关键词:政务外网网络信任体系信息安全PKICA
一、政务外网信任体系建设背景
众所周知,网络信任体系是国家信息安全保障体系建设的重要内容。2003年9月,中共中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出,“规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设”,首次在国家信息安全保障层面提出了建设网络信任体系的要求。
网络信任体系是以密码技术为基础,以法律法规、技术标准和基础设施为主要内容,以解决网络应用中身份认证、授权管理和责任认定等为目的的可信体系。身份认证在网络环境中确认用户的身份,提供了网络行为主体的真实性;授权管理是对网络中各种行为主体访问、利用、处理信息资源而进行管理的重要手段;责任认定是实现网络行为可核查、网络事件责任可追究的技术基础。即基于网络信任体系,可以确定网络活动参与者“是谁?能做什么?做了什么?”。
国家电子政务外网信任体系是国家电子政务网络信任体系的重要组成部分。从总体网络结构看,我国电子政务网络由政务内网和政务外网组成,在政务内网和政务外网网络域中,都要建立自己的网络信任体系,共同组成国家电子政务网络信任体系。因此,作为国家网络信任体系的重要组成部分,政务外网信任体系肩负着保证外网业务系统稳定、有效运行的重要使命,是保障国家政务安全的重要信息安全基础设施。
二、政务外网信任体系服务功能
国家电子政务外网信任体系为政务外网承载的各类业务提供以下服务功能:
①为国家电子政务外网接入系统的服务对象签发数字证书,作为接入系统的身份凭证。
②对城域网接入系统和骨干广域网接入系统提供身份认证,确保接入系统用户身份的合法性。
③为国家电子政务外网的系统管理员、安全员、系统操作员和使用者提供身份认证、授权管理和责任认定。
④通过构建的国家电子政务外网接入认证网关,为外网网站提供一站式的单点登录和身份认证服务。
⑤为国家电子政务外网的公共服务设施提供安全、保密服务,主要包括:为外网的国家公务员提供安全电子邮件服务,提供安全FTP服务、可信时间戳服务,以及音频流、视频流等各类业务的安全、保密服务。
⑥为国家电子政务外网所建设的公共应用服务系统,如:目录服务系统、资源共享系统等提供网络信任技术支持与服务。
⑦为国家电子政务外网城域网的相关国家部委和骨干广域网的相关省(直辖市、自治区)提供网络信任体系技术支持。
三、政务外网信任体系建设原则
⒈标准化原则
按标准化的原则进行设计,使国家电子政务外网逐步形成统一的网络信任体系。
⒉可拓展性原则
充分考虑到今后国家电子政务外网业务类型的不断发展,整个网络信任体系必须具有良好的开放性和拓展性。数字证书的签发数量和管理容量可以按需要进行拓展;系统中的应用软件和密码设备可以平滑地进行升级;系统的各类性能指标能够不断地满足国家电子政务外网业务发展的需求。
⒊安全可靠性原则
建设成结构合理、技术先进、高安全可靠性的国家电子政务外网网络信任体系,防止对网络信任体系本身的各种非法攻击,确保网络信任体系能够安全、稳定地持续运转。国家电子政务外网网络信任体系的密码算法和密码设备定位商用密码(非级),支持非涉及国家秘密的各类业务应用,并严格执行国家商用密码相关政策。
⒋简便实用性原则
政务外网网络信任体系方案制定具有统一、规范的用户界面和简便的操作规程,确保用户操作、使用方便。根据国家电子政务外网承载的具体业务和网络信任体系的服务功能,对网络信任体系中的各类设备进行科学、合理的部署,确保做到对外网中承载的不同业务具有不同的服务内容;努力做到国家电子政务外网网络信任体系的升级、拓展,与应用系统无关,不影响各类业务的具体应用,对应用系统透明。
⒌节约投资原则
国家电子政务外网信任体系的建设,将按照统筹规划、分步实施的原则逐步完成。在建设过程中,原则上根据不同阶段的应用需求,本着厉行节约的原则,小步快跑,尽可能以较小的投资,取得最大限度的应用回报。
四、政务外网信任体系建设内容
政务外网信任体系将紧密依托国家电子政务外网网络环境,旨在建立国家电子政务外网安全平台,为政务外网用户提供各种不同级别的安全保障与服务。政务外网信任体系是以PKI/CA(PublicKeyInfrastructure/CertificationAuthority,公钥基础设施/认证中心)公钥基础设施为核心的安全支撑平台,主要包括:身份认证、授权管理、责任认定等。此外,政务外网信任体系建设还包括时间戳服务系统、密码服务系统以及安全应用平台建设。
⒈身份认证体系
以树型结构建设的政务外网数字证书认证体系,主要包括政务外网根CA、运行CA、各部委RA(RegistrationAuthority,注册审批机构)、名省市RA及其下属LRA(LocalRegistrationAuthority,本地注册审批机构)等。政务外网根CA建立在国家密码管理局,是整个政务外网信任体系的信任源点,用来制定政务外网安全策略,签发和管理运行CA证书。运行CA是政务外网CA向下级传递信任的桥梁,用来签发和管理各部委二级CA证书、各省市二级CA证书。对于没有二级CA中心建设需求的部门和地区,将建设运行CA的RA系统,由运行CA直接提供证书服务。各部委二级CA和各省市二级CA主要面向相应的部门内部和本地区,为其业务应用提供数字证书签发管理服务。
⒉权限管理系统
由于权限管理(即授权管理)系统直接面向业务应用,不同业务应用对权限管理的需求、应用模式、应用对象、粒度控制、权限策略等不尽相同。因此,不同于CA系统,政务外网信任体系不可能建设统一的权限管理中心,为所有业务应用提供统一的权限管理服务。但是,通过对应用系统权限管理模型的研究,可以发现,基于角色的访问控制模型是一个很有代表性的且具有很好发展前景的权限管理模型,能为应用系统的开发和管理带来方便,因此,在政务外网信任体系中,国家信息中心网络安全部将建设标准的PMI/AA(PrivilegeManagerInfrastructure/AttributeAuthority,权限管理基础设施/属性权威机构)权限管理系统,为用户签发属性证书。具体的应用系统可以根据自身安全需求,基于此证书建立基于角色的访问控制模型,运用到应用系统中。通过对属性证书的运用,可以有效地简化应用系统的开发和管理。
⒊责任认定系统
与PMI/AA权限管理系统类似,责任认定系统同样与业务应用结合紧密。因此,政务外网信任体系不可能建设统一的责任认定中心,为所有业务应用提供责任认定服务。在政务外网信任体系中,国家信息中心网络安全部将建设标准的责任认定系统模型,业务应用根据自身安全需求进行量身定制,并嵌入到业务应用中。
⒋时间戳服务系统
建设统一的时间戳服务中心,为整个政务外网提供可信时间戳服务。各部门、各行业、各地区不必重复投资建设时间戳服务系统,而采用政务外网统一的可信时间戳服务。在统一的时间服务体系下,更有利于实施责任认证、安全审计等与时间有关的安全需求。
⒌密码服务系统
密码服务系统是政务外网信任体系的基础,除为信任体系自身提供密码服务外,还需要对业务应用提供密码支持。由于密码服务设备一般直接与业务应用服务器连接,因此,政务外网不可能建设为所有业务应用提供密码服务的密码服务中心。在政务外网信任体系中,国家信息中心网络安全部负责制定统一的密码服务接口,建立标准密码服务体系规范,提供综合服务器密码设备,不同的业务应用根据实际需要配置不同性能的密码设备。
⒍安全应用平台
在电子政务外网信任体系建设完成后,对有需求的业务应用进行安全改造,构建以政务外网PKI/CA系统为基础的高安全强度的新型电子政务应用系统。在完成政务外网上述信任体系建设后,在政务外网业务应用与信任体系之间构建安全应用平台,向上层的政务外网业务应用系统提供统一的身份认证、信息加解密、数字签名、单点登录等服务。通过构建安全应用平台,为应用系统提供高度抽象、凝练的安全服务,业务应用系统通过使用安全应用平台提供的服务,集成安全应用平台提供的简单接口,可以快速、方便地完成应用系统与电子政务外网CA系统集成。
五、国家电子政务外网信任体系建设实践
国家电子政务外网网络信任体系一期工程(第一阶段),本着节约投资、满足需求的原则,本期只建设了国家政务外网中央部分的身份认证系统、权限管理系统、网络审计系统和时间戳服务系统。同时,本期还重点开展了外网网络信任体系的标准规范制定以及少部分部委的CA证书的应用。
⒈身份认证系统
国家政务外网网络信任体系一期工程的中央部分的身份认证系统包括:中央部分顶层认证中心(根CA)、运行CA、密钥管理中心(KMC),以及两个部委证书审核注册中心(RA);部分部委和省级政务外网还建设了国家政务外网CA的RA系统。
由于国家电子政务外网所承载的大量业务是由中央部门发起的面向全国的纵向业务,业务覆盖面广,大多数业务要求覆盖全国31个省市区及其所属市县和新疆建设兵团及其下属单位,此种业务的协同性要求大量的信息资源在全国范围内实施共享和交换,如国务院应急系统、国家纠风系统、国家自然资源和地理空间基础信息库系统等业务。为此,为了能够尽快满足应用部门的业务需求和节约投资,要尽快建成覆盖全国32个省级政务外网及其下属部门和有关部委的“国家政务外网数字证书服务体系”,具体做法是:各部委在业务量不是很大时由国家政务外网CA所建设的RA系统直接发放数字证书,随着业务量的增多,再建设本部委的RA系统,为本部委提供服务;省级政务外网建设单位或相关单位可先建设外网CA的RA系统和LRA,在本省范围内为中央发起的政务外网范围内的纵向业务和本地政务外网应用提供服务,随着业务量的增多,如果确实需要,再平滑地升级到二级CA系统。
⒉权限管理系统
如前所述,权限管理系统直接面向业务应用,与应用结合比较紧密,为了能够在国家电子政务外网内为应用部门提供网络授权管理服务,积累网络授权管理系统的经验,在国家电子政务外网一期工程(第一阶段)建设中,在中央部分建设了一个权限管理子系统,主要服务的应用对象包括:国家电子政务外网网站、外网信息资源目录体系与交换体系、外网数据交换中心原型系统、外网网管与运维系统、内部办公系统等。所建设的权限管理系统可以方便地通过统一的用户权限认证,使得访问人员可以获得相关信息资源。
权限管理系统包含4个子系统:统一用户管理子系统、授权管理子系统、安全传输子系统和目录服务子系统。
⒊责任认定系统
与授权管理类似,网络责任认定也与应用结合比较紧密,目前能够实现基于密码技术的责任认定技术还不成熟,一般采用审计技术实现责任认定功能。为了实现责任认定,国家电子政务外网一期工程(第一阶段)在中央网管中心部署了网络审计系统,具体实现网络入侵检测、流量统计和数据库审计功能。
⒋标准法规制订
统一标准规范是实现国家电子政务外网互联互通的基础之一。国家电子政务外网信任体系建设,须遵循统一的标准规范才能实现有效服务外网用户。在建设过程中,首先将执行国家颁布的我国电子政务和信息安全方面的标准,同时将依据政务外网建设的实际需要,采用国际上和我国的其他信息安全标准,包括国际互联网工作组(IETF)、国际电联(ITU)、国标(GB)等标准。
自主制订的涉及国家电子政务外网信任体系建设的全局规范,则需要上报国家有关主管部门批准后,以文件形式下发到各部门参照实施。自主制订的一般性规范,原则上由政务外网承建单位标准组制订并且组织实施。为搞好标准建设,保证政务外网信任体系的建设质量,国家信息中心网络安全部负责汇编有关政务外网建设标准,并下发给有关网络建设单位、接入用户,供统一参照执行。
按照2006年2月国务院办公厅转发的国家网络与信息安全协调小组《关于网络信任体系建设的若干意见》([2006]11号),国家密码管理局具体负责国家电子政务外网数字认证的管理工作。根据国家电子政务外网信任体系的建设需求,目前已制定了4个有关国家电子政务外网CA体系建设的规范并上报国家密码管理局审批。这四个规范分别是:《国家电子政务外网CA命名空间规范》、《国家电子政务外网CA系统接口规范》、《国家电子政务外网RA建设指南》和《国家电子政务外网数字证书格式》,其他相关规范正在制定中。
⒌证书应用
自2007年12月开始,国家电子政务外网CA中心已经为国家纠风系统提供全国,国务院应急系统、国家自然资源和地理空间基础信息库系统和国务院扶贫系统已经确定全部使用外网CA证书实现网络身份认证,并以此为基础分别建设自己的授权管理与责任认定系统。
作者简介:
任金强,男,汉族,1963年生,陕西商州人,高级工程师,博士后,国家信息中心网络安全部首席工程师;研究方向:信息与通信工程,信息安全,数据处理。
吴亚非,男,汉族,1955年生,湖南平江人,高级工程师,硕士,国家信息中心网络安全部主任;研究方向:网络与信息安全保障,网络信任体系,信息安全风险评估。
罗红斌,女,汉族,1968年生,湖南长沙人,国家信息中心网络安全部电子认证服务处工程师;研究方向:信息安全。
关键词:计算机云服务;政府政务数据;信息安全;体系构建
DOI:10.16640/ki.37-1222/t.2016.03.103
0引言
随着计算机云服务技术的不断推广和应用,电子政务系统的优化速度变得越来越快,给政府政务信息数据安全管理提出了更高要求,必须注重服务管理体系的综合化、多元化发展,才能促进政府建设的高效性、集约性、便捷性,最终达到提高政务信息管理系统整体效率的真正目的,对于推动我国市场经济快速发展有着非常重要的现实意义。
1计算机云服务技术在政府政务数据信息安全体系构建中的实际应用
根据政府政务数据信息安全体系构建的整体情况来看,计算机云服务技术的实际应用需要从如下几个方面进行了解:
1.1技术环境的快速转变
随着政府政务信息数据的不断增多,其技术环境政治快速转变,特别是通信技术、移动终端技术、互联网技术等不断应用,使政务数据信息的显示变得更加快捷,在提高政府学习效果上发挥着重要推进作用。在现代技术、操作层面等环境不断优化的情况下,尤其是2Mbps数据传输模式的快速推广,对于实现相关数据在无线网络中的有效传递有着极大影响,是政府政务数据中的图像、声音等数据得到动态化的技术管理的重要支持。所以,移动管理资源、系统学习等想要实现共享,就必须注重整个数据库的信息化建设,才能真正提升其信息化水平。
1.2系统学习的交互模式
在合理应用计算机云服务技术的情况下,系统学习的交互模式是技术融合的一种新方式,通过交互式的进行各种信息的测验,政府政务数据信息的安全性可以得到有效提高,对于提高政府政务数据信息的系统化、综合化水平有着极大作用。根据政府政务数据信息的系统化学习情况来看,移动运营的综合采用可以通过先进计数方式、群发短信等来完成,对于实现无线通信网络综合管理设备的快速升级有着重要影响。目前,基于C/S构架的移动学习系统的开发,是计算机云服务技术合理应用的重要体现,可以有效提高数据信息的处理效率,如政府政务数据中的网站界面访问、电子邮件等,对于实现政府政务数据信息的整体优化有着重要作用。与此同时,计算机云服务技术的合理应用,可以形成移动学习、数据统计相统一的模式,以在结合J2EE、J2ME等技术的情况下,达到实现政府政务信息数据信息有效交互的真正目的。
1.3终端发展的相关分析
在移动终端服务设备不断增多情况下,移动终端数据的处理能力在快速提高,并且,整个系统的硬件、软件设备也在向着多样化方向发展,需要提升政府政务数据信息管理的综合化水平,才能更好的满足各种设备的功能需求。例如:在具有语言通信功能的设备中,注重数据计算能力、数据通信能力等在政府政务数据管理中的合理运用,可以实现移动终端操作系统、资源调度与管理的综合化管理,对于构建适用于各种应用的整体管理平台有着极大作用。随着3G、4G等终端技术的不断推广,它们在政府政务信息数据管理中的应用变得越来越广泛,如开放业务、终端制定等平台的科学构建,对于实现数据管理与服务型政务的智能对接有着极大影响。
2计算机云服务和政务信息化模块的发展分析
2.1政府信息化发展必须注重智慧
随着信息技术在政府政务数据管理中的不断应用,政府信息化发展的速度变得越来越快,特别是在信息孤岛、互联网条块分割情况下,政府电子政务必须注重各种资源的优化配置,才能实现资源开发、业务协作、市场调研等的全面推进,最终在加强政府数据信息管理和互联网协作的基础上,促进政府整个资源共享力度不断提高。因此,政府信息化发展必须注重智慧,才能不断创新机制和体制,以在政府迅速转变职能的情况下,促进政府电子政务管理系统快速优化,对于提高政府政务信息管理的信息化水平有着重要影响。由此可见,政府信息化发展的新要求,是政府政务信息管理智能化、高效化、集约化发展的重要基础,可以为政府智慧型发展提供重要平台,以在实现内部资源合理运用和综合管理的基础上,为领导制定各种决策提供重要参考依据。
2.2科学运用资源整合新理念
在政府政务信息数据管理中,资源整合是非常重要的基础,需要注重相关机制的合理构建,并加大法律建设力度,才能真正实现资源整合新理念的科学运用。在实践过程中,政府需要有效破解数据信息中的障碍,特别是数据管理中部门之间、区块之间形成的界限障碍,才能真正提高政府各部门数据信息的关联性,最终实现数据信息跨部门、跨区域、跨业务等多个方面的共享。因此,根据企业、政府、民众等的信息需求,注重政府政务数据信息管理的综合化,需要加强各种资源的科学运用和整合,才能实现政府各部门资源的最优化配置,最终提升政府政务信息数据应用的最大价值。由此可见,注重各种资源的科学运用,提高政府政务数据的应用价值,特别是对海量数据进行深度挖掘、技术处理等,不仅可以为政府的决策层、执行层等制定决策提供更大思考空间,还能促进政府政务信息数据运用不断创新,对于实现政府各部门资源的科学整合有着重要影响。
3基于计算机云服务的政府政务数据信息安全体系构建策略
在政府政务数据信息管理不断加强的情况下,计算机云服务技术的推广和应用,给政务职能转变提供了重要支持,对于保障政府政务数据信息的安全性和完整性等发挥着非常重要的作用。总的来说,基于计算机云服务的政府政务数据信息安全体系构建策略主要有如下几个方面:
(1)数据挖掘系统技术的科学运用。在政府政务数据信息安全体系的合理构建中,数据挖掘系统技术有着较强的综合性,是计算机云服务技术不断推广的重要体现,特别是计算机云计算处理技术的合理运用,使数据仓库、知识库系统等的运行效率得到了全面提高。随着政府政务数据信息管理的系统化发展,各部门信息数据资源的有效共享,需要注重信息数据的整体挖掘,才能实现数据挖掘技术在开发整合系统中的科学运用,才能真正形成以用户为中心的服务模式,对于推动政府政务数据信息管理信息化发展有着重要影响。根据政府政务数据信息安全体系的构建情况来看,在计算机软件的操作层面进行统计报表的自动生成,并注重政府服务职能中社会综合管理、经济运行状态等方面的技术支撑,可以为政府各部门的领导制定各种决策提供重要参考依据,以在相关法律法规全面实施的情况下,实现政府政务数据信息管理的有效监督。由此可见,在数据挖掘技术科学运用的情况下,注重信息系统备案的合理制定,并通过智能手机、网站、电子显示屏等进行数据信息安全服务,可以不断提高政府政务数据信息的主动性和关联性,对于增强政府和民众之间的互动性有着极大作用,在提高政府政务工作透明度、公正性等多方面有着重要影响。
(2)基于计算机云服务技术的模块运用。在政府政务数据信息管理不断向着信息化方向发展的大环境下,政府部门的智慧型转变,需要注重政府数据存储、分析、挖掘等多方面的能力提升,才能实现政府各种数据信息的合理运用,最终在动态收集、整理各种数据信息的基础上,实现政府政务服务效率、质量等不断提高。在我国市场经济体制不断完善的情况下,不同的民众有着不一样的服务需求,特别是数据量的迅速增长和数据应用需求不断增多,给政府政务数据信息安全体系构建提出了更高要求,需要正确面对这些困扰和挑战,注重数据处理方式的多样化,才能更好的满足计算机云服务技术的应用需求和民众的各种服务需求。由此可见,信息技术、网络技术等快速推广,给政府政务数据信息管理提出的高要求,需要提高各种数据运用的高效性、有效性等,才能真正发挥各种数据的应用价值,最终促进政府职能快速转变和信息化水平快速提升。
(3)信息安全基础设施方案的合理制定。在云计算技术应用范围不断推广的过程中,相关法律体系的不断完善,是其在政府政务数据信息管理中合理应用的重要基础,而技术水平的不断提升,是政府部门服务水平不断提升的重要保障。因此,信息安全基础设施方案的合理制定,需要注重统一性、合理化服务标准和行业规范的构建,如云计算网络安全防范协议、数据保护法等的正确运用,对于提高云计算技术在政府政务数据信息安全体系构建中的应用安全性有着极大作用。在云计算服务范围不断扩大的情况下,政府政务数据信息的管理难度也在快速提高,必须有效解决计算机云服务技术存在安全问题,才能在科学构建相关管理制度的基础上,实现各种数据信息的分级分类管理,是提高云计算服务整体效果的重要保障。目前,分级分类管理制度的合理运用,可以通过使用范围、使用对象等几个标准来进行职责划分,才能为政府政务数据信息管理信息化发展提供信息、基础设施、需求等几个方面的支持,对于实现政府政务数据信息安全体系构建的综合管理有着重要影响。
4结束语
综上所述,计算机云服务技术在政府政务数据信息管理中的应用,是政务职能快速转变的重要支持,与政府职能智慧化发展有着直接联系,对于提高政府政务数据信息安全体系构建的整体效果有着极大影响。因此,为了不断提高计算机云服务技术的应用效用,必须注重监控手段的合理制定和科学运用,才能真正避免各种安全问题出现,如违法信息的有效过滤系统、数据审计系统等的不断推广,对于提高政府政务数据信息管理工作效率有着重要影响。
参考文献:
[1]骆桂林.电子政务信息网及安全体系建设研究[J].信息与电脑(理论版),2015(19):178-179.
[2]赵震,任永昌.大数据时代基于云计算的电子政务平台研究[J].计算机技术与发展,2015(10):145-148.