PKI技术如何应用于“互联网+政务服务”技术体系建设

1月12日，国务院办公厅印发“互联网+政务服务”技术体系建设指南(以下简称《建设指南》)，总体目标是在2017年底前普遍建成网上政务服务平台，2020年底前建成覆盖全国的整体联动、部门协同、省级统筹、一网办理的“互联网+政务服务”技术和服务体系。

PKI技术是保障互联网安全与信任的基础安全设施，在互联网环境下保证数据机密性、数据完整性、身份真实性和行为不可否认性，应用于互联网+政务技术体系中，可实现互联网通信数据加密、数字签名和身份认证，加强数据互联互通的安全性、建成网上统一身份认证体系、建立电子政务电子签名应用体系，可深入应用于关键保障技术体系，加强“互联网+政务服务”重点任务建设。

1.全面部署SSL证书，保障数据传输安全

“互联网+政务服务”技术体系的建设目标是，在2017年底前各省(区、市)人民政府、国务院有关部门普遍建成网上政务服务平台。届时政务服务的便捷性将大大增强，但安全性也将面临巨大考验。《建设指南》要求安全保障体系要与“互联网+政务服务”应用系统同步建设，在数据安全方面必须“保障数据网络传输安全”。

基于PKI技术的服务器SSL证书，可用于保障数据网络传输安全，确保网络通信数据的机密性和完整性，通过HTTPS加密保护政务服务平台中的公民敏感数据免遭中间人窃听、篡改;同时验证服务器身份真实性，确保数据传输到正确的服务器端，免遭假冒服务器拦截。全面部署SSL证书、实施全站HTTPS加密，是政务服务平台最低限度的安全要求，如果这一层基础安全防护没有及时实施，将成为政务服务平台“安全木桶”中的一个巨大缺口，危及政务平台数据安全。

为加强政务服务平台安全、保障数据网络传输安全，英美两国均出台安全公告，强制要求政府对外公共服务网站，在2016年底前实施全站HTTPS加密。截至2017年1月7日，70%的美国政府网站实现了全站HTTPS加密。

然而，目前我国政府网站的SSL证书部署情况仍然令人担忧。截至2016年7月，沃通CA针对已解析到gov.cn的68029个政府网站进行的统计分析显示，近90%的政府网站尚未部署SSL证书，4%的政府网站部署了非常不安全的自签名证书，5.6%的政府网站证书已过期或无效，仅1.7%的政府网站部署了有效的SSL证书。希望2017年底前，各级有关部门能够响应《建设指南》要求，完成网上政务服务平台建设的同时，部署HTTPS加密保障数据网络传输安全。

2.建成网上统一身份认证体系

用户忘记密码、丢失密码、设置弱口令密码等个人因素，及密码库遭“撞库”攻击造成泄露等客观因素，都使得密码认证登录方式的安全性脆弱不堪。客户端证书由权威CA机构认证用户的身份证信息后签发，相当于在线身份证，可弥补密码认证登录的缺陷，实现强身份认证登录。通过数字证书+密码双重登录认证方式，可以确保用户身份真实可信，保护用户账号安全，建立基于数字证书的统一、安全、可信的互联网身份认证体系。

3.建立电子政务电子签名应用体系

《建设指南》要求网上政务服务平台材料电子化，对政务服务流转过程中形成的各类电子文件(电子证照、电子文书)进行数字签名，做到防篡改、可追溯。

使用权威CA机构签发的客户端证书对电子文件进行数字签名，可以替代电子政务所有业务中涉及的手写签名和盖章流程，数字签名后的电子文件可防篡改、可追溯签名者真实身份，数字签名附加时间戳还可追溯签名行为发生的时间。此外，由权威CA机构提供的可靠电子签名受《电子签名法》保护，与手写签名盖章具有同等法律效力，是建立有效的电子政务电子签名应用体系的重要手段，可应用于各个电子政务领域，是互联网+政务平台技术架构的重要应用支撑。

“互联网+政务服务”技术体系建设离不开PKI公钥基础设施的全面部署，加强数字证书的深入应用、保护电子政务重要服务平台的基础安全迫在眉睫。希望在国家战略层面的推动和指导下，我国将加快建立安全、可信、规范、统一的“互联网+政务服务”技术和服务体系。

沃通CA原创整理，转载请注明出处 http://www.wosign.com/News/2017-0113-01.htm