资源预览内容
第1页 / 共32页
第2页 / 共32页
第3页 / 共32页
第4页 / 共32页
第5页 / 共32页
第6页 / 共32页
第7页 / 共32页
第8页 / 共32页
亲,该文档总共32页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
电子政务数字证书 RA 系统建设方案目录概述3第一章 为什么要在各地市建 RA 系统4一、需求分析4二、方案可行性5三、在全省建立 RA 对信息化建设的意义7第二章 建设什么样的 RA 系统8一、RA 系统介绍8二、系统运行环境15第三章 各地市信息办公室怎样建设 RA 系统17一、确定需求17二、签署协议17三、RA 系统建设实施17四、RA 系统测试17五、RA 系统验收17六、文档评审17七、系统上线18第四章 RA 系统的运营模式19一、 推广方式19二、运营方式20附件 RA 系统管理制度21概述为解决 Internet 的应用安全问题,世界各国对其进行了多年的研究,初步形成了一套完整的 Internet 安全解决方案,即目前被广泛采用的 PKI 技术(Public Key Infrastructure ),PKI(公钥基础设施) 技 术 采 用 证 书 管 理 公 钥 , 通 过 第 三 方 的 可 信 任 机 构 即CA(Certificate Authority)机构,把用户的公钥和用户的其它标识信息(如名称、e-mail、身份证号等)捆绑在一起,在 Internet 网上验证用户的身份。目前,通用的办法是采用建立在 PKI 基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。RA (Registration Authority)即数字证书注册审批机构,它是CA 机构的重要组成部分,它面向终端用户,接受用户的证书申请信息、审核信息以及制作发放证书,并具有注销用户证书的功能。河南省数字证书认证中心(简称 HNCA)是经信息产业部、国家密码管理局及河南省人民政府批准成立,在省工业和信息化厅(原信息产业厅)、省国家密码管理局等有关部门领导的亲切关怀下发展起来的,是我省惟一依法成立的专门负责为政府、企业和个人提供网上身份认证和信息安全服务的第三方权威电子认证机构。与HNCA 合作在全省各地信办建立几家RA 机构,作为区域性的认证服务中心,对我省信息化网络信任体系的布局是必要的,可行的,也是非常有意义的。第一章 为什么要在各地市建RA 系统一、需求分析随着我省电子认证服务业务的发展,数字证书在各个领域的推广应用在不断创新,各地对数字证书的服务要求越来越迫切,所有这些应用都与当地政府的支持密不可分,政府在其中充当了服务的角色。为使政府的服务意识更加深入民心,在信息化网络安全领域方面,建立RA 就是为了便于为百姓服务,并对信息化的推广起到保驾护航的作用。在应用软件系统使用数字证书保障网络安全的体系中,涉及的角色一般有二方。用户方即证书持有者(机构或个人)、管理用户方(发证方),下面就二方对建立RA 的需求进行分析:1、 用户需要在本地制证发证的需求证书用户要求在当地直接办理业务,使办理证书各种业务方便、快捷,直接。如果当地没有 RA 机构,所有证书业务都必须由 CA 中心集中处理,这需要一定的时间进行处理。2、 证书业务推广宣传的需要在一个地区如果有专门的 RA 服务机构,就可以向更多的领域进行数字证书的推广,并给当地的市场带来更加直观的网络安全服务机构,增强人们对网络安全的信心。3、证书业务服务的需要当证书应用在各个领域时,在一个地市就需要有一个区域中心来整合集中进行服务,可以节约业务成本。形成证书规模效益。4、大宗用户需要对证书实时控制和管理的需求有的大宗用户需要对所发放的所有证书进行实时的管理和控制, 这样才可以更加有效的从管理的角度上来确保业务应用系统运行和操作的安全。而对证书的管理和控制,在 CA 认证系统针对应用的建立平台中却仅仅解决了证书应用的问题,而对证书的管理和控制却没有集成有相应的系统。因此,需要对发放的证书进行实时控制和管理,建立RA 的方式是一个选择。二、方案可行性RA 作为 CA 重要组成部分之一,其建设的依据可遵循CA 的政策进行。所有针对CA 电子认证服务的法律都适用于RA。1、电子签名法电子签名法第十六条规定:电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。第二十九条规定:未经许可提供电子认证服务的,由国务院信息产业主管部门责令停止违法行为;有违法所得的,没收违法所得;违法所得三十万元以上的,处违法所得一倍以上三倍以下的罚款;没有违法所得或者违法所得不足三十万元的;处十万元以上三十万元以下的罚款。河南省数字证书认证中心(简称 HNCA)是经信息产业部、国家密码管理局及河南省人民政府批准成立,在省工业和信息化厅(原信息产业厅)、省国家密码管理局等有关部门领导的亲切关怀下发展起来的,是我省惟一依法成立的专门负责为政府、企业和个人提供网上身份认证和信息安全服务的第三方权威电子认证机构。作为 HNCA 在当地的注册机构RA 对公众进行认证服务,完全符合法定要求。2、国家信息化领导小组关于我国电子政务建设指导意见电子政务建设将是今后一个时期我国信息化工作的重点,而电子政务建设将主要围绕“1 个政府门户网络、2 个电子政务网络平台、4 个基础数据库和 12 大重点信息化工程”开展。数字证书中心即是为了保障诸如电子政务外网平台和重点信息化工程的安全正常运转 而构建的基础系统。如政府网上招标采购、企业网上报税、报关、网上工商登记和年检、网上联合审批等应用,必须以数字证书系统作为安全保障。3、河南省电子政务发展规划(20092012 年)构建信息保证体系原文“信息安全保障体系。整合构建安全支撑平台,完善信息网络、重要信息系统的安全防护和管理措施,加强信息安全内容管理和对抗能力建设。建立以密码技术为基础,以身份认证、授权管理、责任认定为主要内容的网络信任体系,推进以涉密、敏感信息加密保护、电子认证、电子政务密钥管理基础设施和电子政务密码应用支撑平台等为主要内容的密码保障体系建设。建立容灾备份中心和计算机病毒防治、应急处置、安全通报中心。建设网络侦控、密钥管理和信息安全测评系统,创新信息安全技术和产品,为全省电子政务系统提供统一的入侵防御、漏洞扫描、病毒防护、内容过滤等信息安全服务,提高对网络攻击、病毒入侵、网络失窃密事件的防范能力。”4、河南省信息化工作简报(30 期 2010-3-23)河南CA 相关段落原文“省信息化工作办公室对河南CA 所做的工作及取得的成绩给予了充分肯定。认为河南 CA 的发展不但在信息安全中发挥了重要作用,而且对全省的信息化建设也做出了重要贡 献,省信息化工作办公室将进一步重视和支持河南 CA 的发展。一是要加强联系与指导。与河南 CA 工作对接由省信息化办电子政务与信息安全处负责,保持经常联系,细化工作责任,明确责任人,尽力为河南CA 反映情况和解决问题创造条件;二是抓紧协调推动河南省数字证书使用管理办法的制定工作,规范全省电子认证体系建设; 三是依托全省信息化部门和机构,建立全省电子认证服务体系,组成一个完整的服务网络,做到省有CA,市有RA,县有受理点。同时要使上下建立起科学完整的法律关系、业务关系和利益关系;四是推动电子认证在一些重点领域的应用。要制定长远、中期、近期相结合的发展目标,先易后难,近期能完成的就尽快落实,需长期协调跟进的应持续关注,从而全面发展我省电子认证体系。”三、在全省建立 RA 对信息化建设的意义1、政府信办在全省信息化安全的支撑需要河南省数字证书认证中心的PKI 安全体系是一个安全支撑平台, 对完善信息网络、重要信息系统的安全防护和管理措施,加强信息安全内容管理和对抗能力有这基础性的作用。因此非常适合作为政府信办在全省信息化安全的支撑业务平台。也能够建立以密码技术为基础, 以身份认证、授权管理、责任认定为主要内容的网络信任体系,推进以涉密、敏感信息加密保护、电子认证、电子政务密钥管理基础设施和电子政务密码应用支撑平台等为主要内容的密码保障体系建设。2、当地信息建设保驾护航,并增强当地的信息化安全意识的意义各地市信息化办公室建设了河南省数字证书认证中心的RA 系统, 就会形成以数字证书为基础的安全支撑平台,就解决了政府内外网应用的信息安全问题。能够很好的为当地信息化建设保驾护航,同时能够相应的扩大信息化的影响力,增加各地市及基层单位的信息化安全意识。3、社会效益随着人们对数字证书的认知程度的加深,以及需求的依赖.数字证 书应用的领域越来越广泛,社会公众对证书这种安全服务越来越认可. 因此在各地建立的RA 系统可以与各社会上需要信息安全服务的社会公众,体现政府的服务职能,同时与社会公众建立有效的沟通和联系。产生出较为可观的社会效益和经济效益。第二章 建设什么样的RA 系统一、RA 系统介绍RA 客户端系统和RA 中心。RA 客户端系统负责申请注册、审核、证书发放,主要功能包括:证书申请、证书审核、证书发放、证书撤消申请、证书恢复申请、证书查询以及审核员管理等功能。RA 中心负责与CA 的安全通信、汇总统计、审计等工作。采用的是局域网应用程序,主要功能包括:申请资料录入、本地审核、用户管理、日志审计、证书发放、证书撤消、证书恢复、CA 安全通信、系统初始化和系统设定等。CA 中心只负责为电子政务环境中各个实体颁发数字证书,以证明各实体身份的真实性,并负责在电子政务系统使用者中检验和管理证书;它是电子政务的权威性、可信赖性及公正性的第三方机构,并不参与身份人证的真实过程。CA 的主要职责归纳起来有:确保 CA 用于签名证书的非对称密钥的质量、确保整个签证过程的安全性,确保私钥的安全性、证书材料信息(包括公钥证书序列号、CA 标识等)的管理、确定并检查证书的有效期限、确保证书主体标识的唯一性 , 防止重名;发布并维护作废证书表、对整个证书签发过程做日志记录。整个系统采用国际通用的 PKI 技术,为广大证书使用者提供安全快捷的签名及加密网上电子政务服务,真正做到电子政务系统运行的不可抵赖性。证书吊销支持 LDAP 协议,通过在线更新证书吊销列表来充分满足电子政务系统的安全性。1、系统业务流程1.1 证书的申请和下载1. 用户信息注册用户携带身份证、要求携带的相关证件及复印件到指定地点(制证终端)办理申请数字证书。制证终端负责接收用户申请, 并对申请进行审核和制证。2. 制证终端初步审核并提交申请制证终端操作员对用户提交的资料进行初步审核,检查是否数字证书认证中心对办理数字证书所需相关资料的要求。对符合条件的用户依照数字证书规定的格式对用户信息进行填写,并设定数字证书的起始时间和有效期。制证人员提交填写好的证书申请。3. RA 服务器审核申请按照证书模板的设定,可以允许制证终端操作员直接对申请进行审核或者系统自动审核。如果为了控制对终端操作员的行为, 可以对其提交的申请进行远程人工审核,因此只有审核通过者才 能继续将信息提交至认证中心CA 服务器。CA 服务器接受申请为用户制作证书,并将信息反馈到 RA 服务器,由RA 服务器将证书相关信息发给制证终端。4. 制证终端为用户进行制作证书制证终端操作人员根据 RA 服务器反馈的信息,插入证书硬件存储介质。点击“制证”,直至提示成功。用户数字证书制作完毕。用户可以持数字证书登陆电子政务系统服务器,在验证通过后即可进行相关业务。制证受理点制作证书流程如下:1.2 证书的吊销和更新
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号