6月3日，由工業(yè)和信息化部信息安全協(xié)調(diào)司主辦，中國(guó)電子認(rèn)證服務(wù)產(chǎn)業(yè)聯(lián)盟、工信部賽迪智庫(kù)網(wǎng)絡(luò)安全研究所承辦的電子認(rèn)證服務(wù)應(yīng)用研討論壇在京舉行。該論壇是第二屆國(guó)家網(wǎng)絡(luò)安全宣傳周的重要活動(dòng)之一，同時(shí)也是《電子簽名法》實(shí)施十周年系列宣傳活動(dòng)之一。

    會(huì)上，中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局副局長(zhǎng)楊春艷指出，當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域最突出的問(wèn)題，就是廣大網(wǎng)民缺乏網(wǎng)絡(luò)安全知識(shí)、缺乏安全技能和安全意識(shí)。而電子認(rèn)證服務(wù)正是確認(rèn)網(wǎng)絡(luò)主體身份、開(kāi)展網(wǎng)絡(luò)可信身份管理的重要手段，可以有效解決網(wǎng)絡(luò)行為責(zé)任認(rèn)定的舉證問(wèn)題，從而保障廣大民眾的網(wǎng)絡(luò)權(quán)益。工業(yè)和信息化部信息安全協(xié)調(diào)司王宏處長(zhǎng)表示，《電子簽名法》是信息化里面相關(guān)的第一部法律，為維護(hù)交易的各方合法權(quán)益，保證電子交易的安全，提供了必要的法律保障。國(guó)家密碼管理局商用密碼管理辦公室安曉龍副主任認(rèn)為，目前，在網(wǎng)絡(luò)安全、硬件產(chǎn)品、操作系統(tǒng)嚴(yán)重依賴國(guó)外的情況下，只有廣泛使用商用密碼以及電子認(rèn)證，才能保障我國(guó)的網(wǎng)絡(luò)安全。中國(guó)電子認(rèn)證服務(wù)產(chǎn)業(yè)聯(lián)盟常務(wù)副理事長(zhǎng)季金奎認(rèn)為，在我國(guó)信息化領(lǐng)域《中華人民共和國(guó)電子簽名法》是迄今為止真正意義上的唯一一部法律，但電子認(rèn)證服務(wù)產(chǎn)業(yè)聯(lián)盟本身的力量還是很弱小的，希望更多的企業(yè)加入到電子認(rèn)證服務(wù)產(chǎn)業(yè)聯(lián)盟中，使電子認(rèn)證服務(wù)真正發(fā)展成為建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)過(guò)程中不可或缺的安全基礎(chǔ)設(shè)施。

    《中國(guó)電子報(bào)》特摘編了6位主題發(fā)言人演講的主要內(nèi)容，集中反映電子認(rèn)證發(fā)展的現(xiàn)狀、趨勢(shì)，以及在各行業(yè)、各地區(qū)的應(yīng)用情況。

    賽迪智庫(kù)網(wǎng)絡(luò)安全研究所王闖

    2014年電子認(rèn)證服務(wù)規(guī)模同比漲38%

    《電子簽名法》從2005年實(shí)施以來(lái)，認(rèn)證機(jī)構(gòu)的數(shù)量不斷增加，現(xiàn)在為37家，分布在全國(guó)23個(gè)省、直轄市和自治區(qū)。截止到2014年年底，電子認(rèn)證服務(wù)業(yè)產(chǎn)業(yè)規(guī)模達(dá)到129.9億元，同比增長(zhǎng)38%。其中軟硬件市場(chǎng)規(guī)模98億元，CA機(jī)構(gòu)營(yíng)業(yè)額30億元，電子簽名產(chǎn)品和服務(wù)市場(chǎng)規(guī)模為1.9億元。

    截止到2014年底我國(guó)有效數(shù)字認(rèn)證總數(shù)是2.38億，整體的需求數(shù)量是比較穩(wěn)定的。在驗(yàn)證層面來(lái)看，2014年大約有1531萬(wàn)張數(shù)字證書(shū)應(yīng)用在電子政務(wù)領(lǐng)域，金融領(lǐng)域6581張，主要是網(wǎng)上銀行為主。電子商務(wù)領(lǐng)域有效證書(shū)176萬(wàn)張，其中企業(yè)內(nèi)部管理占一半，企業(yè)經(jīng)營(yíng)占41%。

    制約電子認(rèn)證市場(chǎng)發(fā)展因素大量存在。包括民眾對(duì)電子認(rèn)證的認(rèn)知比較低，技術(shù)基礎(chǔ)較為專業(yè)，用戶主動(dòng)需求尚未發(fā)掘，法律效力問(wèn)題目前還存在一定的爭(zhēng)議等。

    從電子認(rèn)證的行業(yè)趨勢(shì)來(lái)看，電子認(rèn)證服務(wù)業(yè)已經(jīng)進(jìn)入了比較穩(wěn)定發(fā)展的階段。預(yù)計(jì)2019年市場(chǎng)規(guī)模將突破400億元。行業(yè)發(fā)展環(huán)境將得到持續(xù)改善，現(xiàn)在國(guó)家正在逐步推行行政體制改革，轉(zhuǎn)變政府職能，推動(dòng)國(guó)有企業(yè)改革，激發(fā)企業(yè)的活力，這都對(duì)行業(yè)發(fā)展很有利。市場(chǎng)需求將不斷增大。商用密碼在互聯(lián)網(wǎng)上應(yīng)用對(duì)行業(yè)發(fā)展、拓寬行業(yè)需求有很大的好處。在電子商務(wù)領(lǐng)域應(yīng)用中，電子簽名應(yīng)用增加，電子合同、電子簽章服務(wù)逐漸成熟，都使得這個(gè)行業(yè)需求不斷放大。目前，電子簽名標(biāo)準(zhǔn)制定已基本完成，電子簽名司法效力將得到廣泛認(rèn)可。

    公安部第一研究所信息安全部副主任楊衛(wèi)軍

    電子數(shù)據(jù)司法鑒定已在電子保單、銀行嘗試

    我們對(duì)網(wǎng)絡(luò)交易安全的認(rèn)定是從交易信息的保密性，交易各方身份的確認(rèn)，信息的防抵賴，以及交易信息的完整性和防篡改等這幾方面進(jìn)行認(rèn)定。電子簽名是可以作為電子證據(jù)使用的，最高法在2015年民事訴訟法司法解釋中提到，電子數(shù)據(jù)是指通過(guò)電子郵件、電子數(shù)據(jù)交換、網(wǎng)上聊天記錄、博客、微博、手機(jī)短信、電子簽名、域名等形成存儲(chǔ)在電子介質(zhì)中的信息。

    電子簽名能夠表明無(wú)紙化業(yè)務(wù)中簽名人身份及簽名人對(duì)內(nèi)容的認(rèn)可意愿。符合可靠的電子簽名與手寫(xiě)簽名或者蓋章具有同等的法律效力。

    符合可靠電子簽名的數(shù)據(jù)電文已經(jīng)具備合法的證據(jù)效力，因?yàn)榧夹g(shù)的專業(yè)性需要更有效、更直觀的呈現(xiàn)形式，讓法庭和司法機(jī)構(gòu)締結(jié)、認(rèn)可。司法鑒定意見(jiàn)書(shū)本身是一種合法的證據(jù)形式，并且易于展示和理解，在法律質(zhì)證時(shí)比單純的電子數(shù)據(jù)更易被法庭接受。由電子數(shù)據(jù)司法鑒定權(quán)威機(jī)構(gòu)對(duì)電子簽名進(jìn)行專業(yè)鑒定，并出具鑒定意見(jiàn)，有利于電子簽名在電子商務(wù)等領(lǐng)域中的應(yīng)用推廣，消除當(dāng)事人對(duì)電子簽名合法性的疑慮。電子數(shù)據(jù)司法鑒定目前已在電子保單、銀行等方面進(jìn)行了嘗試。

    工業(yè)和信息化部通信保障局副調(diào)研員袁春陽(yáng)

    計(jì)劃6月推出移動(dòng)商店APP數(shù)字簽名標(biāo)準(zhǔn)

    互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)快速發(fā)展，面臨很多的安全挑戰(zhàn)。工信部作為行業(yè)主管部門，維護(hù)網(wǎng)絡(luò)安全是其中一項(xiàng)重要職責(zé)。

    在標(biāo)準(zhǔn)規(guī)范上，我們制定了《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》，每年對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估和安全防護(hù)檢查制度，配套了相關(guān)的標(biāo)準(zhǔn)。工信部出臺(tái)了《關(guān)于加強(qiáng)移動(dòng)智能終端管理的通知》，對(duì)進(jìn)網(wǎng)的移動(dòng)終端進(jìn)行檢測(cè)，包括里面的應(yīng)用軟件。2014年工信部又出臺(tái)了《關(guān)于加強(qiáng)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見(jiàn)》，明確提出加強(qiáng)應(yīng)用商店和移動(dòng)互聯(lián)網(wǎng)應(yīng)用APP的安全管理。這也是我們?nèi)轿迥曛匾墓ぷ髦笇?dǎo)。

    為推動(dòng)互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)安全，我們正在研究制定相應(yīng)的管理辦法，包括明確應(yīng)用商店的責(zé)任，應(yīng)用商家內(nèi)部應(yīng)該建立什么樣的安全管理制度；包括加強(qiáng)移動(dòng)應(yīng)用程序源頭管理，積極推動(dòng)移動(dòng)應(yīng)用程序第三方數(shù)字簽名認(rèn)證機(jī)制，我們也在積極探索建立移動(dòng)應(yīng)用程序第三方數(shù)字簽名認(rèn)證的可行性。此外還開(kāi)展移動(dòng)惡意程序監(jiān)測(cè)處置工作，以用促進(jìn)行業(yè)自律等。

    下一步將持續(xù)開(kāi)展重點(diǎn)工作，尤其是第三方簽名認(rèn)證會(huì)進(jìn)一步得到落實(shí)，包括展示應(yīng)用商店簽名的應(yīng)用，推動(dòng)移動(dòng)商店簽名APP的驗(yàn)證，并計(jì)劃在今年6月份正式推出相應(yīng)的簽名標(biāo)準(zhǔn)。

    北京證聯(lián)信通科技發(fā)展有限公司總經(jīng)理馬圣東

    移動(dòng)代碼簽名試點(diǎn)遇到在線申辦難題

    移動(dòng)代碼簽名可以保障開(kāi)發(fā)者身份真實(shí)可信，簽名具有法律效力，數(shù)字簽名可以防止移動(dòng)應(yīng)用程序篡改。

    整個(gè)流程包含證書(shū)申請(qǐng)、使用APK、工具簽名，還有使用驗(yàn)證簽名。整體的流程包括開(kāi)發(fā)者、應(yīng)用商店、CA機(jī)構(gòu)用戶、安全軟件和操作系統(tǒng)。

    證書(shū)申請(qǐng)流程與CA機(jī)構(gòu)緊密聯(lián)系。舉個(gè)簡(jiǎn)單的例子，一個(gè)開(kāi)發(fā)者提交一個(gè)身份信息，向CA機(jī)構(gòu)申請(qǐng)一個(gè)證書(shū)，用于程序的簽名。還有測(cè)試機(jī)構(gòu)、應(yīng)用商店，同樣需要申請(qǐng)數(shù)字證書(shū)。但是在這個(gè)過(guò)程中，我們推廣遇到一些困難。例如一個(gè)客戶有2000個(gè)用戶，需要在線申請(qǐng)數(shù)字證書(shū)，目前CA機(jī)構(gòu)可能沒(méi)有任何一家能滿足他的要求。這是我們?cè)圏c(diǎn)在推廣過(guò)程中遇到的障礙。

    APK簽名工具不受次數(shù)限制，不管是應(yīng)用商店、檢測(cè)機(jī)構(gòu)還是開(kāi)發(fā)者。應(yīng)用商店可以用SDK簽名驗(yàn)證，SDK簽名主要針對(duì)有大量應(yīng)用發(fā)布的場(chǎng)景。目前有較大意愿使用電子認(rèn)證的是金融機(jī)構(gòu)，他們正推出自己的APP，為了保證自己APP的可信性需要數(shù)字簽名。金融機(jī)構(gòu)更在意給用戶推出的APP一定保證安全。廠商就特別在意自己推出的APP是否有人打包再去發(fā)布。目前國(guó)外APP開(kāi)發(fā)廠商，他們也希望通過(guò)這種方式對(duì)他們的版權(quán)進(jìn)行保護(hù)。

    我們遵循現(xiàn)有國(guó)內(nèi)國(guó)外的標(biāo)準(zhǔn)，不改變APK原有的文件結(jié)構(gòu)，具有最好的兼容性。原有APK的安裝模式和安全機(jī)制沒(méi)有任何改變。原有簽名證書(shū)可以繼續(xù)使用，可保證升級(jí)的平滑性。

    中國(guó)威信電子安全服務(wù)有限公司產(chǎn)品經(jīng)理蔣小燕

    用SIM卡認(rèn)證方式保障政企級(jí)安全手機(jī)

    政企用戶對(duì)安全手機(jī)的需求是比較大的。中國(guó)聯(lián)通目前是從數(shù)據(jù)網(wǎng)絡(luò)加密通信手機(jī)本身實(shí)現(xiàn)安全防護(hù)的，覆蓋手機(jī)APP的安全、通信安全、應(yīng)用安全、操作系統(tǒng)安全等各個(gè)方面，為用戶提供全方位的軟硬件一體化解決方案。

    硬件防護(hù)主要包括系統(tǒng)級(jí)安全和手機(jī)本身的安全，我們推出SIM卡里獨(dú)立安全認(rèn)證與加密模塊TF。在SIM里面植入鑰匙，不需要在外面攜帶證書(shū)，因?yàn)檫\(yùn)營(yíng)商已經(jīng)把號(hào)碼和人進(jìn)行了綁定，這張卡的證書(shū)保證就是用戶本人。通過(guò)這種結(jié)合，我們可以對(duì)手機(jī)相關(guān)的硬件包括USB、NFC、相機(jī)進(jìn)行控制，對(duì)數(shù)據(jù)進(jìn)行加密傳輸。在它之上還可以進(jìn)行擴(kuò)展安全應(yīng)用，比如說(shuō)支付應(yīng)用、內(nèi)容應(yīng)用，還可以做單點(diǎn)登錄、設(shè)備的安全啟用，以及一些其他應(yīng)用。需要手機(jī)簽名的時(shí)候，訪問(wèn)SIM卡。還可以在手機(jī)上進(jìn)行加解密的運(yùn)算，用SIM卡保證敏感信息的安全。我們把手機(jī)做成了雙域隔離，工作區(qū)域和個(gè)人區(qū)域分開(kāi)。工作區(qū)域通過(guò)VPN訪問(wèn)公司內(nèi)部的網(wǎng)絡(luò)，個(gè)人區(qū)域可以閱讀個(gè)人電子郵件等。

    在應(yīng)用安全防護(hù)方面，我們提供了加密通信，把語(yǔ)音進(jìn)行加密，會(huì)議電話進(jìn)行加密，加密消息和群組消息，加密文件或者群體文件等等。

    上海市經(jīng)信委信息化推進(jìn)處副處長(zhǎng)裘薇

    上海法人一證通有效解決證書(shū)碎片化問(wèn)題

    2012年，上海開(kāi)始推行法人一證通。原來(lái)上海在各個(gè)領(lǐng)域都發(fā)了相關(guān)的CA證書(shū)，但是從應(yīng)用上講，每個(gè)領(lǐng)域發(fā)的證書(shū)只能在單個(gè)領(lǐng)域來(lái)用，所以上海首先推出了法人一證通。我們圍繞以下幾方面做工作：

    第一建設(shè)統(tǒng)一的認(rèn)證系統(tǒng)。在全市范圍內(nèi)建立法人網(wǎng)上統(tǒng)一身份認(rèn)證系統(tǒng)，把包括工商、質(zhì)檢、稅賦、人保、公積金五方面的基本信息都統(tǒng)一起來(lái)。第二完善統(tǒng)一的服務(wù)渠道。原來(lái)各個(gè)單位結(jié)合應(yīng)用通過(guò)各個(gè)渠道發(fā)證，我們把原來(lái)的服務(wù)網(wǎng)點(diǎn)都關(guān)閉了，在17個(gè)區(qū)縣企業(yè)服務(wù)中心和便民服務(wù)中心設(shè)立22個(gè)服務(wù)網(wǎng)點(diǎn)，統(tǒng)一對(duì)各區(qū)縣法人單位發(fā)放證書(shū)。第三建立完善收費(fèi)機(jī)制。第四拓展應(yīng)用范圍，實(shí)現(xiàn)法人數(shù)字證書(shū)跨部門通用，設(shè)立法人在線辦理各類事項(xiàng)身份認(rèn)證服務(wù)。

    截止到今年5月底，全市一共發(fā)放法人一證通140萬(wàn)張，共為108萬(wàn)家法人單位提供一證通服務(wù)，為全市法人節(jié)約成本3億元/年，節(jié)省出行時(shí)2250萬(wàn)小時(shí)/年，節(jié)約紙張4400萬(wàn)張/年。

    法人一證通推進(jìn)3年時(shí)間中，獲得了相關(guān)方面的認(rèn)可，是全國(guó)首個(gè)電子認(rèn)證服務(wù)機(jī)構(gòu)打破傳統(tǒng)服務(wù)模式的創(chuàng)新示范工程，也是全國(guó)首個(gè)由財(cái)政資金統(tǒng)一購(gòu)買服務(wù)、為法人單位提供數(shù)字證書(shū)的服務(wù)。上海市政府每年提供3700萬(wàn)的專項(xiàng)資金購(gòu)買上海CA為法人提供的證書(shū)服務(wù)。