《电子签名法》实施十周年 电子认证服务业规模超百亿
6月3日,由工业和信息化部信息安全协调司主办,中国电子认证服务产业联盟、工信部赛迪智库网络安全研究所承办的电子认证服务应用研讨论坛在京举行。该论坛是第二届国家网络安全宣传周的重要活动之一,同时也是《电子签名法》实施十周年系列宣传活动之一。
会上,中央网信办网络安全协调局副局长杨春艳指出,当前网络安全领域最突出的问题,就是广大网民缺乏网络安全知识、缺乏安全技能和安全意识。而电子认证服务正是确认网络主体身份、开展网络可信身份管理的重要手段,可以有效解决网络行为责任认定的举证问题,从而保障广大民众的网络权益。工业和信息化部信息安全协调司王宏处长表示,《电子签名法》是信息化里面相关的第一部法律,为维护交易的各方合法权益,保证电子交易的安全,提供了必要的法律保障。国家密码管理局商用密码管理办公室安晓龙副主任认为,目前,在网络安全、硬件产品、操作系统严重依赖国外的情况下,只有广泛使用商用密码以及电子认证,才能保障我国的网络安全。中国电子认证服务产业联盟常务副理事长季金奎认为,在我国信息化领域《中华人民共和国电子签名法》是迄今为止真正意义上的唯一一部法律,但电子认证服务产业联盟本身的力量还是很弱小的,希望更多的企业加入到电子认证服务产业联盟中,使电子认证服务真正发展成为建设网络强国过程中不可或缺的安全基础设施。
《中国电子报》特摘编了6位主题发言人演讲的主要内容,集中反映电子认证发展的现状、趋势,以及在各行业、各地区的应用情况。
赛迪智库网络安全研究所王闯
2014年电子认证服务规模同比涨38%
《电子签名法》从2005年实施以来,认证机构的数量不断增加,现在为37家,分布在全国23个省、直辖市和自治区。截止到2014年年底,电子认证服务业产业规模达到129.9亿元,同比增长38%。其中软硬件市场规模98亿元,CA机构营业额30亿元,电子签名产品和服务市场规模为1.9亿元。
截止到2014年底我国有效数字认证总数是2.38亿,整体的需求数量是比较稳定的。在验证层面来看,2014年大约有1531万张数字证书应用在电子政务领域,金融领域6581张,主要是网上银行为主。电子商务领域有效证书176万张,其中企业内部管理占一半,企业经营占41%。
制约电子认证市场发展因素大量存在。包括民众对电子认证的认知比较低,技术基础较为专业,用户主动需求尚未发掘,法律效力问题目前还存在一定的争议等。
从电子认证的行业趋势来看,电子认证服务业已经进入了比较稳定发展的阶段。预计2019年市场规模将突破400亿元。行业发展环境将得到持续改善,现在国家正在逐步推行行政体制改革,转变政府职能,推动国有企业改革,激发企业的活力,这都对行业发展很有利。市场需求将不断增大。商用密码在互联网上应用对行业发展、拓宽行业需求有很大的好处。在电子商务领域应用中,电子签名应用增加,电子合同、电子签章服务逐渐成熟,都使得这个行业需求不断放大。目前,电子签名标准制定已基本完成,电子签名司法效力将得到广泛认可。
公安部第一研究所信息安全部副主任杨卫军
电子数据司法鉴定已在电子保单、银行尝试
我们对网络交易安全的认定是从交易信息的保密性,交易各方身份的确认,信息的防抵赖,以及交易信息的完整性和防篡改等这几方面进行认定。电子签名是可以作为电子证据使用的,最高法在2015年民事诉讼法司法解释中提到,电子数据是指通过电子邮件、电子数据交换、网上聊天记录、博客、微博、手机短信、电子签名、域名等形成存储在电子介质中的信息。
电子签名能够表明无纸化业务中签名人身份及签名人对内容的认可意愿。符合可靠的电子签名与手写签名或者盖章具有同等的法律效力。
符合可靠电子签名的数据电文已经具备合法的证据效力,因为技术的专业性需要更有效、更直观的呈现形式,让法庭和司法机构缔结、认可。司法鉴定意见书本身是一种合法的证据形式,并且易于展示和理解,在法律质证时比单纯的电子数据更易被法庭接受。由电子数据司法鉴定权威机构对电子签名进行专业鉴定,并出具鉴定意见,有利于电子签名在电子商务等领域中的应用推广,消除当事人对电子签名合法性的疑虑。电子数据司法鉴定目前已在电子保单、银行等方面进行了尝试。
工业和信息化部通信保障局副调研员袁春阳
计划6月推出移动商店APP数字签名标准
互联网、移动互联网快速发展,面临很多的安全挑战。工信部作为行业主管部门,维护网络安全是其中一项重要职责。
在标准规范上,我们制定了《通信网络安全防护管理办法》,每年对运营商网络进行风险评估和安全防护检查制度,配套了相关的标准。工信部出台了《关于加强移动智能终端管理的通知》,对进网的移动终端进行检测,包括里面的应用软件。2014年工信部又出台了《关于加强电信和互联网行业网络安全工作的指导意见》,明确提出加强应用商店和移动互联网应用APP的安全管理。这也是我们三到五年重要的工作指导。
为推动互联网、移动互联网安全,我们正在研究制定相应的管理办法,包括明确应用商店的责任,应用商家内部应该建立什么样的安全管理制度;包括加强移动应用程序源头管理,积极推动移动应用程序第三方数字签名认证机制,我们也在积极探索建立移动应用程序第三方数字签名认证的可行性。此外还开展移动恶意程序监测处置工作,以用促进行业自律等。
下一步将持续开展重点工作,尤其是第三方签名认证会进一步得到落实,包括展示应用商店签名的应用,推动移动商店签名APP的验证,并计划在今年6月份正式推出相应的签名标准。
北京证联信通科技发展有限公司总经理马圣东
移动代码签名试点遇到在线申办难题
移动代码签名可以保障开发者身份真实可信,签名具有法律效力,数字签名可以防止移动应用程序篡改。
整个流程包含证书申请、使用APK、工具签名,还有使用验证签名。整体的流程包括开发者、应用商店、CA机构用户、安全软件和操作系统。
证书申请流程与CA机构紧密联系。举个简单的例子,一个开发者提交一个身份信息,向CA机构申请一个证书,用于程序的签名。还有测试机构、应用商店,同样需要申请数字证书。但是在这个过程中,我们推广遇到一些困难。例如一个客户有2000个用户,需要在线申请数字证书,目前CA机构可能没有任何一家能满足他的要求。这是我们试点在推广过程中遇到的障碍。
APK签名工具不受次数限制,不管是应用商店、检测机构还是开发者。应用商店可以用SDK签名验证,SDK签名主要针对有大量应用发布的场景。目前有较大意愿使用电子认证的是金融机构,他们正推出自己的APP,为了保证自己APP的可信性需要数字签名。金融机构更在意给用户推出的APP一定保证安全。厂商就特别在意自己推出的APP是否有人打包再去发布。目前国外APP开发厂商,他们也希望通过这种方式对他们的版权进行保护。
我们遵循现有国内国外的标准,不改变APK原有的文件结构,具有最好的兼容性。原有APK的安装模式和安全机制没有任何改变。原有签名证书可以继续使用,可保证升级的平滑性。
中国威信电子安全服务有限公司产品经理蒋小燕
用SIM卡认证方式保障政企级安全手机
政企用户对安全手机的需求是比较大的。中国联通目前是从数据网络加密通信手机本身实现安全防护的,覆盖手机APP的安全、通信安全、应用安全、操作系统安全等各个方面,为用户提供全方位的软硬件一体化解决方案。
硬件防护主要包括系统级安全和手机本身的安全,我们推出SIM卡里独立安全认证与加密模块TF。在SIM里面植入钥匙,不需要在外面携带证书,因为运营商已经把号码和人进行了绑定,这张卡的证书保证就是用户本人。通过这种结合,我们可以对手机相关的硬件包括USB、NFC、相机进行控制,对数据进行加密传输。在它之上还可以进行扩展安全应用,比如说支付应用、内容应用,还可以做单点登录、设备的安全启用,以及一些其他应用。需要手机签名的时候,访问SIM卡。还可以在手机上进行加解密的运算,用SIM卡保证敏感信息的安全。我们把手机做成了双域隔离,工作区域和个人区域分开。工作区域通过VPN访问公司内部的网络,个人区域可以阅读个人电子邮件等。
在应用安全防护方面,我们提供了加密通信,把语音进行加密,会议电话进行加密,加密消息和群组消息,加密文件或者群体文件等等。
上海市经信委信息化推进处副处长裘薇
上海法人一证通有效解决证书碎片化问题
2012年,上海开始推行法人一证通。原来上海在各个领域都发了相关的CA证书,但是从应用上讲,每个领域发的证书只能在单个领域来用,所以上海首先推出了法人一证通。我们围绕以下几方面做工作:
第一建设统一的认证系统。在全市范围内建立法人网上统一身份认证系统,把包括工商、质检、税赋、人保、公积金五方面的基本信息都统一起来。第二完善统一的服务渠道。原来各个单位结合应用通过各个渠道发证,我们把原来的服务网点都关闭了,在17个区县企业服务中心和便民服务中心设立22个服务网点,统一对各区县法人单位发放证书。第三建立完善收费机制。第四拓展应用范围,实现法人数字证书跨部门通用,设立法人在线办理各类事项身份认证服务。
截止到今年5月底,全市一共发放法人一证通140万张,共为108万家法人单位提供一证通服务,为全市法人节约成本3亿元/年,节省出行时2250万小时/年,节约纸张4400万张/年。
法人一证通推进3年时间中,获得了相关方面的认可,是全国首个电子认证服务机构打破传统服务模式的创新示范工程,也是全国首个由财政资金统一购买服务、为法人单位提供数字证书的服务。上海市政府每年提供3700万的专项资金购买上海CA为法人提供的证书服务。
[编辑: 刘加莉 ]