信息通信技术和互联网技术的迅猛发展,为传统工业化模型下的大政府治理带来了新的机遇和挑战。以前那种集中管理、层层审批、携带大量纸质材料来回奔波的传统模式已无法适应知识经济背景下的政府功能需求,"电子政府"也就应运而生。
"电子政府"实质上是将传统模型的实体政府转变为适应以知识经济为基础,满足高效、便利、低成本要求的、不受时空限制的虚拟政府。但是,以网络为基础的电子政府是一个非常开放的系统,其内部信息具有广泛的分布性和极强的流动性,尽管它非常优越,但由于网络先天的安全问题给非法使用和破坏提供了很多可能。因此,保证电子政府的安全运行是电子政府构建与运作过程中的首要问题和核心问题。
保证电子政府安全运行的极端重要性
互联网不仅互联互通,还具有互动性、匿名性和隐秘性的特点。再加上互联网技术还远没有发展到可以完全解决自身安全问题的程度,这使得一些不法分子更容易进行网络犯罪活动,如盗取用户密码及网络财产、假冒用户身份进行破坏、窃取或篡改用户机密信息进行诈骗等。
尽管近年来我国已颁布实施了众多有关互联网安全的法律法规,国内外的软件公司也不断推出大量网络安全性保护软件和系统解决方案,但是网上非法入侵者(也就是我们常说的"网络黑客")仍然经常对政府部门的网站、网上业务系统进行大肆攻击和破坏,不但严重地影响了政府网站的正常运行,破坏政府网站的安全体系结构,降低政府的服务效能,同时也对企事业单位及个人的信息安全造成了巨大的威胁,严重者甚至导致用户的重大经济损失,其危害性不但已经成为全民关注的一个社会问题,也成为事关国家安全和社会稳定的法律问题,因此必须确保电子政府运行过程中的信息安全。
什么是电子签名?它是如何实现的?
信息安全的核心问题就是网络虚拟身份如何真实代表现实生活中的实体身份,在网络上行使具有法律效力的网络行为,从而保障网络行为具有与现实生活中同样的安全性和法律效力,这里面就涉及到如何实现电子签名的问题。
传统的签名必须依附于有形的介质(如印刷用的纸),而在网上虚拟环境中,文件是以数据电文的形式而存在的,没有有形的介质,这就需要通过一种技术手段来识别当事人的身份并确保文件传输的安全,以达到与传统手写签名相同的功能,这种技术手段这就是电子签名。2005年4月1日颁布实施的《中华人民共和国电子签名法》,从法律上对网络信息安全提出了新的更高的要求,这为以电子签名为基础的网络信息安全保护提供了坚实的法律保障。目前,国际上通用的基于PKI/CA体系的数字认证就是符合《电子签名法》要求的,能够基本全面解决上述安全问题的方案。
CA认证到底是什么?
将 PKI/CA 在网络空间的地位与电力基础设施在工业生活中的地位进行类比非常确切。电力系统通过延伸到用户的标准插座为用户提供能源。 PKI/CA 通过各种应用系统(如网上报税、网上工商年检、网上社保、网上政府采购等)延伸到用户电脑的接口,为各种应用提供安全的服务,如身份识别、数字签名、信息加密等。如果离开使用 PKI/CA 的应用系统, PKI/CA 本身没有任何实际用处,正如有了电能却没有电视、冰箱这些电器一样,电能就失去了意义。总之,它是解决网络安全问题的、普遍适用的一种基础设施,它能保障我们在各种网络应用系统中的安全,即实现信息的保密性、完整性、抗抵赖、访问控制授权以及身份鉴证。
在PKI/CA体系里面,数字证书是网络应用系统用户与PKI/CA产生关联的最为直接的体现。继续以上面的类比来说明。电力系统将电能输送到千家万户时,在每一家都会加装一个电表,这个电表与用户的身份一一对应,控制和记录着用户使用电能的基本信息。电力公司就是发放和检测电表的机构。数字证书就是用户登录和使用网上应用系统的一把钥匙,这把钥匙代表着用户的身份和权益,用来签署电子文件。CA认证中心就是为用户颁发数字证书的机构。用更为贴切的比喻来解释的话,数字证书就像是用户的网络"身份证",在现实生活中我们要用身份证才能住酒店、买机票,在网络上我们要通过数字证书来使用相关的应用系统。身份证是由公安机关颁发的,而CA认证中心类似真实世界中的公安局,公安局之所以能为我们发放身份证,是因为其权威性和公正性,CA认证中心在网络中也扮演着类似的角色。
CA认证中心可信吗?
这时,人们不禁要问:公安机关大家都知道很权威,但数字证书及其CA认证中心的权威性从何而来?《中华人民共和国电子签名法》赋予了电子签名与纸质手写签名或盖章具有同等法律效力,并明确了电子认证服务市场的准入制度。《电子签名法》的施行意味着网上通行有了"身份证",对"电子签名"、"数据电文"等电子文档是否具有法律效力进行了明确的规定,同时对电子认证机构的法律地位和法律责任有了明确的界定,保证以后发生纠纷时的责任认定,并且使得电子签名的安全性、可靠性有了法律保障,有效的保护了使用者的权益。
CA认证中心的法律地位和政府授权只是赋予了它最为基本的权威性来源,在实际的运营过程中为了保证CA认证中心签发的每一张数字证书都是真实可靠的,都是具有法律效力的,CA认证中心还须建立一整套非常严密的,甚至近乎苛刻的安全运营保障体系,并为每一张数字证书的真实性承担法律和赔偿责任。在这样的条件之下,CA认证中心的权威性和可信度是毋庸置疑的。
可能还会有人疑惑:CA认证固然重要且可信,但我现在并没有感受到对它的迫切需求。这是由于在安全问题出现以前,广大的用户最优先考虑、最能直接体会到的还是应用系统带给他们的方便性,但这并不能意味着安全问题以后绝对不会出现。这就犹如一个身体健康的人现在并不能感知到生病的状态或危害,但他为了防止生病会采取很多防范措施,比如加强锻炼、注射疫苗等等。
何为统一数字认证体系?
我们国家的CA认证行业具有非常明显的特点,那就是地域性特别强,尤其是在电子政务领域,基本上每个省、自治区或直辖市都有自己的CA认证中心,负责为本地的电子政务系统提供CA认证服务。以四川为例,在四川省政府的授权下,相关的政府部门于2007年底组建了符合国家法律法规要求且为省内唯一权威的CA认证机构--四川省数字证书认证管理中心(四川CA),为当地电子政务、电子商务等应用系统提供CA认证服务。在政府的信息化推进过程当中,四川省各级政府均采用四川CA的数字证书为职能部门的网上业务系统提供安全保障。
值得注意的是,四川在组建CA认证中心之初,就具有前瞻性地提出了建立全省统一数字认证体系的规划设计,即在全省电子政务、电子商务等领域当中建立统一规划、实施和管理的数字认证体系,以实现数字证书的"一证通用",这样做的好处在于能够避免重复建设、资源浪费的现象,节省证书用户的使用成本,提高数字证书的使用效率。
四川省的数字认证体系建设虽然起步较晚,但由于前期规划得当,所以基础较好,发展迅速。全省统一认证体系实施三年来,已取得了显著的成效。目前,四川CA提供的数字证书已广泛应用在了税务、社保、工商、统计、政府采购等十几个业务部门的网上办事系统当中,而且可以实现"一证通用"。广大的企业将是这个统一认证体系的最直接受益者,因为今后将全部实现网上办税、网上社保、网上工商、网上招投标等,最终实现无纸化办公,建立一种更加便捷安全、低碳环保的办公模式。