6月3日�,由工業(yè)和信息化部信息安全協(xié)調(diào)司主辦�����,中國電子認(rèn)證服務(wù)產(chǎn)業(yè)聯(lián)盟��、工信部賽迪智庫網(wǎng)絡(luò)安全研究所承辦的電子認(rèn)證服務(wù)應(yīng)用研討論壇在京舉行����。該論壇是第二屆國家網(wǎng)絡(luò)安全宣傳周的重要活動之一,同時也是《電子簽名法》實施十周年系列宣傳活動之一�����。
會上,中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局副局長楊春艷指出���,當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域最突出的問題���,就是廣大網(wǎng)民缺乏網(wǎng)絡(luò)安全知識、缺乏安全技能和安全意識����。而電子認(rèn)證服務(wù)正是確認(rèn)網(wǎng)絡(luò)主體身份、開展網(wǎng)絡(luò)可信身份管理的重要手段����,可以有效解決網(wǎng)絡(luò)行為責(zé)任認(rèn)定的舉證問題,從而保障廣大民眾的網(wǎng)絡(luò)權(quán)益�。工業(yè)和信息化部信息安全協(xié)調(diào)司王宏處長表示,《電子簽名法》是信息化里面相關(guān)的第一部法律��,為維護(hù)交易的各方合法權(quán)益�,保證電子交易的安全,提供了必要的法律保障�����。國家密碼管理局商用密碼管理辦公室安曉龍副主任認(rèn)為,目前�,在網(wǎng)絡(luò)安全、硬件產(chǎn)品��、操作系統(tǒng)嚴(yán)重依賴國外的情況下���,只有廣泛使用商用密碼以及電子認(rèn)證,才能保障我國的網(wǎng)絡(luò)安全����。中國電子認(rèn)證服務(wù)產(chǎn)業(yè)聯(lián)盟常務(wù)副理事長季金奎認(rèn)為,在我國信息化領(lǐng)域《中華人民共和國電子簽名法》是迄今為止真正意義上的唯一一部法律���,但電子認(rèn)證服務(wù)產(chǎn)業(yè)聯(lián)盟本身的力量還是很弱小的�,希望更多的企業(yè)加入到電子認(rèn)證服務(wù)產(chǎn)業(yè)聯(lián)盟中�����,使電子認(rèn)證服務(wù)真正發(fā)展成為建設(shè)網(wǎng)絡(luò)強國過程中不可或缺的安全基礎(chǔ)設(shè)施�����。
《中國電子報》特摘編了6位主題發(fā)言人演講的主要內(nèi)容�����,集中反映電子認(rèn)證發(fā)展的現(xiàn)狀、趨勢�����,以及在各行業(yè)����、各地區(qū)的應(yīng)用情況。
賽迪智庫網(wǎng)絡(luò)安全研究所王闖
2014年電子認(rèn)證服務(wù)規(guī)模同比漲38%
《電子簽名法》從2005年實施以來��,認(rèn)證機構(gòu)的數(shù)量不斷增加�����,現(xiàn)在為37家�����,分布在全國23個省�����、直轄市和自治區(qū)。截止到2014年年底���,電子認(rèn)證服務(wù)業(yè)產(chǎn)業(yè)規(guī)模達(dá)到129.9億元�����,同比增長38%�。其中軟硬件市場規(guī)模98億元���,CA機構(gòu)營業(yè)額30億元,電子簽名產(chǎn)品和服務(wù)市場規(guī)模為1.9億元�����。
截止到2014年底我國有效數(shù)字認(rèn)證總數(shù)是2.38億,整體的需求數(shù)量是比較穩(wěn)定的����。在驗證層面來看,2014年大約有1531萬張數(shù)字證書應(yīng)用在電子政務(wù)領(lǐng)域�����,金融領(lǐng)域6581張�,主要是網(wǎng)上銀行為主。電子商務(wù)領(lǐng)域有效證書176萬張����,其中企業(yè)內(nèi)部管理占一半,企業(yè)經(jīng)營占41%��。
制約電子認(rèn)證市場發(fā)展因素大量存在��。包括民眾對電子認(rèn)證的認(rèn)知比較低�����,技術(shù)基礎(chǔ)較為專業(yè)�����,用戶主動需求尚未發(fā)掘,法律效力問題目前還存在一定的爭議等�����。
從電子認(rèn)證的行業(yè)趨勢來看����,電子認(rèn)證服務(wù)業(yè)已經(jīng)進(jìn)入了比較穩(wěn)定發(fā)展的階段。預(yù)計2019年市場規(guī)模將突破400億元��。行業(yè)發(fā)展環(huán)境將得到持續(xù)改善��,現(xiàn)在國家正在逐步推行行政體制改革��,轉(zhuǎn)變政府職能����,推動國有企業(yè)改革�����,激發(fā)企業(yè)的活力�,這都對行業(yè)發(fā)展很有利。市場需求將不斷增大����。商用密碼在互聯(lián)網(wǎng)上應(yīng)用對行業(yè)發(fā)展����、拓寬行業(yè)需求有很大的好處�。在電子商務(wù)領(lǐng)域應(yīng)用中,電子簽名應(yīng)用增加��,電子合同��、電子簽章服務(wù)逐漸成熟�����,都使得這個行業(yè)需求不斷放大����。目前,電子簽名標(biāo)準(zhǔn)制定已基本完成�����,電子簽名司法效力將得到廣泛認(rèn)可�����。
公安部第一研究所信息安全部副主任楊衛(wèi)軍
電子數(shù)據(jù)司法鑒定已在電子保單、銀行嘗試
我們對網(wǎng)絡(luò)交易安全的認(rèn)定是從交易信息的保密性����,交易各方身份的確認(rèn),信息的防抵賴�,以及交易信息的完整性和防篡改等這幾方面進(jìn)行認(rèn)定。電子簽名是可以作為電子證據(jù)使用的��,最高法在2015年民事訴訟法司法解釋中提到���,電子數(shù)據(jù)是指通過電子郵件�����、電子數(shù)據(jù)交換��、網(wǎng)上聊天記錄、博客��、微博�、手機短信、電子簽名���、域名等形成存儲在電子介質(zhì)中的信息����。
電子簽名能夠表明無紙化業(yè)務(wù)中簽名人身份及簽名人對內(nèi)容的認(rèn)可意愿。符合可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力�。
符合可靠電子簽名的數(shù)據(jù)電文已經(jīng)具備合法的證據(jù)效力,因為技術(shù)的專業(yè)性需要更有效��、更直觀的呈現(xiàn)形式�����,讓法庭和司法機構(gòu)締結(jié)��、認(rèn)可����。司法鑒定意見書本身是一種合法的證據(jù)形式,并且易于展示和理解�����,在法律質(zhì)證時比單純的電子數(shù)據(jù)更易被法庭接受���。由電子數(shù)據(jù)司法鑒定權(quán)威機構(gòu)對電子簽名進(jìn)行專業(yè)鑒定�����,并出具鑒定意見����,有利于電子簽名在電子商務(wù)等領(lǐng)域中的應(yīng)用推廣,消除當(dāng)事人對電子簽名合法性的疑慮�����。電子數(shù)據(jù)司法鑒定目前已在電子保單����、銀行等方面進(jìn)行了嘗試。
工業(yè)和信息化部通信保障局副調(diào)研員袁春陽
計劃6月推出移動商店APP數(shù)字簽名標(biāo)準(zhǔn)
互聯(lián)網(wǎng)���、移動互聯(lián)網(wǎng)快速發(fā)展���,面臨很多的安全挑戰(zhàn)。工信部作為行業(yè)主管部門��,維護(hù)網(wǎng)絡(luò)安全是其中一項重要職責(zé)��。
在標(biāo)準(zhǔn)規(guī)范上�,我們制定了《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》���,每年對運營商網(wǎng)絡(luò)進(jìn)行風(fēng)險評估和安全防護(hù)檢查制度����,配套了相關(guān)的標(biāo)準(zhǔn)。工信部出臺了《關(guān)于加強移動智能終端管理的通知》����,對進(jìn)網(wǎng)的移動終端進(jìn)行檢測,包括里面的應(yīng)用軟件����。2014年工信部又出臺了《關(guān)于加強電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》,明確提出加強應(yīng)用商店和移動互聯(lián)網(wǎng)應(yīng)用APP的安全管理���。這也是我們?nèi)轿迥曛匾墓ぷ髦笇?dǎo)���。
為推動互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)安全��,我們正在研究制定相應(yīng)的管理辦法���,包括明確應(yīng)用商店的責(zé)任���,應(yīng)用商家內(nèi)部應(yīng)該建立什么樣的安全管理制度��;包括加強移動應(yīng)用程序源頭管理����,積極推動移動應(yīng)用程序第三方數(shù)字簽名認(rèn)證機制����,我們也在積極探索建立移動應(yīng)用程序第三方數(shù)字簽名認(rèn)證的可行性。此外還開展移動惡意程序監(jiān)測處置工作�,以用促進(jìn)行業(yè)自律等。
下一步將持續(xù)開展重點工作��,尤其是第三方簽名認(rèn)證會進(jìn)一步得到落實����,包括展示應(yīng)用商店簽名的應(yīng)用,推動移動商店簽名APP的驗證�����,并計劃在今年6月份正式推出相應(yīng)的簽名標(biāo)準(zhǔn)����。
北京證聯(lián)信通科技發(fā)展有限公司總經(jīng)理馬圣東
移動代碼簽名試點遇到在線申辦難題
移動代碼簽名可以保障開發(fā)者身份真實可信,簽名具有法律效力,數(shù)字簽名可以防止移動應(yīng)用程序篡改��。
整個流程包含證書申請����、使用APK�、工具簽名,還有使用驗證簽名�。整體的流程包括開發(fā)者、應(yīng)用商店����、CA機構(gòu)用戶、安全軟件和操作系統(tǒng)�。
證書申請流程與CA機構(gòu)緊密聯(lián)系。舉個簡單的例子��,一個開發(fā)者提交一個身份信息�����,向CA機構(gòu)申請一個證書�,用于程序的簽名。還有測試機構(gòu)����、應(yīng)用商店�����,同樣需要申請數(shù)字證書��。但是在這個過程中���,我們推廣遇到一些困難。例如一個客戶有2000個用戶�,需要在線申請數(shù)字證書,目前CA機構(gòu)可能沒有任何一家能滿足他的要求��。這是我們試點在推廣過程中遇到的障礙�。
APK簽名工具不受次數(shù)限制,不管是應(yīng)用商店��、檢測機構(gòu)還是開發(fā)者��。應(yīng)用商店可以用SDK簽名驗證��,SDK簽名主要針對有大量應(yīng)用發(fā)布的場景���。目前有較大意愿使用電子認(rèn)證的是金融機構(gòu)��,他們正推出自己的APP�,為了保證自己APP的可信性需要數(shù)字簽名。金融機構(gòu)更在意給用戶推出的APP一定保證安全����。廠商就特別在意自己推出的APP是否有人打包再去發(fā)布���。目前國外APP開發(fā)廠商�����,他們也希望通過這種方式對他們的版權(quán)進(jìn)行保護(hù)����。
我們遵循現(xiàn)有國內(nèi)國外的標(biāo)準(zhǔn)�����,不改變APK原有的文件結(jié)構(gòu)�����,具有最好的兼容性�����。原有APK的安裝模式和安全機制沒有任何改變。原有簽名證書可以繼續(xù)使用���,可保證升級的平滑性��。
中國威信電子安全服務(wù)有限公司產(chǎn)品經(jīng)理蔣小燕
用SIM卡認(rèn)證方式保障政企級安全手機
政企用戶對安全手機的需求是比較大的�����。中國聯(lián)通目前是從數(shù)據(jù)網(wǎng)絡(luò)加密通信手機本身實現(xiàn)安全防護(hù)的�����,覆蓋手機APP的安全����、通信安全���、應(yīng)用安全��、操作系統(tǒng)安全等各個方面��,為用戶提供全方位的軟硬件一體化解決方案�。
硬件防護(hù)主要包括系統(tǒng)級安全和手機本身的安全,我們推出SIM卡里獨立安全認(rèn)證與加密模塊TF����。在SIM里面植入鑰匙,不需要在外面攜帶證書�,因為運營商已經(jīng)把號碼和人進(jìn)行了綁定,這張卡的證書保證就是用戶本人����。通過這種結(jié)合����,我們可以對手機相關(guān)的硬件包括USB、NFC����、相機進(jìn)行控制,對數(shù)據(jù)進(jìn)行加密傳輸����。在它之上還可以進(jìn)行擴展安全應(yīng)用,比如說支付應(yīng)用�����、內(nèi)容應(yīng)用,還可以做單點登錄�、設(shè)備的安全啟用,以及一些其他應(yīng)用���。需要手機簽名的時候��,訪問SIM卡���。還可以在手機上進(jìn)行加解密的運算,用SIM卡保證敏感信息的安全�。我們把手機做成了雙域隔離,工作區(qū)域和個人區(qū)域分開�。工作區(qū)域通過VPN訪問公司內(nèi)部的網(wǎng)絡(luò),個人區(qū)域可以閱讀個人電子郵件等�。
在應(yīng)用安全防護(hù)方面,我們提供了加密通信����,把語音進(jìn)行加密,會議電話進(jìn)行加密��,加密消息和群組消息��,加密文件或者群體文件等等�。
上海市經(jīng)信委信息化推進(jìn)處副處長裘薇
上海法人一證通有效解決證書碎片化問題
2012年��,上海開始推行法人一證通���。原來上海在各個領(lǐng)域都發(fā)了相關(guān)的CA證書,但是從應(yīng)用上講���,每個領(lǐng)域發(fā)的證書只能在單個領(lǐng)域來用�,所以上海首先推出了法人一證通���。我們圍繞以下幾方面做工作:
第一建設(shè)統(tǒng)一的認(rèn)證系統(tǒng)�。在全市范圍內(nèi)建立法人網(wǎng)上統(tǒng)一身份認(rèn)證系統(tǒng)����,把包括工商�����、質(zhì)檢���、稅賦����、人保、公積金五方面的基本信息都統(tǒng)一起來�����。第二完善統(tǒng)一的服務(wù)渠道�����。原來各個單位結(jié)合應(yīng)用通過各個渠道發(fā)證���,我們把原來的服務(wù)網(wǎng)點都關(guān)閉了�����,在17個區(qū)縣企業(yè)服務(wù)中心和便民服務(wù)中心設(shè)立22個服務(wù)網(wǎng)點����,統(tǒng)一對各區(qū)縣法人單位發(fā)放證書��。第三建立完善收費機制�。第四拓展應(yīng)用范圍,實現(xiàn)法人數(shù)字證書跨部門通用���,設(shè)立法人在線辦理各類事項身份認(rèn)證服務(wù)�。
截止到今年5月底,全市一共發(fā)放法人一證通140萬張�����,共為108萬家法人單位提供一證通服務(wù)�����,為全市法人節(jié)約成本3億元/年�����,節(jié)省出行時2250萬小時/年��,節(jié)約紙張4400萬張/年��。
法人一證通推進(jìn)3年時間中�,獲得了相關(guān)方面的認(rèn)可�����,是全國首個電子認(rèn)證服務(wù)機構(gòu)打破傳統(tǒng)服務(wù)模式的創(chuàng)新示范工程���,也是全國首個由財政資金統(tǒng)一購買服務(wù)��、為法人單位提供數(shù)字證書的服務(wù)����。上海市政府每年提供3700萬的專項資金購買上海CA為法人提供的證書服務(wù)。
說兩句
