2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩0頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、圜凰旦盛電子政務平臺的認證安全缺陷與對策摘要:電子政務系統(tǒng)在政府工作中發(fā)揮了越來越重要的作用,一些不安全的因素也隨即而來。文中主要分析了相關案例的安全缺陷,并提出采廂PK1SSL數(shù)字認證的解決措施。關鍵詞:電子政務;安全缺陷;數(shù)字認證一、前言隨著計算機信息技術的飛速發(fā)展,電子政務系統(tǒng)在政府實際工作中發(fā)揮了越來越重要的作用??梢圆豢鋸埖卣f,現(xiàn)在如果缺少了信息技術這一自動化辦公手段,或者因為安全問題電子政務系統(tǒng)不能正常運行,大量的政府部門將

2、無法正常工作,會給政府工作帶來嚴重影響。因此,研究解決電子政務安全問題具有十分重要的意義。二,電子政務不安全因素案例(一)案例一:A公司收到一封電子郵件,署名為B單位(政府部門)邀請其參加該單位主辦的大型經貿交易會并給了一個網(wǎng)址,要求其填寫公司相關信息。A公司業(yè)務員于是進入該頁面,發(fā)現(xiàn)與平日的頁面一致,并彈出一個用戶信息填寫頁面,里面含公司賬戶信息等填寫框,于是逐項填寫。1日后公司發(fā)現(xiàn)賬戶被一劃而空,而B單位回復并未發(fā)類似邀請函,再查該

3、郵件所鏈地址并非B單位的電子政務網(wǎng)址。(二)案例二:某單位的電子政務系統(tǒng)上突然出現(xiàn)某合法用戶在大肆宣傳反動言論,經查是該合法用戶所在的網(wǎng)絡上有反動組織的成員在偵聽數(shù)據(jù)包,并獲取了該用戶的賬戶信息。(三)案例三:一間辦公室里多位辦事人員而電腦只有一臺,用戶均反映容易出現(xiàn)信息發(fā)布時張冠李戴的現(xiàn)象,起因是換用戶時未安全退出。三、案例分析(一)案例一分析案例一中非法網(wǎng)站代替合法網(wǎng)站騙取用戶信息,這種現(xiàn)象有愈演愈烈之勢。因為用戶并非完全都有收藏合

4、法網(wǎng)站地址的習慣,而不法份子所給的鏈接往往魚目混珠與真實地址非常相似,如:wwwgooglecom與wwwgOOglecom是否非常相似呢目前,查詢學生學歷的網(wǎng)站被相近的域名盜鏈現(xiàn)象時有發(fā)生。作為一般用戶難以及時鑒別出真假網(wǎng)站。(二)案例二分析案例二中不法份子能在一個網(wǎng)絡中設置一臺偵聽主機,對廣播的信息進行封包截取。目前我國的政府信息網(wǎng)一般都是在公共平臺中搭建的,而用戶主機往往處于小區(qū)網(wǎng)、校園網(wǎng)、企業(yè)網(wǎng)中,其上傳信息其實在這些小區(qū)網(wǎng)、校

5、園網(wǎng)、企業(yè)網(wǎng)中是文0胡海鋒(閩西職業(yè)技術學院福建龍巖)以廣播的形式傳遞的。不法份子只要略有網(wǎng)絡知識,并裝備偵聽軟件,就可以對這些信息進行竊取。(三)案例三分析公共辦公環(huán)境中,一臺機器多個用戶的情況是普遍存在名稱舟址或攆疆地址中臣金融認證中心(eFCA)ww~cFcacornCli中臣電信認征中心(CTCA~vw~sinoco!coin上矗CA中心w、mshecaCOLD廣束省電子商務認證中心w、mcranet量盤江政局電子政童全認證中心

6、wwe1~OlDcll矗rf省電子商務認正中心wIIlIecaCOLD翻北省電子商務認證中心ww№ecacorncn北索臣者童電子商務蜜全認征中心WW1Z~~CaCe11terco111Cll重慶教字證書認證中心w、mcqcanet束北證彝交易繢CrSCOmCll北索CA中心北索lf『西城區(qū)金靜大備35號夭雌lf『CA中t5(1丁CA)211941品a,index1k111中臣協(xié)卡認證律無儡CA分中心江蘇省無儡lf『暮康CA認證中心ht

7、tpfstaticshco~calcahtml福建CA認遷中心wm日cac∞Cli!缺CA認證中心h廿rfsasannanetc~華束北地區(qū)舟絡中心認證中心htIp:,armtechCll的。在某用戶表l:登錄政府網(wǎng)站并退出后,我們一般認為用戶活動已停止。但是,瀏覽器C00kie記錄中該用戶的信息仍然保留,其它用戶有可能直接能用這些信息再次登錄而發(fā)生張冠李戴的現(xiàn)象。因此,用戶安全登錄與退出需要有更加完善的措施,才能避免這種情況的發(fā)生。針

8、對上述案例,我們認為目前政務系統(tǒng)存在較普遍的認證安全缺陷,即身份無法得到保障的問題。四,解決措施其實,對電子政務系統(tǒng)身份認證已有成熟技術可以應用,通過采用PKISSL技術就能有效解決以上問題。(一)PKI系統(tǒng)PKI是一種安全技術,它由公開密鑰密碼技術、數(shù)字證書、證書發(fā)放機構(CA)和關于公開密鑰的安全策略等部分組成。PKI是利用公鑰技術實現(xiàn)電子商務安全的一種體系。從某種意義上講,PKI包含了安全認證系統(tǒng),即安全認證系統(tǒng)一CA/RA系統(tǒng)是

9、PKI不可缺的組成部分。PKI(PublicKeyInfrastructure)公鑰基礎設施是提供公鑰加密和數(shù)字簽名服務的系統(tǒng)或平臺,目的是為了管理密鑰和證書。一個機構通過采用PKI框架管理密鑰和證書可以建立一個安全的網(wǎng)絡環(huán)境。PKI主要包括四個部分:X509格式的證書(X509V3)和證書廢止列表CRL(X509V2),CA/RA操作協(xié)議,CA管理協(xié)議,CA政策制定。目前,較少電子政務系統(tǒng)利用PKI作為安全手段,95%以上的政府電子政

10、務系統(tǒng)未注冊CA證書,包括第十屆98貿洽會的官方報名主頁上也未見PKI的影子。網(wǎng)上調查到的CA認證中心如表l所示。(二)SSL加密傳輸協(xié)議CA認證中心名稱及地址表安全套接層協(xié)議(SSL,SecuritYSocketLayer)是網(wǎng)景(Netscape)公司提出的基于wEB應用的安全協(xié)議,它包括:服務器認證、客戶認證(可選)、ssL鏈路上的數(shù)據(jù)完整性和ssL鏈路上的數(shù)據(jù)保密性,主要采用公開密鑰體制和X509數(shù)字證書技術來提供安全性保證。對

11、于電子政務應用來說,SSL可保證信息的真實性、完整性和保密性。部署SSL證書,是為了保證從用戶瀏覽器上在線填寫的信息在提交到申報系統(tǒng)的服務器的網(wǎng)絡傳輸過程中能實現(xiàn)信息加密傳輸,以防非法竊取和篡改,因為無論是個人用戶和企業(yè)用戶在電子政務服務平臺在線填寫的信息絕對是機密信息,如果不部署SSL證書,則非常容易被非法竊取和篡改。為什么電子政務服務平臺必須部署全球通用的SSL數(shù)字證書因為只有全球通用的ssL證書才支持所有瀏覽器,不會在用戶每次使用

12、電子政務服務平臺時瀏覽器出現(xiàn)安全問題提示,可方便用戶隨時隨地使用電子政務服務平臺。五,結語以上簡單分析了電子政務系統(tǒng)的安全問題,并提出了相應的解決措施。作者認為,要真正解決電子政務安全問題,應采用客戶端數(shù)字證書來實現(xiàn)用戶登錄電子政務服務平臺的身份認證,取代毫無安全性的用戶名/密碼方式身份認證方式,從而實現(xiàn)從客戶端到服務器端全程電子政務服務平臺的信息安全。參考文獻:[1]張世永,《網(wǎng)絡安全原理與應甩》,科學出版社,20055[2]Micr

13、osoft,《網(wǎng)絡基本架構的實現(xiàn)與管理》,高等教育出版社,20058[5】汪寅,《電子政府對公民政治參與的影響》[J】國家行政學院學報,2000,(6):55—57維普資訊圜凰旦盛電子政務平臺的認證安全缺陷與對策摘要:電子政務系統(tǒng)在政府工作中發(fā)揮了越來越重要的作用,一些不安全的因素也隨即而來。文中主要分析了相關案例的安全缺陷,并提出采廂PK1SSL數(shù)字認證的解決措施。關鍵詞:電子政務;安全缺陷;數(shù)字認證一、前言隨著計算機信息技術的飛速發(fā)

14、展,電子政務系統(tǒng)在政府實際工作中發(fā)揮了越來越重要的作用。可以不夸張地說,現(xiàn)在如果缺少了信息技術這一自動化辦公手段,或者因為安全問題電子政務系統(tǒng)不能正常運行,大量的政府部門將無法正常工作,會給政府工作帶來嚴重影響。因此,研究解決電子政務安全問題具有十分重要的意義。二,電子政務不安全因素案例(一)案例一:A公司收到一封電子郵件,署名為B單位(政府部門)邀請其參加該單位主辦的大型經貿交易會并給了一個網(wǎng)址,要求其填寫公司相關信息。A公司業(yè)務員于

15、是進入該頁面,發(fā)現(xiàn)與平日的頁面一致,并彈出一個用戶信息填寫頁面,里面含公司賬戶信息等填寫框,于是逐項填寫。1日后公司發(fā)現(xiàn)賬戶被一劃而空,而B單位回復并未發(fā)類似邀請函,再查該郵件所鏈地址并非B單位的電子政務網(wǎng)址。(二)案例二:某單位的電子政務系統(tǒng)上突然出現(xiàn)某合法用戶在大肆宣傳反動言論,經查是該合法用戶所在的網(wǎng)絡上有反動組織的成員在偵聽數(shù)據(jù)包,并獲取了該用戶的賬戶信息。(三)案例三:一間辦公室里多位辦事人員而電腦只有一臺,用戶均反映容易出現(xiàn)

16、信息發(fā)布時張冠李戴的現(xiàn)象,起因是換用戶時未安全退出。三、案例分析(一)案例一分析案例一中非法網(wǎng)站代替合法網(wǎng)站騙取用戶信息,這種現(xiàn)象有愈演愈烈之勢。因為用戶并非完全都有收藏合法網(wǎng)站地址的習慣,而不法份子所給的鏈接往往魚目混珠與真實地址非常相似,如:wwwgooglecom與wwwgOOglecom是否非常相似呢目前,查詢學生學歷的網(wǎng)站被相近的域名盜鏈現(xiàn)象時有發(fā)生。作為一般用戶難以及時鑒別出真假網(wǎng)站。(二)案例二分析案例二中不法份子能在一個

17、網(wǎng)絡中設置一臺偵聽主機,對廣播的信息進行封包截取。目前我國的政府信息網(wǎng)一般都是在公共平臺中搭建的,而用戶主機往往處于小區(qū)網(wǎng)、校園網(wǎng)、企業(yè)網(wǎng)中,其上傳信息其實在這些小區(qū)網(wǎng)、校園網(wǎng)、企業(yè)網(wǎng)中是文0胡海鋒(閩西職業(yè)技術學院福建龍巖)以廣播的形式傳遞的。不法份子只要略有網(wǎng)絡知識,并裝備偵聽軟件,就可以對這些信息進行竊取。(三)案例三分析公共辦公環(huán)境中,一臺機器多個用戶的情況是普遍存在名稱舟址或攆疆地址中臣金融認證中心(eFCA)ww~cFcac

18、ornCli中臣電信認征中心(CTCA~vw~sinoco!coin上矗CA中心w、mshecaCOLD廣束省電子商務認證中心w、mcranet量盤江政局電子政童全認證中心wwe1~OlDcll矗rf省電子商務認正中心wIIlIecaCOLD翻北省電子商務認證中心ww№ecacorncn北索臣者童電子商務蜜全認征中心WW1Z~~CaCe11terco111Cll重慶教字證書認證中心w、mcqcanet束北證彝交易繢CrSCOmCll北索

19、CA中心北索lf『西城區(qū)金靜大備35號夭雌lf『CA中t5(1丁CA)211941品a,index1k111中臣協(xié)卡認證律無儡CA分中心江蘇省無儡lf『暮康CA認證中心httpfstaticshco~calcahtml福建CA認遷中心wm日cac∞Cli!缺CA認證中心h廿rfsasannanetc~華束北地區(qū)舟絡中心認證中心htIp:,armtechCll的。在某用戶表l:登錄政府網(wǎng)站并退出后,我們一般認為用戶活動已停止。但是,瀏覽器

20、C00kie記錄中該用戶的信息仍然保留,其它用戶有可能直接能用這些信息再次登錄而發(fā)生張冠李戴的現(xiàn)象。因此,用戶安全登錄與退出需要有更加完善的措施,才能避免這種情況的發(fā)生。針對上述案例,我們認為目前政務系統(tǒng)存在較普遍的認證安全缺陷,即身份無法得到保障的問題。四,解決措施其實,對電子政務系統(tǒng)身份認證已有成熟技術可以應用,通過采用PKISSL技術就能有效解決以上問題。(一)PKI系統(tǒng)PKI是一種安全技術,它由公開密鑰密碼技術、數(shù)字證書、證書發(fā)

21、放機構(CA)和關于公開密鑰的安全策略等部分組成。PKI是利用公鑰技術實現(xiàn)電子商務安全的一種體系。從某種意義上講,PKI包含了安全認證系統(tǒng),即安全認證系統(tǒng)一CA/RA系統(tǒng)是PKI不可缺的組成部分。PKI(PublicKeyInfrastructure)公鑰基礎設施是提供公鑰加密和數(shù)字簽名服務的系統(tǒng)或平臺,目的是為了管理密鑰和證書。一個機構通過采用PKI框架管理密鑰和證書可以建立一個安全的網(wǎng)絡環(huán)境。PKI主要包括四個部分:X509格式的證

22、書(X509V3)和證書廢止列表CRL(X509V2),CA/RA操作協(xié)議,CA管理協(xié)議,CA政策制定。目前,較少電子政務系統(tǒng)利用PKI作為安全手段,95%以上的政府電子政務系統(tǒng)未注冊CA證書,包括第十屆98貿洽會的官方報名主頁上也未見PKI的影子。網(wǎng)上調查到的CA認證中心如表l所示。(二)SSL加密傳輸協(xié)議CA認證中心名稱及地址表安全套接層協(xié)議(SSL,SecuritYSocketLayer)是網(wǎng)景(Netscape)公司提出的基于w

23、EB應用的安全協(xié)議,它包括:服務器認證、客戶認證(可選)、ssL鏈路上的數(shù)據(jù)完整性和ssL鏈路上的數(shù)據(jù)保密性,主要采用公開密鑰體制和X509數(shù)字證書技術來提供安全性保證。對于電子政務應用來說,SSL可保證信息的真實性、完整性和保密性。部署SSL證書,是為了保證從用戶瀏覽器上在線填寫的信息在提交到申報系統(tǒng)的服務器的網(wǎng)絡傳輸過程中能實現(xiàn)信息加密傳輸,以防非法竊取和篡改,因為無論是個人用戶和企業(yè)用戶在電子政務服務平臺在線填寫的信息絕對是機密信

24、息,如果不部署SSL證書,則非常容易被非法竊取和篡改。為什么電子政務服務平臺必須部署全球通用的SSL數(shù)字證書因為只有全球通用的ssL證書才支持所有瀏覽器,不會在用戶每次使用電子政務服務平臺時瀏覽器出現(xiàn)安全問題提示,可方便用戶隨時隨地使用電子政務服務平臺。五,結語以上簡單分析了電子政務系統(tǒng)的安全問題,并提出了相應的解決措施。作者認為,要真正解決電子政務安全問題,應采用客戶端數(shù)字證書來實現(xiàn)用戶登錄電子政務服務平臺的身份認證,取代毫無安全性的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論