在电子商务、电子政务逐渐成为社会的关键词之后,网络安全占据了关于网络探讨的显耀位置。当网络已经跟空气一样与社会生活息息相关,当安全像海市蜃楼一样若隐若现,关于安全的关联技术市场的兴起就不再是一个遥远的话题。
事实上,人们正在用他们一贯的创业热情,在CA领域挥洒他们的激情和渴望。是的,CA市场是一块诱人的蛋糕,毕竟在互联网创业越来越边缘化的今天,留给后来者的肥肉已经不多。
在推出CA机构注册资金“3000万”的门槛之前,CA证书“百家齐发”,一时间,CA市场硝烟弥漫,各个CA机构高墙林立,坚壁清野,群雄割据且作壁上观,巍然一派春秋气象。而另一方面,CA市场的混乱、网民的困惑、技术的炉火纯青与公信力的一降再降、CA机构的盈利困难又把CA的市场繁荣变成了镜花水月。市场的开拓并不是一厢情愿的事情。在我们的网络泡沫并未完全消失之前,我们又看到了那些满怀希望,一头扎进来又苦苦支撑的方鸿渐们。这似乎是一个用热情换取教训的年代,是一个用浮躁激扬节奏的年代,是一个让网民无所适从、创业者无所不从、从者蜂拥的年代。在这个“年代”中,我们的理性没有得到体现!
为了在初期占领市场,多数CA机构沿用互联网惯常的先推出、再拿回的“推拿术”——免费,这对于商家本无可厚非,在互联网动辄免费的今天,为了能得到投资,拓宽融资渠道,多数CA机构唯一能够与同行比拼的就是如何更快、更多地把证书发放到用户手中,如何在数量上超过对手从而得到资金的青睐。对于整个行业,这种缺乏差异化竞争力而只通过免费策略来实现竞争的方式,只会让刚刚起步的CA行业变得更加脆弱。如果再加上这些机构并不是每家都有相应的资质和技术支持,再加上相关政策的滞后,再加上……还能再加吗?我们可以对网络钓鱼生啖其肉,然而只有对CA恨铁不成钢。有识之士指出,再让这些被戏称为“一无法律约束、二无行为规范、三无监管部门”的“三无企业”继续发展下去,一些不法分子将有可能趁机得到CA认证的证书。到那时,CA证书将只是一块透明的遮羞布。
据说,在定下3000万的门槛之前,一些规模较小的CA机构曾希望把门槛设定在1000万,好让自己有机会获得许可;也有“财大气粗”的机构希望把门槛设在5000万,以多排除一些竞争对手。当门槛高低争论尘埃落定之后,各CA机构命运不一,或折戟沉沙、青山忠骨,或横刀立马、挥斥方遒。当然,首批获得数字认证的机构是幸运的,他们有机会在这片空白的市场上有所作为。如前所述,市场的开拓不是一厢情愿的事情,市场的培育也不是一己之力可以完成的。更何况,刚刚从混战中杀出的各家CA并不都盔明甲亮,他们在之前的混战中多少已经受到了影响。他们,会是扶不起的阿斗吗?
个人用户的尴尬
如果没有用户,一切技术都将成为空谈。在众多CA机构已经获得运营资质的时候,还有一批CA机构忙着完善条件,以期取得信产部的上马许可证。很明显,用户的争夺将是CA机构间的第一场交锋。在当前,政府和企业是CA技术最主要的用户:政府的电子政务主要依托于区域的认证机构;企业则更偏重于与行业认证机构的合作。在记者采访过的几位CA机构老总看来,CA市场要发展,还得看需求的增长。而需求的增长,则主要得看用户群的延展。政府的CA认证业务基本上不需要争夺,而企业在用尽其他所有安全手段之后,只有数字签名才能切实保证他们的安全。
数字证书包括个人身份证、企业身份证、设备证书、代码签名证书、邮件证书等几种产品。在企业安全保障系统应用中,当前并没有完全达到采用数字签名这一步,而只是改变了传统的ID加密码的登录方式。另外,多家CA机构还推出了一种基于技术的服务产品,以让企业在内部实现数字证书的管理与流通。除了这些相类似的服务,CA机构为了争夺更多的企业用户,也亮出了各自的招牌。
作为区域认证机构的代表,首批获得认证资质的北京CA与上海CA主要为政府机构的电子政务提供服务。在构筑认证平台中,北京CA与上海CA获得了更多政府的支持。再加上电子政务的认证服务目前还处于一种指令性的应用,因此区域CA的运营较为顺畅。依托政府的CA运用,区域CA也广泛涉猎企业用户。与上海CA一样,北京CA目前涵盖了几乎所有当地政府的电子政务认证应用。北京CA证书发放量超过30多万张。而上海CA通过积极与应用方合作,证书发放量也已经超过60万张,平均每年更新十多万张。在其他CA苦于盈利无方的时候,北京CA却已积累了大笔资金铺向全国市场。
作为一家专注于金融数字认证的行业CA,CFCA的企业用户基本上囊括了所有商业银行。当前,除了网上银行、网上税务领域之外,CFCA数字证书还被应用于近20家证券公司、20多家基金公司、40多家企业集团财务公司,以及中央国债登记系统、中国人民银行、中国银联等若干应用系统、电子商务平台等金融和非金融行业。到现在,CFCA数字证书发放量累计超过80万张。
作为一家更具商业性质的CA机构,天威诚信不但成功地与微软(中国)、中国证监会、北京市政府、招商银行、中国工商总行、新浪、搜狐合作,还为海南、华北等区域性CA提供技术支持。加上与客户沟通的软性服务,其目前每年更新证书十多万张,是用户群最活跃的认证机构之一。
但是,数量级最大的个人用户这块却一直上不去。要知道,据权威统计,截至目前我国上网人数已逾1.1亿。相对企业来说,个人用户的安全更没有技术保障。难道是个人用户对安全隐患不以为然?还是因为他们对CA认证理解不够?天威诚信副总裁李延昭认为,现阶段人们对CA的认识已经普遍得到提高,不再需要CA基础知识的普及;而上海CA总经理崔久强则持相反观点:当前行业的困境在于网民对CA的认识不够,许多用户甚至不知道电子签名。在去年CFCA做的一个“CFCA2005年网上调查报告”中,仅仅有三分之一的人知道数字证书可以保护网上银行资金。有的用户觉得:“银行告诉我用密码,我就用密码。”这是一个让人郁闷的结果,但也意味着这是一口还没有开采出来的富矿。
但事实上,即使所有网民都了解了CA的概念,这项技术的推广也不一定一帆风顺。有时候用户的心理是:如果你免费发放证书,用户就会怀疑证书的权威性,发证企业的合法性、权威性以及社会认同感。而如果你的证书是收费的,用户会在承担的风险与办理证书程序所消耗的时间、精力上做出一个选择。如果是一个可以承担的风险,甚至是在交易额低于证书成本的情况下,毫无疑问,用户就会选择承担风险。进一步讲,当可以承担的“风险”并未出现问题,用户可承担风险的系数将会在无形中扩大。此外,成本问题是用户最顾虑的吗?事实上,个人用户证书费(如金融数字证书)每年年费不到10元,加上只在申请时缴纳唯一一次的证书存储介质USB Key的成本费也不过80元左右。数字证书的使用成本根本不构成不使用的理由。因此,这种风险承担的考虑只是源于用户已固化于账号加密码这种直接支付的使用习惯。
除去消费习惯这个因素,目前的CA主流仍在于高端技术的运用,对普通网民只是一种可以接受的概念。如果个人用户交易额不大且仅仅是进行偶尔的网上交易,在现有的防火墙体系尚未有崩溃迹象的时候,个人用户大多选择不用数字证书。在当前行业壁垒尚未消失之前,数字证书的用户群只在一个有限的区域内。要改变这种现状,就要对广大潜在用户加大宣传力度。还有,就是等着防火墙着火。
区域CA,不让名头毁了钱途
区域CA,一个前《电子签名法》时代的称谓。的确,如同封建制带来军阀割据一样,CA市场初期的行业分割就意味着每个企业都有一块自留地支撑基本的企业运转。事实上,区域CA与所属地方政府关系甚为密切,主要做电子政务。在把地方政务兜揽过来之后,区域CA可以轻松地存活。比起那些没法盈利的行业CA,他们是最幸福的“地头蛇”。
然而,区域CA显然不满足于只在自己的“地头”挣钱。作为中国第一家专业的CA,上海CA本身的服务范围定位就是全国,与其类似的其他CA们也不甘心区域名头的帽子,他们想要做的是重新定位区域的意义。林雪焰指出:“《电子签名法》的出台有效打破了区域疆界。事实上,区域CA仅仅是指机构的区位,而不是服务范围的限定。只要有能力,就可以面向全国服务,就像北京大学是面向全国招生的一样,区域CA的服务范围也是全国性的。”
影响区域CA推向全国的首要困难就是人们的刻板印象,当然,最现实的问题却是如何与行业CA竞争。一般认为,区域CA会依托现有的客户资源去换取行业应用支持。但事实上个别区域CA也有另外的做法。目前,北京CA正在全国铺开市场,着手建立一证多用的互通。这种证书推行之后,公务员证书将可用于银行、社保、医疗等领域,税务用证书也可通过银税互联进入银行。而上海CA则从去年开始推行试点,预计今年在沪宁杭三角地区实现长江三角洲的区域数字证书互通。可以看出,区域CA的经营策略实际上是借助“地头蛇”的优势,以区域划分为桥头堡,进而伺机攻城略地。
互通,有必要,有可能吗?
基于数字签名便民的宗旨,各CA机构的证书互通是必要的。就像现在用户可以在每家银行提供的ATM终端上支取现金一样,数字签名也应该在全国各地都有相同的权威效力。但事实上,目前各CA机构的证书并没有实现互通。这到底是什么原因呢?
对此,林雪焰坦言:“互通不是技术问题,而是业务策略问题、商业问题。”也就是说,互通与否是利益的博弈。英国一位外交官说过:“没有永远的朋友,没有永远的敌人,只有永远的利益。”是的,利益的权衡才是影响企业行为的最根本因素。
什么是当前CA机构难以割舍的利益?答案很明显:用户。在第一次洗牌之后,剩下为数不多的CA各自占领了一定份额的市场。如CFCA的80万张,上海CA的60万张。用户群的不对等,直接威胁到利益“均”沾的可能,而在行业复兴初期,一些企业为了拓展顾客,发放相当数量的免费证书。这不免让企业之间产生猜疑:在自己承担了信用风险之后,谁愿意再来为可能完全没有经过审核就发出的免费证书分担风险?
谈到互通这个问题就不得不提到应用。当前数字签名中最尖端的技术并没有得到普遍运用,而且跨行业的应用也没有发展起来。有专家就此指出:“在应用日益影响服务提供的今天,互通还没有存在应用的市场。互通只是浪费资金,增加成本。换种说法就是:应用起来了,互通才有必要。”李延昭也戏称:“当每个人手里有5、6张不同的证书时,就会像现在人们手里拿着5、6张银行卡一样觉得烦。那时就是互通到来的时候了。”
明天会更好
尽管CA认证有着无法回避的尴尬过去,但是CA认证也拥有不容置疑的市场潜力。我们必须明白的是:并不是因为先进就需要,而是因为需要才改进。我们一直有这么一个观念:现在的市场基本上处于需求衍生产业的阶段。如前所述,网民们并不是因为不存在安全问题才没有使用CA技术。如果需要客户为他们的安全付出一定的成本,就得考虑到客户可以承担的风险和安全事故的发生率。我们现在可以给自己一个答案:服务好用户,找到需求,CA市场才能真正迎来春天。
如果说CA行业是脆弱的、需要得到培育的花蕾,那法律政策和行业规范就是CA成长的土壤,而用户则是阳光雨露。电子签名与CA是唇亡齿寒的关系。如果电子签名的运用没起来,CA的推广根本无从谈起。所以,培育CA市场的关键就在于推动电子签名的运用。业界有句名言流传甚广:莫让技术迷糊了用户。作为目前最先进、最安全的保障,电子签名一直没有广泛被用户接受的原因就在于整个产业发展过于强调技术的先进性,而忽视了最终用户的应用体验。要拓展用户市场,就不能仅仅着眼于企业用户,因为潜在的个人客户资源才是最大的一块市场。而要将这些客源变成用户,则需要一个宣传、引导的过程。
在这个过程中,政府要做的就是进一步确定电子签名的法律权威,彻底推进政府的“无纸化”办公,摒弃传统的印章、纸质文件,并将电子签名运用于其他公共事业中。以政府的权威宣传电子签名的运用,并以政府的名义引导需要电子签名但处于观望的用户使用电子签名,从而达到拓展CA市场的目的。
对于个人用户的宣传,CA机构要做的事情就是将电子签名的成本与潜在用户的风险承担能力、使用电子签名成本进行综合考虑,在简化申请电子签名的程序同时,保障认证材料的真实可靠。另外,各家CA应当团结起来,联合已有用户,在各家用户内部发行电子签名、CA证书,引导用户的应用习惯。CA机构还可参考工行对非U盾用户继续降低网上支付限额的做法,在用户中强势建立电子签名和数字证书的市场。只有与用户适时交流,以用户发展用户,做出安全承诺,才能促进网上交易的电子签名运用。我们有理由相信,电子签名的运用才是CA市场复兴最厚实的养分。