长沙市电子政务CA安全建议书总汇.doc

  1. 1、本文档共21页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
长沙市国土资源局电子政务项目 CA安全认证方案建议书 长沙市国土资源局 2008年10月 概述 近年来,长沙市国土资源局大力开展了电子政务系统建设,长沙市国土资源局电子政务系统信息化在快速发展,建设了先进的公文审批系统,案卷上传系统逐步从传统方式向在线方式转变,大大提高的政府职能部门的服务质量和效率。为了有效防止假冒身份、篡改信息、越权操作、否定责任等问题,现在急需建立安全的信任体系。 随着《电子签名法》的正式生效,基于国家许可的第三方认证机构的权威性,并利用先进的数字证书技术,成为解决电子政务应用系统安全问题的最有效途径,同时具有充分的法律依据。 现状与需求分析 系统现状 目前,长沙市国土资源局已经建设了先进的网上公文审批系统,全市案卷上传系统等在业务上可满足政府各职能单位、业务处室的办公需求,但因为缺少第三方CA认证,暂未实现安全功能,具有极大的安全风险。 安全需求分析 目前,长沙市国土资源局电子政务信息系统存在的安全需求如下: 保障登录公文审批,案卷上传系统的用户帐户的真实性 目前公文审批,案卷上传系统采用“用户名+口令”的认证方式,这种认证方式已经被证明存在明显的安全隐患。非法分子可利用一些简单的黑客工具就能够得到登录者的用户名和口令,从而对公文审批,案卷上传系统进行破坏性攻击。因此,建设具备高安全性、高可靠性的系统身份认证机制是迫在眉睫的事情。 保障数据在传输过程中的机密性、完整性和不可抵赖性 由于公文审批,案卷上传系统保存和传输的数据属于政府内部办公信息,有些信息为高度敏感数据,因此需要保障这些敏感数据在网络上传输时的机密性和完整性。 在传统方式下,可以通过单位盖章或个人的签字来实现责任的认定。而在电子化环境下,也需要确保信息内容能用于事后的责任认定,防止抵赖行为。目前,《中华人民共和国电子签名法》已经确定电子签名与手写签名具有同样的法律效力,因此在信息系统中需要针对重要信息内容实现符合法律要求的、有效的数字签名,以确保签名人能承担起其操作责任,不能否认和抵赖,这对减少并妥善处理事后的责任纠纷具有重要意义。 实现图形化、可视化的电子签章功能 在现实世界中,政府各职能部门进行数据上报时均采用签名和加盖印章的方式来确保纸质文件的有效性。而在网络世界中,OA系统同样需要用户产生的电子签名数据具备图形化、可视化的效果,并能够对电子签章的有效性进行验证。这样更加符合人们的日常操作习惯,更加容易被用户接受和认可。 设计思想 建设目标 长沙市国土资源局电子政务项目的总体建设目标是,借助合法、可信第三方CA成功的经验和成熟的服务模式,为长沙市国土资源局电子政务建设证书发放系统和证书应用系统,提供安全信任服务。 为此,我们将为长沙市国土资源局公文审批,案卷上传系统提供证书注册管理系统(RA),实现证书的办理以及生命周期内的管理;提供WEB信息安全系统,在公文审批,案卷上传系统中实现基于数字证书的用户登录和权限管理;在公文审批,案卷上传系统的操作过程中集成电子签章系统,实现可视化的电子签名,并将数字证书的安全功能与公文审批,案卷上传业务流程紧密的结合起来,使证书应用软件与系统无缝结合,实现业务上各方面的安全需求。 建设原则 北京数字证书认证中心(简称BJCA)在本项目中将遵循以下几个原则: (1)法律有效性:BJCA保障在本项目中所采用的证书技术体系和管理服务体系符合《电子签名法》和《电子认证服务管理办法》的要求,确保电子政务系统用户所获取证书的有效性;BJCA确保系统中使用的软件产品,完全具有自主的知识产权;保证产生的电子签名的可用性和合法性,确保各项操作的可靠性并可用于责任认定。 (2)标准化和可扩展性:BJCA的RA系统符合国家必威体育精装版技术标准,系统中所有的证书格式都符合X.509 v3的标准,黑名单符合CRL V2标准,证书应用软件(WEB信息安全系统和电子签章系统)符合CSP和PKCS#11标准规范。由于BJCA具有自主知识产权,可根据甲方需求,具有对软件的功能灵活扩展的技术研发能力,为满足将来业务上的扩展需求做好技术上的充分准备。 (3)实用性: BJCA将建立适应长沙市国土资源局政府需要的、实用的RA系统,并提供相关培训服务,可使长沙市国土资源局证书用户方便获得数字证书和证书应用服务;在证书应用方面,BJCA充分考虑到业务系统的特点,实现与公文审批,案卷上传系统的无缝结合,使数字证书在系统中的启用简单方便,使数字证书在应用过程中产生切实有效的安全功能。 遵循的规范标准 基于BJCA认证体系,来构建长沙市国土资源局应用系统安全信任服务的项目中,符合以下规范标准: CA证书服务系统:符合国家标准《证书认证系统密码及其相关安全技术规范》。 证书及证书撤消列表格式:证书符合X.509

文档评论(0)

挺进公司 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档