数字证书的背后（1）

http://www.sina.com.cn 2006年08月29日 16:35 赛迪网

　　【赛迪网讯】2006年8月，CFCA宣布其发放的“数字证书”突破百万。在这一百万的背后，供大于求的认证机构，纷繁的CA（数字证书认证机构）市场、有待进一步完善的法律细则等一系列问题，值得我们深思。

　　“网上银行，我从来不用，因为太不安全了!”田女士一提起网上银行，第一反应就是安全。她说，网上银行方便是方便，但是方便和安全比较起来还是会选择把安全放在第一位，如果安全性不能保障，她宁愿舍弃这种方便。

　　卞先生是网上银行的忠实用户。不仅家里的水电费、手机费都用网上银行支付，甚至连自己的工资卡也办理了网上银行业务。不过，他对网上银行的安全性也不是百分之百放心。每次发了工资，总是第一时间把工资转移到没开办网银业务的另一张

银行卡里面。网上银行里面通常只留几百块钱，需要用的时候再从别的账户里面转。

　　据CFCA（中国金融认证中心）在2005年进行的网上银行调查显示，通过调查国内10个经济较发达的城市，了解公众对网上银行的态度。从对企业、个人、已有用户、潜在客户等多层次对象的调查结果来看，网上银行是否安全是公众使用网银的最大考虑因素。

　　近日，互联网上出现了一个名为“工行网银受害者集体

维权联盟”的网站www.ak.cn。200多名自称是工行网上银行受害者的人，在网上留下自己的真实姓名、所在城市和受损金额，欲对工行提起集体诉讼。

　　2006年8月17日，工商银行方面就此做出了正式回应。认为从目前发生和已经侦破的案件来看，客户安全意识不强，没有保护好自己的账号、密码等重要信息，是导致网银资金被盗的根本原因。

　　同时，工行日前停止了大众版网上银行的交易功能，在网上注册的个人客户，只能查询账户余额。从2006年9月1日起，在银行柜台办理的静态密码网银客户的每日交易限额也从5000元变为300元。如果客户想拥有更大的交易额，必须申领工行新推出的动态密码口令卡或购买工行数字证书U盾。

　　什么是数字证书

　　网银用户被盗的案件不断发生，网上银行靠什么博得用户的信赖？数字证书又是否是网银安全的救星？

　　数字证书是由独立的第三方机构电子认证中心签发，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全。通俗的说，数字证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证，以表明我们的身份或某种资格。

　　在网银交易过程中，双方都要向对方出示证书，以获得相互的信任。这个认证过程是以先进的密码技术为手段，通过相应的计算机程序实现的。据中国金融认证中心总经理李晓峰介绍，从世界范围看，数字证书技术已经被广泛地应用在国内外网上银行系统中，至今尚未发现一例由于数字证书被攻破而使网银诈骗得逞的案件。

　　2006年8月11日，在“CFCA百万证书创新应用颁奖典礼”上随着嘉宾们手中的金锤落下，一块标有 “1，000，000”字样的牌子从冰框中显露出来。不仅标志着CFCA数字证书的用户已经超过了100万，（占整个数字证书市场的一半）也同时标志着使用电子商务，电子签名的人逐渐多了起来。

　　一天和一分钟

　　中国电力技术进出口公司是CFCA数字证书的用户之一，2006年，国家电网公司的网上招标项目采用了加密的数字证书，保证了网上投标的安全。

　　打开“国电招标网”的主页，哪些项目已经招标结束，哪些项目正在开标，还有招标的预告，一目了然。

　　中国电力技术进出口公司总经理陈栋才介绍说，采用数字证书认证后可以做到投标商自己从网上获取标书，不用千里迢迢跑到北京来买标书，不仅节省了差旅费，制作标书的费用，还节省了大量的时间，也节省了招标方工作人员的时间。过去，一个投标商就是几百公斤的投标文件，需要租搬家公司的车运输投标文件，有时候甚至需要7、8辆车。如果通过网络传送电子版的标书，可以节省不少人力物力。

　　开标的时候，原来是现场拆包，把投标商的报价等信息现场录入到电子版的开标一览表中。一个厂商，报了多少价，有没有保证金，有没有修改，都要录入。如果按照1分钟敲一条计算，录入一家的信息就需要1～2分钟。大型投标项目通常有100多个标，几千份投标文件，每一份文件都需要1～2分钟，往往一天都弄不完。如果采用电子版的开标系统，能一次性将所有投标人的投标报价情况全部展示出来，可以大幅度提高了投标的效率，也提高了工作准确性。

　　评标也使用了电子化系统，也能节省不少时间。原来纸制评标需要一页一页地翻看，局域网评标省去了翻页的时间，网内任何一个终端，都可以通过系统任意查看投标资料，既提高了效率，又降低了评标工作成本。

　　纷繁的CA市场

　　作者：石菲

　　中国金融认证中心总经理李晓峰指出，国内CA的建设大都集中在2000年左右，出于各种各样的原因，各种CA项目纷纷上马。短短几年内，国内大大小小的CA已达100多个。CA主要靠运营CA系统，为用户提供安全认证服务，收取服务年费。但无论从电子商务还是电子政务的发展，都不足以产生需要100多家CA的需求。同时，很多CA盲目建设，缺乏必要的论证，脱离实际应用，运营困难，因此，CA市场洗牌到来的时间不会太久。

　　随着《电子签名法》和《电子认证服务管理办法》的出台，明确了CA机构的运营规范，对CA市场实行准入制度，CA市场逐步规范。但是，在信息产业部取得电子认证服务许可证的合法CA外，还有大量游离在监管之外的非法CA存在，对CA市场造成了不好的影响。

　　另据业内人士透露，目前我国的CA市场并不景气，将近9成的CA机构是亏损的。还有一些CA虽然盈利，但盈利的是公司其他业务，靠做系统集成或者安全设备来养活自己。

　　北京天威诚信电子商务服务有限公司副总裁李延昭说，我们做了6年，直到2004年下半年市场才开始好起来，用户才开始接受我们。

　　李延昭透露，2003年天威和联想合作，承接联想的PC销售电子认证业务。当时，出于成本考虑，联想卖给分销商的PC每年要签40万份合同，流转时间是14天。而全部电子化以后，几乎只需要一分钟，节省了大量的时间和成本，提升效率。那时电子签名法还没有实施，在和联想谈判的8个月中就有6个月是和法务部门谈判，讨论如何用现有的法律框架解决实施中遇到的问题。

　　2005年4月1日，《电子签名法》正式实施后，电子签名的使用开始有法可依。同时，电子认证服务业的监管也引起了方方面面的重视。

　　电子认证引起国家重视

　　李延昭说，作为电子认证机构自身，应该按照主管部门的要求严格规范自己。因为一旦出现问题，不仅对自身是打击，对这个新兴的行业也是一个打击。让人产生不信任感，会对整个电子认证行业产生影响，更不能因为电子认证出问题，影响电子签名的使用。

　　2003年9月，中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（简称27号文）。27号文在分析了我国当前信息安全保障工作的基本状况的基础上，为进一步提高信息安全保障工作的能力和水平，维护公众利益和国家安全，促进信息化建设健康发展，提出了加强信息安全保障工作的总体要求和主要原则并对下一步信息安全保障工作做了全面部署。

　　2006年2月23日，国务院办公厅转发了国家网络与信息安全协调小组《关于网络信任体系建设的若干意见》（国办发[2006]11号文件）。文件提出，电子认证是网络信任体系建设的重要内容，涉及政策、管理、技术、标准等各个环节，必须加强宏观指导，规划管理。

　　文件对电子商务和电子政务认证提出了具体要求。鼓励电子商务中的电子认证服务适度竞争，提高资源利用水平。电子商务认证服务机构要遵守国家相关法律法规，提供诚信服务，并承担相应的责任和义务。电子政务中的电子认证，要注重应用，强化安全。电子政务认证要遵守国家有关法律法规，保障国家安全。

　　谁发证，谁监督

　　CA想要健康发展，需要监管，国际上对电子认证机构的监管主要分政府监管和行业自律。中国科学院研究生管理学院副院长、社科院经济学博士吕本富教授认为，在我国电子认证属于信息业务，但同时电子认证、电子签名又属于交易的范畴。从这个角度看，可以监管的部门有很多。

　　吕本富指出，现在互联网有很多个部门在管理，如果电子签名法也采取这样的监管，其实是没有执行力度的。

　　所以，吕本富认为，电子认证机构的管理交给一个认证部门，行使政府职能是比较合适的。

　　2005年正式实行的《电子签名法》中明确规定：国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法，对电子认证服务提供者依法实施监督管理。

　　电子认证服务管理办公室常务副主任季金奎指出，法律赋予信息产业部的责任，一是依法制定电子认证管理办法。二是依法对电子认证服务业实行监管。其中，不仅是对电子认证的服务机构，包括整个电子认证服务行业进行监管。

　　要强化监管到位

　　吕本富认为，发展电子商务，《电子签名法》是基本保证。要把网上交易做好，没有监管不行，合理的监管，有利于认证行业本身的良性发展。对待电子认证行业，首先准入资格要规范；第二，电子认证免责的界限在哪里，要规范。第三个是与此相关的法律赔偿和规则要很完善，这是制约电子认证行业健康发展的根本要素。

　　中国电子信息发展研究院信息化研究中心主任樊会文说，有了《电子签名法》，可以说基本的制度已经出台，但操作性的细则还缺乏规范。

　　作者：石菲

　　他认为在CA的建设方面，一方面企业存在投资膨胀和投资饥渴，以各种名目向上面要钱，不管自身能力先建了再说。另外一种是抱着跑马圈地的心态，当一种新业务出现，无论如何一定要插一脚。有的CA公司自己没有经营条件，借用别人的设备，发自己的电子证书。但是一旦发生问题，产生法律纠纷，却没有赔偿能力。

　　樊会文说，既要提倡安全认证，通过政府的工作，为CA公司创造良好的市场环境。把电子认证推广开，把互联网的方便性和效率体现出来，让CA公司有生存的基础。也要加强监管，因为如果某一个CA公司出了问题，会影响到整个公众对CA市场的信任。

　　寻找合适的业务承接者

　　2005年4月1日《中华人民共和国电子签名法》正式实施，同时实施的还有《电子认证服务管理办法》，2005年8月19号，信息产业部向8家电子认证机构颁发了《电子认证服务许可证》。按照许可满一年应实施检查的年度检查制度，2006年4月开始，电子认证服务管理办公室开始对已经取得许可的电子认证机构进行年度检查。

　　检查分为形式审查和现场审查，主要看现场检查的情况和当时申报情况是否保持一致。人员方面，按规定不能是兼职，要看劳动合同。管理制度是否健全，包括进出机房的要求。电子认证对机房的人员进出制度要求很高，要求双指纹、双卡。并且进了第一道门，第一道门必须要关死，第二道门才能打开。这些管理制度是否得到了有效的执行，也是检查的内容之一。

　　对于有学者提出的担心CA被外资公司收购的问题，季金奎说，收购以后，法人代表要发生变化。电子认证属于特殊服务行业，许可证不能转让，就失去了电子认证从业资格。

　　季金奎说，我们现在正在考虑的问题是，对于已经取得许可的19家电子认证机构，如果有的运营情况不好，公司亏损，经营不下去，他的用户怎么办？目前考虑的办法是可以找别的CA公司联合，或者申请业务中止，寻找业务承接者，把自己的用户转移给别的公司。如果找不到合适的承接者，信息产业部有责任安排承接公司。

　　社会环境需与之匹配

　　“现在是技术环境具备了，但社会环境没有具备。” 说起网上招标，中国电力技术进出口公司信息技术部主任欧晓明说，虽然网上招标深受供应商欢迎，电子认证也解决了法律上的担忧，起到了加密、认证的作用，但有关招标投标法律法规并没有对电子签名投标进行明确的法律界定，所以现在仍实行的是电子化和传统手段相结合的双轨制。

　　对目前CA公司的环境，李延昭也认为，《电子签名法》实施以后，电子商务的基本原则已经有了，但与之匹配的社会环境还没有具备。比如，在什么样的技术环境下认证是合法的。现在大家更多关注的是认证机构本身是否合法，用户在什么样的环境下使用这个证书才是安全可靠的，却很少有人关心。

　　他举了这样一个例子，就像图章，发图章的机构是合法的，但并没有规定在什么样的环境，什么流程下使用才是安全的。图章应该归谁保管，保管和用章的流程都没有相关规定。一旦出现法律纠纷，责任到底应该由谁来承担，是使用者的责任，还是应用平台的责任，还是监管的责任，目前都没有明确。

　　现在没问题，不代表以后没问题

　　吕本富认为，目前在电子认证市场，短期之内出问题的可能性不大，因为中国人传统上对虚拟交易的信任度比较小，交易的双方还是感到见面才放心。虽然如此，现在对CA市场的规范要求还是很迫切，空白境地不利于市场的良性发展。只有规则比较完善，用户明确的知道发生问题是谁的责任才能放心使用。

　　作为对电子认证实施监管的一方，电子认证管理办公室常务副主任季金奎表示，虽然目前没有发生电子签名责任引起的法律纠纷，监管部门也在做这方面的相关准备。一方面希望出现这方面的案例，可以积累经验，有利于更好地制定规范细则。一方面又不希望发生这种影响电子认证，电子签名诚信度的法律纠纷。

　　作者：石菲

　　李延昭说，外界认为整个电子认证行业的安全意识不强。是因为其他很多CA都从事的是身份认证，不作电子签名的真正应用，所以他们不着急，不用为电子签名的应用承担责任。而天威诚信的业务70％都是数字证书，证书都是用于电子合同，金额比较大。现在没有出问题，不代表以后永远不出问题。

　　樊会文也认为，仅靠企业自己约束自己，有时候难免会追求短期利益，明知道有危险，可还是会冒险，因此政府协调是必不可少的。电子交易往往数额很大，一旦发生问题，不仅影响市场，更影响电子签名的应用。因此，加强监管是当务之急，政府要起引导作用，要有监管手段，其余靠市场自己来调节。

　　樊会文说，在国际上对电子认证的监管，亚洲国家管理的比较严格，欧美国家的市场经济已经比较成熟，尽量由市场自己去处理，没有出问题政府不进行干预。特别是欧洲，环境更为宽松，一般将监管权利交给行业协会。日本、韩国、新加坡采取的是严格的许可制度。既要体现市场经济，也要体现政府意志，不完全靠自由竞争，值得我们借鉴。

　　吕本富表示，在其他国家电子签名法都是新近出台的，没有哪个国家特别完善，都是在摸索过程中。

　　李延昭说，美国依靠商业运作，大的认证机构只有3个。他预计，我国的电子商务真正步入正轨的时候，电子商务和电子政务要完全分开。未来中国的电子认证机构不会超过10家。