为信息“加锁”保安全
上海一银行用户16万元存款全部被窃取,但他采用的是银行提供的数字证书的保密方式,可仍防不胜防。
石家庄市的吕先生是一个铁杆股民,由于工作繁忙,一般都在家中电脑上浏览信息或交易,可是,自打从朋友那得知对方的网上交易信息被监控和窃取后,为谨防掉入陷阱,被迫中止了在家中炒股、交易基金的习惯。
人们不禁产生疑问:数字证书安全吗?网上银行使用的数字证书与《电子签名法》所要求的数字证书一样吗?
“因为证书被复制而导致失窃的数字证书通常被称作‘磁盘证书’或‘软证书’,并不符合《电子签名法》的相关要求。真正意义上的数字证书只能被读取,而无法被复制!”省数字证书认证中心技术总监王军锋非常肯定地表示。
他进一步解释说,“数字证书”是网络交往中标志交往各方身份信息的一系列数据,按照国家相关要求存储在加密UsbKey(和U盘相似,但具有专用密码算法,不能被打开)之中,其作用类似于现实生活中的“身份证”。“数字证书”是由依法设立的第三方权威机构发行,人们可以在交往中用它来识别对方身份。使用这样的数字证书可以保证,信息除发送方和接收方外不被其他人窃取;信息在传输过程中不被篡改;接收方能够通过“数字证书”来确认发送方的身份;发送方对于自己的信息不能抵赖。目前,一些银行向客户推荐使用以加密UsbKey为介质的移动数字证书,文件不会被保存在电脑上,这种证书属于真正意义上的“数字证书”,是安全的。但由于银行提供的这种移动数字证书的价格比较贵,一般在70元—80元。因此,一些银行还发行一种廉价的数字证书,只要10元左右,这种数字证书是被保存在电脑或磁盘上的,一旦遭遇病毒袭击或黑客入侵,就有被复制的可能。因此,称之为“磁盘证书”或“软证书”,它们不属于真正意义上的“数字证书”。
记者了解到,作为在全国较早开展电子认证服务的省份,目前我省已累计发放数字证书8万余张。省数字证书认证中心已与省质量技术监督局组织机构代码中心、省地方税务局、省财政厅、邯郸市政府采购中心等单位进行合作,在其相关的网上年审系统、国库支付系统、网上政府采购系统、网上报税系统中使用“数字证书”签名技术,确保了网上应用安全。
带来方便快捷和高效
“以往我办年检手续花费时间多,还得从沧州赶过来,那边有急事还要急急忙忙地赶回去,心里着急也没办法,人多的时候还要排一两个小时队,自从用上数字证书后,办理年检方便多了,可以提前在单位提交申请,现场办理也就几分钟吧!”4月12日,在省组织机构代码管理中心办理大厅,来自任丘市的华北油田公司研究院雷先生快人快语。记者注意到,本次雷先生办年检包括去四楼复印身份证、将软盘升级为加密UsbKey的时间总共只用了7分钟。
另一位来自张家口河北京西建设集团有限公司的宋先生也对数字证书赞不绝口,他不无幽默地说:“那么多企业材料,忘这忘那是常事,以前我们办个年检什么的来回跑几趟是常事儿。”
每年的4至6月份都是组织机构代码年检的高峰期,数字证书的“上岗”不仅方便了各企业、单位,也让办理年检的工作人员轻松了不少。“在没有使用数字证书网上申报系统时,工作量特别大,我们四五个工作人员连续八个小时不停地工作,办理的年检数量也有限。用上这个系统后我们的工作效率大大提高,完成的业务总量比以前提高了50%到60%。另外,‘数字证书’的应用也大大提高了我们业务办理的准确度。我们的服务水平提高了,自然也树立和提升了我们的服务形象!”省直代码办主任陈丙爱深有感触地对记者说。
作为有“企事业机关单位身份证”之称的组织机构代码证的颁发机构,河北省质量技术监督局标准化所的代码证每年的年检、证书变更、换证等各项业务量有上百万之多,其权威性毋庸置疑,但浩繁的业务量却对人力和物力提出了巨大的挑战。
在传统方式下,企业用户要先到组织机构代码证管理中心领取代码业务申请表单填写必要信息并加盖公章,提交必要的材料后,由工作人员将企业信息逐个输入数据库中,在集中的年检时间里,一般需要三至五天的时间才能办理完毕。
数字证书网上申报系统运行之后,每个需要办理业务的企业只要持有数字证书,就可以通过数字证书表明自己的身份,登录“组织机构代码网上申报系统”,从网上填报代码相关业务申请表,不论是本地还是外地企业只要携带加盖公章的申请表与相关证照材料,前去代码管理中心一次办理即可,当下就可将年检完的代码证书领走。这样,就不仅极大地提高了管理单位的办事效率,缩短了企业办理业务的时间,还保证了有效的验证企业身份,达到企业网上身份与现实身份的统一。
“年检”的变革,只是数字证书应用的典型案例之一。数字证书可以广泛应用于电子政务、电子商务、个人信息加密等领域。
“网上身份证”法律作保
每月10日前是企业网上报税的日子。石家庄四药有限公司财务人员茹志强在做好3月份的报表后,于4月9日这天,轻点鼠标,只花了两三分钟就完成了报税流程。 他告诉记者:“使用数字证书后,就不用像以前那样把报表打印出来,再送到税务局了。”
“根据《电子签名法》相关规定,纳税人应用数字证书申报的税务信息,可作为纳税的正式凭据,将不必另行提交纸质材料。”省地税局征管处处长杨聚好证实。他说,使用数字证书进行网上报税,既可保证企业的真实身份,又可保证数据信息在传输过程的私密性;通过数字签名,还可以确保数据不会被篡改和伪造,一旦需要,可从第三方的角度,按照法律的要求取证。
《电子签名法》第十四条规定“可靠的电子签名与手写签名或者盖章具有同等的法律效力”。目前,广泛被采用的电子签名就是使用由依法设立的第三方认证机构签发的数字证书所进行的数字签名。
据记者了解,为推进电子政务,发展电子商务,保证网上信息安全、网上身份真实,河北省电子商务工作协调小组授权河北省电子商务认证有限公司建设我省唯一的河北省数字证书认证中心,负责我省数字证书的签发、管理和认证工作。从2005年4月1日《电子签名法》开始实施后,我省依法取得了由国家信息产业部颁发的《电子认证服务许可证》和国家密码管理局颁发的《电子认证服务密码许可证》。2006年年底,河北省电子商务认证有限公司(河北省数字证书认证中心)成为全国第21家、我省唯一一家法定的电子认证服务机构。
“目前,我省信息化发展迅猛,但随之而来的网络安全就显得更为重要”。省信息产业厅信息化推进处处长胡克表示,在《电子签名法》颁布实施以后,国家信息产业部和国家密码管理局作为管理部门出台了具体的管理办法,规范了电子认证机构的建设、运营和管理,使电子认证服务业的发展和管理走上了法制化轨道。为了促进信息化在我省各个领域的应用,我省将积极开展数字认证应用的试点工作,推广数字认证在社会各领域的应用。同时,依法加强对数字认证工作的监督和指导,推进我省信息化应用的快速发展。
有人说,数字证书的应用,为在网上进行交易、交流的双方提供第三方可靠的认证服务。所谓的电子认证,按照通俗的表述就是一种网上的“公证处”,是网上的“派出所”。
数字证书技术是一种安全、可靠的身份识别技术。通过各种实践证明它的这种可靠性也已经慢慢地被人们接受。据统计,包括我省在内的全国22家法定的电子认证服务机构2006年共发放合法“数字证书”546万张。
省数字证书认证中心有关专家称,未来几年我省将加快“网上身份证”的普及。当你打开电子邮箱,电脑屏幕会自动跳出一行提示语:请用“网络身份证”号码加以确认;在网上交易购买二手商品,你也必须出示“网络身份证”……无论是市民、企业还是政府机构,都须拥有由权威数字认证机构发放的“网络身份证”,否则将在网络世界遭遇“红灯”。
毋庸置疑,数字证书加快在我省乃至全国的普及,将有助于改善网络的无序状况,建立“网络信任”。随着互联网触角的不断延伸,数字证书必将应用到我们生活的每个角落,相信有一天它会像我们的家门“钥匙”一样常随我们身边。
链接
数字证书的应用领域
数字证书是推动电子政务、电子商务、个人信息加密以及整个社会信息化等工作的安全基础,可以广泛应用在政府机关部门、企事业单位以及个人的网络安全事务中。
数字证书主要应用在电子政务与电子商务领域中。电子政务主要是政府部门内部以及政府部门为社会开展的服务,即地方政府及政府部门通过互联网开展的交互式业务;电子商务即企业与企业(B2B)、企业与客户(B2C)之间通过互联网进行的商务活动。
在政府机关部门:数字证书可以为政府机关部门的电子政务活动提供安全保障,其中主要包括:网上公文流转、密件传递、网上审批等。
面对无纸办公的要求,互联网中文件传递的安全性显得尤其重要。相隔数百公里的两个机关单位传递一份电子文档、上级下达且需要立即传达给各市县的文件,通过网络只需几秒、几分钟就可轻松完成,工作效率大大提高。然而,网络传输的安全性如何保证?审批中的签名特性如何实现?目前,从加密的效率、安全级别而言,数字证书技术是最好、最可靠的,且签名特性又是数字证书与生俱来的属性。
在企事业单位:数字证书可以为其通过网络进行的电子政务、电子商务应用提供安全保障,其中主要包括:网上年检、网上报税、社保医保网上服务、网上证券、网上购物以及网上身份确认等领域。
在个人业务领域:数字证书有广泛的应用,比如,个人电子银行、网上购物、邮件签名、网上缴费、个人网上银行、网上证券交易、个人信息加密、重要数据加密等。
通过数字证书可以对数据进行高强度的加密,甚至可以在计算机硬盘开辟一块加密区域,用来存储个人重要文件;可以通过数字证书对邮件进行加密和签名,提高了邮件在互联网中传输的安全性;对自己写的文章,同样也可以通过数字证书进行签名,目前流行的编辑软件都支持签名功能。