電子政務(wù)平臺的認證安全缺陷與對策

1、圜凰旦盛電子政務(wù)平臺的認證安全缺陷與對策摘要：電子政務(wù)系統(tǒng)在政府工作中發(fā)揮了越來越重要的作用，一些不安全的因素也隨即而來。文中主要分析了相關(guān)案例的安全缺陷，并提出采廂PK1SSL數(shù)字認證的解決措施。關(guān)鍵詞：電子政務(wù)；安全缺陷；數(shù)字認證一、前言隨著計算機信息技術(shù)的飛速發(fā)展，電子政務(wù)系統(tǒng)在政府實際工作中發(fā)揮了越來越重要的作用?？梢圆豢鋸埖卣f，現(xiàn)在如果缺少了信息技術(shù)這一自動化辦公手段，或者因為安全問題電子政務(wù)系統(tǒng)不能正常運行，大量的政府部門將

2、無法正常工作，會給政府工作帶來嚴重影響。因此，研究解決電子政務(wù)安全問題具有十分重要的意義。二，電子政務(wù)不安全因素案例(一)案例一：A公司收到一封電子郵件，署名為B單位(政府部門)邀請其參加該單位主辦的大型經(jīng)貿(mào)交易會并給了一個網(wǎng)址，要求其填寫公司相關(guān)信息。A公司業(yè)務(wù)員于是進入該頁面，發(fā)現(xiàn)與平日的頁面一致，并彈出一個用戶信息填寫頁面，里面含公司賬戶信息等填寫框，于是逐項填寫。1日后公司發(fā)現(xiàn)賬戶被一劃而空，而B單位回復并未發(fā)類似邀請函，再查該

3、郵件所鏈地址并非B單位的電子政務(wù)網(wǎng)址。(二)案例二：某單位的電子政務(wù)系統(tǒng)上突然出現(xiàn)某合法用戶在大肆宣傳反動言論，經(jīng)查是該合法用戶所在的網(wǎng)絡(luò)上有反動組織的成員在偵聽數(shù)據(jù)包，并獲取了該用戶的賬戶信息。(三)案例三：一間辦公室里多位辦事人員而電腦只有一臺，用戶均反映容易出現(xiàn)信息發(fā)布時張冠李戴的現(xiàn)象，起因是換用戶時未安全退出。三、案例分析(一)案例一分析案例一中非法網(wǎng)站代替合法網(wǎng)站騙取用戶信息，這種現(xiàn)象有愈演愈烈之勢。因為用戶并非完全都有收藏合

4、法網(wǎng)站地址的習慣，而不法份子所給的鏈接往往魚目混珠與真實地址非常相似，如：wwwgooglecom與wwwgOOglecom是否非常相似呢目前，查詢學生學歷的網(wǎng)站被相近的域名盜鏈現(xiàn)象時有發(fā)生。作為一般用戶難以及時鑒別出真假網(wǎng)站。(二)案例二分析案例二中不法份子能在一個網(wǎng)絡(luò)中設(shè)置一臺偵聽主機，對廣播的信息進行封包截取。目前我國的政府信息網(wǎng)一般都是在公共平臺中搭建的，而用戶主機往往處于小區(qū)網(wǎng)、校園網(wǎng)、企業(yè)網(wǎng)中，其上傳信息其實在這些小區(qū)網(wǎng)、校

5、園網(wǎng)、企業(yè)網(wǎng)中是文0胡海鋒(閩西職業(yè)技術(shù)學院福建龍巖)以廣播的形式傳遞的。不法份子只要略有網(wǎng)絡(luò)知識，并裝備偵聽軟件，就可以對這些信息進行竊取。(三)案例三分析公共辦公環(huán)境中，一臺機器多個用戶的情況是普遍存在名稱舟址或攆疆地址中臣金融認證中心(eFCA)ww~cFcacornCli中臣電信認征中心(CTCA~vw~sinoco!coin上矗CA中心w、mshecaCOLD廣束省電子商務(wù)認證中心w、mcranet量盤江政局電子政童全認證中心

6、wwe1~OlDcll矗rf省電子商務(wù)認正中心wIIlIecaCOLD翻北省電子商務(wù)認證中心ww№ecacorncn北索臣者童電子商務(wù)蜜全認征中心WW1Z~~CaCe11terco111Cll重慶教字證書認證中心w、mcqcanet束北證彝交易繢CrSCOmCll北索CA中心北索lf『西城區(qū)金靜大備35號夭雌lf『CA中t5(1丁CA)211941品a，index1k111中臣協(xié)卡認證律無儡CA分中心江蘇省無儡lf『暮康CA認證中心ht

7、tpfstaticshco~calcahtml福建CA認遷中心wm日cac∞Cli!缺CA認證中心h廿rfsasannanetc~華束北地區(qū)舟絡(luò)中心認證中心htIp：，armtechCll的。在某用戶表l：登錄政府網(wǎng)站并退出后，我們一般認為用戶活動已停止。但是，瀏覽器C00kie記錄中該用戶的信息仍然保留，其它用戶有可能直接能用這些信息再次登錄而發(fā)生張冠李戴的現(xiàn)象。因此，用戶安全登錄與退出需要有更加完善的措施，才能避免這種情況的發(fā)生。針

8、對上述案例，我們認為目前政務(wù)系統(tǒng)存在較普遍的認證安全缺陷，即身份無法得到保障的問題。四，解決措施其實，對電子政務(wù)系統(tǒng)身份認證已有成熟技術(shù)可以應(yīng)用，通過采用PKISSL技術(shù)就能有效解決以上問題。(一)PKI系統(tǒng)PKI是一種安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機構(gòu)(CA)和關(guān)于公開密鑰的安全策略等部分組成。PKI是利用公鑰技術(shù)實現(xiàn)電子商務(wù)安全的一種體系。從某種意義上講，PKI包含了安全認證系統(tǒng)，即安全認證系統(tǒng)一CA／RA系統(tǒng)是

9、PKI不可缺的組成部分。PKI(PublicKeyInfrastructure)公鑰基礎(chǔ)設(shè)施是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺，目的是為了管理密鑰和證書。一個機構(gòu)通過采用PKI框架管理密鑰和證書可以建立一個安全的網(wǎng)絡(luò)環(huán)境。PKI主要包括四個部分：X509格式的證書(X509V3)和證書廢止列表CRL(X509V2)，CA／RA操作協(xié)議，CA管理協(xié)議，CA政策制定。目前，較少電子政務(wù)系統(tǒng)利用PKI作為安全手段，95％以上的政府電子政

10、務(wù)系統(tǒng)未注冊CA證書，包括第十屆98貿(mào)洽會的官方報名主頁上也未見PKI的影子。網(wǎng)上調(diào)查到的CA認證中心如表l所示。(二)SSL加密傳輸協(xié)議CA認證中心名稱及地址表安全套接層協(xié)議(SSL，SecuritYSocketLayer)是網(wǎng)景(Netscape)公司提出的基于wEB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認證、客戶認證(可選)、ssL鏈路上的數(shù)據(jù)完整性和ssL鏈路上的數(shù)據(jù)保密性，主要采用公開密鑰體制和X509數(shù)字證書技術(shù)來提供安全性保證。對

11、于電子政務(wù)應(yīng)用來說，SSL可保證信息的真實性、完整性和保密性。部署SSL證書，是為了保證從用戶瀏覽器上在線填寫的信息在提交到申報系統(tǒng)的服務(wù)器的網(wǎng)絡(luò)傳輸過程中能實現(xiàn)信息加密傳輸，以防非法竊取和篡改，因為無論是個人用戶和企業(yè)用戶在電子政務(wù)服務(wù)平臺在線填寫的信息絕對是機密信息，如果不部署SSL證書，則非常容易被非法竊取和篡改。為什么電子政務(wù)服務(wù)平臺必須部署全球通用的SSL數(shù)字證書因為只有全球通用的ssL證書才支持所有瀏覽器，不會在用戶每次使用

12、電子政務(wù)服務(wù)平臺時瀏覽器出現(xiàn)安全問題提示，可方便用戶隨時隨地使用電子政務(wù)服務(wù)平臺。五，結(jié)語以上簡單分析了電子政務(wù)系統(tǒng)的安全問題，并提出了相應(yīng)的解決措施。作者認為，要真正解決電子政務(wù)安全問題，應(yīng)采用客戶端數(shù)字證書來實現(xiàn)用戶登錄電子政務(wù)服務(wù)平臺的身份認證，取代毫無安全性的用戶名／密碼方式身份認證方式，從而實現(xiàn)從客戶端到服務(wù)器端全程電子政務(wù)服務(wù)平臺的信息安全。參考文獻：[1]張世永，《網(wǎng)絡(luò)安全原理與應(yīng)甩》，科學出版社，20055[2]Micr

13、osoft，《網(wǎng)絡(luò)基本架構(gòu)的實現(xiàn)與管理》，高等教育出版社，20058[5】汪寅，《電子政府對公民政治參與的影響》[J】國家行政學院學報，2000，(6)：55—57維普資訊圜凰旦盛電子政務(wù)平臺的認證安全缺陷與對策摘要：電子政務(wù)系統(tǒng)在政府工作中發(fā)揮了越來越重要的作用，一些不安全的因素也隨即而來。文中主要分析了相關(guān)案例的安全缺陷，并提出采廂PK1SSL數(shù)字認證的解決措施。關(guān)鍵詞：電子政務(wù)；安全缺陷；數(shù)字認證一、前言隨著計算機信息技術(shù)的飛速發(fā)

14、展，電子政務(wù)系統(tǒng)在政府實際工作中發(fā)揮了越來越重要的作用。可以不夸張地說，現(xiàn)在如果缺少了信息技術(shù)這一自動化辦公手段，或者因為安全問題電子政務(wù)系統(tǒng)不能正常運行，大量的政府部門將無法正常工作，會給政府工作帶來嚴重影響。因此，研究解決電子政務(wù)安全問題具有十分重要的意義。二，電子政務(wù)不安全因素案例(一)案例一：A公司收到一封電子郵件，署名為B單位(政府部門)邀請其參加該單位主辦的大型經(jīng)貿(mào)交易會并給了一個網(wǎng)址，要求其填寫公司相關(guān)信息。A公司業(yè)務(wù)員于

15、是進入該頁面，發(fā)現(xiàn)與平日的頁面一致，并彈出一個用戶信息填寫頁面，里面含公司賬戶信息等填寫框，于是逐項填寫。1日后公司發(fā)現(xiàn)賬戶被一劃而空，而B單位回復并未發(fā)類似邀請函，再查該郵件所鏈地址并非B單位的電子政務(wù)網(wǎng)址。(二)案例二：某單位的電子政務(wù)系統(tǒng)上突然出現(xiàn)某合法用戶在大肆宣傳反動言論，經(jīng)查是該合法用戶所在的網(wǎng)絡(luò)上有反動組織的成員在偵聽數(shù)據(jù)包，并獲取了該用戶的賬戶信息。(三)案例三：一間辦公室里多位辦事人員而電腦只有一臺，用戶均反映容易出現(xiàn)

16、信息發(fā)布時張冠李戴的現(xiàn)象，起因是換用戶時未安全退出。三、案例分析(一)案例一分析案例一中非法網(wǎng)站代替合法網(wǎng)站騙取用戶信息，這種現(xiàn)象有愈演愈烈之勢。因為用戶并非完全都有收藏合法網(wǎng)站地址的習慣，而不法份子所給的鏈接往往魚目混珠與真實地址非常相似，如：wwwgooglecom與wwwgOOglecom是否非常相似呢目前，查詢學生學歷的網(wǎng)站被相近的域名盜鏈現(xiàn)象時有發(fā)生。作為一般用戶難以及時鑒別出真假網(wǎng)站。(二)案例二分析案例二中不法份子能在一個

17、網(wǎng)絡(luò)中設(shè)置一臺偵聽主機，對廣播的信息進行封包截取。目前我國的政府信息網(wǎng)一般都是在公共平臺中搭建的，而用戶主機往往處于小區(qū)網(wǎng)、校園網(wǎng)、企業(yè)網(wǎng)中，其上傳信息其實在這些小區(qū)網(wǎng)、校園網(wǎng)、企業(yè)網(wǎng)中是文0胡海鋒(閩西職業(yè)技術(shù)學院福建龍巖)以廣播的形式傳遞的。不法份子只要略有網(wǎng)絡(luò)知識，并裝備偵聽軟件，就可以對這些信息進行竊取。(三)案例三分析公共辦公環(huán)境中，一臺機器多個用戶的情況是普遍存在名稱舟址或攆疆地址中臣金融認證中心(eFCA)ww~cFcac

18、ornCli中臣電信認征中心(CTCA~vw~sinoco!coin上矗CA中心w、mshecaCOLD廣束省電子商務(wù)認證中心w、mcranet量盤江政局電子政童全認證中心wwe1~OlDcll矗rf省電子商務(wù)認正中心wIIlIecaCOLD翻北省電子商務(wù)認證中心ww№ecacorncn北索臣者童電子商務(wù)蜜全認征中心WW1Z~~CaCe11terco111Cll重慶教字證書認證中心w、mcqcanet束北證彝交易繢CrSCOmCll北索

19、CA中心北索lf『西城區(qū)金靜大備35號夭雌lf『CA中t5(1丁CA)211941品a，index1k111中臣協(xié)卡認證律無儡CA分中心江蘇省無儡lf『暮康CA認證中心httpfstaticshco~calcahtml福建CA認遷中心wm日cac∞Cli!缺CA認證中心h廿rfsasannanetc~華束北地區(qū)舟絡(luò)中心認證中心htIp：，armtechCll的。在某用戶表l：登錄政府網(wǎng)站并退出后，我們一般認為用戶活動已停止。但是，瀏覽器

20、C00kie記錄中該用戶的信息仍然保留，其它用戶有可能直接能用這些信息再次登錄而發(fā)生張冠李戴的現(xiàn)象。因此，用戶安全登錄與退出需要有更加完善的措施，才能避免這種情況的發(fā)生。針對上述案例，我們認為目前政務(wù)系統(tǒng)存在較普遍的認證安全缺陷，即身份無法得到保障的問題。四，解決措施其實，對電子政務(wù)系統(tǒng)身份認證已有成熟技術(shù)可以應(yīng)用，通過采用PKISSL技術(shù)就能有效解決以上問題。(一)PKI系統(tǒng)PKI是一種安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)

21、放機構(gòu)(CA)和關(guān)于公開密鑰的安全策略等部分組成。PKI是利用公鑰技術(shù)實現(xiàn)電子商務(wù)安全的一種體系。從某種意義上講，PKI包含了安全認證系統(tǒng)，即安全認證系統(tǒng)一CA／RA系統(tǒng)是PKI不可缺的組成部分。PKI(PublicKeyInfrastructure)公鑰基礎(chǔ)設(shè)施是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺，目的是為了管理密鑰和證書。一個機構(gòu)通過采用PKI框架管理密鑰和證書可以建立一個安全的網(wǎng)絡(luò)環(huán)境。PKI主要包括四個部分：X509格式的證

22、書(X509V3)和證書廢止列表CRL(X509V2)，CA／RA操作協(xié)議，CA管理協(xié)議，CA政策制定。目前，較少電子政務(wù)系統(tǒng)利用PKI作為安全手段，95％以上的政府電子政務(wù)系統(tǒng)未注冊CA證書，包括第十屆98貿(mào)洽會的官方報名主頁上也未見PKI的影子。網(wǎng)上調(diào)查到的CA認證中心如表l所示。(二)SSL加密傳輸協(xié)議CA認證中心名稱及地址表安全套接層協(xié)議(SSL，SecuritYSocketLayer)是網(wǎng)景(Netscape)公司提出的基于w

23、EB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認證、客戶認證(可選)、ssL鏈路上的數(shù)據(jù)完整性和ssL鏈路上的數(shù)據(jù)保密性，主要采用公開密鑰體制和X509數(shù)字證書技術(shù)來提供安全性保證。對于電子政務(wù)應(yīng)用來說，SSL可保證信息的真實性、完整性和保密性。部署SSL證書，是為了保證從用戶瀏覽器上在線填寫的信息在提交到申報系統(tǒng)的服務(wù)器的網(wǎng)絡(luò)傳輸過程中能實現(xiàn)信息加密傳輸，以防非法竊取和篡改，因為無論是個人用戶和企業(yè)用戶在電子政務(wù)服務(wù)平臺在線填寫的信息絕對是機密信

24、息，如果不部署SSL證書，則非常容易被非法竊取和篡改。為什么電子政務(wù)服務(wù)平臺必須部署全球通用的SSL數(shù)字證書因為只有全球通用的ssL證書才支持所有瀏覽器，不會在用戶每次使用電子政務(wù)服務(wù)平臺時瀏覽器出現(xiàn)安全問題提示，可方便用戶隨時隨地使用電子政務(wù)服務(wù)平臺。五，結(jié)語以上簡單分析了電子政務(wù)系統(tǒng)的安全問題，并提出了相應(yīng)的解決措施。作者認為，要真正解決電子政務(wù)安全問題，應(yīng)采用客戶端數(shù)字證書來實現(xiàn)用戶登錄電子政務(wù)服務(wù)平臺的身份認證，取代毫無安全性的