论文部分内容阅读
电子检务是指检察机关以信息网络技术为支撑开展的检务活动,是我国电子政务的一个重要组成部分。电子检务网络是一个基于TCP/IP协议通过检察专线网连结全国3500多个检察院局域网而成的业务专网。由于检察业务专网自身的开放性使应用系统和信息安全极易受到攻击,这给电子检务应用带来了很大的威胁。为电子检务应用提供安全保障,实现安全的电子检务,成为目前电子检务发展需要解决的重要课题。
电子检务的安全目标是使电子检务的信息基础设施、信息应用服务和信息内容能够抵御各种安全威胁,涉及到物理级、网络级、系统级和应用级四个层次,包括网络隔离、加密、安全检测与监控、安全审计、防病毒、访问控制、身份认证、数据备份与恢复、安全管理等内容。
本论文重点研究如何解决电子检务的应用层安全问题。综合应用现有安全技术,基于J2EE平台,对电子检务应用系统中信息的保密性、完整性、真实性、可用性和可控性等方面进行了研究,主要对身份认证、访问控制、权限管理、日志审计、数据加密、数字签名等方面进行了研究,主要包括:
1.用户认证研究:在基于表单认证的方式上增加一次性口令认证技术,并且在密码存储时以存储用户密码消息摘要替代密码本身,从而达到防攻击和保密的目的;
2.用户权限管理研究:应用MVC、Role模式,结合应用系统的功能模块,提出了“操作约定码”的概念,实现统一管理和细粒度的访问控制;
3.应用层日志审计研究:应用JSP的过滤器技术实现应用层日志审计,使得应用层日志管理与应用系统自身融合在一起;
4.数字签名研究:基于公钥基础设施(PKI)实现数字签名在电子检务中的应用。