方案背景中办发〔2003〕27号文《国家信息化领导小组关于加强信息安全保障工作的意见》中明确提出要“加强以密码技术为基础的信息保护和网络信任体系建设,要建立协调管理机制,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设”。中办发〔2003〕27号文从国家战略高度指明了信任体系建设的重要性。目前国家电子政务外网建设蓬勃发展,网络信任体系中最为关键和基础的电子认证服务体系骨干架构建设已经基本完成。目前已经形成了以国家电子政务外网数字证书中心(CA系统)为核心,多个已建、在建省级电子认证注册服务中心(RA系统)为延展的国家电子政务外网电子认证服务体系骨干架构。
为了推进国家电子外网的系统安全建设,国家信息中心规划为省级RA中心提供专用发证设备形式的本地证书发证模式,根据国家电子政务外网管理中心电子认证办公室《关于落实国发【2016】9号文相关要求的通知》(认证201602)的要求,规划省级电子政务外网身份认证体系,为省级电子政务外网政务部门相关工作人员制作、发放、管理各类数字证书,同时围绕省级电子政务外网应用系统的要求,建立安全、科学的网络信任体系身份认证网关,确保访问业务应用系统的安全性和可靠性。
通过对当前电子政务外网信息化发展的总体形势分析,根据以往相关或同等级别用户案例,同时,省级电子政务外网数字证书应用实际安全需要,未来安全应用发展主要会面临国产密码技术(SM2算法全面推广)应用安全需求、业务系统移动办公应用安全需求安全应用等方面:
1. 国产密码技术应用:各应用系统目前采用“用户名/口令”的认证方式,认证强度较低,容易受到非法攻击,需要采用数字证书方式进行用户的身份标识,并对用户证书进行全生命周期管理,包括证书的申请、审核、发放、更新、吊销等;
2. 安全支撑体系扩展:以数字证书认证体系为基础,结合省级电子政务外网实际业务需求,对安全支撑体系进行扩展,从身份认证、数字签名、等安全层面进行考虑,实现数据加密/解密、数字签名/验签、可信时间一系列等密码安全服务;
3. 移动办公应用安全:移动办公作为全新的办公模式,摆脱了时间和空间的限制,极大提高办公的便利性和高效性,未来行业也将随着信息化不为断推进将会进入移动办公的新时代。移动办公为工作提供更加高效和便利的同时,也需要注意到带来安全威胁,因此,需要针对移动办公应用中通过数字证书技术解决相关安全问题进行规划建设,为即将到来的移动办公应用打好坚实基础。
解决方案(1)证书管理
基于国家电子政务外网PKI基础设施进行数字证书的签发以及证书注销黑名单数据和CRL同步。
RA系统向上直接与国家政务外网CA系统相连,为本省电子政务外网的PC端用户和移动终端用户提供证书的申请、下载、更新、注销等本地化服务。
在省级电子政务外网区部署移动终端制证系统,与RA系统对接,提供协议转换,同时与移动终端移动证书认证APP+密码模块结合,实现移动证书的下载、更新、延期等服务。通过RA系统与互联网区的短信网关结合,实现移动授权码的下发。同时通过移动证书认证APP集成VPN的SDK包进行拨号访问电子政务外网区的移动门户,实现移动证书首次下载。
(2)证书应用
在省级电子政务外网区和互联网区分别部署身份认证网关和数字签名服务器,为各业务系统提供身份认证、访问控制、数字签名、数字信封等服务,身份认证网关和数字签名服务器在业务过程中,需要连接目录服务系统,下载CRL列表信息,验证证书的有效性。
在移动终端部署移动证书认证APP+密码模块,通过与互联网区的VPN网关结合,建立SSL加密隧道和认证,实现数字证书的使用、更新、认证等服务。
方案架构
方案价值通过电子政务外网数字证书安全体系建设后,实现PC、移动证书的发放、更新等全生命周期的管理,同时为应用提供基于证书的身份认证、签名验签等安全支撑,为电子政务外网证书的推广和使用打下坚实的基础,具体建设成效如下:
(1)满足了国家对国密算法得要求,为省级电子政务外网用户提供数字证书服务,提高了政务外网网络安全防护水平。
(2)保证省级节点证书服务质量,采用属地化模式,把证书服务任务进行分解,降低了单点服务工作量,实现了有效的协同。
(3)在满足证书服务属地化服务的同时也满足了省级管理部门对于政绩、增强自身管理职能的需求,增加其开展证书服务工作的积极性。
典型案例
国家信息中心
我要咨询
友情链接