【正文】 供信息安全服務(wù)的公共基礎(chǔ)設(shè)施， PKI目前是公認(rèn)的保障網(wǎng)絡(luò)社會(huì)安全目前是公認(rèn)的保障網(wǎng)絡(luò)社會(huì)安全的最佳體系。在我國(guó)，的最佳體系。在我國(guó)， PKI建設(shè)在幾年前就已開始啟動(dòng)。目前，金融、政府、電建設(shè)在幾年前就已開始啟動(dòng)。目前，金融、政府、電信等部門已經(jīng)建立了信等部門已經(jīng)建立了 30多家多家 CA認(rèn)證中心。如何推廣認(rèn)證中心。如何推廣 PKI應(yīng)用，加強(qiáng)系統(tǒng)之間、應(yīng)用，加強(qiáng)系統(tǒng)之間、部門之間、各國(guó)之間部門之間、各國(guó)之間 PKI體系的互通互聯(lián)，已經(jīng)成為體系的互通互聯(lián)，已經(jīng)成為 PKI建設(shè)亟待解決的重要問建設(shè)亟待解決的重要問題。為了推廣題。為了推廣 PKI在國(guó)內(nèi)的應(yīng)用，加強(qiáng)國(guó)內(nèi)在國(guó)內(nèi)的應(yīng)用，加強(qiáng)國(guó)內(nèi) PKI建設(shè)與國(guó)際間的合作，國(guó)家計(jì)委建設(shè)與國(guó)際間的合作，國(guó)家計(jì)委批準(zhǔn)成立了批準(zhǔn)成立了 “中國(guó)中國(guó) PKI論壇論壇 ”，它將為，它將為 PKI在中國(guó)的推廣應(yīng)用起到積極促進(jìn)作用。在中國(guó)的推廣應(yīng)用起到積極促進(jìn)作用。 PKI的概念的概念?PKI是是 PublicKeyInfrastructure（公開密鑰基礎(chǔ)設(shè)施）的縮寫，是一（公開密鑰基礎(chǔ)設(shè)施）的縮寫，是一種普遍適用的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。種普遍適用的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。有了有了 PKI，安全應(yīng)用程序的開發(fā)者就不必再關(guān)心復(fù)雜的數(shù)學(xué)模型和運(yùn)算，安全應(yīng)用程序的開發(fā)者就不必再關(guān)心復(fù)雜的數(shù)學(xué)模型和運(yùn)算，只需要直接按照標(biāo)準(zhǔn)使用一種插座（接口）即可。，只需要直接按照標(biāo)準(zhǔn)使用一種插座（接口）即可。?PKI的組成：的組成：?數(shù)字證書是數(shù)字證書是 PKI中最基本的元素，所有安全操作都主要通過證書中最基本的元素，所有安全操作都主要通過證書來實(shí)現(xiàn)。來實(shí)現(xiàn)。?CA— 簽署這些證書的認(rèn)證機(jī)構(gòu)、簽署這些證書的認(rèn)證機(jī)構(gòu)、?RA— 登記和批準(zhǔn)證書簽署的登記機(jī)構(gòu)登記和批準(zhǔn)證書簽署的登記機(jī)構(gòu)?電子目錄電子目錄 —— 存儲(chǔ)和發(fā)布這些證書的機(jī)構(gòu)。存儲(chǔ)和發(fā)布這些證書的機(jī)構(gòu)。除此之外，除此之外， PKI中還包括中還包括 證書策略證書策略 、 證書路徑證書路徑 、 證書的使用者證書的使用者 等。等。所有這些都是所有這些都是 PKI的基本部件，它們有機(jī)地結(jié)合在一起就構(gòu)成了的基本部件，它們有機(jī)地結(jié)合在一起就構(gòu)成了 PKI。 證書格式證書格式 我國(guó)我國(guó) PKI體系中的證書格式完全遵照體系中的證書格式完全遵照 。協(xié)議。公鑰加密標(biāo)準(zhǔn)公鑰加密標(biāo)準(zhǔn) 我國(guó)的我國(guó)的 PKI體系目前普遍采用體系目前普遍采用 RSA算法，這是目前公認(rèn)比較安全的算算法，這是目前公認(rèn)比較安全的算法。橢圓曲線加密（法。橢圓曲線加密（ ECC）雖然被認(rèn)為是很有發(fā)展前途的一種新型公鑰）雖然被認(rèn)為是很有發(fā)展前途的一種新型公鑰加密算法，但目前離實(shí)際應(yīng)用還有一定距離，同時(shí)加密算法，但目前離實(shí)際應(yīng)用還有一定距離，同時(shí) ECC的標(biāo)準(zhǔn)化問題尚的標(biāo)準(zhǔn)化問題尚未完全解決。未完全解決。 國(guó)內(nèi)、國(guó)內(nèi) PKI標(biāo)準(zhǔn)化現(xiàn)狀標(biāo)準(zhǔn)化現(xiàn)狀國(guó)內(nèi)、國(guó)內(nèi) PKI問題與思考問題與思考 在我國(guó)，自 1998年第一家 CA認(rèn)證中心（ CTCA）成立以來，全國(guó)已經(jīng)有超過 30家 CA存在。但是無庸諱言的是，我國(guó) PKI/CA建設(shè)還處在起步的階段，存在不少亟待解決的問題。?各家在建立 CA的過程中對(duì)技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的理解有較大差距； ?各家 CA基本處于互相分割狀態(tài)，成為互不關(guān)聯(lián)的信任孤島，尚未形成完整的國(guó)家 PKI體系； ?已建成的 CA規(guī)模小、利用率低且產(chǎn)業(yè)有待重組，距離可商業(yè)化運(yùn)作的規(guī)模還相差很遠(yuǎn)； ?有些單位過低估計(jì)了建設(shè) CA應(yīng)負(fù)的社會(huì)責(zé)任和經(jīng)濟(jì)責(zé)任； ?有些單位過低估計(jì)了建設(shè) CA 的難度，一些已經(jīng)建立的 CA對(duì)自身的安全性普遍考慮不夠全面。國(guó)內(nèi)、國(guó)內(nèi) PKI問題與思考（續(xù)）問題與思考（續(xù)）● 證書中心 CA 它是整個(gè)證書與密鑰管理系統(tǒng)的核心，可完成系統(tǒng)的核心處理功能，包括：產(chǎn)生和管理 CA與用戶的密鑰、簽發(fā)各種證書和 CRL（證書撤消列表）、管理和維護(hù)核心數(shù)據(jù)庫(kù)中的用戶證書及密鑰信息，以及對(duì)其他模塊的請(qǐng)求進(jìn)行處理和應(yīng)答。 ● 注冊(cè)中心 RA 它是注冊(cè)和審核處理機(jī)構(gòu)，主要負(fù)責(zé)用戶的注冊(cè)管理和各種業(yè)務(wù)申請(qǐng)信息的審核管理，是 CA的業(yè)務(wù)前端。 ● 管理工具 Admin 它可以實(shí)現(xiàn)對(duì)整個(gè)系統(tǒng)的配置和管理。 ● 目錄服務(wù)系統(tǒng) LDAP 它可以完成證書系統(tǒng)的發(fā)布功能，負(fù)責(zé)存放用戶證書、 CRL、授權(quán)信息及其他用戶信息。 數(shù)字證書是、數(shù)字證書是 PKI的核心的核心根根 CA 根根 CA一級(jí)子一級(jí)子 CA 一級(jí)子一級(jí)子 CA 一級(jí)子一級(jí)子 CA二級(jí)子二級(jí)子 CA 二級(jí)子二級(jí)子 CARA RARA受理點(diǎn)受理點(diǎn) 受理點(diǎn)受理點(diǎn) 受理點(diǎn)受理點(diǎn) 受理點(diǎn)受理點(diǎn)RA交叉認(rèn)證（四）基于（四）基于 PKI的的 CA認(rèn)證架構(gòu)認(rèn)證架構(gòu)CA 服務(wù)器申 請(qǐng) 證 書獲 取 證 書個(gè)人用戶機(jī)構(gòu)用戶申 請(qǐng) 證書獲 取 證 書數(shù)據(jù)加密：密文傳送數(shù)字簽名：身份確認(rèn)數(shù)字證書的申請(qǐng)數(shù)字證書的申請(qǐng) /發(fā)放過程發(fā)放過程（五）建立電子政務(wù)安全系統(tǒng)（五）建立電子政務(wù)安全系統(tǒng)威海政務(wù)網(wǎng)安全解決方案威海政務(wù)網(wǎng)安全解決方案合作伙伴合作伙伴防火墻 +VPN 防火墻 +VPN防火墻 +VPN防火墻 +VPN安全服務(wù)器網(wǎng)絡(luò) SSNWeb服務(wù)器Email服務(wù)器DNS服務(wù)器移動(dòng)用戶防病毒服務(wù)器 CA認(rèn)證服務(wù)器信息審計(jì)系統(tǒng)網(wǎng)絡(luò)監(jiān)控系統(tǒng)Inter分支機(jī)構(gòu)分支機(jī)構(gòu)公開服務(wù)網(wǎng)安全服務(wù)網(wǎng)內(nèi)部網(wǎng)VPN? 建立安全的物理層，保障電子政務(wù)系統(tǒng)的物理安全? 保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程 .它主要包括三個(gè)方面：環(huán)境安全、設(shè)備安全、媒體安全。? 環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù) 。（參見國(guó)家標(biāo)準(zhǔn) GB50173—93 《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》，國(guó)標(biāo)GB2887—89 《計(jì)算站場(chǎng)地技術(shù)條件》、 GB9361—88 《計(jì)算站場(chǎng)地安全要求》。? 設(shè)備安全：設(shè)備安全主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等：設(shè)備冗余備份；通過嚴(yán)格管理及提高員工的整體安全意識(shí)來實(shí)現(xiàn)。? 媒體安全：媒體安全包括媒體數(shù)據(jù)的安全及媒體本身的安全。發(fā)展自主的信息產(chǎn)業(yè)，構(gòu)建安全的技術(shù)支撐層　　 安全的技術(shù)支撐層主要包括：硬塊件平臺(tái)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、通用中間件技術(shù)。采用 Wintel體系（ Windows操作系統(tǒng) +Intel芯片）的計(jì)算機(jī)，自主知識(shí)產(chǎn)權(quán)的產(chǎn)品基本沒有。由于電子政務(wù)系統(tǒng)具有其特殊性，在選擇相關(guān)的產(chǎn)品和技術(shù)時(shí)需要站在戰(zhàn)略的高度上進(jìn)行全面的審慎的考察和研究，其中之一就是要選擇具有自主性的產(chǎn)品和技術(shù)。應(yīng)該加大對(duì)于自主知識(shí)產(chǎn)權(quán)產(chǎn)品在資金、技術(shù)、人力方面的投入，并在盡可能短的時(shí)間內(nèi)生產(chǎn)出以自主知識(shí)產(chǎn)權(quán)技術(shù)為核心的產(chǎn)品 ,取代外國(guó)的產(chǎn)品 ,掌握主動(dòng)。 對(duì)于操作系統(tǒng)而言，如微軟的 Windows，其安全性無法得到充分保障，對(duì)信息安全構(gòu)成潛在威脅。目前國(guó)內(nèi) 在 Linux源代碼 基礎(chǔ)上 進(jìn)行操作系統(tǒng)開發(fā)的 產(chǎn)品有：中科紅旗、中軟等 ，國(guó)產(chǎn) linux平臺(tái)可以 為符合電子政務(wù)系統(tǒng)的當(dāng)然之選。? 對(duì)于數(shù)據(jù)庫(kù)技術(shù)，在我國(guó)電子政務(wù)系統(tǒng)建設(shè)進(jìn)程中擁有極大的需求量、應(yīng)用也極為廣泛，因?yàn)槲覈?guó) 80%的社會(huì)信息資源在政府手。但我國(guó)目前的數(shù)據(jù)庫(kù)市場(chǎng)仍以國(guó)外品牌為主，占據(jù)國(guó)內(nèi) 95%以上市場(chǎng)份額 ,主要產(chǎn)品以 SQL Server、 Oracle、 DB2等國(guó)外數(shù)據(jù)庫(kù)軟件廠商為主。? 安全管理比安全技術(shù)更重要 　? 常言道 “ 三分技術(shù)、七分管理 ” ，安全方案的實(shí)現(xiàn)離不開管理。即使采用了最先進(jìn)的安全技術(shù) 成果 不對(duì)人員的權(quán)限進(jìn)行有效合理的分配，照樣可以越權(quán)操作；如果沒有對(duì)異常事件處理的流程和規(guī)范當(dāng)遇到攻擊時(shí)，仍然會(huì)不知所措。網(wǎng)絡(luò)安全管理問題關(guān)鍵在于人的管理，而不只是網(wǎng)絡(luò)軟件的應(yīng)用。如果有一系列的安全設(shè)備，而沒有完善的實(shí)施計(jì)劃和管理制度電子政務(wù)網(wǎng)絡(luò)安全仍然是一句空話。這包括制定和實(shí)施一系列規(guī)章制度如網(wǎng)絡(luò)操作使用規(guī)程、機(jī)房管理制度、網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施；加強(qiáng)員工安全培訓(xùn)并采用專業(yè)安全人員對(duì)網(wǎng)絡(luò)進(jìn)行管理、維護(hù)和升級(jí)；必要的話還可以選擇安全顧問公司進(jìn)行技術(shù)支持。? 增強(qiáng)人們的信息安全意識(shí)? 目前國(guó)內(nèi)電子系統(tǒng)安全問題的一個(gè)主要原因是政府部門管理者缺少或沒有信息安全意識(shí)。某些政府部門的網(wǎng)絡(luò)管理員甚至認(rèn)為自己所有的部門不是特別重要的機(jī)構(gòu)或從來沒有受到黑客的攻擊，以后就不會(huì)成為黑客的攻擊目標(biāo)。其實(shí)人是各個(gè)安全環(huán)節(jié)中最重要的因素，全面提高工作人員的信息安全意識(shí)是網(wǎng)絡(luò)信息安全與保密的最重要保證。? 加快高等級(jí)信息安全人才的培養(yǎng) 目前在我國(guó)，信息安全人才培養(yǎng)方面的投入還有較大的欠缺，在教育系統(tǒng)，專門針對(duì)信息安全開設(shè)的專業(yè)與社會(huì)需求相比，也還遠(yuǎn)遠(yuǎn)不夠科研院所進(jìn)行的安全專業(yè)人員的培養(yǎng)力度與國(guó)外相比，有相當(dāng)差距。信息安全方面的人才很少，而政府部門及其他部門對(duì)信息安全人才的需求是很大的。要解決這種供需矛盾必須回憶信息安全人才的需求。? 電子政務(wù)系統(tǒng)的安全體系結(jié)構(gòu)是發(fā)展的、動(dòng)態(tài)的。安全體系結(jié)構(gòu)必須根據(jù)攻擊手段的發(fā)展進(jìn)行相應(yīng)的更新的升級(jí)。任何安全產(chǎn)品或服務(wù)，僅配置一次是不夠的?？梢哉f，安全體系結(jié)構(gòu)是一個(gè)持續(xù)的過程，安全策略應(yīng)適應(yīng)網(wǎng)絡(luò)的動(dòng)態(tài)性。只有這樣，我國(guó)電子政務(wù)的實(shí)施才能順利進(jìn)行。演講完畢，謝謝觀看！