目前，在全國各地的政府部門都在積極地推進(jìn)政府專網(wǎng)的建設(shè)及其應(yīng)用，但是有一點(diǎn)需要強(qiáng)調(diào)，只有解決了征訂專網(wǎng)應(yīng)用的安全保密問題，才能確保政府專網(wǎng)應(yīng)用的萬無一失，目前，各級政府已經(jīng)越來越深刻地認(rèn)識到，安全保密是征訂專網(wǎng)應(yīng)用的生命線，有關(guān)安全保密的要求已被列入到政府專網(wǎng)建設(shè)部門的議事日程中，為此我們通過介紹政府專網(wǎng)的安全保密要求及其網(wǎng)絡(luò)結(jié)構(gòu)，給大家介紹一下加密技術(shù)在政府專網(wǎng)中的應(yīng)用。

一、政府專網(wǎng)的安全保密及其網(wǎng)絡(luò)結(jié)構(gòu)

1、政府專網(wǎng)的安全保密要求

我們今天提到的政府專網(wǎng)是經(jīng)過困家保密部門的審查認(rèn)定后，屬于機(jī)密級的國家電子政務(wù)內(nèi)網(wǎng)。對于此類政府專網(wǎng)，國家保密部門有著很嚴(yán)格的要求。按照《涉及國家秘密的計算機(jī)信息系統(tǒng)保密技術(shù)要求》(BM21-2000)的有關(guān)規(guī)定，政府專網(wǎng)的建設(shè)及應(yīng)用必須符合以下16個方面的技術(shù)要求t物理安全防護(hù)措施、備份與恢復(fù)、計算機(jī)病毒防治、電磁兼容、身份鑒別、訪問控制、信息加密、電磁泄露發(fā)射防護(hù)(TEMPEST)、信息完整性校驗(yàn)、抗抵賴、安全審計、安全保密性能檢測、入侵檢測、操作系統(tǒng)安全、數(shù)據(jù)庫安全和安全保密管理。按照上述規(guī)定，政府專網(wǎng)的安全保密示意圖如圖1所示。

2、政府專網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)

本文所提到的政府專網(wǎng)是指與因特網(wǎng)物理隔離，通過租用電信部門的光纖專線連接而成的“專網(wǎng)”。它由一個中心節(jié)點(diǎn)和多個二級節(jié)點(diǎn)組成，采用集中式的系統(tǒng)形態(tài)，其網(wǎng)絡(luò)中心設(shè)在中心節(jié)點(diǎn)，負(fù)責(zé)集中部署專網(wǎng)安全保密、業(yè)務(wù)應(yīng)用所需的服務(wù)器設(shè)備和應(yīng)用系統(tǒng)軟件，為各二級節(jié)點(diǎn)提供安全認(rèn)證、訪問控制和信息交換等接入服務(wù)及應(yīng)用服務(wù)。中心節(jié)點(diǎn)配置了碑密碼機(jī)、硬件防火墻、Web網(wǎng)站服務(wù)器、DNS域名解析服務(wù)器、郵件服務(wù)器，Wcb網(wǎng)站恢復(fù)系統(tǒng)，入侵檢測系統(tǒng)、安全審計系統(tǒng)、網(wǎng)絡(luò)版防病毒系統(tǒng)、密鑰管理中心等專用設(shè)備，以此保證專網(wǎng)各項(xiàng)應(yīng)用的穩(wěn)定運(yùn)行；各二級節(jié)點(diǎn)均配置了與中心節(jié)點(diǎn)相同型號的IP密碼機(jī)，用來實(shí)現(xiàn)數(shù)據(jù)傳輸過程中的加密與解密。

在線路連接上，中心節(jié)點(diǎn)配置了一臺國產(chǎn)高端路由器作為專網(wǎng)的核心路由器，各二級節(jié)點(diǎn)則配置了相應(yīng)型號的國產(chǎn)路由器，二級節(jié)點(diǎn)路由器通過同步數(shù)字系列網(wǎng)( SynchronousDi8ital Hicrarchy，SDH)連接中心節(jié)點(diǎn)的核心路由器，作為通信主干線路；同時各二級節(jié)點(diǎn)還通過綜合業(yè)務(wù)數(shù)字網(wǎng)(lntegrated Service Digital Network, ISDN)線路與中心節(jié)點(diǎn)相連接，作為主干備份線路，這樣可以保證專網(wǎng)在線路連接上的安全可靠，專網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。

二、加密技術(shù)任專網(wǎng)中的應(yīng)用

按照安全保密的要求，專網(wǎng)的建設(shè)及應(yīng)用采取了基于公鑰基礎(chǔ)設(shè)施(Public KcyInfrastructurc，PKI)的安全策略：利用IP協(xié)議密碼機(jī)對數(shù)據(jù)的傳輸進(jìn)行加密解密，同時采用了數(shù)字證書認(rèn)證中心（簡稱CA中心）和基于安全套接字協(xié)議層(Secure Sockct Layer，SSL)的USB KEY對用戶的身份進(jìn)行認(rèn)證，確保了數(shù)據(jù)在傳輸過程中的完整性，為政府專網(wǎng)的安全運(yùn)行提供了有力保障。

1、 IP協(xié)議密碼機(jī)

要保護(hù)數(shù)據(jù)在傳輸?shù)倪^程中不被泄露和篡改，就必須對其數(shù)據(jù)文件加密，經(jīng)過加密后的數(shù)據(jù)文件是以密文形式傳輸?shù)?，密文到達(dá)接收方后經(jīng)過解密才可獲得發(fā)送方所發(fā)送的明文。即使密文在傳輸過程中存在被入侵者截獲的可能，所截獲的密文也無法被讀懂，現(xiàn)行加密算法的密鑰大都在128位以上，破解并不是一件容易的事情。在實(shí)際應(yīng)用過程中，政府專網(wǎng)的中心節(jié)點(diǎn)和各二級節(jié)點(diǎn)均采用了相同型號的IP協(xié)議密碼機(jī)對數(shù)據(jù)文件的傳輸進(jìn)行加密和解密。通過加密機(jī)進(jìn)行加密傳輸?shù)哪Ｐ腿鐖D3所示。

2、數(shù)字證書認(rèn)證中心

CA中心作為電子商務(wù)和電子政務(wù)進(jìn)行信息交換過程中受信任和具有權(quán)威性的第三方，承擔(dān)著公鑰體系中公鑰合法性檢驗(yàn)的責(zé)任。它為每個使用公開密鑰的用戶發(fā)放數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中所列出的公開密鑰，CA機(jī)構(gòu)的數(shù)字簽名使得第三者不能偽造和篡改證書。它負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上信息交換各方所需的數(shù)字證書，是安全電子信息交換的核心。CA中心以密碼技術(shù)為基礎(chǔ)，以X.509數(shù)字證書為依托，能完整解決專網(wǎng)中用戶身份的真實(shí)性，網(wǎng)上信息的保密性、完整性以及用戶行為的不可抵賴性等安全問題，并為電子商務(wù)和電子政務(wù)的應(yīng)用提供可靠的安全平臺，它還能夠?yàn)橛脩舻墓_密鑰簽發(fā)公鑰證書、發(fā)放證書和管理證書，并提供一系列密鑰生命周期內(nèi)的管理服務(wù)，它將用戶的公鑰與用戶的名稱及其屬性關(guān)聯(lián)起來，為用戶之闖的電子身份進(jìn)行認(rèn)證?？梢哉f，CA中心是電子商務(wù)和電子政務(wù)能夠安全穩(wěn)定發(fā)展的基礎(chǔ)，它在密碼管理方面的作用如下。

（1）自身密鑰的產(chǎn)生、存儲、備份，恢復(fù)、歸檔和銷毀。

（2）為認(rèn)證中心與各地注冊審核發(fā)放機(jī)構(gòu)的安全加密通信提供安全密鑰管理服務(wù)。

（3）確定客戶密鑰生存周期，實(shí)施密鑰吊銷和更新管理。

（4）提供密鑰生成和分發(fā)服務(wù)。

（5）提供密鑰托管和恢復(fù)服務(wù)。

（6）其他密鑰的生成和管理以及密碼運(yùn)算功能。

3、基于SSL的USB KEY身份認(rèn)證

SSL是Nerscapc公司于1996年推出的安全協(xié)議，它位于傳輸層和應(yīng)用層之間。由SSL記錄協(xié)議( SSL rccord protocol)、SSL握手協(xié)議(SSL handshake protocol)和SSL警報協(xié)議( SSL alter protocol)組成。其中，SSL握手協(xié)議被用來在用戶與服務(wù)器真正傳輸應(yīng)用層數(shù)據(jù)之前建立安全機(jī)制，當(dāng)用戶與服務(wù)器第1次通信時，雙方通過握手協(xié)議在版本號、密鑰交換算法、數(shù)據(jù)加密算法和Hash算法上達(dá)成一致，然后互相驗(yàn)證對方身份，使用協(xié)商好的密鑰交換算法產(chǎn)生一個只有雙方知道的秘密信息，最后用戶和服務(wù)器各自根據(jù)此秘密信息產(chǎn)生數(shù)據(jù)加密算法和Hash算法參數(shù)；SSL記錄協(xié)議根據(jù)SSL握手協(xié)議協(xié)商的參數(shù)對應(yīng)用層送來的數(shù)據(jù)進(jìn)行加密、壓縮并計算消息鑒別碼(Message Authcntication Code，MAC),然后經(jīng)網(wǎng)絡(luò)傳輸層發(fā)送給對方；SSL警報協(xié)議則用來在用戶和服務(wù)器之間傳遞SSL出錯信息；SSL是解決Web應(yīng)用安全最通用的技術(shù)手段，是網(wǎng)絡(luò)中的安全標(biāo)準(zhǔn)m．常用的Web應(yīng)用系統(tǒng)，如IIS、Apachc、Wcblogic等都支持SSL。

在政府專網(wǎng)中采用基于SSL的USB KEY身份認(rèn)證系統(tǒng)，當(dāng)終端用戶想要登錄專網(wǎng)進(jìn)行信息交換時，首先需要插入USB KEY進(jìn)行身份認(rèn)證，只有通過認(rèn)證才可登錄專網(wǎng)中相應(yīng)的Wcb網(wǎng)站進(jìn)行數(shù)據(jù)交換。

USB KEY與遠(yuǎn)端服務(wù)器之間采用多種高強(qiáng)度的加密算法（包括標(biāo)準(zhǔn)算法或數(shù)據(jù)密碼卡專用加密算法），用戶可以從系統(tǒng)提供的高強(qiáng)度加密算法列表中自行選擇。而且，每一次的SSL連接都采用新的密鑰，這將大大提高傳輸數(shù)據(jù)時的安全性，USB KEY還支持多個證書的信任鏈，并強(qiáng)制中斷對證書鏈有問題的服務(wù)器的訪問，以提高本地主機(jī)的安全性。

在加密算法管理中所列加密算法的對稱加密和解密密鑰均為128位以上（包含128位），用戶可以選擇需要的加密算法或屏蔽不需要的加密算法，加密算法可以多選，由服務(wù)器決定在已選的加密算法中最終
采用哪種加密算法，如果服務(wù)器端沒有相對應(yīng)的加密算法，當(dāng)客戶端向服務(wù)器端發(fā)起SSL連接請求時，請求將被拒絕，這種采用CA中心與基于SSL的USB KEY身份認(rèn)證系統(tǒng)可以很好地解決政府專網(wǎng)在安全保密方面的實(shí)際要求，政府專網(wǎng)的安全方案如圖4所示。

本文所提到的政府專網(wǎng)從建成使用至今已有兩年多的時間，在實(shí)際應(yīng)用過程中網(wǎng)絡(luò)運(yùn)行穩(wěn)定、信息交換安全可靠．實(shí)踐證明，加密技術(shù)的應(yīng)用在政府專網(wǎng)中起到了非常重要的作用。目前還有其他多種加密技術(shù)在電子政務(wù)及電子商務(wù)中被應(yīng)用，如指紋識別技術(shù)、視網(wǎng)膜識別技術(shù)，聲音識別技術(shù)、智能IC卡技術(shù)和正處于研究階段的量子加密技術(shù)等。在實(shí)際的工作實(shí)踐過程中，利用加密機(jī)進(jìn)行加密傳輸，同時采用CA中心和USB KEY相結(jié)合的方法可以很好地解決政府專網(wǎng)的安全保密問題。另外，在技術(shù)手段相對成熟的同時，更為重要的一點(diǎn)是要提高網(wǎng)絡(luò)用戶的安全保密意識，加強(qiáng)安全保密的制度建設(shè)，這樣才能真
正確保政府專網(wǎng)在實(shí)際應(yīng)用過程中安全穩(wěn)定地運(yùn)行。

admin

收藏 海報分享