ca认证在电力行业中的应用

CA 认证在电力行业中的应用 唐志红 （北京天威诚信电子商务服务有限公司） 摘要：我国电力行业的信息化建设得到了快速的发展，解决信息化建 设过程中的信息安全问 题尤为重要，电力行业信息安全关系到国民生产的安全。本文对电力行业信息化建设的信息安全 需求进行分析，将 CA 认证 技术应用到电力行业，为电 力行业信息化建设提供法律保障的应用安 全解决方案。 关键词：信息安全 认证中心 数字证书 数字签名 1 我国电力行业信息化建设现状 我国电力行业信息化建设经历三个阶段： 20 世纪 60 年代到 80 年代初期，计算机主体是国 产 DJ5 系列小型机，主要 应用科学计 算和工程运算上； 20 世纪 80 年代中到 90 年代初期，计算机系统 在电力行业业务领域得到应用，如 电网调 度自动化、发电厂生产自动化控制系统、电力负荷控制预测、计算机辅助设计、 计算机电 力仿真系统等。同时企业开始注意开发建设管理信息的 单项应用系统； 20 世纪 90 年代中到 21 世纪初，开始有计划地开 发建设企业管理信息系统，信息技 术的 应用由操作向管理层延伸，从单机、单项目向网络化、整体化、综合性应用发展。电力行 业电子商务和电子政务的应用得到了快速的发展。 2 电力行业信息化建设的安全需求 由于互联网的广泛性、开放性和匿名性，使得基于互联网的应用存在诸多信息安全隐患，如 下图所示，包括：如何确认彼此的身份？如何保证信息通 过互联网传递时不被窃听，不 导致信息 泄漏？如何保证信息通过互联网传递时不被篡改，使信息完整 传输？如何让不能抵赖自己发送 的信息，有怎样的证据？等等。这些都是信息化建设过程中必须解决的问题。 随着电力行业信息化的快速发展，信息技术逐步渗入到 电力行业的各个领域，不再是 单一的、 独自的运行个体，需要进行大量的内部交流，和更多同行及外部之间的交流；同时不单单是行业 生产方的应用，随着网络浪潮的迅猛普及，电力行业的流通和交易也越来越多的涉及到网络化建 设。包括：发电厂自身的网络安全应用需求、配电过程中的安全应用需求以及电力交易过程中的 安全应用需求。 而且，由于电力行业本身的特殊性，使得电力公司比其它行业有着更多的和政府机关的联系， 如申报审批、网上信息监管、各种电力信息的统计和审核等等。这些信息都在不同程度上关系到 电力行业的正常运转和统筹安排，如果这些信息一旦失真或被内部人 员、不 怀好意人士、黑客和 间谍窃取将有可能导致严重的后果。因此，采取强有力的安全措施来保障电子政务的信息安全将 变得尤为重要 。 3 CA 认证技术是保障信息安全的最佳解决方案 目前，针对基于互联网应用的信息安全问题，具有一种最佳的解决方案CA 认证技术。 CA 是 Certification Authority 的缩写，叫做认证中心或 认证权威。作为权威的、可信赖的、公正的 第三方机构，CA 专门负责发 放并管理所有参与网上业务实体所需的数字证书。它作 为一个权威 机构，对 密钥进行有效地管理，颁发证书证明密钥的有效性，并将公开密钥同某一个实体联系在 一起。 CA 认证技术是基于 PKI 技术的实现。PKI 是 Public Key Infrastructure 的缩写，从字面上理 解，PKI 就是利用公钥理论和技术为网络建立提供安全服务的在线基础设施。通常，一个实用的 PKI 体系 应该是安全、易用、灵活和经济的。它所包含的认证机构（CA）、注册机构（RA）、策略管 理、密钥 （Key）与证书（Certificate）管理、密钥备份与恢复、撤销系统等功能模块应该有机地结合 PKI/CA 在电力行业中的应用 第 3 页 2018/8/28 在一起。PKI 技术是互联网信息安全技术的核心，也是 电子商务和电子政务的关键和基础技术。 举个例子，如现实中的电力基础设施，它提供的服务是电能，任何电器（电灯、 电视等等）都是电 力系统的一些应用。PKI 作为网络安全的基础设施，为各种网络应用提供安全服务。 PKI 的核心是信任关系的管理。第三方信任和直接信任是所有网络安全产品实现的基础。所 谓第三方信任是指两个人可以通过第三方间接地达到彼此信任。当两个陌生人都和同一个第三 方彼此信任并且第三方也担保他们的可信度时，这 两个陌生人就可以做到彼此信任。在任何大 规 模的网络里，基于第三方的信任是必要并且有效的。当在很多人中建立第三方信任时，就需要有 一个权威中心来确保信任度。 CA 就是这样一个确保信任度的权威实体，它的主要 职责是颁发证书、 验证用户身份的真实 性。我们 可以把 CA 看成是一个国家的护照签发中心。 护照是由权威中心（护照签发中心）颁发的 一种安全文件，它是护照持有者的一种纸质身份证 明，任何信任 该国护照签发中心的其他国家也 会信任该国护照签发中心所签发的护照。 由 CA 签发的网络用户电子身份证明数字证书，就像护照一样，任何相信 该 CA 的人， 按照第三方信任原则，也都应当相信持有证明的该 用户。当然，就像护照需要防伪一样， CA 也要 采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有 较强安全性的 CA 是至关 重要的，这不仅与密码学有关系，而且与整个 PKI 系统的构架和模型有关。此外，灵活性也是 CA 能否得到市场认同的一个关键，它必须支持各种通用的国 际标准，能 够很好地和其他厂家的 CA 产品兼容。 CA 所签发的数字证书是网络世界中的身份证，利用数字 证书能够进行身份认证和数字签名， 其持有者在网络上的操作具有不可抵赖性，不仅保 证了操作的可靠性，而且 为事后追踪、明确责 任和解决纠纷提供了依据。 4 法律环境的建立为 CA 认证技术的应用提供了法律支持 从 2005 年 4 月 1 日起中华人民共和国电子签名法开始正式施行， 这是一部被誉为中国信 息化领域的第一部法律。它的实施为电子商务和电 子政务的发展打造了一个良好的法律环境。 电子签名法通过确立电子签名法律效力、规范电 子签名行为在法律制度上保障了电子商务和 电子政务应用的安全，是中国信息化立法的一个突破。 电子签名法的出台将很好解决了网络环境中的身份认证、信息传输机密性和完整性以及 抗抵赖性等系列问题。使用电子签名之后，按照目前的技术手段，其加密技术极难破解，无法伪 造，因而黑客无法破译。因此我们可以说电子签名法的实施将大大增强网上应用系统的安全性， 提高企业运作效率。 CA 认证技术是电子签名法最为认可、技 术最成熟和使用最普遍的一种技术手段，所有 这 些电子签名应用后的优越功能，势必会给电子商务 和电子政务安全建设带来新一轮的高潮。同 时， 电子签名法的出台，为了 CA 认证技术的应用提供了强有力的法律保障，将极大的促 进 CA 认证 技术在各行各业的应用和推广。 5 为电力行业定制的应用安全解决方案 针对电力行业信息化建设面临的诸多信息安全隐患，基于 CA 认证技术的、易于 实施的、完 善的应用安全解决方案如图。 6 CA 认证技术在电力行业的应用规划 CA 认证技术将在电力行业信息化建设过程中得到广泛的应用： （1）安全电子邮件应用 对于电力行业信息化建设来说，很多企业都有自己的 电子邮件系统，通 过电子邮件系统，发 送电子邮件。随着电子邮件服务的应用推广和普及，不可避免地涉及到敏感数据的保密 问题，如 法律文件、重要通知、研究报告和电力价格信息等， 邮件信息的保密性、完整性、真实性和不可抵 赖性成为人们关注的焦点。传统的电子邮件服务缺乏 强有力的安全机制作保障，使得信息在互 联 网上传递时很容易泄漏或被篡改，无形中给用户带 来不可估量的损失。 PKI/CA 在电力行业中的应用 第 5 页 2018/8/28 而利用为电力行业建设的 PKI/CA 平台，为用户颁发 的数字证书，可以解决 电子邮件的安全 问题。电 子邮件用户 PKI/CA 平台申请安全电子邮 件证书，使用数字 证书来发送加密和签名邮件， 保证在网上传输时，邮件是加密传输的，非法用户无法通过公开的互联网获取邮件的明文，同时， 邮件是经过发送方签名的，邮件接收方可以通过签 名验证，判断 邮件的发送方的身份，并判断邮 件在发送过程中是完整的，发送方不能对发送的邮 件进行抵赖，从而 实现了电子邮件传输的安全 需求。 （2）网上申报与审批系统安全应用 电力行业电子政务和电子商务应用都具有各种网上申报与审批业务，如进行行政、 财务和人 事申报与审批等，是电力行业的重要办公业务，在网上传输的申报与审批数据都是一些非常敏感 的数据，因此需要实现网上申报与审批业务系统的身份 认证和访问控制，需要 实现数据传输的机 密性、完整性和抗抵赖性等安全需求。 CA 认证技术的应用可以解决网上申报与审批业务的安全需求。通 过电力行业 PKI/CA 平台， 为参与该业务的用户颁发数字证书，作为访问网上申 报与审批的唯一的身份。用 户访问业务系统 时使用数字证书进行登录，系统通过验证用户的证书 ，来判断用 户的身份，并给予相应的访问授 权；在用户进行申报与审批时，使用数字证书，对申报与审批数据进行加密、签名传输。从而可以 实现网上申报与审批的身份认证和访问控制，以及数据 传输的机密性、完整性和抗抵 赖性需求。 （3）网上信息发布系统安全应用 在使用电力行业电子政务系统或电子商务系统进行网上公告、通知和信息 发布时，需要知道 访问者的真实身份，需要查看访问者是否具有发布的 权限，以防止某些非法用 户假冒领导、企业 或用户发布公告、通知和信息。同时，网上公告、通知和信息的发布本身还应该具有相应的法律 责任或工作责任，因此，发布者不能随意进行发布， 查看公告、通知和信息的用户能够通过某种 方式判断相关信息的确是某个用户发布的，如的确是某个 领导做的批示，的确是相关 单位发布的 公告等，因此，需要保证发布的信息的完整性和抗抵赖性需求。 CA 认证技术的应用可以解决网上发布信息的安全需求。通 过电力行业 PKI/CA 平台，为信 息发布者颁发数字证书。信息发布者访问业务系统时 使用数字证书进行登录，系 统通过验证用户 的证书，来判断用户的身份，并给予相应的信息发布的授权。在进行信息发布时，使用 发布者的 数字证书， 发布的信息进行数字签名，信息查看者可以通过验证发布信息的数字签名，来判断信 息的确是相应的用户发布的，并且发布的信息是真 实的、完整的和抗抵 赖的。从而实现电力行业 网上公告、通知和信息发布的安全需求。 （4）网上电子公文流程安全应用 电子公文流转也是电力行业开展网上办公的重要组成部分， 电力行业会利用网上办公平台 流转各种电子公文或通知，而这些电子公文或通知都需要通 过各种部门或各级领导的审批和签 字。通常，电子公文都是一些 Word 文档，在互联网上传输存在很多安全隐患，包括： 发文者与收 文者相互不见面，无法确定对方身份的真实性；不能确保 电子公文在传输过程中不被第三方窃取； 不能确保电子公文在传输过程中不被第三方窃取并篡改；无确凿的证据证实发文者确实发送过 某公文，发文者可能对已发过的信息进行抵赖。 北京天威诚信提供了一种对文档数字签章的产品数字签章产品，结合为电力行业建设 的 PKI/CA 平台，能 够在 Word 文档上生成和传统相似的图形公章和私章，具有很高的易用性。 使用该产品能够快捷、有效地解决了电子文档在公文流 转过程中的身份认证、 领导批示、电子公 文传输的完整性等安全问题。 （5）电力行业电子政务安全应用 通过 PKI/CA 平台，为电力行 业各环节职能部门颁发 数字证书，在各自不同的 电子政务应用 平台中使用数字证书，保障电力行业电子政务应用系 统的信息安全需求。 在不同电子政务应用系统中，如网上办公、网上申报审批、政务公文流转、网上年检等，用户 登录电子政务系统时，通过验证电子政务系统配置的服 务器证书来验证系统的身份，然后提交用 户的证书让系统验证用户的真实身份，完成用户和 应用系统的双向认证；根据用户身份给予相应 授权，实现访问控制，并建立安全通道；用户提交办公数据和相应保密信息时，使用用户证书对 数据进行数字签名，并通过安全通道进行加密传输 ，达到 传输数据时的机密性和完整性。 （6）电力行业电子