【正文】 供信息安全服務的公共基礎設施， PKI目前是公認的保障網(wǎng)絡社會安全目前是公認的保障網(wǎng)絡社會安全的最佳體系。在我國，的最佳體系。在我國， PKI建設在幾年前就已開始啟動。目前，金融、政府、電建設在幾年前就已開始啟動。目前，金融、政府、電信等部門已經(jīng)建立了信等部門已經(jīng)建立了 30多家多家 CA認證中心。如何推廣認證中心。如何推廣 PKI應用，加強系統(tǒng)之間、應用，加強系統(tǒng)之間、部門之間、各國之間部門之間、各國之間 PKI體系的互通互聯(lián)，已經(jīng)成為體系的互通互聯(lián)，已經(jīng)成為 PKI建設亟待解決的重要問建設亟待解決的重要問題。為了推廣題。為了推廣 PKI在國內(nèi)的應用，加強國內(nèi)在國內(nèi)的應用，加強國內(nèi) PKI建設與國際間的合作，國家計委建設與國際間的合作，國家計委批準成立了批準成立了 “中國中國 PKI論壇論壇 ”，它將為，它將為 PKI在中國的推廣應用起到積極促進作用。在中國的推廣應用起到積極促進作用。 PKI的概念的概念?PKI是是 PublicKeyInfrastructure（公開密鑰基礎設施）的縮寫，是一（公開密鑰基礎設施）的縮寫，是一種普遍適用的網(wǎng)絡安全基礎設施。種普遍適用的網(wǎng)絡安全基礎設施。有了有了 PKI，安全應用程序的開發(fā)者就不必再關心復雜的數(shù)學模型和運算，安全應用程序的開發(fā)者就不必再關心復雜的數(shù)學模型和運算，只需要直接按照標準使用一種插座（接口）即可。，只需要直接按照標準使用一種插座（接口）即可。?PKI的組成：的組成：?數(shù)字證書是數(shù)字證書是 PKI中最基本的元素，所有安全操作都主要通過證書中最基本的元素，所有安全操作都主要通過證書來實現(xiàn)。來實現(xiàn)。?CA— 簽署這些證書的認證機構、簽署這些證書的認證機構、?RA— 登記和批準證書簽署的登記機構登記和批準證書簽署的登記機構?電子目錄電子目錄 —— 存儲和發(fā)布這些證書的機構。存儲和發(fā)布這些證書的機構。除此之外，除此之外， PKI中還包括中還包括 證書策略證書策略 、 證書路徑證書路徑 、 證書的使用者證書的使用者 等。等。所有這些都是所有這些都是 PKI的基本部件，它們有機地結合在一起就構成了的基本部件，它們有機地結合在一起就構成了 PKI。 證書格式證書格式 我國我國 PKI體系中的證書格式完全遵照體系中的證書格式完全遵照 。協(xié)議。公鑰加密標準公鑰加密標準 我國的我國的 PKI體系目前普遍采用體系目前普遍采用 RSA算法，這是目前公認比較安全的算算法，這是目前公認比較安全的算法。橢圓曲線加密（法。橢圓曲線加密（ ECC）雖然被認為是很有發(fā)展前途的一種新型公鑰）雖然被認為是很有發(fā)展前途的一種新型公鑰加密算法，但目前離實際應用還有一定距離，同時加密算法，但目前離實際應用還有一定距離，同時 ECC的標準化問題尚的標準化問題尚未完全解決。未完全解決。 國內(nèi)、國內(nèi) PKI標準化現(xiàn)狀標準化現(xiàn)狀國內(nèi)、國內(nèi) PKI問題與思考問題與思考 在我國，自 1998年第一家 CA認證中心（ CTCA）成立以來，全國已經(jīng)有超過 30家 CA存在。但是無庸諱言的是，我國 PKI/CA建設還處在起步的階段，存在不少亟待解決的問題。?各家在建立 CA的過程中對技術標準和管理規(guī)范的理解有較大差距； ?各家 CA基本處于互相分割狀態(tài)，成為互不關聯(lián)的信任孤島，尚未形成完整的國家 PKI體系； ?已建成的 CA規(guī)模小、利用率低且產(chǎn)業(yè)有待重組，距離可商業(yè)化運作的規(guī)模還相差很遠； ?有些單位過低估計了建設 CA應負的社會責任和經(jīng)濟責任； ?有些單位過低估計了建設 CA 的難度，一些已經(jīng)建立的 CA對自身的安全性普遍考慮不夠全面。國內(nèi)、國內(nèi) PKI問題與思考（續(xù)）問題與思考（續(xù)）● 證書中心 CA 它是整個證書與密鑰管理系統(tǒng)的核心，可完成系統(tǒng)的核心處理功能，包括：產(chǎn)生和管理 CA與用戶的密鑰、簽發(fā)各種證書和 CRL（證書撤消列表）、管理和維護核心數(shù)據(jù)庫中的用戶證書及密鑰信息，以及對其他模塊的請求進行處理和應答。 ● 注冊中心 RA 它是注冊和審核處理機構，主要負責用戶的注冊管理和各種業(yè)務申請信息的審核管理，是 CA的業(yè)務前端。 ● 管理工具 Admin 它可以實現(xiàn)對整個系統(tǒng)的配置和管理。 ● 目錄服務系統(tǒng) LDAP 它可以完成證書系統(tǒng)的發(fā)布功能，負責存放用戶證書、 CRL、授權信息及其他用戶信息。 數(shù)字證書是、數(shù)字證書是 PKI的核心的核心根根 CA 根根 CA一級子一級子 CA 一級子一級子 CA 一級子一級子 CA二級子二級子 CA 二級子二級子 CARA RARA受理點受理點 受理點受理點 受理點受理點 受理點受理點RA交叉認證（四）基于（四）基于 PKI的的 CA認證架構認證架構CA 服務器申 請 證 書獲 取 證 書個人用戶機構用戶申 請 證書獲 取 證 書數(shù)據(jù)加密：密文傳送數(shù)字簽名：身份確認數(shù)字證書的申請數(shù)字證書的申請 /發(fā)放過程發(fā)放過程（五）建立電子政務安全系統(tǒng)（五）建立電子政務安全系統(tǒng)威海政務網(wǎng)安全解決方案威海政務網(wǎng)安全解決方案合作伙伴合作伙伴防火墻 +VPN 防火墻 +VPN防火墻 +VPN防火墻 +VPN安全服務器網(wǎng)絡 SSNWeb服務器Email服務器DNS服務器移動用戶防病毒服務器 CA認證服務器信息審計系統(tǒng)網(wǎng)絡監(jiān)控系統(tǒng)Inter分支機構分支機構公開服務網(wǎng)安全服務網(wǎng)內(nèi)部網(wǎng)VPN? 建立安全的物理層，保障電子政務系統(tǒng)的物理安全? 保證計算機信息系統(tǒng)各種設備的物理安全是保障整個網(wǎng)絡系統(tǒng)安全的前提。物理安全是保護計算機網(wǎng)絡設備、設施以及其它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程 .它主要包括三個方面：環(huán)境安全、設備安全、媒體安全。? 環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災難保護 。（參見國家標準 GB50173—93 《電子計算機機房設計規(guī)范》，國標GB2887—89 《計算站場地技術條件》、 GB9361—88 《計算站場地安全要求》。? 設備安全：設備安全主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等：設備冗余備份；通過嚴格管理及提高員工的整體安全意識來實現(xiàn)。? 媒體安全：媒體安全包括媒體數(shù)據(jù)的安全及媒體本身的安全。發(fā)展自主的信息產(chǎn)業(yè)，構建安全的技術支撐層　　 安全的技術支撐層主要包括：硬塊件平臺、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、通用中間件技術。采用 Wintel體系（ Windows操作系統(tǒng) +Intel芯片）的計算機，自主知識產(chǎn)權的產(chǎn)品基本沒有。由于電子政務系統(tǒng)具有其特殊性，在選擇相關的產(chǎn)品和技術時需要站在戰(zhàn)略的高度上進行全面的審慎的考察和研究，其中之一就是要選擇具有自主性的產(chǎn)品和技術。應該加大對于自主知識產(chǎn)權產(chǎn)品在資金、技術、人力方面的投入，并在盡可能短的時間內(nèi)生產(chǎn)出以自主知識產(chǎn)權技術為核心的產(chǎn)品 ,取代外國的產(chǎn)品 ,掌握主動。 對于操作系統(tǒng)而言，如微軟的 Windows，其安全性無法得到充分保障，對信息安全構成潛在威脅。目前國內(nèi) 在 Linux源代碼 基礎上 進行操作系統(tǒng)開發(fā)的 產(chǎn)品有：中科紅旗、中軟等 ，國產(chǎn) linux平臺可以 為符合電子政務系統(tǒng)的當然之選。? 對于數(shù)據(jù)庫技術，在我國電子政務系統(tǒng)建設進程中擁有極大的需求量、應用也極為廣泛，因為我國 80%的社會信息資源在政府手。但我國目前的數(shù)據(jù)庫市場仍以國外品牌為主，占據(jù)國內(nèi) 95%以上市場份額 ,主要產(chǎn)品以 SQL Server、 Oracle、 DB2等國外數(shù)據(jù)庫軟件廠商為主。? 安全管理比安全技術更重要 　? 常言道 “ 三分技術、七分管理 ” ，安全方案的實現(xiàn)離不開管理。即使采用了最先進的安全技術 成果 不對人員的權限進行有效合理的分配，照樣可以越權操作；如果沒有對異常事件處理的流程和規(guī)范當遇到攻擊時，仍然會不知所措。網(wǎng)絡安全管理問題關鍵在于人的管理，而不只是網(wǎng)絡軟件的應用。如果有一系列的安全設備，而沒有完善的實施計劃和管理制度電子政務網(wǎng)絡安全仍然是一句空話。這包括制定和實施一系列規(guī)章制度如網(wǎng)絡操作使用規(guī)程、機房管理制度、網(wǎng)絡系統(tǒng)的維護制度和應急措施；加強員工安全培訓并采用專業(yè)安全人員對網(wǎng)絡進行管理、維護和升級；必要的話還可以選擇安全顧問公司進行技術支持。? 增強人們的信息安全意識? 目前國內(nèi)電子系統(tǒng)安全問題的一個主要原因是政府部門管理者缺少或沒有信息安全意識。某些政府部門的網(wǎng)絡管理員甚至認為自己所有的部門不是特別重要的機構或從來沒有受到黑客的攻擊，以后就不會成為黑客的攻擊目標。其實人是各個安全環(huán)節(jié)中最重要的因素，全面提高工作人員的信息安全意識是網(wǎng)絡信息安全與保密的最重要保證。? 加快高等級信息安全人才的培養(yǎng) 目前在我國，信息安全人才培養(yǎng)方面的投入還有較大的欠缺，在教育系統(tǒng)，專門針對信息安全開設的專業(yè)與社會需求相比，也還遠遠不夠科研院所進行的安全專業(yè)人員的培養(yǎng)力度與國外相比，有相當差距。信息安全方面的人才很少，而政府部門及其他部門對信息安全人才的需求是很大的。要解決這種供需矛盾必須回憶信息安全人才的需求。? 電子政務系統(tǒng)的安全體系結構是發(fā)展的、動態(tài)的。安全體系結構必須根據(jù)攻擊手段的發(fā)展進行相應的更新的升級。任何安全產(chǎn)品或服務，僅配置一次是不夠的。可以說，安全體系結構是一個持續(xù)的過程，安全策略應適應網(wǎng)絡的動態(tài)性。只有這樣，我國電子政務的實施才能順利進行。演講完畢，謝謝觀看！