一、我国网络信任体系的建设和管理概况
由于 CA 在电子商务安全中起着非常重要的作用,从 1998 年开始,国家密码主管部门就积极介入,一方面推动产品的开发和研究,另一方面积极研究相关的管理问题。电子商务 CA 的关键是数字证书的应用和管理。按照商用密码的管理原则,结合我国的实际情况,目前我国电子商务数字证书认证系统采用“双中心”、“双证书”的技术和管理体制,“双中心”就是要建立“数字证书认证中心”和“密钥管理中心”,其中“密钥管理中心”由各地密码管理部门负责管理。“双证书”就是指在“数字证书认证中心”所发放的用户证书要包括“加密证书”和“签名证书”这两个证书。针对“数字证书认证中心”的建设,一个地区搞一个统一的电子商务数字证书认证中心比较符合当前的需要以及全国范围内的管理规范。“双证书”、“双中心”的技术和管理体制是中国的特色,其核心是设置两对非对称密钥,一对用于数字签名和认证,另一对用于数据加密和解密,“双密钥对”分别管理。用于签名和验证的密钥对由用户自己产生,私钥自己保存,这是为了保证签名的唯一性,将公钥公开,放在证书中提供给验证方用于验证签名。用于数据加解密的密钥对由密钥管理中心产生和管理,私钥交用户自己保存使用,将公钥公开(放在证书中),数据加密时使用对方的公钥,由对方使用自己的私钥进行解密,在实际系统中,由于公钥运算效率较低,目前加密密钥对主要用于数据加密密钥的协商和交换。对加密密钥对的这种管理,可以做到不允许用户使用加密功能的,不发给加密证书。这种“双证书”、“双中心”的技术和管理体制,完全适应我国的实际,一方面可以为用户提供高可靠性和唯一的密钥对,同时也便于加强对信息加密功能的管理。
1998 年 8 月,上海作为全国的试点,第一个建立地区性的电子商务数字证书授权中心和密钥管理中心,负责颁发并管理电子商务数字证书。此后,山东、深圳和福建也陆续建立了地区性电子商务证书认证中心和密钥管理中心。目前,经过国家密码主管部门批准建立的地区性数字证书认证( CA )中心和密钥管理( KM )中心的有重庆、陕西、广东等 14 个省市。
同时,随着电子商务的发展,各行各业纷纷建立本行业的 CA 。 1998 年以来,经国家密码主管部门批准的行业性的 CA 中心和 KM 中心有:海关总署的国家口岸管理公共执法数据系统安全保密子系统、中国电信湖南电子商务安全认证系统、上海证券交易所安全在线信息系统等 7 个 CA 系统。
近年来,我国的 CA 发展很快, CA 建设已成为热点,目前全国建立的 CA 中心已达几十个之多,还有众多的 CA 中心正在筹划建设之中。这些 CA 系统大体可分为地区性 CA 、行业性 CA 和商业性 CA 三类,地区性 CA 以本地区的用户群体为服务对象,行业性 CA 结合自身业务特点,以本行业的用户群体为服务对象。电子政务的发展也需要建立 CA ,构建电子政务的信任体系,加强电子政务的信息安全保障。根据规划,电子政务内网 CA 按涉密系统建设,电子政务外网 CA 将与电子商务 CA 合而为一。
二、我国网络信任体系的应用现状
几年来,经国家密码主管部门批准建设的数字证书认证系统在实际应用大多发挥了较好的作用。
比如,福建省的 CA 中心,经国家密码主管部门审批,采用商用密码生产定点单位自主研制的证书认证系统进行建设,并于 2002 年 3 月通过国家密码主管部门组织的技术鉴定,一年内发放证书 8 万多张,配合“数字福建”的建设,有力地推动了福建省电子政务、电子商务的发展和应用,在建立网络信任体系保障信息安全方面发挥了很好的作用。
海关总署的国家电子口岸执法系统安全子系统,采用自主知识产权的 CA 系统作为基础和核心进行建设,已发放证书 30 余万张,结合海关业务系统特点,在加强国家宏观调控能力,强化有关部门对进出口贸易的监督管理职能,维护外贸秩序,加强进出口管理,加强口岸执法,打击走私、骗税、骗汇等违法犯罪行为等方面发挥了重要作用,取得了巨大的经济效益和社会效益。
经过几年来的努力,我国以 CA 为核心的网络信任体系建设已经具有一定的规模,初步形成了产业化雏形,探索了 CA 的应用模式,积累了管理经验,技术标准化、规范化工作取得了初步成效,扩大了信息安全保障工作在社会上的影响,为进一步推动电子政务的发展和应用奠定了较好的基础。
三、对我国网络信任体系现状的一些思考
随着信息化发展对信息安全保障工作要求的进一步提高,我们应该看到,我国的网络信任体系建设还处在起步阶段,还存在着诸多的问题,这就需要国家的主管部门努力研究积极寻找解决的方法。
1 、目前,关于网络信任体系的建设,存在多头管理的现象,信息产业厅、保密局、国密办等单位都参与信息安全保障工作, CA 系统的建设究竟由谁来负责管理,由谁来负责验收和监督,都缺乏统一的规划和管理。建议成立专门的协调小组,由某一个部门牵头,其他部门配合工作,对建设 CA 系统拟定一套申办的流程,各个部门负责自己职能范围内的管理。
2 、盲目建设、重复建设现象严重,许多 CA 规模较小,使用效率低,造成资源的极大浪费。建议在全国范围内统筹规划,组建国家级的证书授权与身份认证中心和国家级的 KM 中心,由国家密码主管部门统一管理 CA 授权和 KM 发放,解决各 CA 之间的交叉认证问题。
3 、缺乏统一的技术标准,没有相应的管理制度和法律规范。建议按照我国的特色,积极研究探索 CA 和 KM 建设的技术规范和标准指南,以引导建设单位按照国家的标准和要求来建设网络信任体系。同时,应出台相应的管理条例和应用方面的法规,例如《电子签章法》等,可以从法律的角度确认网络信任体系的作用,进一步推广其应用,规范其管理。
4 、进一步加大科研力度,研究高技术含量,能够满足市场需求的产品。信息发展的速度日新月异,我们的科研部门应该根据市场需求,组织研究先进技术,同时引导有能力的企业去生产能够跟上网络发展,满足市场需求的安全产品,以确保网络信任体系建设的先进性。
5 、要严格对信息安全承建单位及使用产品的管理。众所周知,目前,承建信息安全建设的企业,有的是持保密局颁发的《涉密计算机系统集成单位》资质,有的是国密办授与的《商用密码生产定点单位》等资质。对于不同的行业,不同的领域,承建单位应该具有什么样的资质应该有统一的规定,对于用户及承建单位都是一个参照的标准。而且,项目建设中所采用的设备、产品,应当是通过什么部门认可的,经过什么部门检测的,都应该有明确的标准,这样才会有利于项目建设的规范性和可控性,避免因为资质的原因而造成豆腐渣工程,影响整个网络信任体系的安全性。
6 、加强信息安全人才的培养,以满足管理和研发的需要。从政府内部来讲,要加快建立公务员的信息安全技术知识和管理的培训制度、统一标准和培训大纲;充分利用院校的教育资源,对在职的公务员进行安全意识、技术知识和管理规范等方面的培训。从社会角度来讲,要鼓励各大院校开设信息安全专门学科,培养信息安全方面的专门人才,从学科研究方面加强科研力度。切实做到有人研发、有人管理、分工合作,为建设网络信息体系奠定人才方面的基础。
综上所述,只有按照满足需求、方便使用、加强管理的原则,努力解决安全与发展的问题,围绕信息化战略的实施,加强网络信任体系的建设,切实做好信息安全保障工作,才能推动国家信息化建设事业健康有序发展。