chapter9电子政务工程设计

第1页2019/8/1SXTU-INC-YW网络系统集成与工程设计第9章人民邮电出版社编著：杨威王云刘景宜第2页2019/8/1SXTU-INC-YW本章知识要点：电子政务业务模型电子政务体系结构电子政务通信平台设计内、外网物理隔离电子政务信息系统PKI技术，CA证书服务器，安装证书服务，证书颁发机构的配置和管理，客户端的证书管理SSL安全机制，基于SSL的Web服务器VPN的技术与类型，VPN方案设计，基于VPN政务网络互连。第9章电子政务工程设计第3页2019/8/1SXTU-INC-YW本章重点：电子政务业务模型电子政务体系结构电子政务通信平台设计内、外网物理隔离电子政务CA的建立和管理SSL安全机制VPN的技术与方案设计，基于VPN政务网络互连。本章难点：基于VPN政务网络互连第9章电子政务工程设计第4页2019/8/1SXTU-INC-YW9.1电子政务概述9.1.1电子政务的背景电子政务是指政府机构利用信息化手段，实现各类政府职能。其核心是应用信息技术，提高政府事务处理的效率，改善政府组织和公共管理。背景：信息技术的飞速发展发达国家提出“电子政务（电子政府）计划”我国的电子政务第5页2019/8/1SXTU-INC-YW9.1.2电子政务业务与信息流1.电子政务业务模型根据政府机构的业务形态来看，通常电子政务主要包括三个应用领域。其业务模型可以用图9.1表示。图9.1电子政务业务模型面向社会公众和企业组织，为其提供政策、法规、条例和流程的查询服务。借助互联网实现政府机构的对外办公，如：申请、申报等，提高政府的运作效率，增加透明度。以信息化手段提高政府机构内部办公的效率，如：公文报送、信息通知和信息查询等。第6页2019/8/1SXTU-INC-YW9.1.2电子政务业务与信息流2.电子政务信息流在电子政务系统中主要存在三种信息流，如图9.2所示。图9.2电子政务信息流模型第7页2019/8/1SXTU-INC-YW9.1.3电子政务体系结构与特点1.电子政务体系结构构建的电子政务体系结构主要包括三个应用系统和一个网络通信平台。如图9.3所示。政府公共信息服务Web网站信息安全交换系统政府内部办公网络信息平台政府网络通信平台、社会公众企业工作人员电子政务技术规范电子政务安全规范图9.3电子政务平台系统结构第8页2019/8/1SXTU-INC-YW9.1.3电子政务体系结构与特点2.电子政务系统的特点一个成熟的电子政务系统，不但能够利用信息技术，实现信息流的高效率运转，还应具备如下特点：（1）安全性。（2）整合性。（3）可扩展性。（4）示范性。政府机构的信息安全是电子政务实施的第一要素。电子政务系统不但能够实现内外网的物理隔离，有效防止泄密；同时也应确保内、外网具有强大的抵御攻击能力，防止非法侵入带来的损失。电子政务系统应能实现政府内部办公和外部事务处理的整合，通过建立政务办公信息流和事务信息流的平滑对接，提高信息流的效率。同时，能够实现多种沟通模式的整合，通过通信平台的多样化优势，提高电子政务系统的覆盖能力。电子政务系统的实施是一个分阶段的长期过程，电子政务系统的构造应具有高度的扩展性，以降低系统扩充的投入成本，并满足信息技术高速发展的需要。电子政务系统采用的技术和产品应对社会具有广泛的示范性和引导性，电子政务平台的总体结构应依据国家电子政务安全规范和电子政务标准技术参考模型设计。第9页2019/8/1SXTU-INC-YW9.2电子政务系统设计9.2.1电子政务网络平台1.电子政务内网电子政务内网是各种应用的统一通信平台，主干网要求具有安全、可靠和高带宽等特性。某市电子化办公涉及20多个业务部门，这些部门分部在不同的地理位置，距离市政府大楼几十米至几公里。考虑到政务主干网的负载均衡和光缆敷设便利等因素，政务主干网可采用多星型拓扑结构。整体网络设置三个主结点（市政府主楼、市委主楼和科技局主楼）向外辐射，通过各部门（局、科室）所在的建筑楼结点构成主干网。如图9.4所示。第10页2019/8/1SXTU-INC-YW9.2.1电子政务网络平台图9.4市政府网络拓扑结构图第11页2019/8/1SXTU-INC-YW9.2.1电子政务网络平台2.电子政务外网电子政务外网（Web网站）位于市政府主楼第3层的网络中心主机房内。电子政务外网是政府对外的门户网站，网站拓扑结构要严格按照DMZ的要求设计。如图9.5所示。图9.5政务外网体系结构图第12页2019/8/1SXTU-INC-YW9.2.2内、外网物理隔离电子政务内、外网物理隔离采用物理隔离网闸X-gap8100（中网公司产品），可以实现两个网络之间的物理隔离。如图9.6所示。图9.6内、外网物理隔离结构图第13页2019/8/1SXTU-INC-YW9.2.3电子政务信息系统1.系统功能结构电子政务信息系统一般分为政府公共服务网站和政府内部办公网站，其功能结构如图9.7所示。图9.7电子政务系统功能结构图第14页2019/8/1SXTU-INC-YW9.2.3电子政务信息系统2.政务外网应用面向公共管理服务政务外网业务系统主要包括：为公众用户提供接入和工作流引擎、通用电子政务构件、个性化管理以及服务集成等基本的功能。如：网上报表管理、登记申报及审批业务办理、网上人才招聘管理、招商管理、网上税务、网上劳保等应用系统。第15页2019/8/1SXTU-INC-YW9.2.3电子政务信息系统3.政务内网应用政务内网应用系统强调的是政府内部在各类政务工作中，运用先进的信息技术和管理思想，大幅度提高办事效率，提高政务工作的质量。而在政府内部，电子政务的许多目标是要通过办公自动化来实现的。离开了办公自动化，政府内部的电子政务也就失去了基础。面向办公业务的OA系统功能包括：公文管理、督查管理、档案管理、政务信息、内部事务、值班管理、会议管理、辅助决策、公用信息等。第16页2019/8/1SXTU-INC-YW9.2.3电子政务信息系统4.政务处理逻辑结构政务处理逻辑组织将系统结构划分成数据层、组件层、功能层和应用层，如图9.8所示。网上调研系统短信通知系统信息搜索系统视频直播系统网站访问行为分析网上接待咨询用户统一登记管理信息发布模板文件电子申报系统文档管理|流程管理|用户管理|邮件管理|短信管理|报表处理（）身份认证CA|资源权限管理|工作流引擎|全文检索引擎|数据交换引擎（）电子政务数据格式规范XML数据库文件库数据网关应用层数据层功能层组件层图9.8电子政务处理逻辑结构第17页2019/8/1SXTU-INC-YW9.3电子政务CA的建立和管理PKI是信息安全技术的核心，也是电子政务的关键和基础技术。电子政务在选择PKI解决方案时，可以向第三方证书认证（CA，CertificateAuthority）提供商外购PKI；或部署自己的政府级PKI，或部署混合模式PKI体系。由第三方CA提供根CA，将CA颁发限定于政府内部范围。第18页2019/8/1SXTU-INC-YW9.3.1PKI技术1.PKI的组成PKI是一种以公开密钥技术为基础，以数据的机密性、完整性和不可抵赖性为安全目的，构建的认证、授权和加密等硬件、软件的综合设施。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。完整的PKI系统必须具有权威认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废系统和应用接口（API）等基本构件和系统。第19页2019/8/1SXTU-INC-YW9.3.1PKI技术2.PKI的功能（1）认证机构（CA）（2）数字证书库（3）密钥备份及恢复系统（4）证书作废系统（5）应用接口（API）第20页2019/8/1SXTU-INC-YW9.3.1PKI技术3.PKI的安全机制PKI安全平台能够提供智能化的信任与有效授权服务。其中，信任服务主要是解决在茫茫网海中如何确认“你是你、我是我、他是他”的问题；授权服务主要是解决在网络中“每个实体能干什么”的问题。第21页2019/8/1SXTU-INC-YW9.3.2CA证书服务器的选择通常来说，CA是证书的签发机构，它是PKI的核心。公钥体制的密钥管理主要是针对公钥的管理问题。目前较好的解决方案是数字证书机制。在实际应用中，CA除了服务器硬件（可选用PC服务器），还要选择合适的CA软件。在选择CA产品时，要重点考虑所支持的相关PKI标准、易管理性、伸缩能力以及成本费用。第22页2019/8/1SXTU-INC-YW9.3.3规划证书颁发机构1.根CA与从属CA根据层次结构，CA可划分为根CA和从属CA。（1）根CA是公钥体系中第一个证书颁发机构，它是所有信任的起源。根CA可以为其他CA创建证书，也可以为其他计算机、用户和服务创建证书。根CA最重要的角色是作为信任的根，是整个政府（企业）认证体系的中心，需要最根本的保护。对大多数基于证书的应用程序来说，使用的证书认证都可以跟踪到根。（2）从属CA必须从根CA或者从一个已由根CA授权，可颁发从属CA证书的从属CA处获得证书。从属CA可直接颁发证书。在建立CA时，从属CA要通过上级CA获得自己的CA证书，而根CA则是创建自签名的证书。第23页2019/8/1SXTU-INC-YW9.3.3规划证书颁发机构2．企业CA与独立CA（1）企业CA具有下列特点。①企业CA需要活动目录（ActiveDirectory）。②安装企业根CA时，对于域中的所有用户和计算机，它都会自动添加到受信任的根证书颁发机构的证书存储区中。③企业CA根据申请证书的类型设置策略和安全权限，立即颁发证书或立即拒绝请求。④可以为使用智能卡登录到Windows2000域颁发证书。⑤企业退出模块向活动目录（ActiveDirectory）发布用户证书和证书吊销列表。⑥企业CA使用基于证书模板的证书类型。第24页2019/8/1SXTU-INC-YW9.3.3规划证书颁发机构2．企业CA与独立CA（2）独立CA具有下列特点。①独立CA不需要使用活动目录（ActiveDirectory）。②向独立CA提交证书申请时，证书申请者必须在证书申请中明确提供所有关于自己的标识信息以及证书申请所需的证书类型。（向企业CA提交证书申请时无需提供这些信息，因为企业用户的信息已经在ActiveDirectory中，并且证书类型由证书模板说明。）③默认情况下，发送到独立CA的所有证书申请都被设置为特定状态，由管理员审查颁发，也可根据需要改为自动颁发证书。④不使用验证模板。⑤使用智能卡不能颁发用来登录到Windows2000域的证书，但可以颁发其他类型的证书并存储在智能卡上。⑥管理员必须向域用户的信任根存储区明确分配独立CA的证书，或者必须让用户自己执行该任务。第25页2019/8/1SXTU-INC-YW9.3.3规划证书颁发机构3．微软的4种CA（1）企业根CA。证书层次结构中的最高级证书颁发机构，需要ActiveDirectory，自行签发自己的CA证书，并将该证书发布至域中所有Windows2000服务器和工作站上。这种CA安装在域控制器或者域成员计算机上。（2）企业从属CA。必须从另一证书颁发机构获得自己的CA证书。如果使用ActiveDirectory、证书模板和智能卡登录到Windows2000计算机时，应选用这种类型。（3）独立根CA。也是证书层次结构中的最高级证书颁发机构，它不需要ActiveDirectory支持，适于作为独立的证书颁发机构，向外部发放证书。独立CA安装在独立的服务器上。（4）独立从属CA。必须从另一证书颁发机构获得自己的CA证书，用于建立多层次的独立证书颁发体系。第26页2019/8/1SXTU-INC-YW9.3.3规划证书颁发机构4．规划证书层次结构通过根CA和从属CA可建立证书层次结构，如图9.9所示。丛属CA跟CA丛属CA授权授权WindowsXP颁发证书颁发证书Windows2000Windows2000WindowsXPWi