本周《计算机世界》(2007年2月12日) 刊登了文章《社保网“泄密”个人隐私》，报道了目前国内许多城市的社保网普遍存在的泄露参保人个人机密信息问题，记者在文章中提出了“不仅要从法律法规上保护个人机密信息，同时还要从技术的角度，利用多种安全防范措施建立一个完整的安全体系”的好观点。

    但是，文章中并没有指出应采取哪些技术措施。笔者认为：除了修改系统的查询系统身份认证机制(用户名/密码方式或证书认证方式)和增强网络系统的网络安全防范措施(如防火墙、 IDS 等等)外，绝对不能忽略一个非常重要的技术手段 — 为服务器部署 SSL 证书！因为即使增加密码查询，且不说用户名/密码方式的弱身份认证已经非常不安全，更重要的是，如果服务器不部署 SSL 证书，则用户查询和在线提交个人机密信息，所有机密信息从用户电脑到社保服务器之间的网络传输是明文传输的，在传输链路上的任何环节都有可能截获其机密信息。而部署 SSL 证书后，用户将自动以 https 方式访问服务器，则用户端浏览器与服务器之间将自动建立一个加密通道，使得用户查询何输入的任何机密信息都是高强度加密的，任何人都无法在传输过程中窃取这些机密数据！而部署一个 SSL 证书的费用不过千元左右，与造价上千万甚至数千万元的社保系统来讲，绝对不是费用问题，而且系统建设单位不重视保护系统的机密信息问题，当然也是立法问题。

    在非常重视保护个人隐私信息的西方国家，所有涉及到个人和企业的机密信息系统，一律 100% 都部署 SSL 证书，让我们看看美国的社保系统的部署情况，如下图所示，看出其社保所有子系统都部署了 SSL 证书( 因为其 SSL 证书是通配型证书 *.SSA.gov)：

    实际上，不仅是社保系统，美国政府的所有系统只要涉及到个人或企业的机密信息，一律 100% 都部署了 SSL 证书来确保机密信息的传输安全。而我国的所有电子政务系统，不管是涉及到个人的还是企业的，几乎是 100% 都没有部署 SSL 证书，则不能不让一个从事信息安全工作的笔者深感社会责任动笔写此文章，来呼吁我国的所有电子政务系统能早日都能象美国一样 100% 部署 SSL 证书，这样，老百姓就有福了，社会就会更加和谐了。