PKI撑起“保护伞”

作者：杨永燕  2007-11-02

内容导航：

建立公钥基础设施可以有效保...

第1页： 建立公钥基础设施可以有效保障电子政...

文本Tag: 行业观察 CIO天地 案列研究 信息化 金融业

 

 

    建立公钥基础设施可以有效保障电子政务的安全运行，而设立政府CIO将有利于促进这一机制的建立和实施。

    “安全问题是制约我国电子政务发展的主要问题之一。”清华大学公共管理学院副院长、博士生导师孟庆国教授认为，要想加强电子政务的安全性，除了加强对硬件、软件和管理上的安全措施外，还要加强对公众的安全教育。

    1997年获得清华大学工学博士学位后，孟庆国进入清华大学管理科学与工程流动站继续从事博士后研究工作，1999年底博士后出站后留在清华大学公共管理学院从事电子政务方面的教学与科研工作。2001年起，他先后担任清华大学文科处副处长、浙江省嵊州市人民政府副市长等职，并于2003年～ 2004年在哈佛大学肯尼迪学院做访问学者。

    孟庆国长期关注并研究电子政务，曾先后撰文指出影响我国电子政务发展的一个重要瓶颈，是当前政府条块分割的管理模式，导致电子政务如同戴着镣铐在跳舞。他认为，建立公钥基础设施（PKI）机制是保障电子政务安全性的一条重要途径，也是未来电子政务建设与发展的重要内容。

    CIO INSIGHT杂志社记者采访了孟庆国，与他就如何更有效地确保电子政务的安全性这一话题进行了深入交流。

    CIOI：目前我国电子政务的安全性处于什么阶段？情况怎么样呢？

    孟庆国：我国的电子政务是一个由内网（包括核心数据层和办公业务层）、外网（公众服务层）和互联网（数据交换层）三级网络构成的庞大的信息系统，如此复杂的应用环境给整个系统带来了大量潜在的安全隐患。自2005年起，国信办就开展了电子政务信息安全工作，在广东、河南、天津、重庆4个省市开展了试点，自此开始从国家层面上开始探索不同业务模式下电子政务的信息安全保障方法。但是，由于我国电子政务建设至今还缺乏统一的安全规范和实施标准，各级政府及各部门的电子政务安全建设始终处于一个各自为政的状态，所以，从整体上看，我国电子政务的安全性建设还处于一个比较初级的阶段，还有很长的路要走。

    电子政务的安全性主要表现在哪些方面？

    电子政务的安全性问题，主要是指三个方面：电子政务平台硬件系统的安全性、软件系统的安全性，以及应用过程中一些管理层面的安全性。硬件的安全性主要是指硬件本身的可靠性、所处环境的安全性等。它们是影响电子政务安全比较基础性的因素，如果支撑电子政务运转的硬件不可靠，则容易导致系统的瘫痪或数据的损失，或者处在一个容易受到各类灾害破坏的环境中，电子政务的安全会面临严重威胁；第二个方面是指软件系统的安全性。由于一些电子政务软件系统开发水平不高，导致操作平台存在弱点或漏洞，容易受到病毒、网络黑客等破坏，主机被攻破的威胁较大；第三个方面是管理上的安全性。在电子政务应用中，需要有一个规范的安全管理体系和保障机制，这就是指管理层面的安全性问题，如保障电子政务系统安全运行的维护管理、文档资料管理、机房安全管理、病毒防治管理、安全等级保护等。

    像上面这些安全性问题的存在，给电子政务带来了相当大的潜在威胁，从某种意义上说，如果解决了这些问题，那么电子政务的安全性将有很大程度的提高。

    刚才提到了安全性给电子政务带来了潜在威胁，那么这种潜在的威胁究竟会造成什么样的后果呢？

    潜在的威胁主要有四类：一是可用性威胁，即电子政务系统的毁坏或不能使用，如硬盘等硬件的毁坏、通信线路的切断、文件管理系统的瘫痪等；二是保密性威胁，即电子政务系统被非法授权者进入，导致数据信息被窃取，或文件、程序的不正当拷贝等；三是修改威胁，即电子政务系统被非法授权者进入，或病毒、网络黑客等导致数据信息被篡改，改变程序使之不能正确执行，破坏了信息或网页的完整性等；四是伪造或冒充威胁，即非法授权者进入而导致的越权使用、冒名使用及伪造信息等。

    那么有没有一种有效的办法可以有效规避这些潜在威胁呢？

    这要从两个方面来着手规避这些安全威胁。首先，要构建电子政务技术保障体系。技术保障体系是保障电子政务安全性的重要组成部分，它又涉及到两个层面的问题：一是电子政务安全的核心技术研究与开发；二是电子政务安全产品和综合防护系统。电子政务安全的核心技术，主要包括数据加密技术和信息认证技术。电子政务安全产品和系统，包括防病毒软件、防火墙、入侵检测系统、漏洞扫描、安全审计系统、物理隔离等；其次，要构建电子政务的运行管理体系。一是制定电子政务系统的安全策略和措施，建立电子政务运行维护的管理制度。二是对电子政务硬件、软件及密钥进行安全管理，保护计算机和网络设备、设施免遭自然灾害及人为等因素的破坏，保证软件系统的完整性，防止软件丢失、被破坏、被篡改、被伪造，以及存储安全，对密钥的产生、存储、备份/恢复、装入、分配等进行有效管理。

    有一年黑客攻击了美国国防部的网站，篡改了很多重要信息，其中包括一些重要的数据信息。你认为我国政府该如何防范这种病毒和黑客给电子政务安全性带来的威胁？

    现在国内外一些政府大都采用内网和外网结合的方式实现电子政务。由于系统的外网与互联网相连，所以不管技术有多发达，防范性措施做得再好，电子政务系统在理论上都有 被攻破的可能性。所以，很多政府对一些机密或重要的电子政务系统，一般都是采取构建内网或专网的方式来实现，政府的这些内网或专网与外网之间有物理隔离，互联网上的病毒和黑客不会影响到这些内网或专网的安全。黑客攻击美国国防部网站时所篡改的主要是一些放在外部网络上的信息。

    我国电子政务建设的重要内容是为公众和企业提供网上办事服务，而有关这方面的服务事项一般会放在政府外网上。比如，网上审批、网上报税、网上登记等都是通过这个外网为公众和企业提供在线服务的。在电子政务发达的国家，70% ～ 80%的政府公共服务业务已经实现了网上办理，而我国实现的比例还很低，初步估计还不足30%。这些网上服务容易受到病毒、网络黑客的威胁。目前我国的电子政务很大一部分是政府内部业务信息系统，这些内部业务信息系统与政府公共服务外网是物理隔离的，其安全性还是有保证的。

    “目前我国电子政务建设还缺乏统一的安全规范和实施标准，各级政府及各部门的电子政务安全建设始终处于一个各自为政的状态。”

    而对构建在政府外网上的公共服务系统来说，要想防范病毒和黑客的攻击，还是需要在硬件、软件和管理机制等方面进行防范。从硬件上来讲，一般通过防火墙方式与互联网进行逻辑隔离，这种逻辑隔离可以起到一定的过滤作用，可在某种程度上防止病毒和黑客的攻击。从软件上来讲，可以安装一些防病毒、防嗅探等软件，如果有病毒或黑客攻击网络，这些软件能够自动将威胁删除。在管理方面，政府人员在使用内部网络系统的时候，原则上不要使用在外网上使用过的U盘，这样可以减少病毒袭击内部电子政务系统的几率。

    政府应该如何借助公钥基础设施机制（PKI），为电子政务提供更多的安全保障呢？

    公众或企业在用电子政务网站时，一般先需要注册登记，注册登记后授权给你一个账户和密码。但是在注册登记过程中如何确认其身份的真实性是电子政务安全必须解决的问题之一。建立PKI机制可能是解决这一问题的重要途径和方式。PKI是公钥基础设施(Public Keylnfrastructure)的简称，是一个用非对称密码算法原理和技术来实现并提供安全服务的、具有通用性的安全基础设施。在电子政务的建设中，PKI实际上是提供了一整套的、遵循标准的密钥管理基础平台。用户可以利用PKI平台进行安全通信，因为PKI能够为需要密码服务的电子政务系统提供所必需的密钥和证书管理。PKI包括：一整套的数字签名和加密技术，一个在地理上合理分布的、有相当数量的证书管理机构，以及一个将发方、收方和证书管理机构囊括在内的数据通信网络（包括软、硬件设备）。建立这样一个公钥基础设施，显然不仅需要投入大量的人力、物力和财力，而且与整个电子政务的安全和有效运转息息相关。由于电子政务的建设均有赖于数字签名的实现，PKI的重要性是显而易见的。

    国内政府机关要想实现PKI的广泛应用，大概还需要多长时间？

    这肯定是一个长期的过程。现在有一些重要的政府经济管理部门，已经开始建设和使用PKI。比如，中国人民银行就专门成立了一个中国金融认证中心，已经为大量企业进行了数字认证，这些企业已在一些电子政务系统或电子商务中使用它们的数字证书和数字签名。而政府公共服务部门的信息化建设中，数字认证做的还不多，主要原因可能是目前国内PKI还比较薄弱，我们初步估计至少要5年甚至更长的时间才能在更广泛的范围和层面上推广PKI应用。

    政府需要通过哪些措施，才能进一步推广PKI的应用呢？

    PKI作为重要的信息基础设施，是电子政务的重要内容，它能够给电子政务带来有效的安全保障。建设PKI的主要目的是加强电子证书和密钥的管理工作，控制交易的风险，从而推动电子政务的发展。首先，对于各级政府部门来讲，应该对PKI有一个比较明晰的认识，要充分认识它的价值和重要性，包括社会上的每个人、每个单位、每个企业都要认同它的作用和意义。信息化主管部门应该制定相关措施和机制，加大对PKI的宣传。其次，除了技术之外，在法律和制度层面上，国家应该进行立法，出台相关的法规确保数字证书应该具有的法律地位，使数字证书和数字签名的使用在法律层面上确定下来。

    安全问题是电子文档管理的重点，政府如何来加强文档管理的安全性呢？

    文档管理的安全性主要是指保证文档的真实性、保密性、完整性、可鉴别性等。首先，电子化文档是电子政务操作或传送的重要信息形式，其内容的真实性将直接关系到政府、企业、个人的利益和声誉。试想，如果政府的灾情、疫情电子文档出现差错，那么，极有可能引发严重问题。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证政务文档信息在确定的时刻、确定的地点都是真实有效的。其次，电子政务的文档信息直接代表着政府、个人和企业的机密。例如，很多网上登记，所传输的信息都是企业或个人的信息，必须保证其机密性，维护信息的机密性是电子政务全面推广应用的重要保障，要预防非法的信息存取和信息在传输过程中被非法窃取。第三，电子政务提高了文档的传递和处理效率，同时也带来维护文档信息的完整、统一的问题，保持政务文档信息的完整性是电子政务应用的基础。比如统计部门网上采集关系国计民生的数据文档，如果其完整性得不到保证，信息出现差错，那么，将最终影响政府做出正确的决策，其严重性可想而知。因此，要预防对文档信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并保证文档传送次序的统一。最后，电子政务直接关系企业和个人的利益，如何确定网上的行为对象正是所期望的管理对象这一问题则是保证电子政务顺利进行的关键。像税务系统正在实施的金税工程，如何确定纳税人的身份，如何确保企业不对网上下达的催税通知加以抵赖，都是十分重要的问题。因此，要在文档信息的传输过程中为参与政务的个人、企业或国家提供可靠的身份识别机制，如借助PKI进行数字签名是一种有效的识别手段，可以对行为对象的身份进行核实和确认。

    当前设立政府CIO成为电子政务的一个热门话题，你觉得设立政府CIO对推动电子政务的安全性能起到哪些作用？

    政府CIO制度是西方国家建设电子政务时提出来并成功实践的，主要是希望借助这一制度打破政府部门之间的信息壁垒，使各部门之间的信息实现共享。从西方国家电子政务的成功经验来看，政府CIO制度是推动政府信息化和电子政务建设的一个非常有效的管理机制和运作模式，对于加强电子政务的安全性也有重要作用。有了CIO制度，有利于在各级政府部门构建统一的电子政务安全标准和管理体系，从这个意义上来讲，我们认为政府CIO制度对保证电子政务的安全方面能够起到较大的作用。这包括几个方面：首先，CIO制度很容易保障在政府部门统一推广PKI机制；其次，CIO制度有利于构建电子政务统一的软硬件技术标准、统一的安全管理体系和规范。因为目前我国各级政府部门电子政务的建设受到了职能条块分割的极大制约，而政府CIO制度恰巧可以在一定程度上规避这种条块分割模式所带来的信息孤岛与信息安全问题，使电子政务的安全性更有保证。

    “PKI作为重要的信息基础设施，是电子政务的重要内容，它能够给电子政务带来有效的安全保障。”

    除了建立PKI和构建统一的安全标准外，是否还需要加强公众对电子政务安全意识的培训？

    是的。因为从需求角度来讲，电子政务牵涉到的使用者特别广泛，既包括政府的工作人员，也包括公众和企业经营人员。所以电子政务的安全是和整个社会紧密相关的。如果整个社会没有一个好的安全意识的话，电子政务本身做得再完善，它也不会是一片净土，同样会存在各种各样的安全问题。所以，除了建立电子政务安全技术体系和安全管理机制之外，对公众进行电子政务安全意识教育是非常关键的。教育和培训的主要内容，包括信息安全观念培训、安全技术培训、安全管理培训等。最基础的部分应该是信息安全素养教育，面向所有社会成员的，通过课程、讲座、宣传等多种形式，让每一个人都具备必要的安全意识和常规的信息安全知识等。

转自《CIO Insight》

 

1

1

【内容导航】 第1页： 建立公钥基础设施可以有效保障电子政...

©版权所有。未经许可，不得转载。

[责任编辑：谢红霞]