電子政務(wù)平臺(tái)的認(rèn)證安全缺陷與對(duì)策

1、圜凰旦盛電子政務(wù)平臺(tái)的認(rèn)證安全缺陷與對(duì)策摘要：電子政務(wù)系統(tǒng)在政府工作中發(fā)揮了越來(lái)越重要的作用，一些不安全的因素也隨即而來(lái)。文中主要分析了相關(guān)案例的安全缺陷，并提出采廂PK1SSL數(shù)字認(rèn)證的解決措施。關(guān)鍵詞：電子政務(wù)；安全缺陷；數(shù)字認(rèn)證一、前言隨著計(jì)算機(jī)信息技術(shù)的飛速發(fā)展，電子政務(wù)系統(tǒng)在政府實(shí)際工作中發(fā)揮了越來(lái)越重要的作用?？梢圆豢鋸埖卣f(shuō)，現(xiàn)在如果缺少了信息技術(shù)這一自動(dòng)化辦公手段，或者因?yàn)榘踩珕?wèn)題電子政務(wù)系統(tǒng)不能正常運(yùn)行，大量的政府部門將

2、無(wú)法正常工作，會(huì)給政府工作帶來(lái)嚴(yán)重影響。因此，研究解決電子政務(wù)安全問(wèn)題具有十分重要的意義。二，電子政務(wù)不安全因素案例(一)案例一：A公司收到一封電子郵件，署名為B單位(政府部門)邀請(qǐng)其參加該單位主辦的大型經(jīng)貿(mào)交易會(huì)并給了一個(gè)網(wǎng)址，要求其填寫公司相關(guān)信息。A公司業(yè)務(wù)員于是進(jìn)入該頁(yè)面，發(fā)現(xiàn)與平日的頁(yè)面一致，并彈出一個(gè)用戶信息填寫頁(yè)面，里面含公司賬戶信息等填寫框，于是逐項(xiàng)填寫。1日后公司發(fā)現(xiàn)賬戶被一劃而空，而B單位回復(fù)并未發(fā)類似邀請(qǐng)函，再查該

3、郵件所鏈地址并非B單位的電子政務(wù)網(wǎng)址。(二)案例二：某單位的電子政務(wù)系統(tǒng)上突然出現(xiàn)某合法用戶在大肆宣傳反動(dòng)言論，經(jīng)查是該合法用戶所在的網(wǎng)絡(luò)上有反動(dòng)組織的成員在偵聽(tīng)數(shù)據(jù)包，并獲取了該用戶的賬戶信息。(三)案例三：一間辦公室里多位辦事人員而電腦只有一臺(tái)，用戶均反映容易出現(xiàn)信息發(fā)布時(shí)張冠李戴的現(xiàn)象，起因是換用戶時(shí)未安全退出。三、案例分析(一)案例一分析案例一中非法網(wǎng)站代替合法網(wǎng)站騙取用戶信息，這種現(xiàn)象有愈演愈烈之勢(shì)。因?yàn)橛脩舨⒎峭耆加惺詹睾?/p>

4、法網(wǎng)站地址的習(xí)慣，而不法份子所給的鏈接往往魚目混珠與真實(shí)地址非常相似，如：wwwgooglecom與wwwgOOglecom是否非常相似呢目前，查詢學(xué)生學(xué)歷的網(wǎng)站被相近的域名盜鏈現(xiàn)象時(shí)有發(fā)生。作為一般用戶難以及時(shí)鑒別出真假網(wǎng)站。(二)案例二分析案例二中不法份子能在一個(gè)網(wǎng)絡(luò)中設(shè)置一臺(tái)偵聽(tīng)主機(jī)，對(duì)廣播的信息進(jìn)行封包截取。目前我國(guó)的政府信息網(wǎng)一般都是在公共平臺(tái)中搭建的，而用戶主機(jī)往往處于小區(qū)網(wǎng)、校園網(wǎng)、企業(yè)網(wǎng)中，其上傳信息其實(shí)在這些小區(qū)網(wǎng)、校

5、園網(wǎng)、企業(yè)網(wǎng)中是文0胡海鋒(閩西職業(yè)技術(shù)學(xué)院福建龍巖)以廣播的形式傳遞的。不法份子只要略有網(wǎng)絡(luò)知識(shí)，并裝備偵聽(tīng)軟件，就可以對(duì)這些信息進(jìn)行竊取。(三)案例三分析公共辦公環(huán)境中，一臺(tái)機(jī)器多個(gè)用戶的情況是普遍存在名稱舟址或攆疆地址中臣金融認(rèn)證中心(eFCA)ww~cFcacornCli中臣電信認(rèn)征中心(CTCA~vw~sinoco!coin上矗CA中心w、mshecaCOLD廣束省電子商務(wù)認(rèn)證中心w、mcranet量盤江政局電子政童全認(rèn)證中心

6、wwe1~OlDcll矗rf省電子商務(wù)認(rèn)正中心wIIlIecaCOLD翻北省電子商務(wù)認(rèn)證中心ww№ecacorncn北索臣者童電子商務(wù)蜜全認(rèn)征中心WW1Z~~CaCe11terco111Cll重慶教字證書認(rèn)證中心w、mcqcanet束北證彝交易繢CrSCOmCll北索CA中心北索lf『西城區(qū)金靜大備35號(hào)夭雌lf『CA中t5(1丁CA)211941品a，index1k111中臣協(xié)卡認(rèn)證律無(wú)儡CA分中心江蘇省無(wú)儡lf『暮康CA認(rèn)證中心ht

7、tpfstaticshco~calcahtml福建CA認(rèn)遷中心wm日cac∞Cli!缺CA認(rèn)證中心h廿rfsasannanetc~華束北地區(qū)舟絡(luò)中心認(rèn)證中心htIp：，armtechCll的。在某用戶表l：登錄政府網(wǎng)站并退出后，我們一般認(rèn)為用戶活動(dòng)已停止。但是，瀏覽器C00kie記錄中該用戶的信息仍然保留，其它用戶有可能直接能用這些信息再次登錄而發(fā)生張冠李戴的現(xiàn)象。因此，用戶安全登錄與退出需要有更加完善的措施，才能避免這種情況的發(fā)生。針

8、對(duì)上述案例，我們認(rèn)為目前政務(wù)系統(tǒng)存在較普遍的認(rèn)證安全缺陷，即身份無(wú)法得到保障的問(wèn)題。四，解決措施其實(shí)，對(duì)電子政務(wù)系統(tǒng)身份認(rèn)證已有成熟技術(shù)可以應(yīng)用，通過(guò)采用PKISSL技術(shù)就能有效解決以上問(wèn)題。(一)PKI系統(tǒng)PKI是一種安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)(CA)和關(guān)于公開密鑰的安全策略等部分組成。PKI是利用公鑰技術(shù)實(shí)現(xiàn)電子商務(wù)安全的一種體系。從某種意義上講，PKI包含了安全認(rèn)證系統(tǒng)，即安全認(rèn)證系統(tǒng)一CA／RA系統(tǒng)是

9、PKI不可缺的組成部分。PKI(PublicKeyInfrastructure)公鑰基礎(chǔ)設(shè)施是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺(tái)，目的是為了管理密鑰和證書。一個(gè)機(jī)構(gòu)通過(guò)采用PKI框架管理密鑰和證書可以建立一個(gè)安全的網(wǎng)絡(luò)環(huán)境。PKI主要包括四個(gè)部分：X509格式的證書(X509V3)和證書廢止列表CRL(X509V2)，CA／RA操作協(xié)議，CA管理協(xié)議，CA政策制定。目前，較少電子政務(wù)系統(tǒng)利用PKI作為安全手段，95％以上的政府電子政

10、務(wù)系統(tǒng)未注冊(cè)CA證書，包括第十屆98貿(mào)洽會(huì)的官方報(bào)名主頁(yè)上也未見(jiàn)PKI的影子。網(wǎng)上調(diào)查到的CA認(rèn)證中心如表l所示。(二)SSL加密傳輸協(xié)議CA認(rèn)證中心名稱及地址表安全套接層協(xié)議(SSL，SecuritYSocketLayer)是網(wǎng)景(Netscape)公司提出的基于wEB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認(rèn)證、客戶認(rèn)證(可選)、ssL鏈路上的數(shù)據(jù)完整性和ssL鏈路上的數(shù)據(jù)保密性，主要采用公開密鑰體制和X509數(shù)字證書技術(shù)來(lái)提供安全性保證。對(duì)

11、于電子政務(wù)應(yīng)用來(lái)說(shuō)，SSL可保證信息的真實(shí)性、完整性和保密性。部署SSL證書，是為了保證從用戶瀏覽器上在線填寫的信息在提交到申報(bào)系統(tǒng)的服務(wù)器的網(wǎng)絡(luò)傳輸過(guò)程中能實(shí)現(xiàn)信息加密傳輸，以防非法竊取和篡改，因?yàn)闊o(wú)論是個(gè)人用戶和企業(yè)用戶在電子政務(wù)服務(wù)平臺(tái)在線填寫的信息絕對(duì)是機(jī)密信息，如果不部署SSL證書，則非常容易被非法竊取和篡改。為什么電子政務(wù)服務(wù)平臺(tái)必須部署全球通用的SSL數(shù)字證書因?yàn)橹挥腥蛲ㄓ玫膕sL證書才支持所有瀏覽器，不會(huì)在用戶每次使用

12、電子政務(wù)服務(wù)平臺(tái)時(shí)瀏覽器出現(xiàn)安全問(wèn)題提示，可方便用戶隨時(shí)隨地使用電子政務(wù)服務(wù)平臺(tái)。五，結(jié)語(yǔ)以上簡(jiǎn)單分析了電子政務(wù)系統(tǒng)的安全問(wèn)題，并提出了相應(yīng)的解決措施。作者認(rèn)為，要真正解決電子政務(wù)安全問(wèn)題，應(yīng)采用客戶端數(shù)字證書來(lái)實(shí)現(xiàn)用戶登錄電子政務(wù)服務(wù)平臺(tái)的身份認(rèn)證，取代毫無(wú)安全性的用戶名／密碼方式身份認(rèn)證方式，從而實(shí)現(xiàn)從客戶端到服務(wù)器端全程電子政務(wù)服務(wù)平臺(tái)的信息安全。參考文獻(xiàn)：[1]張世永，《網(wǎng)絡(luò)安全原理與應(yīng)甩》，科學(xué)出版社，20055[2]Micr

13、osoft，《網(wǎng)絡(luò)基本架構(gòu)的實(shí)現(xiàn)與管理》，高等教育出版社，20058[5】汪寅，《電子政府對(duì)公民政治參與的影響》[J】國(guó)家行政學(xué)院學(xué)報(bào)，2000，(6)：55—57維普資訊圜凰旦盛電子政務(wù)平臺(tái)的認(rèn)證安全缺陷與對(duì)策摘要：電子政務(wù)系統(tǒng)在政府工作中發(fā)揮了越來(lái)越重要的作用，一些不安全的因素也隨即而來(lái)。文中主要分析了相關(guān)案例的安全缺陷，并提出采廂PK1SSL數(shù)字認(rèn)證的解決措施。關(guān)鍵詞：電子政務(wù)；安全缺陷；數(shù)字認(rèn)證一、前言隨著計(jì)算機(jī)信息技術(shù)的飛速發(fā)

14、展，電子政務(wù)系統(tǒng)在政府實(shí)際工作中發(fā)揮了越來(lái)越重要的作用?？梢圆豢鋸埖卣f(shuō)，現(xiàn)在如果缺少了信息技術(shù)這一自動(dòng)化辦公手段，或者因?yàn)榘踩珕?wèn)題電子政務(wù)系統(tǒng)不能正常運(yùn)行，大量的政府部門將無(wú)法正常工作，會(huì)給政府工作帶來(lái)嚴(yán)重影響。因此，研究解決電子政務(wù)安全問(wèn)題具有十分重要的意義。二，電子政務(wù)不安全因素案例(一)案例一：A公司收到一封電子郵件，署名為B單位(政府部門)邀請(qǐng)其參加該單位主辦的大型經(jīng)貿(mào)交易會(huì)并給了一個(gè)網(wǎng)址，要求其填寫公司相關(guān)信息。A公司業(yè)務(wù)員于

15、是進(jìn)入該頁(yè)面，發(fā)現(xiàn)與平日的頁(yè)面一致，并彈出一個(gè)用戶信息填寫頁(yè)面，里面含公司賬戶信息等填寫框，于是逐項(xiàng)填寫。1日后公司發(fā)現(xiàn)賬戶被一劃而空，而B單位回復(fù)并未發(fā)類似邀請(qǐng)函，再查該郵件所鏈地址并非B單位的電子政務(wù)網(wǎng)址。(二)案例二：某單位的電子政務(wù)系統(tǒng)上突然出現(xiàn)某合法用戶在大肆宣傳反動(dòng)言論，經(jīng)查是該合法用戶所在的網(wǎng)絡(luò)上有反動(dòng)組織的成員在偵聽(tīng)數(shù)據(jù)包，并獲取了該用戶的賬戶信息。(三)案例三：一間辦公室里多位辦事人員而電腦只有一臺(tái)，用戶均反映容易出現(xiàn)

16、信息發(fā)布時(shí)張冠李戴的現(xiàn)象，起因是換用戶時(shí)未安全退出。三、案例分析(一)案例一分析案例一中非法網(wǎng)站代替合法網(wǎng)站騙取用戶信息，這種現(xiàn)象有愈演愈烈之勢(shì)。因?yàn)橛脩舨⒎峭耆加惺詹睾戏ňW(wǎng)站地址的習(xí)慣，而不法份子所給的鏈接往往魚目混珠與真實(shí)地址非常相似，如：wwwgooglecom與wwwgOOglecom是否非常相似呢目前，查詢學(xué)生學(xué)歷的網(wǎng)站被相近的域名盜鏈現(xiàn)象時(shí)有發(fā)生。作為一般用戶難以及時(shí)鑒別出真假網(wǎng)站。(二)案例二分析案例二中不法份子能在一個(gè)

17、網(wǎng)絡(luò)中設(shè)置一臺(tái)偵聽(tīng)主機(jī)，對(duì)廣播的信息進(jìn)行封包截取。目前我國(guó)的政府信息網(wǎng)一般都是在公共平臺(tái)中搭建的，而用戶主機(jī)往往處于小區(qū)網(wǎng)、校園網(wǎng)、企業(yè)網(wǎng)中，其上傳信息其實(shí)在這些小區(qū)網(wǎng)、校園網(wǎng)、企業(yè)網(wǎng)中是文0胡海鋒(閩西職業(yè)技術(shù)學(xué)院福建龍巖)以廣播的形式傳遞的。不法份子只要略有網(wǎng)絡(luò)知識(shí)，并裝備偵聽(tīng)軟件，就可以對(duì)這些信息進(jìn)行竊取。(三)案例三分析公共辦公環(huán)境中，一臺(tái)機(jī)器多個(gè)用戶的情況是普遍存在名稱舟址或攆疆地址中臣金融認(rèn)證中心(eFCA)ww~cFcac

18、ornCli中臣電信認(rèn)征中心(CTCA~vw~sinoco!coin上矗CA中心w、mshecaCOLD廣束省電子商務(wù)認(rèn)證中心w、mcranet量盤江政局電子政童全認(rèn)證中心wwe1~OlDcll矗rf省電子商務(wù)認(rèn)正中心wIIlIecaCOLD翻北省電子商務(wù)認(rèn)證中心ww№ecacorncn北索臣者童電子商務(wù)蜜全認(rèn)征中心WW1Z~~CaCe11terco111Cll重慶教字證書認(rèn)證中心w、mcqcanet束北證彝交易繢CrSCOmCll北索

19、CA中心北索lf『西城區(qū)金靜大備35號(hào)夭雌lf『CA中t5(1丁CA)211941品a，index1k111中臣協(xié)卡認(rèn)證律無(wú)儡CA分中心江蘇省無(wú)儡lf『暮康CA認(rèn)證中心httpfstaticshco~calcahtml福建CA認(rèn)遷中心wm日cac∞Cli!缺CA認(rèn)證中心h廿rfsasannanetc~華束北地區(qū)舟絡(luò)中心認(rèn)證中心htIp：，armtechCll的。在某用戶表l：登錄政府網(wǎng)站并退出后，我們一般認(rèn)為用戶活動(dòng)已停止。但是，瀏覽器

20、C00kie記錄中該用戶的信息仍然保留，其它用戶有可能直接能用這些信息再次登錄而發(fā)生張冠李戴的現(xiàn)象。因此，用戶安全登錄與退出需要有更加完善的措施，才能避免這種情況的發(fā)生。針對(duì)上述案例，我們認(rèn)為目前政務(wù)系統(tǒng)存在較普遍的認(rèn)證安全缺陷，即身份無(wú)法得到保障的問(wèn)題。四，解決措施其實(shí)，對(duì)電子政務(wù)系統(tǒng)身份認(rèn)證已有成熟技術(shù)可以應(yīng)用，通過(guò)采用PKISSL技術(shù)就能有效解決以上問(wèn)題。(一)PKI系統(tǒng)PKI是一種安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)

21、放機(jī)構(gòu)(CA)和關(guān)于公開密鑰的安全策略等部分組成。PKI是利用公鑰技術(shù)實(shí)現(xiàn)電子商務(wù)安全的一種體系。從某種意義上講，PKI包含了安全認(rèn)證系統(tǒng)，即安全認(rèn)證系統(tǒng)一CA／RA系統(tǒng)是PKI不可缺的組成部分。PKI(PublicKeyInfrastructure)公鑰基礎(chǔ)設(shè)施是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺(tái)，目的是為了管理密鑰和證書。一個(gè)機(jī)構(gòu)通過(guò)采用PKI框架管理密鑰和證書可以建立一個(gè)安全的網(wǎng)絡(luò)環(huán)境。PKI主要包括四個(gè)部分：X509格式的證

22、書(X509V3)和證書廢止列表CRL(X509V2)，CA／RA操作協(xié)議，CA管理協(xié)議，CA政策制定。目前，較少電子政務(wù)系統(tǒng)利用PKI作為安全手段，95％以上的政府電子政務(wù)系統(tǒng)未注冊(cè)CA證書，包括第十屆98貿(mào)洽會(huì)的官方報(bào)名主頁(yè)上也未見(jiàn)PKI的影子。網(wǎng)上調(diào)查到的CA認(rèn)證中心如表l所示。(二)SSL加密傳輸協(xié)議CA認(rèn)證中心名稱及地址表安全套接層協(xié)議(SSL，SecuritYSocketLayer)是網(wǎng)景(Netscape)公司提出的基于w

23、EB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認(rèn)證、客戶認(rèn)證(可選)、ssL鏈路上的數(shù)據(jù)完整性和ssL鏈路上的數(shù)據(jù)保密性，主要采用公開密鑰體制和X509數(shù)字證書技術(shù)來(lái)提供安全性保證。對(duì)于電子政務(wù)應(yīng)用來(lái)說(shuō)，SSL可保證信息的真實(shí)性、完整性和保密性。部署SSL證書，是為了保證從用戶瀏覽器上在線填寫的信息在提交到申報(bào)系統(tǒng)的服務(wù)器的網(wǎng)絡(luò)傳輸過(guò)程中能實(shí)現(xiàn)信息加密傳輸，以防非法竊取和篡改，因?yàn)闊o(wú)論是個(gè)人用戶和企業(yè)用戶在電子政務(wù)服務(wù)平臺(tái)在線填寫的信息絕對(duì)是機(jī)密信

24、息，如果不部署SSL證書，則非常容易被非法竊取和篡改。為什么電子政務(wù)服務(wù)平臺(tái)必須部署全球通用的SSL數(shù)字證書因?yàn)橹挥腥蛲ㄓ玫膕sL證書才支持所有瀏覽器，不會(huì)在用戶每次使用電子政務(wù)服務(wù)平臺(tái)時(shí)瀏覽器出現(xiàn)安全問(wèn)題提示，可方便用戶隨時(shí)隨地使用電子政務(wù)服務(wù)平臺(tái)。五，結(jié)語(yǔ)以上簡(jiǎn)單分析了電子政務(wù)系統(tǒng)的安全問(wèn)題，并提出了相應(yīng)的解決措施。作者認(rèn)為，要真正解決電子政務(wù)安全問(wèn)題，應(yīng)采用客戶端數(shù)字證書來(lái)實(shí)現(xiàn)用戶登錄電子政務(wù)服務(wù)平臺(tái)的身份認(rèn)證，取代毫無(wú)安全性的