我国的电子认证服务分为电子商务电子认证和电子政务电子认证服务两类,根据《电子政务电子认证服务管理办法(暂行)》,电子政务电子认证服务是指电子认证服务机构采用密码技术,通过数字证书,为各级政务部门开展社会管理、公共服务等政务活动提供的电子认证服务。因此,电子政务电子认证服务强调的服务对象是各级政务部门,提供的服务范围是社会、公共等政务活动。
电子政务CA认证作为我国电子认证的重要组成部分,既是信息化建设的安全基础设施,也是电子政务网络信任体系的重要建设内容,是保障电子政务网络站点平台和重点信息化工程的安全正常运作的基础系统,是保证电子政务和电子商务等网上活动安全进行的必要手段。一般而言,电子政务CA认证最重要的包含统一用户管理、身份认证、授权管理和访问控制等几大基本功能,实现对用户、用户身份认证、用户权限等的有效管理,来提升对网络资源等安全性和保密性的保护。我们这里所说的CA认证建设包括电子政务CA认证服务建设和CA认证中心建设两项内容。通过对电子政务CA认证建设的现在的状况进行梳理和了解,在某些特定的程度上可以轻松又有效地把握我国电子CA认证现阶段建设存在的问题和面临的难点,将对今后电子政务发展起到积极的推动作用。
在界定电子政务电子认证服务有关定义的过程中,主要参照国家密码局下发的《电子政务电子认证管理办法(暂行)》,对相关概念做必要的说明。为了进一步明确电子政务认证服务,我们第一步要对电子认证、电子认证服务、电子认证中心等概念进行基础性地解释。
电子认证服务——电子认证是以电子认证证书(又称数字证书)为核心技术的加密技术,它以PKI技术为基础,对网络上传输的信息进行加密、解密、数字签名和数字验证,确保网上传递信息的保密性、完整性和毋庸置疑性,确保网络应用的安全。《电子认证服务管理办法》将电子认证服务定义为电子签名相关各方提供真实性、可靠性验证的活动;将电子认证服务机构定义为需要第三方认证的电子签名提供认证服务的机构。电子认证中心被定义是为解决非涉密电子政务、电子商务等网上信息交换中的安全问题而建立的一个第三方权威认证系统。它可以是抽象概念上的中心系统,也可以具体实体功能的在电子交易中受信任的第三方,负责为网络环境中的实体颁发证书,并负责在交易中检验和管理证书。
电子政务电子认证服务——《电子政务电子认证服务管理办法(暂行)》将电子政务电子认证服务定义为电子认证服务机构采用密码技术,通过数字证书,为各级政务部门开展社会管理、公共服务等政务活动提供的电子认证服务。[3]电子政务认证服务包括政务外网电子认证服务和内网电子认证服务。政务外网电子认证服务根据其业务功能,统一由外网电子认证服务中心向接入外网的单位发放不同权限的证书。政务内网电子认证服务基于其涉密网的特性,统一由国家保密局、省(市)机要局向接入内网的单位发放不同权限的证书,对证书进行管理。
在国家信息中心发布的《国家电子政务外网建设总体设计(2009年-2013年)》总体目标中,明白准确地提出要“建成中央和省两级网管中心、数字证书中心、安全监控中心、数据中心、灾备中心等电子政务公共基础设施,满足各级政务部门社会管理和公共服务的需要”。CA中心作为电子政务公共基础设施,为保障电子政务网络站点平台和重点信息化工程的安全正常运作提供了保障,它的建设完善程度必然的联系到电子政务信息传输的完整性、保密性、安全性。
电子政务网络信任体系是以密码技术为基础,以法律和法规、技术标准和基础设施为主要内容,以解决网络应用中身份认证、授权管理和责任认定等为目的的完整体系。以数字认证中心和密钥管理中心为基础,建立统一的授权管理和责任认定平台,实现政务信息网统一身份认定、统一密钥分配、统一权限管理、统一安全审计。密钥管理中心和CA认证中心作为网络信任体系的基本安全基础设施在其中发挥着基础性作用,所以是否建有完善的电子政务CA中心会直接影响到国家和地方电子政务网络信任体系的建设。
随着我国电子政务建设逐步由基础设施建设向信息资源整合、深化应用的转变,电子政务外网与内网的应用场景范围逐步扩展,由最初的网站、公文、邮件系统向电子审批、电子报税、电子监察等应用延伸,由最初的政府内部办公向面向公众的社保、医疗等应用扩展,涉及的重点领域、敏感数据、用户个人信息等慢慢的变多,面临的安全威胁慢慢的变大。电子政务CA中心的功能在于建设立一种信任及信息验证机制,为电子政务应用提供网上身份认证、数字签名等证书认证安全服务,为电子政务(网上审批、网上报税、网上报关等)应用提供统一的身份认证机制,确保信息传输的保密性、数据交换的完整性、传递信息的毋庸置疑性、交易者身份的确定性,实现资源共享。
一个完整的法律规范体系由法律和法规、管理办法、技术规范三个层次构成。随着我们国家电子政务认证服务的慢慢地发展和成熟,目前已经逐步建立了一套较为完善的电子政务CA认证管理法规体系。2004年颁布的《电子签名法》为我国电子认证提供了建设和管理依据,与之相配套的规范和管理办法从技术上对电子政务电子认证进行了详细的说明和规范。2008年以后,国家加强对全国电子认证服务的监管,由国家密码管理局统一对全国电子政务CA认证进行规范化管理和授权,制定了专门的《电子政务电子认证服务管理办法(暂行)》以及规范,明确了电子政务的CA认证与商业CA认证的区别,有助于今后逐步加强对电子政务CA认证的安全管理。
2012年,为进一步规范政务外网电子认证管理,国家电子政务外网管理中心相继下发了《国家电子政务外网电子认证属地化服务管理办法》、《国家电子政务外网电子认证注册服务机构系统运行维护管理条例》和《国家电子政务外网电子认证业务规则》意见征求函,这三个文件是我国首次针对电子政务电子认证服务制定的具体管理办法,它们的实施对于规范外网在地方的电子认证管理、规范注册服务机构和具体业务规则将起到指导性的作用,表明我国电子政务认证管理实现顶层设计并逐步走向规范化。
在本部分,我们第一步要明确CA认证服务机构和CA认证服务授权机构的不同。这里所指的CA认证服务机构是指具体向公众、企业和政府部门发放证书的机构,最重要的包含具有符合国家相关法律和法规资质的企业和事业单位和政府部门,它们结合实际业务需求以免费或收费的形式下发证书。CA认证服务授权机构是指给CA认证服务机构授权的行政组织机构,其主要职能在于审核CA认证服务机构的资本、员工、组织机构等,对于符合标准要求和规定的服务机构颁发资质,一般由相关的国家行政机构执行,目前我国承担CA认证服务授权的机构是工业与信息化部和国家密码管理局颁发。
我国的电子认证服务分为电子商务电子认证服务和电子政务电子认证服务两大类,本文所指的电子政务电子认证服务一般是指电子政务非涉密、服务公众和社会管理业务证书的管理。2010年5月国家密码管理局开始颁发电子政务电子认证服务资质,即《电子认证服务使用密码许可证》。2010年6月,国家密码管理局审核评估了国家信息中心提交的申请,批准了国家信息中心在政务外网开展电子政务电子认证服务的资质,这标志着我国电子政务电子认证服务体系建设进入到一个新的阶段。截止2011年5月在全国范围内已有近40家单位获得电子政务电子认证服务资质。其中,有33家企业取得授权资质,3家中央直属部委被授权(国家发改委、教育部、海关部署),3家事业单位(国家信息中心等)。
此外,电子政务电子认证服务根据业务需求,有一部分认证服务是专对于相关政府部门的,该认证服务一般是面向政府部门内部业务和涉密业务,其证书的管理和发放由国家密码管理局和地方机要局统一来管理。前面提到的电子认证服务无资格和权限对其进行授权、管理。
根据《国家信息化领导小组关于我国电子政务建设的指导意见》(〔2002〕17号)和《国家信息化领导小组关于推进国家电子政务网络建设的意见》(〔2006〕18号)的要求,我国电子政务网络站点平台由政务内网和政务外网构成,为保证网络信息与应用安全,政务内网与政务外网、互联网实现物理隔离,政务外网与互联网实现逻辑隔离。电子政务认证中心作为电子政务网络安全的重要基础设施,也应同时根据电子政务网络结构,建成电子政务内网和外网电子认证中心、密钥管理中心,从而构建起包括密钥基础设施和身份认证、授权管理、责任认定三个子系统在内的电子政务网络信任体系。
电子政务外网电子认证服务是依托国家电子政务外网建设的,目的是为党委、人大、政府、政协、法院、检察院等各级政务部门跨地域、跨部门的社会管理、公共服务、信息共享和业务协同提供电子签名和数字证书服务。为有力地推进政务外网电子认证建设和管理,2010年国家发展改革委批准成立专门的机构——国家电子政务外网管理中心电子认证办公室,主要负责电子政务外网数字证书认证业务的相关管理、运行和服务工作,是国家电子政务外网电子认证工作统一对外管理和服务窗口。2010年6月国家密码管理局批准该办公室依托国家电子政务外网网络站点平台,建立“国家电子政务外网数字证书中心(ZWCA)”,并承担电子政务外网电子认证服务工作,2011年获得国家密码管理局颁发的电子政务电子认证服务资质。目前,中央外网CA中心、省二级外网CA结点基本建成,并建设了国家政务外网“政务电子认证系统”,包括数字证书中心CA(最大容量为100万张证书)、密钥管理中心KMC(最大托管容量为300万对密钥)和两个注册管理中心RA。
电子政务内网CA认证服务是依托电子政务内网建设的。由于电子政务内网的涉密特性,对机房、工作间等基础设备的要求比较高,在全国范围内尚未建成大规模完善的电子政务内网网络结构,只有少数几个省市建成了严格意义上的政务内网。基于这种现状,电子政务内网CA中心建设目前尚处于不完善的状态。目前已经建成严格涉密电子政务内网的省市,相应的建设完成电子政务内网CA认证中心,如北京、上海、江西、浙江、广东等。2010年由中央办公厅牵头开始在全国范围内推动电子政务内网涉密网络的建设,作为内网安全体系基础保障设施之一的密钥管理中心和电子政务内网CA认证中心开始加快建设步伐。
电子政务CA认证服务中心能够保证电子政务的应用安全,它的最终目标是在保证政务网络、应用安全的基础上,实现跨部门、跨地区信息资源共享、业务应用的互联互通。目前电子政务CA认证应用仍然以电子政务外网为主要依托,为电子政务与电子商务提供安全保障,截至2012年12月底,电子政务外网有效证书使用量达到27700多张。政务外网CA认证服务在CA认证中心基础设施基本建设完成的前提下,通过向外网接入单位发放证书提供统一用户管理、身份认证、授权管理等功能,同时也加强服务公众、社会管理等的应用,充分的发挥政务外网的服务功能。国土资源部、国家审计署、环境保护部、民政部、国家质量监督检验检疫总局和国家发展和改革委员会等六部委(署)建设了数字证书注册系统;全国已有12个省(区、市)完成数字证书注册系统建设,并组织并且开展数字证书应用活动,还有13个省(区、市)将于今年底前完成建设任务,投入到正常的使用中。[7]电子政务内网CA认证由于内网涉密性强、应用场景范围较小。
我国部分省市电子政务CA认证均取得了一定的进展,特别是在各地信用体系平台建设方面发挥了突出的作用。以浙江省为例,该省把电子认证服务系统作为浙江省“数字浙江”和“信用浙江”建设的一项重大安全配套工程,慢慢的变成了浙江省网络信任体系建设的主要内容和网络安全保障体系的重要环节。浙江省于2002年5依托省电子政务网络体系成立了浙江省数字认证中心,建立了以双中心(CA中心和KMC中心)、双证书(签名证书和加密证书)和双支持(支持SSF33算法和RSA算法)为内容的电子认证服务平台,为全省电子政务建设和电子商务活动提供共享统一的安全认证基础设施,以及网上身份认证、电子签名等网络安全信任服务,确保网上交易者身份的真实性,以及信息传递的保密性、完整性和毋庸置疑性。CA认证在工商网上年检、网上报税、网上信息服务专项申报、企业信用查询、政务电子邮件和电子商务等九大领域得到了应用,初步实现了“一证九通”,形成了网上办公、网上报税、网上采购等一系列电子政务、电子商务等电子证书应用的解决方案,为“数字浙江”、“信用浙江”的建设,提供了网络信任和安全保障。
外网密钥管理中心和CA中心是依托外网网络建设的安全保密设施,国家信息中心作为我国电子政务外网的规划与承建单位,在电子政务外网CA认证方面掌握着较多的一手资料,相继发表了一系列与电子政务外网电子认证服务相关的文章,《电子政务电子认证体系建设总体设计》《政务外网电子认证服务体系建设的思考与实践》。国家电子政务外网管理中心作为电子政务建设的专业组织机构对电子认证服务属地化业务的模式和怎么样提高电子认证注册服务机构建设速度开展了研究。
电子政务内网,全国范围内已建成严格意义上的电子政务内网的省市还不多。电子政务内网电子认证CA建设是依托电子政务内网网络进行的,基于内网建设不完善的现状,全国范围内有较多的省市尚未建成电子政务内网密钥管理中心和CA认证中心。因此,相对程度上电子政务内网电子认证服务的相关研究也较为滞后。
综合来看,我国电子政务CA认证发展在有关规定法律法规制定、认证机构管理、基础设施建设、应用服务、理论探索等方面虽有所成效,但仍或多或少存在着法律和法规不完备、技术规范标准缺失或可操作性弱,电子商务与电子政务认证授权机构管理界线不明晰、职能交叉,服务机构的资质申请与审核缺乏规范化和透明化,政务内网应用目前尚未大规模开展,外网认证应用服务应用范围少、层次低等诸多不足与问题。
近年来,随着信息技术的发展和国家对CA认证的关注,我国电子政务CA认证取得了一定的进展,电子政务认证的相关法律和法规和标准规范体系不断完善,认证服务市场规模不断扩大,认证服务机构,认证应用场景范围日益广泛,认证技术稳步发展。未来,电子政务CA认证建设将在标准规范建设、规范服务机构、开发新技术、加快应用推广等各个方面全面铺开。
随着政务外网建设和应用的完善与推广,将细化标准规范体系的建设,使得政务外网CA认证管理更加规范化,在完善外网的同时加大对内网CA认证相关标准和管理办法的制定,为内网CA认证提供指导。进一步明确电子政务与电子商务CA认证管理机构的界限,建立严格的认证服务机构管理制度,规范对第三方认证服务机构资质的审核。改善市场环境,实行优惠政策,鼓励相关企业对身份认证、授权管理和责任认定等安全策略的,以及对电子签名、电子签章等技术的研究与创新。
在国家出台的《电子认证服务业“十二五”发展规划》中明确提出,“率先在公共服务领域应用第三方电子认证服务和可靠电子签名,发挥政府部门带头作用”,由此可见,在CA认证建设中,要突出两个方面,一是要突出政府部门在推动CA认证发展中的牵头作用,二是要突出电子认证在公共服务领域的应用服务。
社保、医疗、保险等诸多公共服务领域将逐步深化电子认证的应用,电子病历、电子保单等更多业务将得到广泛开展。由政府牵头,企业参与的数字认证建设项目与示范工程逐渐开展。随着社会对电子认证服务的认可程度进一步提高,网络购物用户数量将迅速增长,网上交易活动开展更为频繁,在线招投标、电子合同签署与电子订购等业务将蓬勃发展。
跨地区、跨行业甚至跨境的网络应用需求日益旺盛,迫切需要采用多种形式整合认证资源,实现数字证书互认。随着社会公共服务的不断完善,我国在社保、医疗、教育、金融等多个领域探索跨地区、跨行业的应用,试图通过资源整合提供统一的公共服务平台。在整合过程中,数字证书应用接口标准不统一、证书类别差别化、证书管理不规范等诸多问题逐渐显现,严重影响资源整合的力度。
未来,在技术方面,电子政务CA认证要逐步规范证书应用接口标准,统一证书类别,实现安全等级标准化,建立跨地区、跨行业的数字证书交叉认证平台,为应用系统提供统一验证接口,为公众开放数字证书查询窗口。在应用方面,电子政务CA认证要探索建立跨境、跨地区、跨行业证书互认模式和长效机制,推动全国范围内的电子认证跨区域互认,推进医院信息化、居民健康卡等领域的跨地区证书互认。
随信息技术的发展,诸如移动互联网、云计算、物联网等新技术在电子政务与电子商务中的应用不断深入,新技术的发展既对CA认证提出了新的要求,同时也为CA认证发展提供了新的机遇,要求电子认证服务有所创新与突破。移动互联网的发展使得移动电子政务办公成为可能,异地办公在便捷的同时也带来了较大的安全隐患,云计算等新模式的产生使得云端数据的安全存储、访问授权、隐私保护问题逐渐凸显,物联网、三网融合等新技术新业务的出现对电子认证服务的应用和发展提出了新的要求。
电子政务CA认证以推进国家电子政务网络信任体系建设和规范网络空间秩序为目的,以加速电子政务网络身份认证服务体系建设为重点,针对移动互联网、云技术、物联网应用的安全需要,选择用户基础好的移动电子政务、电子商务、政务云平台和物联网等相关领域,围绕用户需求,综合运用身份认证、授权管理和责任认定等手段,加快电子签名、电子签章等技术研发,不断创新电子政务CA认证服务新模式。
随着信息化技术发展和国家对电子政务建设的重视,我国电子政务建设取得了较大的成效,但在飞速的发展过程中,电子政务建设也相继面临一些问题,特别是在安全性和保密性方面存在的隐患越来越大。与此同时,移动互联网、物联网以及云计算等新技术的出现,对电子认证服务提出了新的要求和挑战,电子政务认证作为电子认证的重要组成部分,作为电子政务网络信任体系的重要建设内容,它的完善与否直接关系到电子政务网络平台和重点信息化工程的安全正常运转。
通过以上分析,我们可以看到,我国电子政务CA认证发展在相关法律和法规制定、认证机构管理、基础设施建设、应用服务、理论探索等方面虽有所成效,但仍或多或少存在不足与问题。为此,我们应该结合电子政务CA认证呈现的新特点,对电子政务认证从顶层进行科学设计和合理规范,逐步规范CA认证管理,充分结合内外网建设实践深入研究CA认证,重点探索电子政务CA认证在公共服务领域的深入应用,探索跨境、跨地区和跨领域证书交叉认证服务等。