论文部分内容阅读
电子政务的发展是国家经济发展的客观要求,也是施政为民、为民服务的必然趋势,是党委、政府有效决策、管理和服务的重要手段,这必然会遭到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击,以浙江省为例,电子政务外网建立在以MPLS VPN技术为主的基于互联网技术的网络平台上,而与电子政务外网相连接的互联网是一个无行政主管的全球网络,自身缺少设防,安全隐患很多,且目前对互联网犯罪尚缺少足够的法律威慑,大量的跨国网络犯罪给执法带来很大的难度。所以利用互联网进行犯罪则有机可乘,使基于互联网开展的电子政务外网应用面临着严峻的挑战。据统计,仅在2007年,全国就有3000余家电子政务网发生过网页被篡改的事件,严重影响了政府的对外形象。随着电子政务建设的逐步推进,电子政务网络所承载的业务数量在逐步增加,政府网站或其它应用系统被入侵或篡改所带来的危害将不仅限于政府的形象,甚至会造成巨大的经济损失,或者严重的社会问题。
电子政务系统安全上的需求
对各级电子政务外网的安全威胁目前主要包括网上黑客的入侵、网上病毒的泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息安全产品的失控等。以县一级政府的电子政务外网为例,由于相对投入比较少,技术力量严重不足,在电子政务外网安全上普遍存在以下一些后果严重的风险:
一是政府网站页面被篡改。政府门户网站作为政府形象的重要标志之一,常常是一些不法分子的重点攻击对象,政府门户网站一旦被篡改,常常会引发较大的负面影响,严重时甚至会造成政治事件。其中页面被篡改的一种常见方式是“网页挂马”,网页内容表面上没有任何异常,却可能被偷偷地挂上了木马程序。一些木马程序能使公众访问政府网站时直接转接到了一些黄色反动的网站上,这使得政府网站的权威性和公信力受到了严重打击,并最终给电子政务的普及带来重大的负面影响。
二是政府部门的在线业务被攻击。对企业、公众提供在线服务已成为县级电子政务外网的重要功能,以绍兴县为例,通过电子政务外网出口公众网向公众提供如社会保险个人查询系统、行政审批服务系统、企业交税网上系统、个人公积金查询系统等服务,这些服务一旦受到攻击就会面临瘫痪或终止,对业务的正常运转必然造成极大的影响,并很可能会造成经济损失,严重的甚至会影响社会稳定。
三是机密数据被窃取。在线业务系统中总是需要保存一些企业、公众的相关资料,这些资料往往涉及到企业机密和个人隐私,一旦泄露就会造成企业或个人的利益受到损失,并可能带来严重的法律纠纷,而如目前运行于电子政务外网上的纪委网上举报系统的数据如被窃取甚至可能引起社会稳定问题等政治问题。
因此,为了保证互联网上电子政务的安全性,防范系统遭攻击或信息丢失或被截获篡改,必须在互联网中建立并维持一种令人信任的环境和机制。基于公开密钥技术的数字证书解决方案,目前已逐渐被较大范围的采用。
PKI与CA技术概述
PKI又称为公钥基础设施(Public Key Infrastructure),是一个用非对称密码算法原理和技术实现并提供安全服务的具有通用性的安全基础设施,也是一种遵循标准的利用公钥加密技术为电子商务、电子政务的开展提供一整套安全的基础设施。用户利用PKI平台提供的安全服务进行安全通信。PKI这种遵循标准的密钥管理平台,能够为所有网络应用透明的提供采用加密和数字签名等密码服务所需要的密码和证书管理。
使用基于公开密钥技术平台的用户建立安全通信信任机制的基础是,网上进行的任何需要提供安全服务的通信都是建立在公钥的基础上的,而与公钥成对的私钥只掌握在他们与之通信的对方。这个信任的基础是通过公钥证书的使用来实现的。公钥证书是用户的身份与之所持有的公钥的结合,在结合之前,由一个可依赖的权威机构---认证机构(CA)来证实用户的身份。然后由可信任的CA对该用户身份及对应公钥相结合的证书进行数字签名,用来证明证书的有效性。
PKI技术是公开密钥学完整的、标准化的、成熟的工程框架。它基于并且不断吸收公开密钥密码学丰硕的研究成果,按照软件工程的方法,采用成熟的各种算法和协议,遵循国际标准和RFC文档,如PKCS、SSL等完整地提供网络和信息系统安全的解决方法。
CA(CertificationAuthority)是认证机构的国际通称,是指对数字证书的申请者发放、管理、取消数字证书的机构。CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改。但由于CA很难解决数据传输中的安全性和完整性,因此它一般都需与PKI技术一起进行应用(PKI/CA)。PKI是一种建立在公开密钥技术之上的信息安全体系结构,主要包括两方面的内容:一是数字签名,该技术可以保证所传输信息的完整性;另一内容是加密,用户在使用公开密钥法对信息进行加密后,在解密时使用的密钥无须在Internet上传输,这样就避免了密钥被人窃取后造成信息的暴露。但PKI又无法保证用户身份的确认,于是出现了PKI/CA这一完整的CA认证概念。
PKI/CA系统的组成与功能
一般来说,PKI/CA系统必须具有权威认证机构CA、注册机构RA、数字证书查询验证服务系统(LDAP)、密钥管理服务系统(KM)、密码管理服务系统等组成部分。
(1)认证机构CA是PKI的信任基础,它管理公钥的整个生命周期,其作用包括:发放证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书。认证机构CA主要功能有:
数字证书签发功能:系统接受RA录入的用户证书申请信息,为其提供证书(加密证书和签名证书)签发服务;
数字证书归档功能:所发放的数字证书将由CA系统进行统一的归档处理;
数字证书注销功能:CA提供数字证书的注销功能,一旦注销将由CA提交LDAP进行发布,保证注销后的数字证书的失效;
数字证书更新功能:在数字证书到期或者密钥泄露的情况下,CA系统提供证书的更新功能,同时将新证书进行发布;
数字证书发布功能:新申请的数字证书或更新的数字证书,将由CA系统向LDAP进行发布;
数字证书查询功能:提供数字证书的即时查询服务等。
(2)注册机构RA提供用户和CA之间的一个接口,它获取并认证用户的身份,向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。这里指的用户,是指将要向认证中心(即CA)申请数字证书的客户,可以是个人,也可以是集团或团体、某政府机构等。注册管理一般由一个独立的注册机构(即RA)来承担。它接受用户的注册申请,审查用户的申请资格,并决定是否同意CA给其签发数字证书。注册机构并不给用户签发证书,而只是对用户进行资格审查。因此,RA可以设置在县一级的电子政务外网系统上,而CA设置在省或市一级的电子政务外网上。当然,对于财政实力较强的县来说,可单独建设认证机构CA,可把注册管理的职能由认证机构CA来完成,而不设立独立运行的RA。但这并不是取消了PKI的注册功能,而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理的任务,可以增强应用系统的安全。
(3) 数字证书查询验证服务系统(LDAP)为证书认证系统和授权管理系统的核心基础设施。为证书认证系统提供证书查询、CRL查询等服务功能,同时也为统一认证和授权管理系统提供用户管理、角色管理、授权策略管理等功能提供高性能的数据存储和查询服务能力。主要功能有:
发布和更新CA中心签发的数字证书:LDAP接收CA发出的证书信息,由LDAP进行发布和更新;
发布和更新CA中心签发的证书撤消列表CRL:LDAP接收CA发出的证书撤消列表(CRL)信息,由LDAP进行发布和更新;
证书撤消列表CRL的在线查询服务:为用户提供数字证书的证书撤消列表CRL的在线查询,并且通过验证接口,可以验证数字证书的有效性;
目录控制服务:数字证书和CRL采用目录形式发布,由LDAP进行目录控制等。
(4)密码管理服务系统提供加密、解密、签名、验签等服务,客户端的加密、解密、签名、验签由证书载体提供,服务器端的加密、解密、签名、验签由密钥服务器提供。所有密码算法必须在经国家密码主管部门审批的密码设备上运行。密码管理服务系统要构建一个相对独立的可信计算环境,进行安全密码算法处理;要采用分布式计算技术,提供系统性能的动态可扩展;应采用安全中间件技术,兼容各种密码设备,向上层应用提供统一稳定的服务接口。主要功能有:
加/解密、签名、验签服务,提供加/解密服务是密码管理服务系统的核心功能,主要包括:对数据的加解密功能与提供密钥生成和存储功能。
利用安全中间件技术对底层的密码算法进行封装,为应用提供稳定的统一密码服务接口等。
电子政务外网中PKI/CA技术的应用实例
如绍兴县电子政务外网CA服务体系,以浙江省与绍兴市电子政务外网安全支撑平台为根,采用与省市电子政务外网安全支撑平台一致的体系结构建设,为本县政府下属各部门、下级镇街以及因工作需要应用的单位提供电子政务外网数字证书的统一生产和发放、数据加解密,同时为电子政务外网的统一身份认证和可信应用整合提供安全支撑。
县电子政务外网PKI/CA安全支撑平台部署规范如下图所示:
(1)基于CA认证方式的VPE技术。
MPLS VPN是目前我省电子政务外网普遍采用的技术,这是一种比较理想的实现网络资源分配的技术,可以将一个物理的电子政务外网网络划分为多个独立的“逻辑网络”,每类业务都可以获得一部分网络资源供自己使用,包括地址空间、路由转发表、带宽、隧道、服务质量等。但从网络全局来看,MPLS VPN的应用范围基本限制在电子政务外网中,这样电子政务外网的资源划分与安全隔离就无法跨越公网延伸到网络的最边缘。而IP VPN虽然实现了网络边缘节点对电子政务外网的安全访问,但无法实现不同业务的安全隔离与区别服务。因此单纯采用任何一种VPN技术都不足以实现端到端的VPN业务,电子政务外网需要更加完善的VPN解决方案。
近年来MPLS VPN与IP VPN技术的融合成为VPN技术发展方向,由此产生了H3C公司的VPE技术,目前,该技术已使用于浙江省与绍兴的电子政务外网中,技术上正处于不断完善中。
VPE(VPN PE)是一种特殊的PE,它和CE之间的连接方式不是传统的DDN/E1/POS/ETH/PVC等专线技术,而是IPSEC/L2TP/GRE/UDP VPN等隧道技术。VPE实现的核心功能是IP VPN隧道与MPLS VPN之间的映射和衔接。VPE技术很好地融合了MPLS VPN和IP VPN的优势,在网络边缘也实现了网络资源的逻辑划分及安全隔离,核心网与边缘网络形成了一个整体。下图是一个基于CA认证的绍兴县电子政务外网远程访问VPE。
(2)基于PKI/CA技术的公文电子印章系统
随着网络的发展以及网上办公的需要,各级政府机构之间需要频繁传递公文文件,特别是一些重要敏感度高的公文和印章,更需要严格的保护,而采用PKI/CA技术建立起来的电子公文和电子印章安全系统体系,满足了这方面的安全需求。
电子印章系统主要包括以下内容:电子公文完整性的验证;对发送电子公文的单位进行验证;电子公文机密性保护;完善的密码管理机制;印章文件加密存储;持有电子印章的用户可以验证印章文件的真假;只有合法用户才能阅读公文;只有经过授权的合法用户才有权查看或打印所带的印章,杜绝电子公文的非法流转使用专用密码算法,各域之间通过标准证书互连互通;支持异域用户授权等。
通过建立的电子政务外网CA服务体系,使本域电子政务外网中用户有本域CA签发的证书,相互之间可以互相信任,传递电子公文以及共享数据。以绍兴的电子印章系统为例,系统流程如下图所示:
(a)用户登录应用平台(办公自动化系统、文档管理系统……)插上USBKey智能卡,执行盖章操作后,签章客户端首先验证当前用户证书的有效性,验证可以采用OCSP的实时在线验证也可以采用CRL的离线验证。身份验证通过以后进入盖章环节。
(b)印章服务器接收到用户盖章请求,返回当前用户有权限的印章列表,执行盖章操作。同时发送操作日志到印章服务器。
(c)用户打印文档、再次编辑印章等等操作,签章客户端都会与印章服务器交互,校验权限和记录操作日志。
电子政务是互联网和政务应用发展的必然趋势,它将逐渐成为政务办公中一个重要部分。不要让安全问题成为电子政务发展的瓶颈,基于PKI/CA技术的数字证书能够全面支持电子政务应用的各种主要模式,确保政务信息的安全性,正确科学化规划和使用数字证书,从而极大地推动电子政务的发展。由于本人才疏学浅,在具体基于PKI/CA技术的电子政务外网安全应用上的研究还不够深入,也难免存在一些错误和不足。当然,电子政务外网中PKI/CA技术的各类应用是潮流也是趋势,需要专业性的企业及专家们进一步孜孜不倦地实践和研究。
(作者单位:浙江省绍兴县机关信息中心)
电子政务系统安全上的需求
对各级电子政务外网的安全威胁目前主要包括网上黑客的入侵、网上病毒的泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息安全产品的失控等。以县一级政府的电子政务外网为例,由于相对投入比较少,技术力量严重不足,在电子政务外网安全上普遍存在以下一些后果严重的风险:
一是政府网站页面被篡改。政府门户网站作为政府形象的重要标志之一,常常是一些不法分子的重点攻击对象,政府门户网站一旦被篡改,常常会引发较大的负面影响,严重时甚至会造成政治事件。其中页面被篡改的一种常见方式是“网页挂马”,网页内容表面上没有任何异常,却可能被偷偷地挂上了木马程序。一些木马程序能使公众访问政府网站时直接转接到了一些黄色反动的网站上,这使得政府网站的权威性和公信力受到了严重打击,并最终给电子政务的普及带来重大的负面影响。
二是政府部门的在线业务被攻击。对企业、公众提供在线服务已成为县级电子政务外网的重要功能,以绍兴县为例,通过电子政务外网出口公众网向公众提供如社会保险个人查询系统、行政审批服务系统、企业交税网上系统、个人公积金查询系统等服务,这些服务一旦受到攻击就会面临瘫痪或终止,对业务的正常运转必然造成极大的影响,并很可能会造成经济损失,严重的甚至会影响社会稳定。
三是机密数据被窃取。在线业务系统中总是需要保存一些企业、公众的相关资料,这些资料往往涉及到企业机密和个人隐私,一旦泄露就会造成企业或个人的利益受到损失,并可能带来严重的法律纠纷,而如目前运行于电子政务外网上的纪委网上举报系统的数据如被窃取甚至可能引起社会稳定问题等政治问题。
因此,为了保证互联网上电子政务的安全性,防范系统遭攻击或信息丢失或被截获篡改,必须在互联网中建立并维持一种令人信任的环境和机制。基于公开密钥技术的数字证书解决方案,目前已逐渐被较大范围的采用。
PKI与CA技术概述
PKI又称为公钥基础设施(Public Key Infrastructure),是一个用非对称密码算法原理和技术实现并提供安全服务的具有通用性的安全基础设施,也是一种遵循标准的利用公钥加密技术为电子商务、电子政务的开展提供一整套安全的基础设施。用户利用PKI平台提供的安全服务进行安全通信。PKI这种遵循标准的密钥管理平台,能够为所有网络应用透明的提供采用加密和数字签名等密码服务所需要的密码和证书管理。
使用基于公开密钥技术平台的用户建立安全通信信任机制的基础是,网上进行的任何需要提供安全服务的通信都是建立在公钥的基础上的,而与公钥成对的私钥只掌握在他们与之通信的对方。这个信任的基础是通过公钥证书的使用来实现的。公钥证书是用户的身份与之所持有的公钥的结合,在结合之前,由一个可依赖的权威机构---认证机构(CA)来证实用户的身份。然后由可信任的CA对该用户身份及对应公钥相结合的证书进行数字签名,用来证明证书的有效性。
PKI技术是公开密钥学完整的、标准化的、成熟的工程框架。它基于并且不断吸收公开密钥密码学丰硕的研究成果,按照软件工程的方法,采用成熟的各种算法和协议,遵循国际标准和RFC文档,如PKCS、SSL等完整地提供网络和信息系统安全的解决方法。
CA(CertificationAuthority)是认证机构的国际通称,是指对数字证书的申请者发放、管理、取消数字证书的机构。CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改。但由于CA很难解决数据传输中的安全性和完整性,因此它一般都需与PKI技术一起进行应用(PKI/CA)。PKI是一种建立在公开密钥技术之上的信息安全体系结构,主要包括两方面的内容:一是数字签名,该技术可以保证所传输信息的完整性;另一内容是加密,用户在使用公开密钥法对信息进行加密后,在解密时使用的密钥无须在Internet上传输,这样就避免了密钥被人窃取后造成信息的暴露。但PKI又无法保证用户身份的确认,于是出现了PKI/CA这一完整的CA认证概念。
PKI/CA系统的组成与功能
一般来说,PKI/CA系统必须具有权威认证机构CA、注册机构RA、数字证书查询验证服务系统(LDAP)、密钥管理服务系统(KM)、密码管理服务系统等组成部分。
(1)认证机构CA是PKI的信任基础,它管理公钥的整个生命周期,其作用包括:发放证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书。认证机构CA主要功能有:
数字证书签发功能:系统接受RA录入的用户证书申请信息,为其提供证书(加密证书和签名证书)签发服务;
数字证书归档功能:所发放的数字证书将由CA系统进行统一的归档处理;
数字证书注销功能:CA提供数字证书的注销功能,一旦注销将由CA提交LDAP进行发布,保证注销后的数字证书的失效;
数字证书更新功能:在数字证书到期或者密钥泄露的情况下,CA系统提供证书的更新功能,同时将新证书进行发布;
数字证书发布功能:新申请的数字证书或更新的数字证书,将由CA系统向LDAP进行发布;
数字证书查询功能:提供数字证书的即时查询服务等。
(2)注册机构RA提供用户和CA之间的一个接口,它获取并认证用户的身份,向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。这里指的用户,是指将要向认证中心(即CA)申请数字证书的客户,可以是个人,也可以是集团或团体、某政府机构等。注册管理一般由一个独立的注册机构(即RA)来承担。它接受用户的注册申请,审查用户的申请资格,并决定是否同意CA给其签发数字证书。注册机构并不给用户签发证书,而只是对用户进行资格审查。因此,RA可以设置在县一级的电子政务外网系统上,而CA设置在省或市一级的电子政务外网上。当然,对于财政实力较强的县来说,可单独建设认证机构CA,可把注册管理的职能由认证机构CA来完成,而不设立独立运行的RA。但这并不是取消了PKI的注册功能,而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理的任务,可以增强应用系统的安全。
(3) 数字证书查询验证服务系统(LDAP)为证书认证系统和授权管理系统的核心基础设施。为证书认证系统提供证书查询、CRL查询等服务功能,同时也为统一认证和授权管理系统提供用户管理、角色管理、授权策略管理等功能提供高性能的数据存储和查询服务能力。主要功能有:
发布和更新CA中心签发的数字证书:LDAP接收CA发出的证书信息,由LDAP进行发布和更新;
发布和更新CA中心签发的证书撤消列表CRL:LDAP接收CA发出的证书撤消列表(CRL)信息,由LDAP进行发布和更新;
证书撤消列表CRL的在线查询服务:为用户提供数字证书的证书撤消列表CRL的在线查询,并且通过验证接口,可以验证数字证书的有效性;
目录控制服务:数字证书和CRL采用目录形式发布,由LDAP进行目录控制等。
(4)密码管理服务系统提供加密、解密、签名、验签等服务,客户端的加密、解密、签名、验签由证书载体提供,服务器端的加密、解密、签名、验签由密钥服务器提供。所有密码算法必须在经国家密码主管部门审批的密码设备上运行。密码管理服务系统要构建一个相对独立的可信计算环境,进行安全密码算法处理;要采用分布式计算技术,提供系统性能的动态可扩展;应采用安全中间件技术,兼容各种密码设备,向上层应用提供统一稳定的服务接口。主要功能有:
加/解密、签名、验签服务,提供加/解密服务是密码管理服务系统的核心功能,主要包括:对数据的加解密功能与提供密钥生成和存储功能。
利用安全中间件技术对底层的密码算法进行封装,为应用提供稳定的统一密码服务接口等。
电子政务外网中PKI/CA技术的应用实例
如绍兴县电子政务外网CA服务体系,以浙江省与绍兴市电子政务外网安全支撑平台为根,采用与省市电子政务外网安全支撑平台一致的体系结构建设,为本县政府下属各部门、下级镇街以及因工作需要应用的单位提供电子政务外网数字证书的统一生产和发放、数据加解密,同时为电子政务外网的统一身份认证和可信应用整合提供安全支撑。
县电子政务外网PKI/CA安全支撑平台部署规范如下图所示:
(1)基于CA认证方式的VPE技术。
MPLS VPN是目前我省电子政务外网普遍采用的技术,这是一种比较理想的实现网络资源分配的技术,可以将一个物理的电子政务外网网络划分为多个独立的“逻辑网络”,每类业务都可以获得一部分网络资源供自己使用,包括地址空间、路由转发表、带宽、隧道、服务质量等。但从网络全局来看,MPLS VPN的应用范围基本限制在电子政务外网中,这样电子政务外网的资源划分与安全隔离就无法跨越公网延伸到网络的最边缘。而IP VPN虽然实现了网络边缘节点对电子政务外网的安全访问,但无法实现不同业务的安全隔离与区别服务。因此单纯采用任何一种VPN技术都不足以实现端到端的VPN业务,电子政务外网需要更加完善的VPN解决方案。
近年来MPLS VPN与IP VPN技术的融合成为VPN技术发展方向,由此产生了H3C公司的VPE技术,目前,该技术已使用于浙江省与绍兴的电子政务外网中,技术上正处于不断完善中。
VPE(VPN PE)是一种特殊的PE,它和CE之间的连接方式不是传统的DDN/E1/POS/ETH/PVC等专线技术,而是IPSEC/L2TP/GRE/UDP VPN等隧道技术。VPE实现的核心功能是IP VPN隧道与MPLS VPN之间的映射和衔接。VPE技术很好地融合了MPLS VPN和IP VPN的优势,在网络边缘也实现了网络资源的逻辑划分及安全隔离,核心网与边缘网络形成了一个整体。下图是一个基于CA认证的绍兴县电子政务外网远程访问VPE。
(2)基于PKI/CA技术的公文电子印章系统
随着网络的发展以及网上办公的需要,各级政府机构之间需要频繁传递公文文件,特别是一些重要敏感度高的公文和印章,更需要严格的保护,而采用PKI/CA技术建立起来的电子公文和电子印章安全系统体系,满足了这方面的安全需求。
电子印章系统主要包括以下内容:电子公文完整性的验证;对发送电子公文的单位进行验证;电子公文机密性保护;完善的密码管理机制;印章文件加密存储;持有电子印章的用户可以验证印章文件的真假;只有合法用户才能阅读公文;只有经过授权的合法用户才有权查看或打印所带的印章,杜绝电子公文的非法流转使用专用密码算法,各域之间通过标准证书互连互通;支持异域用户授权等。
通过建立的电子政务外网CA服务体系,使本域电子政务外网中用户有本域CA签发的证书,相互之间可以互相信任,传递电子公文以及共享数据。以绍兴的电子印章系统为例,系统流程如下图所示:
(a)用户登录应用平台(办公自动化系统、文档管理系统……)插上USBKey智能卡,执行盖章操作后,签章客户端首先验证当前用户证书的有效性,验证可以采用OCSP的实时在线验证也可以采用CRL的离线验证。身份验证通过以后进入盖章环节。
(b)印章服务器接收到用户盖章请求,返回当前用户有权限的印章列表,执行盖章操作。同时发送操作日志到印章服务器。
(c)用户打印文档、再次编辑印章等等操作,签章客户端都会与印章服务器交互,校验权限和记录操作日志。
电子政务是互联网和政务应用发展的必然趋势,它将逐渐成为政务办公中一个重要部分。不要让安全问题成为电子政务发展的瓶颈,基于PKI/CA技术的数字证书能够全面支持电子政务应用的各种主要模式,确保政务信息的安全性,正确科学化规划和使用数字证书,从而极大地推动电子政务的发展。由于本人才疏学浅,在具体基于PKI/CA技术的电子政务外网安全应用上的研究还不够深入,也难免存在一些错误和不足。当然,电子政务外网中PKI/CA技术的各类应用是潮流也是趋势,需要专业性的企业及专家们进一步孜孜不倦地实践和研究。
(作者单位:浙江省绍兴县机关信息中心)