關(guān)于國家網(wǎng)絡(luò)信任體系建設(shè)的思考

隨著電子政務(wù)、電子商務(wù)、物聯(lián)網(wǎng)、移動互聯(lián)時代的到來，同時也帶來了網(wǎng)絡(luò)信任體系以及由此衍生的社會和諧穩(wěn)定的重大挑戰(zhàn)。網(wǎng)絡(luò)信任體系越來越成為保證電子政務(wù)、電子交易等安全、可信的重要保障。對此，各國政府無不對此重大挑戰(zhàn)高度重視并采取強(qiáng)有力的措施進(jìn)行干預(yù)和管理。1.國內(nèi)外網(wǎng)絡(luò)信任體系建設(shè)的情況(1)PKI體系建設(shè)從各國實(shí)際發(fā)展情況看，為了在網(wǎng)絡(luò)空間建立統(tǒng)一的信任體系，通常會建立起國家PKI體系。就一個國家而言，PKI體系的建設(shè)，基本上可分為“自上而下”和“自下而上”兩種模式進(jìn)行。“自上而下”模式：即國家在一開始就成立了專門的管理機(jī)構(gòu)負(fù)責(zé)本國的PKI建設(shè)，首先建立國家根CA，然后由國家根CA負(fù)責(zé)對下級CA的認(rèn)證，最終建立起層狀的國家PKI信任體系。加拿大、德國、韓國等采用了“自上而下”模式。澳大利亞采用的方式是建立國家PKI認(rèn)可委員會，對國內(nèi)的CA頒發(fā)認(rèn)可證書，從而形成自上而下的國家PKI體系?！白韵露稀蹦Ｊ剑杭聪确值貐^(qū)、分行業(yè)建立起地區(qū)性和行業(yè)性的CA機(jī)構(gòu)，然后再由國家出面進(jìn)行協(xié)調(diào)，通過某種方式(如橋接CA技術(shù))，將各自獨(dú)立的CA機(jī)構(gòu)聯(lián)結(jié)起來，形成國家PKI信任體系。美國、日本等通過橋接CA方式建立國家PKI體系，在網(wǎng)絡(luò)空間建立統(tǒng)一的信任體系。我國PKI體系建設(shè)的情況是：一方面，行業(yè)和區(qū)域性CA發(fā)展很快，電子認(rèn)證服務(wù)機(jī)構(gòu)規(guī)模逐步擴(kuò)大。目前，獲得工業(yè)和信息化部頒發(fā)電子認(rèn)證服務(wù)許可的CA機(jī)構(gòu)有30家，除西藏、青海、寧夏等邊遠(yuǎn)地區(qū)外，全國大部分省市均有CA機(jī)構(gòu)，另外還有很多未獲得電子認(rèn)證服務(wù)許可的CA機(jī)構(gòu)在運(yùn)營。另一方面，我國還未建立起國家統(tǒng)一的PKI體系。工業(yè)和信息化部作為電子簽名法授權(quán)的監(jiān)管部門，行使服務(wù)許可等管理職能；而國家密碼管理部門則根據(jù)政府相關(guān)文件正在以根中心模式規(guī)劃建設(shè)國家電子政務(wù)電子認(rèn)證體系。(2)網(wǎng)絡(luò)身份證今年1月7日，在斯坦福大學(xué)經(jīng)濟(jì)政策研究院美國商務(wù)部長駱家輝透露，美國政府將通過推出“網(wǎng)絡(luò)身份證”構(gòu)建網(wǎng)絡(luò)生態(tài)系統(tǒng)，使每個網(wǎng)絡(luò)用戶可以相互信任彼此的身份。商務(wù)部將成立專門的辦公室來處理這個項(xiàng)目，美國政府將尋求獨(dú)立的網(wǎng)絡(luò)技術(shù)供應(yīng)商來設(shè)計(jì)、建造和提供網(wǎng)絡(luò)身份識別技術(shù)。美國《計(jì)算機(jī)世界》雜志網(wǎng)絡(luò)版報(bào)道，網(wǎng)絡(luò)身份證不僅能夠增加網(wǎng)絡(luò)安全，還可以減少網(wǎng)絡(luò)用戶記憶密碼的煩惱。報(bào)道說，推出網(wǎng)絡(luò)身份證，是美國加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的一個步驟。美國商務(wù)部長駱家輝和白宮網(wǎng)絡(luò)安全協(xié)調(diào)員施密特透露，美國總統(tǒng)奧巴馬將于未來數(shù)月公開一份名為《身份認(rèn)證國策》的草案，可能推出智能身份證或數(shù)碼證書以識別網(wǎng)民身份。其它互聯(lián)網(wǎng)用戶大國的相關(guān)計(jì)劃亦已提上日程或正在實(shí)施當(dāng)中。我國全國人大代表、北京郵電大學(xué)校長、中國工程院院士方濱興在今年安徽代表團(tuán)全團(tuán)會議上呼吁推行網(wǎng)絡(luò)身份證，以防個人信息泄露。2.我國目前網(wǎng)絡(luò)信任體系建設(shè)中存在的問題自《電子簽名法》發(fā)布實(shí)施以來，我國的電子簽名及認(rèn)證服務(wù)業(yè)得到了極大發(fā)展，依法獲得工信部電子認(rèn)證服務(wù)許可的電子認(rèn)證服務(wù)機(jī)構(gòu)達(dá)到30家，截至2010年9月，發(fā)放有效證書超過1300萬張。這些證書廣泛應(yīng)用于報(bào)稅、報(bào)關(guān)、外貿(mào)管理等電子政務(wù)領(lǐng)域和網(wǎng)絡(luò)銀行、網(wǎng)上證券、網(wǎng)上支付等電子商務(wù)領(lǐng)域，取得了良好的使用效果。但由于主管部門缺乏有效的技術(shù)監(jiān)管手段和工具為其工作提供有力的技術(shù)支撐，使我國電子認(rèn)證行業(yè)面臨證書策略管理、互聯(lián)互通、以及業(yè)務(wù)連續(xù)性保證等方面的困難。就我國目前電子認(rèn)證服務(wù)業(yè)的發(fā)展?fàn)顩r和趨勢來看，存在以下急需解決的問題：(1)沒有國家級完善的電子簽名證書管理依據(jù)目前我國CA的運(yùn)營仍是各自為政，自成體系，沒有統(tǒng)一的證書分類、分級規(guī)范和方法，沒有統(tǒng)一的安全要求和風(fēng)險(xiǎn)控制，不能保證用戶對其所申請證書使用的可信度，影響用戶對電子簽名的使用信心，從而影響了整個電子認(rèn)證行業(yè)的發(fā)展。(2)沒有國家級有力的電子簽名證書管理技術(shù)手段目前我國依據(jù)《電子簽名法》和《電子認(rèn)證服務(wù)管理辦法》(工信部第1號令)對CA機(jī)構(gòu)進(jìn)行服務(wù)許可管理，從基本制度上實(shí)現(xiàn)了對獲得電子認(rèn)證服務(wù)許可的CA機(jī)構(gòu)的管理，但CA機(jī)構(gòu)間不能做到互連、互通、互認(rèn)，主管部門不能從技術(shù)手段上采取有效的管理措施，進(jìn)行及時的精細(xì)化管理，阻礙了電子認(rèn)證行業(yè)的健康、快速發(fā)展。(3)沒有國家級及時的電子認(rèn)證服務(wù)業(yè)務(wù)連續(xù)性保證目前我國的CA機(jī)構(gòu)中有30家獲得了工信部電子認(rèn)證服務(wù)許可，對于他們的運(yùn)行風(fēng)險(xiǎn)缺乏技術(shù)性手段進(jìn)行監(jiān)控、評估和管理，一旦發(fā)生CA機(jī)構(gòu)倒閉、系統(tǒng)損壞等問題，其涉及業(yè)務(wù)的連續(xù)性和安全行都無法得到保證，將給用戶帶來不可估量的損失，對社會安定帶來不利影響，增加社會的不和諧因素，影響社會穩(wěn)定。3.通過規(guī)范的電子認(rèn)證服務(wù)建立國家網(wǎng)絡(luò)信任體系隨著我國經(jīng)濟(jì)發(fā)展速度的加快和經(jīng)濟(jì)總量規(guī)模的增大，電子認(rèn)證呈現(xiàn)出證書發(fā)放量逐年增大、覆蓋應(yīng)用面快速擴(kuò)展的特點(diǎn)。這些數(shù)字證書在各行業(yè)、各地區(qū)的電子政務(wù)、電子商務(wù)等領(lǐng)域，發(fā)揮著積極作用，促進(jìn)了網(wǎng)絡(luò)信任的建立。但電子認(rèn)證服務(wù)業(yè)作為信息安全領(lǐng)域重要的基礎(chǔ)設(shè)施和網(wǎng)絡(luò)信任體系的核心基礎(chǔ)，還處于發(fā)展初期，發(fā)展規(guī)模及應(yīng)用模式等方面尚未形成集中優(yōu)勢，其條塊分割的運(yùn)行模式使電子認(rèn)證行業(yè)的職能未能充分體現(xiàn)和被廣泛認(rèn)可，數(shù)字證書服務(wù)的質(zhì)量有待提高，市場未能得到充分挖掘。經(jīng)濟(jì)和信息化的快速發(fā)展對電子認(rèn)證服務(wù)已形成倒逼機(jī)制，電子認(rèn)證服務(wù)的業(yè)務(wù)模式有待轉(zhuǎn)變，業(yè)務(wù)水平有待提高，服務(wù)意識有待提升。要建立我國有效的網(wǎng)絡(luò)信任體系，需要建立相應(yīng)的證書策略體系、管理機(jī)制和技術(shù)平臺，實(shí)現(xiàn)國家級的CA策略管理、證書互認(rèn)和電子認(rèn)證的業(yè)務(wù)連續(xù)性保證，形成我國規(guī)范的電子認(rèn)證服務(wù)。為此，我們需要做好以下幾項(xiàng)工作：(1)制定國家級證書策略體系，實(shí)現(xiàn)證書分類分級管理借鑒美國等國家的經(jīng)驗(yàn)，制定基線證書策略和各應(yīng)用領(lǐng)域的分級證書策略，形成我國自主的證書策略分類分級體系及其實(shí)施方案，實(shí)現(xiàn)證書策略管理，促進(jìn)應(yīng)用系統(tǒng)間認(rèn)證資源共享，為數(shù)字證書推廣和跨行業(yè)應(yīng)用打好基礎(chǔ)。建立電子簽名證書策略管理體系，可以從產(chǎn)業(yè)全局出發(fā)建立規(guī)范統(tǒng)一的證書策略管理體系，實(shí)現(xiàn)電子認(rèn)證機(jī)構(gòu)評估標(biāo)準(zhǔn)和流程的統(tǒng)一；可以指導(dǎo)應(yīng)用程序開發(fā)商和數(shù)字證書依賴方識別證書安全級別，對證書正確使用；可以通過專門的策略管理中心實(shí)施基于證書策略的電子監(jiān)管，以技術(shù)手段替代行政管理手段，實(shí)現(xiàn)對電子認(rèn)證機(jī)構(gòu)的服務(wù)質(zhì)量評估；可以為我國電子認(rèn)證體系與國際電子認(rèn)證體系的接軌奠定基礎(chǔ)。(2)建立國家級證書互認(rèn)平臺，實(shí)現(xiàn)證書互認(rèn)和技術(shù)監(jiān)管開展數(shù)字證書互認(rèn)研究，制定證書互認(rèn)工作規(guī)范和互認(rèn)標(biāo)準(zhǔn)，制定證書互認(rèn)技術(shù)方案，建立跨區(qū)域、跨行業(yè)數(shù)字證書的互認(rèn)試點(diǎn)，促進(jìn)認(rèn)證服務(wù)機(jī)構(gòu)互聯(lián)互通，推動全國網(wǎng)絡(luò)信任體系建設(shè)，實(shí)現(xiàn)國內(nèi)各CA機(jī)構(gòu)之間的證書互認(rèn)，為與國際CA機(jī)構(gòu)間的證書互認(rèn)奠定基礎(chǔ)。建立國家級證書互認(rèn)平臺，可以有效解決目前電子認(rèn)證機(jī)構(gòu)間不能互連互通，缺乏統(tǒng)一技術(shù)、應(yīng)用、服務(wù)標(biāo)準(zhǔn)，簽發(fā)證書不能互認(rèn)等問題，為電子認(rèn)證主管部門提供有效的技術(shù)監(jiān)管手段，解決CA機(jī)構(gòu)質(zhì)量評估、證書驗(yàn)證等國家電子認(rèn)證主管部門急需解決的問題；可以通過建立完整的電子認(rèn)證基礎(chǔ)設(shè)施，為國家網(wǎng)絡(luò)信任體系的建立奠定基礎(chǔ)，實(shí)現(xiàn)政府有效監(jiān)管、認(rèn)證機(jī)構(gòu)規(guī)范運(yùn)營、依賴方便捷應(yīng)用、電子簽名人得到有效法律保障的目標(biāo)；可以為電子認(rèn)證行業(yè)提供必要的技術(shù)引導(dǎo)，尋求產(chǎn)業(yè)發(fā)展新方向和新模式；可以促進(jìn)國際合作的發(fā)展，提升我國電子認(rèn)證服務(wù)行業(yè)在國際上的競爭力。(3)建立國家級證書備份庫，實(shí)現(xiàn)電子認(rèn)證業(yè)務(wù)連續(xù)性保證建立各CA資料的備份庫，實(shí)現(xiàn)對CA機(jī)構(gòu)證書資料庫的靈活調(diào)用、統(tǒng)一查驗(yàn)，做到對證書的統(tǒng)一管理，完成對CRL列表和OCA服務(wù)器等的統(tǒng)一監(jiān)管，做