>>设为首页 >>加入收藏
首页|特写|管理|案例|调研|声音|技术|读书|CIO言论|前瞻|IT新闻|电子杂志|论坛|博客|在线会议|会议活动 支点网
文章在线搜索
关键字:
会议活动 Conference activities
·2008证券信息化峰会
在中国证券的发展史上,2006、2007绝对是独领风骚的两年。在这两年中,不仅...
·首届中美CIO峰会
最新文章 News Article
·走向前瞻型企业(之二)
·走向前瞻型企业(之一)
·做个随需应变的CIO
·全民参与
·全面掌控
·凯明CEO证实资金链断裂
在线调查 Online Survey
论坛新贴 BBS News
记者博客 Reporter BLOG
 
当前位置:首页 >> 声音
PKI撑起“保护伞”
作者:杨永燕 发表时间:2007-9-23
  建立公钥基础设施可以有效保障电子政务的安全运行,而设立政府CIO将有利于促进这一机制的建立和实施。

孟庆国 先生


  “安全问题是制约我国电子政务发展的主要问题之一。”清华大学公共管理学院副院长、博士生导师孟庆国教授认为,要想加强电子政务的安全性,除了加强对硬件、软件和管理上的安全措施外,还要加强对公众的安全教育。1997年获得清华大学工学博士学位后,孟庆国进入清华大学管理科学与工程流动站继续从事博士后研究工作,1999年底博士后出站后留在清华大学公共管理学院从事电子政务方面的教学与科研工作。2001年起,他先后担任清华大学文科处副处长、浙江省嵊州市人民政府副市长等职,并于2003年~2004年在哈佛大学肯尼迪学院做访问学者。
  
  孟庆国长期关注并研究电子政务,曾先后撰文指出影响我国电子政务发展的一个重要瓶颈,是当前政府条块分割的管理模式,导致电子政务如同戴着镣铐在跳舞。他认为,建立公钥基础设施(PKI)机制是保障电子政务安全性的一条重要途径,也是未来电子政务建设与发展的重要内容。
  
  CIOINSIGHT杂志社记者采访了孟庆国,与他就如何更有效地确保电子政务的安全性这一话题进行了深入交流。
  
  目前我国电子政务的安全性处于什么阶段?情况怎么样呢?
  
  孟庆国:我国的电子政务是一个由内网(包括核心数据层和办公业务层)、外网(公众服务层)和互联网(数据交换层)三级网络构成的庞大的信息系统,如此复杂的应用环境给整个系统带来了大量潜在的安全隐患。自2005年起,国信办就开展了电子政务信息安全工作,在广东、河南、天津、重庆4个省市开展了试点,自此开始从国家层面上开始探索不同业务模式下电子政务的信息安全保障方法。但是,由于我国电子政务建设至今还缺乏统一的安全规范和实施标准,各级政府及各部门的电子政务安全建设始终处于一个各自为政的状态,所以,从整体上看,我国电子政务的安全性建设还处于一个比较初级的阶段,还有很长的路要走。
  
  电子政务的安全性主要表现在哪些方面?
  
  电子政务的安全性问题,主要是指三个方面:电子政务平台硬件系统的安全性、软件系统的安全性,以及应用过程中一些管理层面的安全性。硬件的安全性主要是指硬件本身的可靠性、所处环境的安全性等。它们是影响电子政务安全比较基础性的因素,如果支撑电子政务运转的硬件不可靠,则容易导致系统的瘫痪或数据的损失,或者处在一个容易受到各类灾害破坏的环境中,电子政务的安全会面临严重威胁;第二个方面是指软件系统的安全性。由于一些电子政务软件系统开发水平不高,导致操作平台存在弱点或漏洞,容易受到病毒、网络黑客等破坏,主机被攻破的威胁较大;第三个方面是管理上的安全性。在电子政务应用中,需要有一个规范的安全管理体系和保障机制,这就是指管理层面的安全性问题,如保障电子政务系统安全运行的维护管理、文档资料管理、机房安全管理、病毒防治管理、安全等级保护等。
  
  像上面这些安全性问题的存在,给电子政务带来了相当大的潜在威胁,从某种意义上说,如果解决了这些问题,那么电子政务的安全性将有很大程度的提高。刚才提到了安全性给电子政务带来了潜在威胁,那么这种潜在的威胁究竟会造成什么样的后果呢?
  
  潜在的威胁主要有四类:一是可用性威胁,即电子政务系统的毁坏或不能使用,如硬盘等硬件的毁坏、通信线路的切断、文件管理系统的瘫痪等;二是保密性威胁,即电子政务系统被非法授权者进入,导致数据信息被窃取,或文件、程序的不正当拷贝等;三是修改威胁,即电子政务系统被非法授权者进入,或病毒、网络黑客等导致数据信息被篡改,改变程序使之不能正确执行,破坏了信息或网页的完整性等;四是伪造或冒充威胁,即非法授权者进入而导致的越权使用、冒名使用及伪造信息等。
  
  那么有没有一种有效的办法可以有效规避这些潜在威胁呢?
  
  这要从两个方面来着手规避这些安全威胁。首先,要构建电子政务技术保障体系。技术保障体系是保障电子政务安全性的重要组成部分,它又涉及到两个层面的问题:一是电子政务安全的核心技术研究与开发;二是电子政务安全产品和综合防护系统。电子政务安全的核心技术,主要包括数据加密技术和信息认证技术。电子政务安全产品和系统,包括防病毒软件、防火墙、入侵检测系统、漏洞扫描、安全审计系统、物理隔离等;其次,要构建电子政务的运行管理体系。一是制定电子政务系统的安全策略和措施,建立电子政务运行维护的管理制度。二是对电子政务硬件、软件及密钥进行安全管理,保护计算机和网络设备、设施免遭自然灾害及人为等因素的破坏,保证软件系统的完整性,防止软件丢失、被破坏、被篡改、被伪造,以及存储安全,对密钥的产生、存储、备份/恢复、装入、分配等进行有效管理。
  
  有一年黑客攻击了美国国防部的网站,篡改了很多重要信息,其中包括一些重要的数据信息。你认为我国政府该如何防范这种病毒和黑客给电子政务安全性带来的威胁?
  
  现在国内外一些政府大都采用内网和外网结合的方式实现电子政务。由于系统的外网与互联网相连,所以不管技术有多发达,防范性措施做得再好,电子政务系统在理论上都有被攻破的可能性。所以,很多政府对一些机密或重要的电子政务系统,一般都是采取构建内网或专网的方式来实现,政府的这些内网或专网与外网之间有物理隔离,互联网上的病毒和黑客不会影响到这些内网或专网的安全。黑客攻击美国国防部网站时所篡改的主要是一些放在外部网络上的信息。
[1] [2
文章评论
联系我们 | 关于我们 | 广告服务 | 版权声明 | 杂志要点
友情链接:
ISV移动方案联盟 TechTarget中国
  Ziff Davis |中美CIO峰会 | 在线研讨会 | PCMagazine电脑时空|支点网
CIO Insight是Ziff Davis Media公司注册服务商标。
CIOInsight.com.cn是CIO Insight信息方略的互联网媒体,是Ziff Davis Media公司注册服务商标。
Copyright (c) 2008 CIOInsight.com.cn网站版权所有。