【正文】 。可以說(shuō)，安全體系結(jié)構(gòu)是一個(gè)持續(xù)的過(guò)程，安全策略應(yīng)適應(yīng)網(wǎng)絡(luò)的動(dòng)態(tài)性。安全體系結(jié)構(gòu)必須根據(jù)攻擊手段的發(fā)展進(jìn)行相應(yīng)的更新的升級(jí)。要解決這種供需矛盾必須回憶信息安全人才的需求。 87 ? 加快高等級(jí)信息安全人才的培養(yǎng) 目前在我國(guó)，信息安全人才培養(yǎng)方面的投入還有較大的欠缺，在教育系統(tǒng)，專門針對(duì)信息安全開(kāi)設(shè)的專業(yè)與社會(huì)需求相比，也還遠(yuǎn)遠(yuǎn)不夠科研院所進(jìn)行的安全專業(yè)人員的培養(yǎng)力度與國(guó)外相比，有相當(dāng)差距。某些政府部門的網(wǎng)絡(luò)管理員甚至認(rèn)為自己所有的部門不是特別重要的機(jī)構(gòu)或從來(lái)沒(méi)有受到黑客的攻擊，以后就不會(huì)成為黑客的攻擊目標(biāo)。這包括制定和實(shí)施一系列規(guī)章制度如網(wǎng)絡(luò)操作使用規(guī)程、機(jī)房管理制度、網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施；加強(qiáng)員工安全培訓(xùn)并采用專業(yè)安全人員對(duì)網(wǎng)絡(luò)進(jìn)行管理、維護(hù)和升級(jí)；必要的話還可以選擇安全顧問(wèn)公司進(jìn)行技術(shù)支持。網(wǎng)絡(luò)安全管理問(wèn)題關(guān)鍵在于人的管理，而不只是網(wǎng)絡(luò)軟件的應(yīng)用。 85 ? 安全管理比安全技術(shù)更重要 ? 常言道“三分技術(shù)、七分管理”，安全方案的實(shí)現(xiàn)離不開(kāi)管理。 84 ? 對(duì)于數(shù)據(jù)庫(kù)技術(shù)，在我國(guó)電子政務(wù)系統(tǒng)建設(shè)進(jìn)程中擁有極大的需求量、應(yīng)用也極為廣泛，因?yàn)槲覈?guó) 80%的社會(huì)信息資源在政府手。 對(duì)于操作系統(tǒng)而言，如微軟的 Windows，其安全性無(wú)法得到充分保障，對(duì)信息安全構(gòu)成潛在威脅。由于電子政務(wù)系統(tǒng)具有其特殊性，在選擇相關(guān)的產(chǎn)品和技術(shù)時(shí)需要站在戰(zhàn)略的高度上進(jìn)行全面的審慎的考察和研究，其中之一就是要選擇具有自主性的產(chǎn)品和技術(shù)。 83 發(fā)展自主的信息產(chǎn)業(yè)，構(gòu)建安全的技術(shù)支撐層 安全的技術(shù)支撐層主要包括：硬塊件平臺(tái)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、 通用中間件技術(shù)。 ? 設(shè)備安全：設(shè)備安全主要包括設(shè)備的防盜 、 防毀 、 防電磁信息輻射泄漏 、 防止線路截獲 、 抗電磁干擾及電源保護(hù)等：設(shè)備冗余備份；通過(guò)嚴(yán)格管理及提高員工的整體安全意識(shí)來(lái)實(shí)現(xiàn) 。 ? 環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的安全保護(hù) ， 如區(qū)域保護(hù)和災(zāi)難保護(hù) 。 數(shù)字證書(shū)是 PKI的核心 根 CA 根 CA 一級(jí)子 CA 一級(jí)子 CA 一級(jí)子 CA 二級(jí)子 CA 二級(jí)子 CA RA RA RA 受理點(diǎn) 受理點(diǎn) 受理點(diǎn) 受理點(diǎn) RA 交叉認(rèn)證 （四）基于 PKI的 CA認(rèn)證架構(gòu) CA 服務(wù)器 申 請(qǐng) 證 書(shū) 獲 取 證 書(shū) 個(gè)人用戶 機(jī)構(gòu)用戶 申 請(qǐng) 證 書(shū) 獲 取 證 書(shū) 數(shù)據(jù)加密：密文傳送 數(shù)字簽名：身份確認(rèn) 數(shù)字證書(shū)的申請(qǐng) /發(fā)放過(guò)程 （五）建立電子政務(wù)安全系統(tǒng) 威海政務(wù)網(wǎng)安全解決方案 合作伙伴 防火墻 +VPN 防火墻 +VPN 防火墻 +VPN 防火墻 +VPN 安全服務(wù)器網(wǎng)絡(luò) SSN Web服務(wù)器 Email服務(wù)器 DNS服務(wù)器 移動(dòng)用戶 防病毒服務(wù)器 CA認(rèn)證服務(wù)器 信息審計(jì)系統(tǒng) 網(wǎng)絡(luò)監(jiān)控系統(tǒng) Inter 分支機(jī)構(gòu) 公開(kāi)服務(wù)網(wǎng) 安全服務(wù)網(wǎng) 內(nèi)部網(wǎng) VPN 82 ? 建立安全的物理層 ， 保障電子政務(wù)系統(tǒng)的物理安全 ? 保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提 。 ● 管理工具 Admin 它可以實(shí)現(xiàn)對(duì)整個(gè)系統(tǒng)的配臵和管理。 國(guó)內(nèi) PKI問(wèn)題與思考（續(xù)） ● 證書(shū)中心 CA 它是整個(gè)證書(shū)與密鑰管理系統(tǒng)的核心，可完成系統(tǒng)的核心處理功能，包括：產(chǎn)生和管理 CA與用戶的密鑰、簽發(fā)各種證書(shū)和 CRL（證書(shū)撤消列表）、管理和維護(hù)核心數(shù)據(jù)庫(kù)中的用戶證書(shū)及密鑰信息，以及對(duì)其他模塊的請(qǐng)求進(jìn)行處理和應(yīng)答。但是無(wú)庸諱言的是，我國(guó) PKI/CA建設(shè)還處在起步的階段，存在不少亟待解決的問(wèn)題。橢圓曲線加密（ ECC）雖然被認(rèn)為是很有發(fā)展前途的一種新型公鑰加密算法，但目前離實(shí)際應(yīng)用還有一定距離，同時(shí) ECC的標(biāo)準(zhǔn)化問(wèn)題尚未完全解決。 證書(shū)格式 我國(guó) PKI體系中的證書(shū)格式完全遵照 。 除此之外， PKI中還包括 證書(shū)策略 、 證書(shū)路徑 、 證書(shū)的使用者 等。 ?PKI的組成： ?數(shù)字證書(shū)是 PKI中最基本的元素，所有安全操作都主要通過(guò)證書(shū)來(lái)實(shí)現(xiàn)。 PKI的概念 ?PKI是 Public Key Infrastructure（公開(kāi)密鑰基礎(chǔ)設(shè)施）的縮寫，是一種普遍適用的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。如何推廣 PKI應(yīng)用，加強(qiáng)系統(tǒng)之間、部門之間、各國(guó)之間 PKI體系的互通互聯(lián)，已經(jīng)成為 PKI建設(shè)亟待解決的重要問(wèn)題。在我國(guó)， PKI建設(shè)在幾年前就已開(kāi)始啟動(dòng)。 ?7月初，“亞洲 PKI論壇”第二屆年會(huì)在北京召開(kāi)，這將是迄今為止國(guó)內(nèi)最具規(guī)模的 PKI專題研討會(huì)。 ?為了推進(jìn) PKI在聯(lián)邦政府范圍內(nèi)的應(yīng)用，美國(guó)在 1996年成立了聯(lián)邦 PKI指導(dǎo)委員會(huì)； ?1999年， PKI論壇成立； ? 2022年 4月，美國(guó)國(guó)防部宣布要采用 PKI安全倡議方案。 在兩年前國(guó)內(nèi)還沒(méi)有一家具有真正意義上的網(wǎng)絡(luò)安全公司，但由于目前形勢(shì)的需要，國(guó)內(nèi)的安全顧問(wèn)公司可以說(shuō)是蓬勃發(fā)展，百花齊放，但主要是從以下幾種公司轉(zhuǎn)型而來(lái)的： （ 1）網(wǎng)絡(luò)安全產(chǎn)品公司兼做網(wǎng)絡(luò)安全服務(wù) （ 2）傳統(tǒng)系統(tǒng)集成公司設(shè)立網(wǎng)絡(luò)安全部門 （ 3）自由黑客組織轉(zhuǎn)型為專業(yè)網(wǎng)絡(luò)安全公司 （ 4）國(guó)家科研教育機(jī)構(gòu)成立的網(wǎng)絡(luò)安全公司 選擇安全顧問(wèn)公司是要必須非常謹(jǐn)慎的，要從安全公司的背景、理念、實(shí)力、管理等多方面進(jìn)行考查，不僅要看一個(gè)安全公司的技術(shù)和資金實(shí)力，而且還要看公司人員的組成，因?yàn)橐坏┠愕南到y(tǒng)交給了安全公司，其實(shí)你的系統(tǒng)就等于對(duì)其百分之百地開(kāi)放，但大多網(wǎng)絡(luò)安全公司人員層次不齊，即便技術(shù)和資金很強(qiáng)，但若管理不善，人員流失較大，就會(huì)使得其客戶的系統(tǒng)資料處于不可控狀態(tài)，從而帶來(lái)極大的安全隱患，所以一旦選擇失誤，不僅不能帶來(lái)安全保障，而且可能會(huì)帶來(lái)無(wú)盡的夢(mèng)魘。在 GB/T 2202712022中，進(jìn)一步指出信息系統(tǒng)一般由支持軟件運(yùn)行的硬件系統(tǒng)（含計(jì)算機(jī)硬件和網(wǎng)絡(luò)硬件系統(tǒng)）、對(duì)系統(tǒng)資源進(jìn)行管理和為用戶使用提供基本支持的系統(tǒng)軟件（含計(jì)算機(jī)操作系統(tǒng)軟件、數(shù)據(jù)庫(kù)管理系統(tǒng)軟件、網(wǎng)絡(luò)協(xié)議軟件和管理軟件）、實(shí)現(xiàn)信息系統(tǒng)應(yīng)用功能的應(yīng)用系統(tǒng)軟件等組成。 ? 在我國(guó)信息安全領(lǐng)域，一般把業(yè)務(wù)的技術(shù)支撐架構(gòu)稱為計(jì)算機(jī)信息系統(tǒng)，簡(jiǎn)稱信息系統(tǒng)。例如，一個(gè) OA業(yè)務(wù)可能包括了 OA的中間件，承載這個(gè)中間件系統(tǒng)運(yùn)行的服務(wù)器、數(shù)據(jù)庫(kù)系統(tǒng)和承載數(shù)據(jù)庫(kù)運(yùn)行的服務(wù)器，包括這些服務(wù)器連接的交換機(jī)、防火墻，甚至還包括服務(wù)器所在的機(jī)房。 ? 業(yè)務(wù)的定義 ? 業(yè)務(wù)，是業(yè)務(wù)系統(tǒng)的簡(jiǎn)稱。 ? IT資源環(huán)境的定義 ? IT資源環(huán)境是指包括網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施、主機(jī)、服務(wù)器、支撐服務(wù)和應(yīng)用中間件，以及業(yè)務(wù)運(yùn)營(yíng)系統(tǒng)在內(nèi)的企業(yè)和組織所有 IT設(shè)施的總和，它既有硬件，也有軟件。通過(guò)安全管理系統(tǒng)可以有效地進(jìn)行 IT信息系統(tǒng)的審計(jì)與合規(guī)管理。面對(duì)這些復(fù)雜的 IT資源及其所承載的業(yè)務(wù)系統(tǒng)的管理，尤其是安全管理，越來(lái)越成為制約企業(yè)信息化水平進(jìn)一步提升的瓶頸，越來(lái)越多的用戶已經(jīng)主動(dòng)提出要部署安全管理產(chǎn)品了。 ? 驅(qū)動(dòng)當(dāng)今安全管理發(fā)展的主要因素 ? 內(nèi)因：國(guó)內(nèi)信息化水平發(fā)展階段使然。 ? 安全管理的目標(biāo)是要以業(yè)務(wù)安全需求為導(dǎo)向，以保證政府業(yè)務(wù)連續(xù)性為目的，通過(guò)對(duì)業(yè)務(wù)信息系統(tǒng)的運(yùn)行狀態(tài)、安全事件、資產(chǎn)、漏洞、威脅、風(fēng)險(xiǎn)、預(yù)警、安全策略、安全知識(shí)等安全