在相关标准法规出台前,国内已建设的CA认证机构大大小小有数十个,建设的安全程度高低不一样,运营管理水平也参差不齐,致使服务质量有很大差异。而公正的第三方数字认证机构肩负着对外提供电子签名等信任服务的使命,运营情况的好坏直接影响电子签名的法律效力,为此客观上需要一个统一标准来规范各家数字认证机构建设和运营。为了详细了解相关情况,笔者电话采访了《证书认证机构建设和运营管理准则》的主要起草者---天威诚信数字认证中心,据他们介绍数字认证中心是基于PKI/CA技术,可以对外签发各种类型的数字证书用于标识网络个体、设备的真实身份,其中电子签名证书还可以用于签署合法的合同文件。由于该准则将作为国标出台,势必影响整个行业的发展,因此在起草过程格外慎重。天威诚信在起草过程中充分借鉴了自身从业6年来在运营和管理过程过程中所积累的丰富实际经验,并结合其合作伙伴国际领先的数字信任服务提供商---verisign在运营过程中的独到之处,最后出台的整个标准几乎涉及了CA认证机构建设和运营管理的各个方面。标准内容包括规范性引用文件、认证系统、系统安全、备份与灾难恢复、物理场地、CA密钥管理、人事安全管理策略、运营管理、审计、安全测评等14个方面,其中对于诸如CA密钥管理等方面做了详细规定。为了让标准更好的实施,天威诚信还考虑到了国内认证服务机构的实际建设运营情况,在保证安全的条件下对物理场地安全等标准上都予以了调整和简化。
据了解像《证书认证机构建设和运营管理准则》这样的标准和规范还将陆续逐步出台,2006年5月开始的大检查只是拉开了进一步规范数字认证行业的序幕。不久,有的机构或许可以获得第20、21张牌照,但面对日益激励的市场竞争、技术标准门槛的提高,即使已经获得牌照的19家数字认证机构也很可能面临着新一轮的重组,毕竟现有市场容量远远不能满足各家的胃口。
附录:
VeriSign是国际领先的数字信任服务提供商,总部位于美国加利福尼亚的山景(Mountain View)。VeriSign的数字信任服务通过VeriSign的域名登记、数字认证和网上支付三大核心业务,在全球范围内建立起了一个可信的虚拟环境,使任何人在任何地点都能放心地进行数字交易和沟通。VeriSign的数字信任服务每天可以处理超过50亿次的网络连接和在线交易。