例12公安邮政电子政务.ppt

《例12公安邮政电子政务.ppt》由会员分享，可在线阅读，更多相关《例12公安邮政电子政务.ppt（71页珍藏版）》请在三一办公上搜索。

1、1,实例1公安电子政务系统结构设计和安全性分析,主要参考文献：国家信息安全工程技术研究中心著.电子政务总体设计与技术实现.北京：电子工业出版社，2003.7 谢冬青 冷健 著.PKI原理与技术.北京：清华大学出版社，2004.1 中国电子政务研究中心著.电子政务红皮书.北京：2002.7 网络与应用.安全电子政务信息系统的设计与构想.2003年第3期,2,信任与授权服务平台内,CA,RA,KM,AA,RM,PKI,PMI,可信Web Service可信XML、可信SOAP、可信UDDI、可信WSDL,工作流引擎,通用政务构件,个性化管理模块,服务集成模块,一站式服务框架,（对内）接入平台,（对

2、外）接入平台,业务逻辑接口,公安服务系统,面向公安的业务构件,刑事侦查管理,110 服务,人 口 管 理,出 入 境 管 理,道路交通管理,消 防 管 理,法医技术鉴定,系统公用构件,权限控制构件,业务领域构件,通用构件,政务专网,公安系统内部各职能部门或公务员,客户端模块,企业用户,上网用户,移动用户,银行,证券,治 安 管 理,保险,其他电子政务系统,铁路,民航,信息网络安全管理,一站式服务架构下网上公安系统的总体结构图,海关,3,公安电子政务系统是一个复杂的多层次应用系统，根据其应用环境和安全要求分成四个相对独立的网络安全管理域：内网核心数据层、内网办公业务层、外网公共服务层和网间信息交

3、换层。核心层（核心数据存储与处理）属于内网，是公安信息的集中存储与处理的域，该域必须具有极其严格的安全控制策略，信息必须通过中间处理层才能获得；办公业务层（日常办公与事务处理）也是属于内网，是公安内部的电子办公环境，该区域内的信息只能在内部流动；,4,信息交换层（友邻、上下级部门间）属于专网，一部分需要各部门交换的信息可以通过专网域进行交换。该区域负责将信息从一个内网传送到另一个内网区域，它不与外网域有任何信息交换。公共服务层（电子窗口与信息服务）属于外网，是公安部门的公共信息的发布场所，实现公安系统与公众的互操作，该预与内网和专网物理隔离。,5,公安电子政务系统的整个逻辑结构按功能可以自下而

4、上划分为个层次：基础设施层、统一的安全电子政务平台层和电子政务应用层。1.基础设施层 基础设施层包括网络基础设施层、网络信任域基础设施层和信息安全基础设施层。信息安全基础设施层则包括了公钥基础设施（PKI）和授权管理基础设施（PMI）。网络基础设施层是为了电子政务系统提供政务信息及其他运行管理信息传输和交换平台，是整个电子政务体系的最终信息承载者，位于整个分层体系结构的最低层。,一.整体方案框架,6,信息安全基础设施层在网络基础设施所提供的信息传输服务平台的基础上，增加了面向电子政务应用的通用安全服务，为电子政务应用提供一个通用的、高性能可信和授权计算平台，即所谓的职能化信任和授权平台。2.安

5、全Web Service计算平台 安全Web Service计算平台是一站式电子政务服务架构的主要支撑层面，主要负责面向一站式服务基础框架平台提供安全Web Service的基础运行环境支持。安全Web Service提供的可动态扩展的、灵活的分布式计算模式是构建的一站式电子政务服务基础框架平台的基础。,7,3.政务服务平台()一站式电子政务服务基础框架平台 一站式电子政务服务基础框架平台是整个一站式电子政务服务架构的核心部分，主要是负责利用底层的安全Web Service所提供的安全应用开发和集成环境的基本功能，进一步根据电子政务的实际应用需求提供互联网与政务专网的隔离功能、一站式电子政务工

6、作流支持功能、通用电子政务构件的支持功能、服务的个性化管理功能以及服务集成功能，提供了各类政务应用系统的开发、运行与集成的一个统一的操作平台。,8,()政务应用系统 政务应用系统是在一站式电子政务服务基础框架平台上加载和运行的各类政务业务系统。考虑到政务内部专网上可能涉及到较多的涉密信息，政务应用系统将包括对外服务部分和内部业务处理部分，两者之间采用安全岛型交换网关进行互联。其中的对外服务部分主要是在一站式电子政务服务基础框架平台的基础上提供标准接口的政务服务元素，这些服务元素经由基础框架平台中的工作流引擎的调度共同构成一个完整的一站式电子政务服务流程。,9,()接入平台 接入平台是整个一站式

7、电子政务服务架构的用户接入部分。由于这个平台将同时面向一般社会公众和政务专网的公务员提供服务，因此接入平台也将划分为相应的两个部分，并分别接入到一站式电子政务基础框架平台中对应的模块中。,10,()客户端模块 客户端模块是一站式电子政务服务架构的客户端支持模块，由于安全Web Service以上层面的功能都是在服务器端完成的，因此客户端模块主要是提供对底层的信任与授权服务平台基本功能的支持。,11,4.信息安全基础设施层 任何安全系统的建立都依赖于系统、用户之间存在的各种信任形式。电子政务公钥基础设施（PKI）为应用系统建立一种可靠的信任关系。电子政务PKI技术信任基础 电子政务的PKI 系统

8、是电子政务安全系统的核心。它通过数字证书的颁发和管理，为上层应用提供了完善的密钥和证书管理机制，具有用户管理、密钥管理、证书管理等功能，可保证各种基于公开密钥密码体制的安全机制在系统中的实现。,12,PKI系统的组成,13,PKI主要由证书服务中心（CA）、注册审核中心（RA）、密钥管理中心（KMC）、证书/CRL发布系统和应用接口系统部分组成。PKI提供的证书服务主要有两个功能，即证实用户身份的功能及保证信息机密性和完整性的功能。它最主要的组件就是认证中心CA。CA颁发的证书可以作为验证用户身份的标识。CA颁发的证书内容包括证书持有人相关的身份信息，如姓名、单位、通信地址，甚至可以通过扩展属

9、性包含证书持有人的职务信息。由于证书的权威性与可信性，因此证书可以有效解决网络中的信任问题。它是电子政务网络中信任的基础。,14,在CA颁发的证书基础上，可以实现数字信封、数字签名、抗否认等功能，提供数据机密性、数据完整性等电子政务系统中所必需的安全服务。电子政务系统中的办公自动化软件、工作流软件、中间件等均可以集成CA系统颁发的数字证书，保证应用系统的信息安全。PMI技术身份认证与授权管理 在PKI系统的基础上，进一步构建电子政务系统的PMI系统，基于PMI的集中授权系统采用基于属性证书（AC）的授权模式，向应用系统提供与应用相关的授权服务管理，提供用户身份到应用授权的映射功能。,15,基于

10、PMI的集中授权系统可提供与实际应用处理模式相应的、与具体应用系统开发和管理无关的授权和访问控制机制，可以简化具体应用系统的开发与维护。PMI可以有效实现用户的身份验证、身份的证实与访问控制。,系统采用严格的三层体系结构，即数据库服务器、应用服务器、客户机。以CA提供的证书服务为基础，应用服务器可以很容易实现双向认证、访问控制、访问过滤等应用级安全机制。基于PKI的PMI系统为电子政务系统构建了一个严密的安全体系，保证敏感资源访问的可控性与可审计性。,16,1.软硬一体化平台提供最高的安全性 公安业务系统最大的特点是复杂程度高，地域、信息点多且分散，安全威胁来自从物理层到应用层多个方面。方案集

11、成了边界访问控制、安全隔离、数字证书、安全审计管理、病毒及恶意代码过滤等多种技术，构建软硬一体化平台应对日趋复杂化、混合化、智能化的网络攻击。,二.方案特点,17,2.可适应性、灵活性及可扩展性优异 方案提供了多种数据交换方式以满足用户应用需求，如数据库交换可以满足内外网之间数据中心同异构数据库安全数据交换，消息模块提供了用户应用程序的C、Java等API开发接口，实现了与上层业务应用的无缝集成，具有很好的灵活性可扩展性。3.强大的数据交换性能，良好的平台兼容性 方案所采用的安全隔离网闸在数据交换性能上要具有传输速率高、延迟小等优势，符合公安业务系统“快速反应、协同作战”的要求，而且各个模块可

12、以适应各类微软视窗、Unix、Linux平台下的多种数据库、邮件等平台环境，具有良好的兼容性。,18,19,公安信息系统有信息点分散，业务复杂等特点，为发挥“统一指挥、快速行动”的目标，首先这些信息需要通过外部网络提交到公安外网的数据中心服务器，然后安全快速传输到公安专网数据中心进行比对确认等操作。方案将安全隔离网闸设在专网与外部数据中心之间，在专网与外部链路层断开的前提下，实现了公网与专网之间数据交换的灵活高效，解决了物理隔离导致的“信息孤岛”问题。,20,外单位网络,信息交换器,VPN,边界访问控制,隔离区间,内网,办公业务、核心数据服务器,多层认证与授权,预审计,系统漏洞扫描 加密数据库

13、,入侵检测 系统镜像,VLAN 防火墙,容灾与备份基于LAN/SNA的异地数据备份系统大容量辅助设备,网络安全隔离,公共服务器,网页保护,隔离区间,系统漏洞扫描,抗拒绝访问服务,外网,入侵检测,边界访问,Internet,基础安全服务设施PKI/CA认证体系、PMI授权机制网络病毒扫描系统,公安电子政务安全体系,21,4、采用基于 PKI的信息安全解决方案 方案的总体目标为：通过基于数字证书的认证方法来确认用户身份；提供基于数字证书的授权控制来实现对信息资源和应用的访问控制；采用加密技术来保护信息的机密性；通过对消息摘要和数字签名的验证来提供完整性保护；采用数字签名来提供不可否认。,22,方案

14、设计的核心思想是利用 PKI/PMI技术建立起一套集身份认证、数据加密、数字签名、访问控制等于一体的完善的安全解决措施，以保证公安电子政务系统的安全。方案的整体设计可以分为以下几个部分：公安电子政务系统建立专用的根CA中心，实现在电子政务系统中引入和管理数字证书；省级系统建立数字证书审核注册RA，负责证书的受理和审核；下级设立CA业务受理点，负责证书请求的接收和用户资料审核、提交等。由CA中心为每个电子政务系统的用户签发一张数字证书，并在电子政务系统中调用相应的接口程序，实现用基于数字证书的身份验证方式替换过去的用户名、密码和辅助码的身份验证方式；,23,将电子政务系统所使用的WEB系统配置成

15、安全的WEB系统，采用要求用户访问时提供数字证书的工作方式，使用HTTPS协议保证信息传输的安全性及完整性；将从用户提交的数字证书中获取的用户信息(如姓名、所属部门和E-mail地址等)做为权限控制的依据；文件加密存储；整套方案的基础是数字证书，通过结合使用数字证书，将整个电子政务系统透明的移植到基于PKI技术构建的安全平台上。,24,建立专用CA中心的作用：一方面是专用CA中心可为电子政务系统提供数字证书发放和管理服务，为系统中的服务器、用户、管理人员以及其他需要数字证书应用服务提供各性化的证书服务，从而给电子电子政务系统建立基于数字证书的身份认证体系提供基础，为实现权限控制提供依据；另一方

16、面专用CA中心可以为将来电子政务系统的衍生应用提供证书服务，从而建立起一整套网上办公/业务系统的统一身份认证体系；,25,通过专用的根CA中心可以实现电子政务系统采用统一的身份认证体系，提供满足特殊需要的定制的数字证书，方便电子政务系统的运行，减少电子政务系统管理过程中由于信息更改所带来的问题，提高系统的运作效率和管理效率。通过使用由专用CA中心签发的包含特殊信息的数字证书，可以提高身份验证的效率。建立集中统一管理的CA中心能降低电子政务系统的安全风险。因为CA中心集中统一管理，各省市县不设立服务器和数据库，减少了CA中心的管理人员，也就减少了可接触CA中心的人员，从而降低了安全风险。,26,

17、5、安全Web系统解决方案 为了解决利用数字证书进行身份认证、数据加密以及数据完整性问题，政务系统内网的Web系统配置成支持HTTPS协议的方式，并关闭HTTP协议访问的模式，使得Web系统只能通过HTTPS协议访问。首先，HTTPS协议将Web应用与非授权的访问隔离开来。其次，HTTPS协议可以建立基于数字证书验证的网上身份验证机制。第三，HTTPS协议实现了用户与Web应用之间信息传输的加密和完整性校验。第四，安全Web系统实现访问权限控制。,27,安全Web平台示意图,28,配置好后的WEB系统就成为了安全的Web系统，所有的Web系统的应用被HTTPS协议有效地保护起来，从而解决了用户

18、与Web系统之间的基于数字证书的身份认证和信息加密传输的问题。当用户采用安全的HTTPS协议访问电子政务系统时，安全Web服务器会要求用户所使用的浏览器提供自身的用户证书，安全Web服务器在验证完证书合法性之后将把证书中的有效信息传递给电子政务系统的程序，通过这个程序都调用一个身份验证模块，该模块从Web服务器处取得用户的身份信息，然后根据其中的用户姓名、所属部门以及职位信息等，赋予该用户相应的权限，允许其从事相应的操作。,29,1、身份认证 考虑到政务系统信息的高度敏感和保密需要，系统未采用传统的用户名/口令+动态附加码方式，而是选取了具有更高安全等级且公认的最安全的基于公钥密码体制的CA数

19、字证书认证机制，存储在专门的 USB存储设备或IC卡中，只有持有合法证书的用户通过认证才能够进入到系统进行操作，其它的非法用户根本无法访问系统。,三.安全性分析,30,2、安全传输 考虑到网络应用系统所面临的安全威胁和风险，有必要在应用数据的传输方面提供专门的安全保护机制，系统采用业界标准的 SSL安全通信协议，提供经过身份认证的安全密钥交换、建立加密安全通道、数据机密性和完整性校验等安全保障，所有进入公网的数据必须经过密码加密后才能进行传输，使得在公网间传输的信息或数据均是不可读的密文，保证数据在整个传输过程中都不能被窜改和窃听。,31,3、访问控制公安系统内部有比较严格的访问控制机制，不同

20、的用户有不同的权限。但是在服务级别上，仍需要更严格的控制，以避免给攻击者试探合法用户身份提供可能。采用了强制的基于角色的访问控制策略，只让持有数字证书的且已分配有角色权限的合法用户才能够访问到系统，任何其它的用户均会被拒绝，无法访问应用系统。而且任何用户均无法绕过访问控制策略，直接访问到服务器，从而保证了系统安全控制策略切实有效。,32,4、数字证书的存储方式CA系统支持各种浏览器、USBKEY和IC卡在内的多种证书存储介质，用户可以根据需要选择合适的存储介质。在实际应用中，考虑到整个电子政务系统作为公安系统的网上办公系统，其安全性要求比较高，同时综合各种存储介质的易用性、可靠性等指标，可以采

21、用USBKEY设备和IC卡作为存储证书的介质。用户可以随身携带，同时设有使用口令，截断了证书被非法使用的途径，保证了证书的安全性。,33,5、电子政务数据存储与备份 数据存储与备份 电子政务最为宝贵的财富就是数据，要保证电子政务持续的运做和成功，就要保护基于计算机的信息。人为的错误，硬盘的损毁、电脑病毒、自然灾难等等都有可能造成数据的丢失，造成无可估量的损失。计算机系统业务数据丢失更是一场大灾难，会导致系统文件、技术文件的丢失，业务将难以正常进行。最关键的问题在于如何尽快恢复计算机系统，使其能正常运行。一般来说，各种操作系统所附带的备份程序都有着这样或那样的缺陷，所以若想对数据进行可靠的备份，

22、必须选择专门的备份软、硬件，并制定相应的备份及恢复方案。,34,网络存储与异地容灾 直接连接存储技术由于其技术的局限性，一般应用于较小的网络平台。目前存储领域的主流趋势是网络存储。目前网络存储主要分为三种有代表性的技术：NAS，SAN以及iSCSI。数据的备份和容灾是高可用系统的要求之一，可应对人为的错误，硬盘的损毁、电脑病毒、自然灾难等等都有可能造成数据的丢失。,35,针对网络平台对系统容灾的应用需求，异地容灾系统以存储区域网络(SAN)为基础，以数据复制管理器、光纤通道存储系统为组件，光纤通道为传输手段，在数十公里到数千公里范围内可以建立一个具有完整数据同步性的容灾解决方案。容灾系统的数据

23、中心建设，大致可分三个部分进行：备份中心主机网络存储系统的构建。建立数据中心与备份中心的数据同步传输系统。建立基于广域网的群集系统，使得应用系统可以在广域网上进行切换。,36,容灾系统结构图,37,结 论,通过以公安电子政务网络及其信息平台系统的建设为例，结合电子政务系统网络安全管理和应用的特殊性，对电子政务安全体系结构的设计与部署作了介绍，并着重对电子政务信息平台系统的安全构想及措施进行了论述。电子政务的安全系统是一个融复杂组织和先进IT技术于一体的复合体，必须从管理和技术两方面来加强安全性，以动态的眼光来管理安全，在严谨的安全需求分析和安全评估的基础上运用合理的安全技术来实现电子政务的整体

24、安全。,38,公钥基础设施，PKI(Public Key Infrastructure)证书服务中心，CA(Certificate Authority)注册审核中心，RA(Registration Authority)密钥管理中心，KM(Key Manager)授权管理基础设施，PMI(Privilege Management Infrastructure)授权服务中心，AA(Authorization Authority)资源管理中心，RM(Resource Manager)Web服务，Web Service可扩展标记语言，XML(extensible Markup Language)简单对

25、象访问协议，SOAP(Simple Object Access Protocol)统一描述、发现和集成协议，UDDI(Universal Description,Discovery and Integration)Web服务描述语言，WSDL(Web Service Description Language),39,数字信封 数字信封是公钥密码体制(PKI)在实际中的一个应用，是用加密技术来保证只有规定的特定收信人才能阅读通信的内容。在数字信封中，信息发送方采用对称密钥来加密信息内容，然后将此对称密钥用接收方的公开密钥来加密（这部分称数字信封）之后，将它和加密后的信息一起发送给接收方，接收方先

26、用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开加密信息。这种技术的安全性相当高。数字信封主要包括数字信封打包和数字信封拆解，数字信封打包是使用对方的公钥将加密密钥进行加密的过程，只有对方的私钥才能将加密后的数据(通信密钥)还原；数字信封拆解是使用私钥将加密过的数据解密的过程。数字信封的功能类似于普通信封，普通信封在法律的约束下保证只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。数字信封中采用了对称密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息，再利用接收方的公钥加密对称密码，被公钥加密后的对称密码被称之为数字信

27、封。在传递信息时，信息接收方若要解密信息，必须先用自己的私钥解密数字信封，得到对称密码，才能利用对称密码解密所得到的信息。这样就保证了数据传输的真实性和完整性。,40,usbkey USB Key主要用于网络认证，锁内主要保存数字证书和用户私钥。USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。VPN 虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（In

28、ternet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络。,41,HTT

29、P1.1（Hypertext Transfer Protocol Vertion 1.1）超文本传输协议-版本1.1 它是用来在Internet上传送超文本的传送协议。它是运行在TCP/IP协议族之上的HTTP应用协议，它可以使浏览器更加高效，使网络传输减少。任何服务器除了包括HTML文件以外，还有一个HTTP驻留程序，用于响应用用户请求。您的浏览器是HTTP客户，向服务器发送请求，当浏览器中输入了一个开始文件或点击了一个超级链接时，浏览器就向服务器发送了HTTP请求，此请求被送往由IP地址指定的URL。驻留程序接收到请求，在进行必要的操作后回送所要求的文件。HTTPS（Secure Hype

30、rtext Transfer Protocol）安全超文本传输协议 它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。）SSL使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。,42,SSL(Secure Socket Layer)为Netscape所研发，用以保障在In

31、ternet上数据传输之安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。目前一般通用之规格为40 bit之安全标准，美国则已推出128 bit之更高安全标准，但限制出境。只要3.0版本以上之I.E.或Netscape浏览器即可支持SSL。当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密

32、等基本功能的支持。SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。SSL协议提供的服务主要有：1）认证用户和服务器，确保数据发送到正确的客户机和服务器；2）加密数据以防止数据中途被窃取；3）维护数据的完整性，确保数据在传输过程中不被改变。,43,SSL协议的工作流程：服务器认证阶段：1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需

33、的信息；3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。用户认证阶段：在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。从SSL 协议所提供的服务及其工作流程可以看出，SSL协议运行的基础是商家对消费者信息保密的承诺，这就有利于商家而不利于消费者。在电子商务初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分暴露出来。但随着电子商务的发

34、展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但是SSL协议仍存在一些问题，比如，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下，Visa和 MasterCard两大信用卡公组织制定了SET协议，为网上信用卡支付提供了全球性的标准。,44,NAS 实际上就是经过优化的文件服务器。一般而言 NAS 设备利用成熟的局域网技术通过TCP/IP 协议进行数据传输，提供文件接口以及各种高层应用协议，比如 NFS，H

35、TTP，FTP 等等。NAS 设备并不需要直接连接到某个服务器上，而是直接连接到网络上。因此局域网内的客户端以及服务器均可自由访问。NAS 是由一个操作系统，一个专用服务器和存储设备构成的。SAN 是另外一个非常重要的网络存储技术。SAN 本身是指一个专用的，高速的存储子网络。通过 SAN 将服务器与存储设备连接在一起。与局域网类似，SAN 内部有路由器，网关以及集线器等。SAN 本身支持服务器到存储设备，存储设备到存储设备，以及服务器到服务器间的数据传输。SAN 的特点保证了能够基本满足目前 IT 领域所面临的数据存储挑战。最新提出的网络存储技术就是 iSCSI。这种技术是通过 IP 子网传

36、输I/O 块数据。iSCSI设备呈现给用户的接口仍然是设备层的接口。也就是构成了一个 IP SAN。因此这种设备能够充分利用现有的局域网以及广域网环境。所以能够降低构造成本。主要的问题在于 IP 协议本身不是针对存储环境考虑的。,45,“物理隔离”是指内部网不直接连接公共网。物理隔离的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离，才能真正保证内部信息网络不受来自互联网的黑客攻击。物理隔离作为一种安全管理和技术手段，能够比较有效地防范来自外界对网络和信息系统的安全威胁。但是物理隔离隔断了网络，禁止了数据交换，造成信息化

37、工作无法开展，使得网络处于信息孤岛状态，属于消极的防御方法。在物理隔离的基础上，发展了安全信息交换的网络隔离技术技术。网络隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。网络隔离技术有多种：完全的隔离、硬件卡隔离、数据转播隔离、空气开关隔离、安全通道隔离等。,46,常用的有两种网络隔离技术:隔离卡技术 隔离卡核心技术是双硬盘技术，启动外网时关闭内网硬盘，启动内网时关闭外网硬盘，使两个网络和硬盘物理隔离，它不仅用于两个网络物理隔离的情况，

38、也可用于个人资料要保密又要上互联网的个人计算机的情况，但是，这种隔离产品有的仍然需要网络布线为双网线结构，产品存在着较大的安全隐患。安全通道隔离技术 安全通道隔离技术的实现原理是通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术，进行不同安全级别网络之间的数据交换，彻底阻断了网络间的直接TCP/IP连接，同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制，从而保证了网间数据交换的安全、可控，杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。这样不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数

39、据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。,47,网络安全需求描述及解决方案 安全需求：省、市、县内外网之间及内网间的逻辑隔离；关键业务主机操作系统加固，实现强制访问控制实时检测对省、市本地局域网的攻击行为，并能与防火墙联动，自动阻断网络攻击实时查杀省、市、县和本地局域网中的病毒加强对各种网络安全事件的检测与审计，统一管理各安全分系统实时监控关键业务主机的运行情况，并实时报告其故障实时监控数据库的运行状态及时发现和排除网络设备与通讯线路故障，避免网络通讯瘫痪 防止敏感信息在广域网传输过程中，被非法窃取和篡改防止黑客利用已知的系统漏洞，对系统进行攻击,48,安全解决方案：省

40、、市、县本地局域网与外网及广域网边界处统一部署防火墙在省、市运行关键业务的主机上配置主机安全防护系统在省、市本地局域网中部署网络入侵检测系统，与防火墙系统建立联动关系在省、市本地局域网中部署集中安全管理中心、主机稳定性监控系统、主机性能监控系统网络监控系统、和网络密码机在省、市、县和本地局域网中部署网络防病毒系统在省、市业务数据库服务器上部署数据库运行监控系统使用漏洞扫描系统定期扫描服务器及时做软件升级和打补丁,49,例2CPCA系统设计及安全性分析,1.CPCA的设计和实施方案 中国电子邮政认证中心CPCA是国家级CA建设和实施方案，方案是一个典型的三级结构：全国认证中心CA、省级审核中心R

41、A和各业务受理点RS.,50,CPCA方案的三级结构图,51,2.系统设计目标,功能目标发放系统证书、用户证书安全性目标1）系统操作可监控，采取多种措施保证DBS的安全性和CA的密钥安全2）系统的加密算法符合国家相关法律和法规要求，并可扩充3）系统具有备份。灾难恢复等措施4）系统具有极高的安全可靠性，247小时服务,52,3.CPCA软件结构设计,ASN.1 数据结构,国际标准协议。DER编码/解码:唯一编码规则，本模块完成不同计算机平台、不同开发商的不同软件接口的编、解码。PKCS封装：PKCS系列标准，公钥加密标准，RSA公司。X.509处理：ITU-T的X.509标准。通讯接口：用于封装

42、TCP/IP通信函数，为上层应用提供简单易用的通讯接口函数。IC卡I/O:IC卡的读、写操作，包括读、写IC卡需检查PIN,3次检查不通过则锁卡，防止非法取、写、复制。若需解锁，由IC厂家提供解锁接口，解锁在CA、RA业务受理点进行。,53,3.CPCA软件结构设计,应用系统软件 CA第三方开发工具包,缓存处理 日志 统计 证书处理 CRL处理 通讯接口,I/O X.509处理 PKCS封装,文件I/O 内存I/O DBI/O IC卡I/O 加密函数封装 LDAP-API,DER编码 ASN.1 加密软件 加密卡 加密机,54,4.CPCA软件功能模块,CPCA主要功能有两部分：CA和RA中心

43、（1）CA中心授权设立CA中心管理证书接口、证书签名、证书定时制作证书注销列表签名、定时更新在线证书状态更新、查询密钥托管日志监控审计CA中心二级审核、授权设立业务受理点WWW服务，下载测试证书、IC卡解锁。操作员及权限管理LDAP目录服务,55,4.CPCA软件功能模块,（2）RA中心负责本地用户资料的录入、审核以及为客户制作证书维护本地用户资料与CA管理中心通讯，完成各业务操作负责本省证书注销列表的管理、发布密钥管理和证书管理,56,密钥管理,根密钥管理：初始化、保存、使用、备份、恢复、更新、销毁签名服务器的密钥，其他如CA中心管理员、其他服务器等的密钥用户密钥管理证书作废及查询管理操作员

44、管理系统监控和审计,57,证书管理,CA其他服务器更新用户证书更新证书有效期、私钥有效期管理证书分级、分类管理CA签名证书更新CA系统管理员证书的更新,58,5.CPCA系统安全性分析,1）网络安全性；2）密码模块安全性；3）DB安全性；4）程序中间数据安全5）身份认证安全性；6）系统管理的安全性；7）系统操作的可监控性；8）灾难恢复设计,59,1）网络安全性,划分网络安全区域根据不同的应用系统对安全性要求的不同，划分为：第一区域：CA中心信息发布区域，包括信息发布服务器、证书接口服务器第二区域：CA中心核心区域，包括签名服务器、密钥管理服务器第三区域：CA中心证书管理区域，包括证书管理、本地

45、RA等分隔不同的安全性要求的应用系统，便于管理，提高了整个系统的安全性,60,1）网络安全性,多层安全保护第一层：Internet和CPCA系统网络之间，隔离内部网和外部网，保护对外发布CRL的服务器安全接入Internet第二层：CA中心受理审核系统与远程RA系统之间，限制CA与远程RA的非法访问保护CA不会被RA非法访问第三层：CA中心系统内部，限制内部人员对签名等关键业务的访问，保护签名服务器,61,1）网络安全性,与远程RA安全连接交换以太网建立网络安全监控系统网络备份服务器为了实现以上网络安全，选用的防火墙的任务必须做到：允许内部的Web、CRL服务器对外提供服务；限制外部用户对内网

46、其他不对外公开的服务；禁止内网对对外的所有访问，如禁止CA、RA服务器对Internet的访问，禁止RA系统的终端用户对Internet的访问；建立过滤器检查任何数据包的源地址,62,2）密码模块安全性,CPCA的硬件密码模块采用国家密码管理办公室批准的高速密码运算设备，必须具备的功能是：高速密码运算安全管理密钥K，K不以明文形式出现在加密卡外支持有关加密国家标准使用IC卡保存PIN,设置K管理员和操作员，对密钥管理实行分割管理和权限控制支持密钥算法：1）RSA算法（模长512比特，或768、1024、2048等比特），DSA数字签名算法（512、1024比特）椭圆曲线算法；2）,63,2）密

47、码模块安全性支持密钥算法：,1）RSA算法（模长512比特，或768、1024、2048等比特），DSA数字签名算法（512、1024比特）椭圆曲线算法2）对称算法，经国密办批准的，如SDBJ、DES、C2、SDBI等算法3）HASH算法，包括MD2、MD5、SHA14）主机加密机：国产，经国家密码局商用部门批准,64,2）密码模块安全性加密机主要功能,硬件加密部件（主机加密机）密钥管理菜单（用户通过该菜单可管理主机加密机的K，管理员和操作员的口令卡）加密机前台API（是给应用系统提供的加密开发接口）加密后台进程,65,3）DB安全性（14）主要考虑：,（1）DB中的数据不被非法访问（2）维护

48、数据的完整性，一致性，可恢复（3）防止DBA利用其权力非法篡改、窃取（4）防止DBS软件因后门引起数据失密设计的功能有：（1）权限控制DB本身的权限控制（树形权限）,66,3）DB安全性（14）功能1：权限控制,DB本身的权限控制（树形权限）CA中的用户资料录入人员仅读、写用户资料CA中的审核员仅对用户资料表的读、审核段的写CA中的制卡员仅对用户证书、加密私钥K读、删DBS的维护人员仅对DB备份、维护，无权读DB具体数据CA系统软件增强的权限控制，对DB操作的权限定位到字段级数据完整性，一致性：充分利用DB的触发器、事务、约束等功能,67,3）DB安全性（14）功能2：数据备份和恢复,备份对象

49、：DB、一个或多个表空间备份介质：磁带、磁盘备份时间：天、周、半月功能3：DB审计DB本身的审计，对DBA的操作审计，对每一个DB操作进行审计，由审计人员建立DB操作日志文件，DBA不可读，由审计人员通过转换才可读CA系统软件的审计,68,3）DB安全性（14）功能4：DB中数据的安全,加密数据，加密密钥4）程序中间数据的安全性存放私钥的内存块必须清除后再释放释放任何内存前，先将其中的数据清除5）身份认证安全性认证目标操作员身份，防非法用户通信双方身份，防网上冒充、不可抵赖、重放攻击,69,5）身份认证安全性,操作员身份认证，智能IC卡、证书认证服务器之间的身份认证，服务器之间每一数据包采取数字签名，IP地址验证（仅指定的IP地址有效）抵御重放攻击，在数据包中增加时间戳客户系统与服务器系统之间的身份认证，使用数字证书与数字签名合用,70,6）系统管理的安全性,主要指系统在使用时不被非法访问、操作以管理为主，技术为辅，如一个技术员仅一个权限，禁止一个操作员具有所有权限7）系统操作的可监控性操作系统可监控DB可监控CA系统软件可监控,71,8）灾难恢复,硬件设备，备份、存储辅助软件,