互联网经济的高速发展,推动了基于互联网的各种应用的蓬勃开展,特别是电子商务、网上银行的普遍使用,使得互联网上的安全问题日益突出。如果解决互联网环境下的信任危机,建立完善的电子认证体系成为这个新兴产业健康发展的关键。
国信办在2003年出台的27号文件中明确提出要在网络环境下建立信任体系,这个信任体系包括三个方面的内容——身份认证、授权管理和责任认定,这对鼓励PKI和CA的发展提供了政策上的意见。国信办最近出台的电子政务总体框架中再次重申要对电子政务体系特别是公共服务方面要建立信任体系,信任体系的基础就是身份的合法认定。另外,去年4月1日正式实施的《电子签名法》对CA机构的责任认定、运营规范等方面做了法律上的要求,这是我国在信息化领域颁布的第一部法律,充分说明了国家对身份认证问题的重视程度之高。
1990年代末,以中国电信认证中心(CTCA)、上海市数字证书认证中心(SHECA)等为代表的国内最早的一批CA成立,此后,全国先后建成了近百家不同类型的CA认证机构,CA认证的概念也逐步从电子商务渗透至电子政务、金融、科教等各个领域,证书的发放数量有了大幅度提高,据中国金融认证中心李晓峰总经理介绍,仅中国金融认证中心颁发的数字证书已经接近100万张,预计7月份将会突破百万大关。
从各家CA成立的背景来看,大体可以分为三类。第一类是以中国金融认证中心(CFCA)、国富安电子商务安全认证有限公司等为龙头的具有行业背景的CA,他们主要立足行业应用。第二类CA大多以地方政府为背景,具有明显的区域特征,其证书用户也主要集中在所在区域,比如上海市数字证书认证中心、北京市数字证书认证中心等。随着行业信息化和电子政务的不断发展,目前这两类CA认证中心的数量还会不断增长。与前两类多少具有一些政府背景的CA不同,目前还有一些纯民营资本成立的CA,这些CA多是自主筹资,比如天威诚信数字证书认证中心等。
根据《电子签名法》和《电子认证服务管理办法》的要求,不管是哪类CA,只要依法取得相应的运营资质,都可以在全国范围所有行业依法开展CA认证的业务。
从全国范围来看,我国CA发展的速度还是比较快的,而且形成了一定的规模,产生了一定的效果,我国CA行业的发展是值得肯定的。但是由于CA认证行业形成初期一直处于“无主管单位、无法律法规、无行业标准”的“三无”状态,粗放式快速发展的同时也暴露出很多问题,不管是CA行业的发展还是数字证书的应用,都存在很多误区和不足。
(小标题)CA的尴尬过去
国内CA的建设大都集中在2000年左右,出于各种各样的原因,各种CA项目纷纷上马。短短数年内,国内大大小小的CA已达百个之多。一时间群芳并起,大有一片CA行业枝繁叶茂的大好景象。
然而,繁华的表象下,却是众多CA机构无力支撑,陷入运营困境的现实。由于我国目前CA应用的推动力主要源于电子政务,CA项目的建设在一些地区甚至被视为形象工程,似乎不建设一个自己的CA,电子政务的发展就没有达到相应的层次。
“很多CA项目建设之初往往缺乏必要的论证,脱离实际应用,陷入运营困境也就不足为奇。”北京国富安电子商务安全认证有限公司的李长军总经理说。
首先,过高预期CA的收益,对运营风险了解不足。很多企业对CA的投资回报给予了过高期望,认为这是一个增加收入的好机会。他们往往按照区域内用户的宏观规模来预期收益。然而现实是,一方面,CA的运营要求非常高,在机房建设,人员管理,客户服务等方面均耗费巨大,必须有足够的资金支撑;另一方面,CA市场的培育是一个漫长的过程,在用户认知度较低的情况下,在短期内是难以收回投资和盈利的。而这些,在很多CA项目建设前都没有得到足够的重视。
其次,重建设,轻应用。我们常常看到,有的CA只是建成了系统,却看不到系统上跑的应用。这也是国内CA建设的另一个误区——我有CA,就是跟上了信息化的步伐。特别是一些区域,在没有切实应用需求的情况下,CA系统的建设被当成了政绩工程对待。在缺乏充分论证的前提下,系统建成后却找不到合适的应用,最后只是成为了空壳子。
第三,拿来主义,不注重技术研发。一些CA本身缺乏对核心技术的掌握。然而,客户的需求是千变万化的,不掌握技术研发,在市场开拓,切实满足用户需求方面就会受制于人,最终难以跟上时代的步伐。
为了弥补应用中的不足,大部分认证中心都已开始在技术开发上加大投入,天威诚信副总裁李延昭介绍:“天威诚信在证书易用性上不断研发,并且已经开发出了证书助手等软件免费提供给客户使用,网民可以通过软件免费申请到数字证书实现加密文件等具体应用,希望带动数字证书的国内的普及。”
(小标题)迎来新发展
走过初期盲目建设的尴尬,CA的发展越来越体现出理性,去年4月《电子签名法》和《电子认证服务管理办法》的颁布实施,让整个CA认证服务行业告别了“三无”状态,迎来又一个新发展。
“随着《电子签名法》和《电子认证服务管理办法》的出台,明确了CA机构的运营规范,对CA市场实行准入制度,在一定程度上遏制了盲目建设现象的发生。我们有理由相信,随着更多实施细则的出台,将极大改善国内CA的竞争环境。”国富安电子商务安全认证有限公司李长军说。
作为行政许可的行业,CA要想继续提供认证服务必须取得信产部的颁发的服务许可证,管理办法中3000万注册资金、最少30人的门槛,过滤掉了很多小CA,对规范行业健康发展的作用是非常大的。
(小标题)CA推广 应用还需下功夫
数字证书认证系统作为重要的信息安全平台,可以有效支撑大量的安全应用服务。在把握市场动态,跟踪用户需求等方面,各家CA都投入了大量的精力。比如北京数字证书认证中心(BJCA)目前在北京市开展数字证书应用的项目已有六十多项。BJCA产品总监林雪焰告诉记者:“CA认证的发展方向是证书与应用结合,让证书成为应用的一部分,为应用的安全服务。证书变得更方便,可在更多的应用系统中使用,给用户带来更多的投资回报,是各家CA未来发展的关键。”
然而,随着用户应用新需求的不断增长,目前市场上的数字证书应用产品在用户的实际应用中,仍然有许多不如意的地方,一定程度上制约了数字证书的进一步推广应用。
第一,证书使用效率低。CA系统的运营是和实际应用系统紧密结合,脱离了应用基础的CA系统是无法持久经营的。而在一些地方和领域,CA系统建设完成后,往往忽略了应用的开发,使得证书发出后却无实际意义,或是基于证书的应用过于简单,无法充分发挥数字证书的优势。因此,对于现有CA中心还需要充分挖掘用户需求,提高证书使用效率。
第二,证书存在重复申请。由于电子政务是目前CA认证市场的主要推动力,各家也都十分重视在电子政务市场的推广。而政务系统往往涉及部门多,流程复杂,各部门又已建有各自的信息系统,采用各自的认证体系。这造成了对于企业用户而言,为了完成一套审批手续,需要办理多家CA机构的证书,造成资源上的浪费。因此,需要对某些业务链条中的认证体系进行有效的整合,以充分发挥大型认证中心的优势,节约用户成本,提高政府效率。
第三,申办使用手续繁琐。由于数字证书的安全性要求较高,以及社会整体信息化水平的不发达,造成了证书在申办、使用上的不方便,这在一定程度上影响了CA市场的推广。如何改善证书申办流程,方便客户使用,还需要各家数字证书厂商以及全社会的共同努力。
目前,各家CA大都意识到了这些问题,国富安、CFCA、天威诚信以及北京市和上海市CA等纷纷在证书的应用上加大投入,相信这些问题随着CA的发展将会得到很好的解决。