常情况下用户自己的证书中含有“私人密钥”和“公用密钥”。“私钥”只有用户自己拥有，而“公钥”是发放给大家的，别人拿到的用户的证书只含有“公钥” ;非对称加密 ;邮件数字签名过程 ;9.5.2 电子政务业务隔离;基于VPN的业务隔离;1.VPN技术;3.VPN类型;基于VPN的业务隔离 ;多协议标签交换技术（MPLS，Multi Protocol Label Switching）是在Cisco公司所提出来的Tag Switching技术基础上发展起来的，属于第三层交换技术。 ;MPLS的工作流程 ;MPLS VPN框架结构中包括P（P routers）、PE（Provider Edge）、CE（Custom Edge）等设备。 P代表骨干网中不与CE直接相连的路由器，不感知VPN。 PE代表骨干网中的边缘路由器，它直接与用户的CE相连，实施VPN主要功能。 CE代表用户网络中直接与骨干网相连的边缘设备（路由器或防火墙），不感知VPN，只需支持标准的IP功能即可。 三种设备中，真正参与VPN业务部署的只有PE设备，也就是说MPLS VPN业务的智能化和业务压力都集中在PE设备上。 ;基于HoPE的MPLS VPN结构 ;9.5.3 电子政务业务互访;纵向业务系统对Internet和公众服务区的访问 ;纵向业务系统对共享资源区的访问 ;9.5.4电子政务安全通信;HTTPS协议——安全超文本传输协议 ;IPSec协议——Internet协议安全性 ;RPC加密——远程过程调用加密 ;点对点安全性;Windows身份验证;9.5.6网络行为监管与审计;安全渗透网络全局;用户接入网络 主机;源地址检查;根据对用户系统安全性的评估，已及新的安全策略要求，安全系统会将相应的安全信息下发给安全客户端要求用户进行系统安全性升级，同时有效控制用户的网络访问行为和范围、当修复完成用户被允许正常进行网络访问。;安全客户端自动将用户网络访问行为进行进行统计，同时针对新的网络行为将自动通知管理员（邮件、日志报表），管理员能根据网络新的行为进行分析，从而有效防范新的安全事件，同时安全管理平台可以自动进行网络安全策略和网络环境的学习。;基于SSL的可信连接条件 申请和安装服务器证书 Web服务器安全通信设置 安装客户端CA证书 基于SSL客户机的验证 使用CTL提高Web站点信任度 ;9.6.1基于SSL的可信连接条件 ;9.6.2 网络安全管理;9.6.5 基于SSL客户机的验证;