【正文】 按鈕，系統(tǒng)會彈出“公文選擇”窗口。按【確定】，再按【下一步】。點(diǎn)擊窗口里選中的印章模板，按【下一步】。填寫“文字內(nèi)容”，調(diào)整印章文字的“高”、“寬”、“半徑”、“角度”、“粗細(xì)”、。系統(tǒng)會提示請為電子印章選擇水印圖像。按【確定】。打開印章“狀態(tài)”窗口，在“印章啟動”欄中，依次點(diǎn)擊“印章啟用發(fā)文”選擇發(fā)文，然后點(diǎn)擊“印章啟用”，即可啟動印章。在“印章相關(guān)公文”欄中，點(diǎn)擊相應(yīng)的按鈕，可以查看公文的相關(guān)信息。新建印章初始導(dǎo)出時(shí)，其操作類型默認(rèn)為“頒發(fā)導(dǎo)出”，然后在“授權(quán)情況”欄目下填寫本次授權(quán)次數(shù)，如“增加”或“減少”100次，或者勾選“使用次數(shù)無限制”而部限制印章的使用次數(shù)。若印章使用次數(shù)為零，必須更新印章，插入U(xiǎn)SBkey，然后選擇“授權(quán)使用”重新授權(quán)使用次數(shù)。從而在印章管理控制臺的可以查看印章的使用記錄。修改證書依次點(diǎn)擊菜單欄中的“用戶工具”－“修改證書”，在彈出的修改證書窗口中，根據(jù)系統(tǒng)提示操作可以給當(dāng)前登陸用戶綁定或修改證書?！坝脩粼O(shè)置”232。勾選“進(jìn)行CRL驗(yàn)證以判別證書是否已注銷”后，可選擇“本地CRL驗(yàn)證”或者“在線CRL驗(yàn)證”。若證書無效，系統(tǒng)即可立即停用。在右邊界面選中已有的某個(gè)水印，點(diǎn)擊鼠標(biāo)右鍵，可以查看水印屬性,進(jìn)行添加，查看，刷新等操作?！皢挝还芾砣罩尽庇涗洶▋?nèi)容有：操作用戶，被操作單位，操作方式，操作時(shí)間，ip地址， 操作描述。由此按照RSA算法生成用戶公鑰和私鑰，與證書結(jié)合。獲取的方法有網(wǎng)上下載和軟盤拷貝。服務(wù)器證書：服務(wù)器證書用于服務(wù)器身份識別，使得連接到服務(wù)器的用戶確信服務(wù)器的真實(shí)身份。服務(wù)器需要瀏覽器提供用戶的數(shù)字證書來證明用戶身份，用戶從證書列表中選擇合適的證書出示給服務(wù)器，讓服務(wù)器檢查證書的有效性。數(shù)字證書作廢模塊：當(dāng)用戶的私鑰由于泄密等原因造成用戶證書需要申請作廢時(shí)，認(rèn)證中心可以根據(jù)用戶的請求將證書廢除，記錄入作廢證書表，并在目錄服務(wù)器上公布發(fā)布。管理員策略指定CA管理員、高級管理員信息。用戶證書策略指定某一CA簽發(fā)的用戶證書內(nèi)容、擴(kuò)展項(xiàng)內(nèi)容、密鑰長度等。記錄所有的管理員操作、密鑰操作、證書操作及威脅到CA安全的事件。申請表的填寫：由申請人或登記員輸入RKCS10所規(guī)定的內(nèi)容。 V3標(biāo)準(zhǔn)。如需合并存放，則按RKCS12規(guī)定的方法做合并包裝。 系統(tǒng)符合國際標(biāo)準(zhǔn)作為一個(gè)安全體系，電子認(rèn)證系統(tǒng)符合國家安全標(biāo)準(zhǔn)，系統(tǒng)需要實(shí)現(xiàn)的關(guān)鍵PKI技術(shù)的相關(guān)標(biāo)準(zhǔn)包括：PKCS系列，LDAPv2，IETF RFC、IETF drafts等。方案采用數(shù)字證書登錄系統(tǒng)的方式，解決傳統(tǒng)“用戶名＋密碼”的方式所帶來的安全的隱患和管理的難度。為了協(xié)助系統(tǒng)實(shí)現(xiàn)獲取用戶證書信息，分配用戶權(quán)限操作，第三方認(rèn)證中心提供安全中間件，實(shí)現(xiàn)密鑰管理、讀取證書域信息、加解密、簽名、驗(yàn)證等功能?！吧w章”如圖：嵌入Word中的蓋章端輸入用戶指紋通過驗(yàn)證后系統(tǒng)，系統(tǒng)將顯示出印章服務(wù)器上你可以簽蓋的印章，選中要用的印章；選擇印章接著單擊【確定】按鈕完成蓋章。在 Word文檔里蓋章注意：一、如果證書驗(yàn)證錯(cuò)誤，指紋驗(yàn)證錯(cuò)誤，系統(tǒng)會有錯(cuò)誤提示，用戶可以重新執(zhí)行上述操作。如：“蓋章有效”，此提示說明文件是原件，沒有被人篡改。點(diǎn)擊【印章信息】，彈出如下圖窗口，單擊【印章制作證書查看】，即可查看印章制作人證書的相關(guān)信息，單擊【印章水印信息查看】，即可查看此印章的水印。【加密╱解密】232。【加密╱解密】232。注：公文復(fù)印件的內(nèi)容是不受鎖定保護(hù)的，是可以修改的。說明：1）設(shè)置新的打印模式后，下次無須重新設(shè)置，系統(tǒng)會默認(rèn)為上次的打印模式。3．接收模式設(shè)置在接收模式欄下，選擇“一般模式”或者“可見模式”選項(xiàng)，蓋章后的文檔在沒有安裝百成電子印章客戶端的機(jī)器上打開時(shí)即可顯示相應(yīng)的效果。用戶在線驗(yàn)證印章有效性時(shí)，向服務(wù)器提交印章信息外，還要提供蓋章時(shí)間，蓋章用戶等情況信息。因此，構(gòu)建電子政務(wù)信息安全保障體系，事關(guān)國家政治、經(jīng)濟(jì)、國防安全和民族信息產(chǎn)業(yè)發(fā)展全局，缺乏安全保障的電子政務(wù)信息系統(tǒng)，不可能實(shí)現(xiàn)真正意義上的電子政務(wù)。因此電子政務(wù)系統(tǒng)的安全建設(shè)是一個(gè)整體的系統(tǒng)解決方案，它應(yīng)該包括物理安全，網(wǎng)絡(luò)安全，應(yīng)用安全和數(shù)據(jù)安全這幾個(gè)方面。另外，根據(jù)有關(guān)文件規(guī)定，凡是計(jì)算機(jī)同時(shí)具有內(nèi)網(wǎng)和外網(wǎng)的應(yīng)用需求，必須采取網(wǎng)絡(luò)安全隔離技術(shù)，在計(jì)算機(jī)終端安裝隔離卡，使內(nèi)網(wǎng)與外網(wǎng)之間從根本上實(shí)現(xiàn)物理隔離，防止涉密信息通過外網(wǎng)泄漏。網(wǎng)絡(luò)層安全：①防火墻技術(shù)：防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的最基本設(shè)施，采用包過濾或代理技術(shù)使數(shù)據(jù)有選擇的通過，有效監(jiān)控內(nèi)部網(wǎng)和外部網(wǎng)之間的任何活動，防止惡意或非法訪問，保證內(nèi)部網(wǎng)絡(luò)的安全。③數(shù)據(jù)傳輸安全技術(shù)：為保證數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性，同時(shí)對撥號用戶的接入采用強(qiáng)制身份認(rèn)證，建議在電子政務(wù)專用網(wǎng)絡(luò)中采用安全VPN系統(tǒng)。PKI可以做到：確認(rèn)發(fā)送方的身份；保證發(fā)送方所發(fā)信息的機(jī)密性；保證發(fā)送方所發(fā)信息不被篡改；發(fā)送方無法否認(rèn)已發(fā)該信息的事實(shí)。數(shù)據(jù)庫管理系統(tǒng)應(yīng)具有如下安全能力：用來決定用戶是否有權(quán)訪問數(shù)據(jù)庫對象；保證只有授權(quán)的合法用戶才能注冊和訪問；對不同的用戶訪問數(shù)據(jù)庫授予不同的權(quán)限；監(jiān)視各用戶對數(shù)據(jù)庫施加的動作；能夠提供與安全相關(guān)事件的審計(jì)能力。安全保密技術(shù)和策略要遵循國家標(biāo)準(zhǔn)，從應(yīng)用需求和本級財(cái)力的實(shí)際出發(fā)，與時(shí)俱進(jìn)，以安全性得到可靠保證為尺度進(jìn)行建設(shè)。網(wǎng)絡(luò)工程中系統(tǒng)的物理安全，網(wǎng)絡(luò)安全由其他項(xiàng)目負(fù)責(zé)建設(shè)此處不再羸述。用戶可利用PKI平臺提供的服務(wù)進(jìn)行安全通信。PKI必須具有權(quán)威認(rèn)證機(jī)構(gòu)CA在公鑰加密技術(shù)基礎(chǔ)上對證書的產(chǎn)生、管理、存檔、發(fā) 放 以及作廢進(jìn)行管理的功能，包括實(shí)現(xiàn)這些功能的全部硬件、軟件、人力資源、相關(guān)政策和操作程序，以及為PKI體系中的各成員提供全部的安全服務(wù)。在通信雙方進(jìn)行數(shù)據(jù)加密之前，必須先將密鑰進(jìn)行安全交換。DES算法使用56比特有效密鑰的64比特分組密碼來加密64位數(shù)據(jù)。DES專用芯片的加密和解密的速率大約為1G比特/秒。IDEA算法的密鑰長度為128位。l 非對稱加密與對稱加密不同，公開密鑰加密法的基本特點(diǎn)是加密與解密的密鑰是不同的，它基于公鑰密碼體制。用戶使用自已的私鑰進(jìn)行解密，由于私鑰只被用戶自已持有，因此可以保證加密信息的機(jī)密性。因此，在網(wǎng)絡(luò)上全都用公開密鑰密碼體制來傳送機(jī)密信息是沒有必要的，也是不現(xiàn)實(shí)的。密鑰越長，加密效果越好，但加密解密的開銷也大，所以要在安全與性能之間折衷考慮，一般64位是較合適的。數(shù)字簽名解決的是文件傳輸中的有效性、防止篡改性和收發(fā)不可抵賴性問題。常用的數(shù)字簽名算法有SHAMD5等。數(shù)字簽名有如下特點(diǎn)：僅擁有私鑰的人可進(jìn)行數(shù)字簽名。一方由簽發(fā)人執(zhí)行簽名過程，另一方由接收者執(zhí)行驗(yàn)證過程。 簽名驗(yàn)證過程文件在傳遞過程中按1024/128位高強(qiáng)度的商業(yè)標(biāo)準(zhǔn)加密，支持客戶端與萬維網(wǎng)服務(wù)器間的雙向加密通信。因此CA 應(yīng)運(yùn)而生了。1．認(rèn)證中心（CA）與數(shù)字證書概念　　為保證網(wǎng)上數(shù)字信息的傳輸安全，除了在通信傳輸中采用更強(qiáng)的加密算法等措施之外，必須建立一種信任及信任驗(yàn)證機(jī)制，即參加電子商務(wù)的各方必須有一個(gè)可以被驗(yàn)證的標(biāo)識，這就是數(shù)字證書。這就意味著應(yīng)有一個(gè)網(wǎng)上各方都信任的機(jī)構(gòu)，專門負(fù)責(zé)數(shù)字證書的發(fā)放和管理，確保網(wǎng)上信息的安全，這個(gè)機(jī)構(gòu)就是CA認(rèn)證機(jī)構(gòu)。它主要負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的實(shí)體所需的身份認(rèn)證數(shù)字證書。基于其牢固的安全機(jī)制，CA應(yīng)用可擴(kuò)大到一切有安全要求的網(wǎng)上數(shù)據(jù)傳輸服務(wù)。要注意的是。其中安全認(rèn)證體系的建立是關(guān)鍵，它決定了網(wǎng)上交易和結(jié)算能否安全進(jìn)行，因此，數(shù)字證書認(rèn)證中心機(jī)構(gòu)的建立對電子商務(wù)和電子政務(wù)的開展具有非常重要的意義?！　‰娮咏灰椎母鞣蕉急仨殦碛泻戏ǖ纳矸?，即由數(shù)字證書認(rèn)證中心機(jī)構(gòu)（CA）簽發(fā)的數(shù)字證書，在交易的各個(gè)環(huán)節(jié)，交易的各方都需檢驗(yàn)對方數(shù)字證書的有效性，從而解決了用戶信任問題。如果CA機(jī)構(gòu)不安全或發(fā)放的數(shù)字證書不具有權(quán)威性、公正性和可信賴性，電子商務(wù)就根本無從談起。該數(shù)字證書具有唯一性。它為電子商務(wù)環(huán)境中各個(gè)實(shí)體頒發(fā)數(shù)字證書，以證明各實(shí)體身份的真實(shí)性，并負(fù)責(zé)在交易中檢驗(yàn)和管理證書；它是電子商務(wù)和網(wǎng)上銀行交易的權(quán)威性、可信賴性及公正性的第三方機(jī)構(gòu)。而且可根據(jù)用戶需求提供長達(dá)32,768位的密鑰。簽名過程驗(yàn)證簽名過程：接收方對接收到信息進(jìn)行HASH處理后得到一個(gè)數(shù)字摘要，再使用發(fā)送方的公鑰將簽名信息進(jìn)行解密得到原數(shù)字摘要，比較兩次摘要。對已簽名信息作出任何改動(哪怕只是一個(gè)比特字節(jié))都會使簽名失效。所謂數(shù)字簽名就是信息發(fā)送者用其私鑰對從所傳報(bào)文中提取出的數(shù)字摘要進(jìn)行RSA算法加密操作，當(dāng)信息接收者收到報(bào)文后，就可以用發(fā)送者的公鑰對數(shù)字簽名進(jìn)行驗(yàn)證。對這個(gè)HASH運(yùn)算的要求有：接受的輸入報(bào)文數(shù)據(jù)沒有長度限制；對任何輸入報(bào)文數(shù)據(jù)生成固定長度的摘要輸出；從報(bào)文能方便地算出摘要；難以對指定的摘要生成一個(gè)報(bào)文，而由該報(bào)文可以算出該指定的摘要；難以生成兩個(gè)不同的報(bào)文具有相同的摘要。如前所述。這樣就可以綜合發(fā)揮兩種密碼體制的優(yōu)勢，即DES高速簡便性和RSA密鑰管理的方便和安全性。著名的公開密鑰算法包括RSA、DSA和DiffieHellman．公開密鑰密碼體制與傳統(tǒng)的對稱密鑰密碼體制相比，有其不可取代的優(yōu)勢。因此，在公開密鑰算法中包含著一對公鑰及私鑰。目前，尚無一片公開發(fā)表的試圖對IDEA進(jìn)行密碼分析的文章。 針對DES的密鑰長度相對比較短的缺點(diǎn)，這種算法其基本原理是將128比特的密鑰分為64比特的兩組，對明文多次進(jìn)行普通的DES加解密操作，從而增強(qiáng)加密強(qiáng)度。加、解密算法一樣，但加、解密時(shí)所使用的子密鑰的順序剛好相反。但它最大的不足就是密鑰本身必須進(jìn)行交換，以使接收者能解密數(shù)據(jù)，如果密鑰沒有以安全方式傳送，它就很有可能被截獲并用于信息解密。在一個(gè)加密系統(tǒng)中，信息使用加密密鑰進(jìn)行加密后，得到的密文傳送給接收方，接收方使用解密密鑰對密文解密得到原文。這個(gè)信任的基礎(chǔ)是通過公鑰證書的使用來實(shí)現(xiàn)的。對于信息安全體系的確定，需要對整個(gè)信息系統(tǒng)的安全進(jìn)行全面統(tǒng)一的分析、規(guī)劃和設(shè)計(jì)。因此，信息安全體系同樣是市局電子政務(wù)網(wǎng)系統(tǒng)中的重要組成部分。它是隨著應(yīng)用系統(tǒng)的增多，電子政務(wù)系統(tǒng)重要性的增加而不斷升級的過程。系統(tǒng)層安全：系統(tǒng)層安全主要包括兩個(gè)部分：操作系統(tǒng)安全以及數(shù)據(jù)庫安全。應(yīng)用層安全：根據(jù)電子政務(wù)專用網(wǎng)絡(luò)的業(yè)務(wù)和服務(wù)內(nèi)容，可以采用身份認(rèn)證技術(shù)、防病毒技術(shù)以及對各種應(yīng)用的安全性增強(qiáng)配置服務(wù)來保障網(wǎng)絡(luò)系統(tǒng)在應(yīng)用層的安全。另外，根據(jù)對外提供信息查詢等服務(wù)的要求，為了控制對關(guān)鍵服務(wù)器的授權(quán)的訪問，應(yīng)把對外公開服務(wù)器集合起來劃分為一個(gè)專門的服務(wù)器子網(wǎng)，設(shè)置防火墻策略來保護(hù)對它們的訪問。有效防止某一網(wǎng)段的安全問題在整個(gè)網(wǎng)絡(luò)傳播。物理層的安全設(shè)計(jì)應(yīng)從三個(gè)方面考慮：環(huán)境安全、設(shè)備安全、線路安全。政務(wù)內(nèi)網(wǎng)由核心決策和市政府業(yè)務(wù)處理層組成；政務(wù)外網(wǎng)主要是對外公眾服務(wù)層；互聯(lián)網(wǎng)一般是政務(wù)信息的發(fā)布。如下圖所示：在線驗(yàn)證印章第五章 關(guān)鍵技術(shù)電子政務(wù)作為信息網(wǎng)絡(luò)的一個(gè)特殊應(yīng)用領(lǐng)域，運(yùn)行著大量需要保護(hù)的數(shù)據(jù)和信息，相對于企業(yè)信息化和電子商務(wù)，有自身特殊性：一是信息內(nèi)容的高保密性、高敏感度；二是電子政務(wù)發(fā)揮行政監(jiān)督力度；三是利用網(wǎng)絡(luò)環(huán)境為社會提供公共服務(wù)。 印章在線驗(yàn)證用戶在驗(yàn)證蓋章公文有效性同時(shí)，也可以對已蓋印章本身的有效性進(jìn)行驗(yàn)證。3）打印份數(shù)控制；蓋章人在蓋章時(shí)可設(shè)定文件的打印份數(shù)，一旦設(shè)定保存，不能更改?！霸O(shè)置”，在彈出的設(shè)置窗口中，可以根據(jù)自己的需要來選擇“打印模式”、“加密服務(wù)設(shè)置”及“接收模式設(shè)置”。 復(fù)制依次單擊“百成電子印章”232。如果要另外指定加密文件的保存位置，單擊【瀏覽】按鈕，在彈出的“另存為”窗口里指定保存位置和文件名，單擊【保存】完成加密。同時(shí)根據(jù)需要可以點(diǎn)擊列表右下角的導(dǎo)出、打印、關(guān)閉等按鈕對記錄進(jìn)行相關(guān)操作。在 Word文檔里驗(yàn)證已蓋印章如果單擊【查看證書】按鈕，系統(tǒng)會顯示蓋章者的數(shù)字證書信息。 驗(yàn)證打開待驗(yàn)證的公文，依次點(diǎn)擊“百成電子印章”232。如果要調(diào)整印章的蓋章位置，選中印章，當(dāng)光標(biāo)為十字型光標(biāo)時(shí)，按住鼠標(biāo)左鍵不放，將印章拖動到合適位置，然后放開左鍵。 蓋章蓋章的方式有兩種：一是通過word菜單；二是通過鼠標(biāo)右鍵。獲得信產(chǎn)部認(rèn)證的第三方認(rèn)證機(jī)構(gòu)均提供USB物理設(shè)備的電子數(shù)字證書，存放在USB物理設(shè)備中的證書信息是無法被拷貝到其他的存儲設(shè)備，避免了采用軟盤或其他介質(zhì)存放證書容易被拷貝的安全隱患。 對登錄用戶的驗(yàn)證及用戶權(quán)限的控制是系統(tǒng)的安全基礎(chǔ)之一，對此本方案提供了安全登陸套件：安全接入認(rèn)證服務(wù)器。證書的吊銷：可吊銷本系統(tǒng)簽發(fā)的證證書并產(chǎn)生便于查詢的黑名單。最后使用發(fā)證機(jī)關(guān)的私鑰簽字。申請表的審核：登記審核員接到證書申請申表后首先用申請人的公鑰驗(yàn)證簽字，接著查對申請人的身份是否屬實(shí)并確定申請的用途是否合適，最后使用審核員的私鑰簽字。如：CA管理員事件、CA內(nèi)部密鑰事件、用戶證書事件和破壞性事件等。CA策略通過策略控制臺進(jìn)行配置，策略控制臺為CA中心（一級中心、二級中心）和RA中心提供了策略配置的接口，策略控制功能由CA管理員完成。此策略應(yīng)該由高級管理員制定且不能被一般管理員訪問或修改。CRL管理功能有CRL生成、CRL插入記錄、CRL刪除記錄、CRL查詢操作和CRL在線公布等。數(shù)字證書管理模塊：負(fù)責(zé)證書的管理。服務(wù)器證書向用戶提供真實(shí)身份的第三方證明。個(gè)人證書：用以標(biāo)識持有者個(gè)人（單位）的有效身份。生成數(shù)字證書后，因?yàn)椴淮嬖诳蛻羯暾埖膯栴}，本系統(tǒng)的證書發(fā)放是很簡單的。數(shù)字證書管理系統(tǒng)功能豐富，模塊化的設(shè)計(jì)能夠很方便的根據(jù)用戶實(shí)際需求進(jìn)行定制。點(diǎn)擊“系統(tǒng)設(shè)置”主界面左上角菜單“查看日志”224。點(diǎn)擊左邊控制臺樹的“水印”節(jié)點(diǎn)，選擇左上角“操作”菜單，可以進(jìn)行水印管理操作，如刷新，退出等。）如果選擇“在線CRL驗(yàn)證”，系統(tǒng)會在使用證書時(shí)查看本地CRL列表是否過期，如果發(fā)現(xiàn)CRL已經(jīng)過期或者根本就不存在，系統(tǒng)就根據(jù)證書里CDP擴(kuò)展里的 地址下載最新的CRL到本地，然后再進(jìn)行驗(yàn)證。系統(tǒng)彈出“打開”窗