關(guān)于國(guó)家網(wǎng)絡(luò)信任體系建設(shè)的思考

隨著電子政務(wù)、電子商務(wù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)時(shí)代的到來(lái)，同時(shí)也帶來(lái)了網(wǎng)絡(luò)信任體系以及由此衍生的社會(huì)和諧穩(wěn)定的重大挑戰(zhàn)。網(wǎng)絡(luò)信任體系越來(lái)越成為保證電子政務(wù)、電子交易等安全、可信的重要保障。對(duì)此，各國(guó)政府無(wú)不對(duì)此重大挑戰(zhàn)高度重視并采取強(qiáng)有力的措施進(jìn)行干預(yù)和管理。1.國(guó)內(nèi)外網(wǎng)絡(luò)信任體系建設(shè)的情況(1)PKI體系建設(shè)從各國(guó)實(shí)際發(fā)展情況看，為了在網(wǎng)絡(luò)空間建立統(tǒng)一的信任體系，通常會(huì)建立起國(guó)家PKI體系。就一個(gè)國(guó)家而言，PKI體系的建設(shè)，基本上可分為“自上而下”和“自下而上”兩種模式進(jìn)行?！白陨隙隆蹦Ｊ剑杭磭?guó)家在一開始就成立了專門的管理機(jī)構(gòu)負(fù)責(zé)本國(guó)的PKI建設(shè)，首先建立國(guó)家根CA，然后由國(guó)家根CA負(fù)責(zé)對(duì)下級(jí)CA的認(rèn)證，最終建立起層狀的國(guó)家PKI信任體系。加拿大、德國(guó)、韓國(guó)等采用了“自上而下”模式。澳大利亞采用的方式是建立國(guó)家PKI認(rèn)可委員會(huì)，對(duì)國(guó)內(nèi)的CA頒發(fā)認(rèn)可證書，從而形成自上而下的國(guó)家PKI體系?！白韵露稀蹦Ｊ剑杭聪确值貐^(qū)、分行業(yè)建立起地區(qū)性和行業(yè)性的CA機(jī)構(gòu)，然后再由國(guó)家出面進(jìn)行協(xié)調(diào)，通過(guò)某種方式(如橋接CA技術(shù))，將各自獨(dú)立的CA機(jī)構(gòu)聯(lián)結(jié)起來(lái)，形成國(guó)家PKI信任體系。美國(guó)、日本等通過(guò)橋接CA方式建立國(guó)家PKI體系，在網(wǎng)絡(luò)空間建立統(tǒng)一的信任體系。我國(guó)PKI體系建設(shè)的情況是：一方面，行業(yè)和區(qū)域性CA發(fā)展很快，電子認(rèn)證服務(wù)機(jī)構(gòu)規(guī)模逐步擴(kuò)大。目前，獲得工業(yè)和信息化部頒發(fā)電子認(rèn)證服務(wù)許可的CA機(jī)構(gòu)有30家，除西藏、青海、寧夏等邊遠(yuǎn)地區(qū)外，全國(guó)大部分省市均有CA機(jī)構(gòu)，另外還有很多未獲得電子認(rèn)證服務(wù)許可的CA機(jī)構(gòu)在運(yùn)營(yíng)。另一方面，我國(guó)還未建立起國(guó)家統(tǒng)一的PKI體系。工業(yè)和信息化部作為電子簽名法授權(quán)的監(jiān)管部門，行使服務(wù)許可等管理職能；而國(guó)家密碼管理部門則根據(jù)政府相關(guān)文件正在以根中心模式規(guī)劃建設(shè)國(guó)家電子政務(wù)電子認(rèn)證體系。(2)網(wǎng)絡(luò)身份證今年1月7日，在斯坦福大學(xué)經(jīng)濟(jì)政策研究院美國(guó)商務(wù)部長(zhǎng)駱家輝透露，美國(guó)政府將通過(guò)推出“網(wǎng)絡(luò)身份證”構(gòu)建網(wǎng)絡(luò)生態(tài)系統(tǒng)，使每個(gè)網(wǎng)絡(luò)用戶可以相互信任彼此的身份。商務(wù)部將成立專門的辦公室來(lái)處理這個(gè)項(xiàng)目，美國(guó)政府將尋求獨(dú)立的網(wǎng)絡(luò)技術(shù)供應(yīng)商來(lái)設(shè)計(jì)、建造和提供網(wǎng)絡(luò)身份識(shí)別技術(shù)。美國(guó)《計(jì)算機(jī)世界》雜志網(wǎng)絡(luò)版報(bào)道，網(wǎng)絡(luò)身份證不僅能夠增加網(wǎng)絡(luò)安全，還可以減少網(wǎng)絡(luò)用戶記憶密碼的煩惱。報(bào)道說(shuō)，推出網(wǎng)絡(luò)身份證，是美國(guó)加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的一個(gè)步驟。美國(guó)商務(wù)部長(zhǎng)駱家輝和白宮網(wǎng)絡(luò)安全協(xié)調(diào)員施密特透露，美國(guó)總統(tǒng)奧巴馬將于未來(lái)數(shù)月公開一份名為《身份認(rèn)證國(guó)策》的草案，可能推出智能身份證或數(shù)碼證書以識(shí)別網(wǎng)民身份。其它互聯(lián)網(wǎng)用戶大國(guó)的相關(guān)計(jì)劃亦已提上日程或正在實(shí)施當(dāng)中。我國(guó)全國(guó)人大代表、北京郵電大學(xué)校長(zhǎng)、中國(guó)工程院院士方濱興在今年安徽代表團(tuán)全團(tuán)會(huì)議上呼吁推行網(wǎng)絡(luò)身份證，以防個(gè)人信息泄露。2.我國(guó)目前網(wǎng)絡(luò)信任體系建設(shè)中存在的問(wèn)題自《電子簽名法》發(fā)布實(shí)施以來(lái)，我國(guó)的電子簽名及認(rèn)證服務(wù)業(yè)得到了極大發(fā)展，依法獲得工信部電子認(rèn)證服務(wù)許可的電子認(rèn)證服務(wù)機(jī)構(gòu)達(dá)到30家，截至2010年9月，發(fā)放有效證書超過(guò)1300萬(wàn)張。這些證書廣泛應(yīng)用于報(bào)稅、報(bào)關(guān)、外貿(mào)管理等電子政務(wù)領(lǐng)域和網(wǎng)絡(luò)銀行、網(wǎng)上證券、網(wǎng)上支付等電子商務(wù)領(lǐng)域，取得了良好的使用效果。但由于主管部門缺乏有效的技術(shù)監(jiān)管手段和工具為其工作提供有力的技術(shù)支撐，使我國(guó)電子認(rèn)證行業(yè)面臨證書策略管理、互聯(lián)互通、以及業(yè)務(wù)連續(xù)性保證等方面的困難。就我國(guó)目前電子認(rèn)證服務(wù)業(yè)的發(fā)展?fàn)顩r和趨勢(shì)來(lái)看，存在以下急需解決的問(wèn)題：(1)沒(méi)有國(guó)家級(jí)完善的電子簽名證書管理依據(jù)目前我國(guó)CA的運(yùn)營(yíng)仍是各自為政，自成體系，沒(méi)有統(tǒng)一的證書分類、分級(jí)規(guī)范和方法，沒(méi)有統(tǒng)一的安全要求和風(fēng)險(xiǎn)控制，不能保證用戶對(duì)其所申請(qǐng)證書使用的可信度，影響用戶對(duì)電子簽名的使用信心，從而影響了整個(gè)電子認(rèn)證行業(yè)的發(fā)展。(2)沒(méi)有國(guó)家級(jí)有力的電子簽名證書管理技術(shù)手段目前我國(guó)依據(jù)《電子簽名法》和《電子認(rèn)證服務(wù)管理辦法》(工信部第1號(hào)令)對(duì)CA機(jī)構(gòu)進(jìn)行服務(wù)許可管理，從基本制度上實(shí)現(xiàn)了對(duì)獲得電子認(rèn)證服務(wù)許可的CA機(jī)構(gòu)的管理，但CA機(jī)構(gòu)間不能做到互連、互通、互認(rèn)，主管部門不能從技術(shù)手段上采取有效的管理措施，進(jìn)行及時(shí)的精細(xì)化管理，阻礙了電子認(rèn)證行業(yè)的健康、快速發(fā)展。(3)沒(méi)有國(guó)家級(jí)及時(shí)的電子認(rèn)證服務(wù)業(yè)務(wù)連續(xù)性保證目前我國(guó)的CA機(jī)構(gòu)中有30家獲得了工信部電子認(rèn)證服務(wù)許可，對(duì)于他們的運(yùn)行風(fēng)險(xiǎn)缺乏技術(shù)性手段進(jìn)行監(jiān)控、評(píng)估和管理，一旦發(fā)生CA機(jī)構(gòu)倒閉、系統(tǒng)損壞等問(wèn)題，其涉及業(yè)務(wù)的連續(xù)性和安全行都無(wú)法得到保證，將給用戶帶來(lái)不可估量的損失，對(duì)社會(huì)安定帶來(lái)不利影響，增加社會(huì)的不和諧因素，影響社會(huì)穩(wěn)定。3.通過(guò)規(guī)范的電子認(rèn)證服務(wù)建立國(guó)家網(wǎng)絡(luò)信任體系隨著我國(guó)經(jīng)濟(jì)發(fā)展速度的加快和經(jīng)濟(jì)總量規(guī)模的增大，電子認(rèn)證呈現(xiàn)出證書發(fā)放量逐年增大、覆蓋應(yīng)用面快速擴(kuò)展的特點(diǎn)。這些數(shù)字證書在各行業(yè)、各地區(qū)的電子政務(wù)、電子商務(wù)等領(lǐng)域，發(fā)揮著積極作用，促進(jìn)了網(wǎng)絡(luò)信任的建立。但電子認(rèn)證服務(wù)業(yè)作為信息安全領(lǐng)域重要的基礎(chǔ)設(shè)施和網(wǎng)絡(luò)信任體系的核心基礎(chǔ)，還處于發(fā)展初期，發(fā)展規(guī)模及應(yīng)用模式等方面尚未形成集中優(yōu)勢(shì)，其條塊分割的運(yùn)行模式使電子認(rèn)證行業(yè)的職能未能充分體現(xiàn)和被廣泛認(rèn)可，數(shù)字證書服務(wù)的質(zhì)量有待提高，市場(chǎng)未能得到充分挖掘。經(jīng)濟(jì)和信息化的快速發(fā)展對(duì)電子認(rèn)證服務(wù)已形成倒逼機(jī)制，電子認(rèn)證服務(wù)的業(yè)務(wù)模式有待轉(zhuǎn)變，業(yè)務(wù)水平有待提高，服務(wù)意識(shí)有待提升。要建立我國(guó)有效的網(wǎng)絡(luò)信任體系，需要建立相應(yīng)的證書策略體系、管理機(jī)制和技術(shù)平臺(tái)，實(shí)現(xiàn)國(guó)家級(jí)的CA策略管理、證書互認(rèn)和電子認(rèn)證的業(yè)務(wù)連續(xù)性保證，形成我國(guó)規(guī)范的電子認(rèn)證服務(wù)。為此，我們需要做好以下幾項(xiàng)工作：(1)制定國(guó)家級(jí)證書策略體系，實(shí)現(xiàn)證書分類分級(jí)管理借鑒美國(guó)等國(guó)家的經(jīng)驗(yàn)，制定基線證書策略和各應(yīng)用領(lǐng)域的分級(jí)證書策略，形成我國(guó)自主的證書策略分類分級(jí)體系及其實(shí)施方案，實(shí)現(xiàn)證書策略管理，促進(jìn)應(yīng)用系統(tǒng)間認(rèn)證資源共享，為數(shù)字證書推廣和跨行業(yè)應(yīng)用打好基礎(chǔ)。建立電子簽名證書策略管理體系，可以從產(chǎn)業(yè)全局出發(fā)建立規(guī)范統(tǒng)一的證書策略管理體系，實(shí)現(xiàn)電子認(rèn)證機(jī)構(gòu)評(píng)估標(biāo)準(zhǔn)和流程的統(tǒng)一；可以指導(dǎo)應(yīng)用程序開發(fā)商和數(shù)字證書依賴方識(shí)別證書安全級(jí)別，對(duì)證書正確使用；可以通過(guò)專門的策略管理中心實(shí)施基于證書策略的電子監(jiān)管，以技術(shù)手段替代行政管理手段，實(shí)現(xiàn)對(duì)電子認(rèn)證機(jī)構(gòu)的服務(wù)質(zhì)量評(píng)估；可以為我國(guó)電子認(rèn)證體系與國(guó)際電子認(rèn)證體系的接軌奠定基礎(chǔ)。(2)建立國(guó)家級(jí)證書互認(rèn)平臺(tái)，實(shí)現(xiàn)證書互認(rèn)和技術(shù)監(jiān)管開展數(shù)字證書互認(rèn)研究，制定證書互認(rèn)工作規(guī)范和互認(rèn)標(biāo)準(zhǔn)，制定證書互認(rèn)技術(shù)方案，建立跨區(qū)域、跨行業(yè)數(shù)字證書的互認(rèn)試點(diǎn)，促進(jìn)認(rèn)證服務(wù)機(jī)構(gòu)互聯(lián)互通，推動(dòng)全國(guó)網(wǎng)絡(luò)信任體系建設(shè)，實(shí)現(xiàn)國(guó)內(nèi)各CA機(jī)構(gòu)之間的證書互認(rèn)，為與國(guó)際CA機(jī)構(gòu)間的證書互認(rèn)奠定基礎(chǔ)。建立國(guó)家級(jí)證書互認(rèn)平臺(tái)，可以有效解決目前電子認(rèn)證機(jī)構(gòu)間不能互連互通，缺乏統(tǒng)一技術(shù)、應(yīng)用、服務(wù)標(biāo)準(zhǔn)，簽發(fā)證書不能互認(rèn)等問(wèn)題，為電子認(rèn)證主管部門提供有效的技術(shù)監(jiān)管手段，解決CA機(jī)構(gòu)質(zhì)量評(píng)估、證書驗(yàn)證等國(guó)家電子認(rèn)證主管部門急需解決的問(wèn)題；可以通過(guò)建立完整的電子認(rèn)證基礎(chǔ)設(shè)施，為國(guó)家網(wǎng)絡(luò)信任體系的建立奠定基礎(chǔ)，實(shí)現(xiàn)政府有效監(jiān)管、認(rèn)證機(jī)構(gòu)規(guī)范運(yùn)營(yíng)、依賴方便捷應(yīng)用、電子簽名人得到有效法律保障的目標(biāo)；可以為電子認(rèn)證行業(yè)提供必要的技術(shù)引導(dǎo)，尋求產(chǎn)業(yè)發(fā)展新方向和新模式；可以促進(jìn)國(guó)際合作的發(fā)展，提升我國(guó)電子認(rèn)證服務(wù)行業(yè)在國(guó)際上的競(jìng)爭(zhēng)力。(3)建立國(guó)家級(jí)證書備份庫(kù)，實(shí)現(xiàn)電子認(rèn)證業(yè)務(wù)連續(xù)性保證建立各CA資料的備份庫(kù)，實(shí)現(xiàn)對(duì)CA機(jī)構(gòu)證書資料庫(kù)的靈活調(diào)用、統(tǒng)一查驗(yàn)，做到對(duì)證書的統(tǒng)一管理，完成對(duì)CRL列表和OCA服務(wù)器等的統(tǒng)一監(jiān)管，做