上海市数字认证管理办法立法调研报告(编辑修改稿)

上海市数字认证管理办法立法调研报告(编辑修改稿)内容摘要：

上海市银行卡网络服务中心联合出资组建，经上海市政府批准，从事数字证书制作、颁发和管理业务。 上海市 CA 中心目前已经颁发系列完整的数字证 18 书，包括与信用卡绑定的 SET 证书，以及不与业务挂钩的通用证书，发证对象包括个人、企事业单位、网站服务器、软件代码等。 “网证通” CA 联盟囊括湖北、广东、海南、广西等省市，并在“网证通”这个统一的技术体制和品牌下共筑全国 CA 体系。 广东省电子商务认证中心是经广东省政府批准成立的广东省惟一一家政府认可的 安全认证权威机构，前身是南方电子商务中心；湖北 CA 中心（简称 HBECA）是经湖北省政府批准成立 ,由湖北省信息中心控股，在广东南方通信集团支持下组建的一家高科技有限责任公司，是代表湖北省政府惟一从事电子商务和电子政务安全证书管理的权威性机构；海南省电子商务认证中心，是经海南省政府批准，由海南省商贸信息服务中心和广东南方通信集团公司南方电子商务中心联合出资组建，从事电子商务数字证书制作、颁发、管理和相关网络加密的权威机构。 中国金融认证中心（ CFCA)中国人民银行牵头，中国工商银行、中国农业银行、中国银 行、中国建设银行、交通银行等十二家商业银行联合共建而成。 CFCA 项目包括 SETCA 和 Non－ SETCA 两套系统，在金融 CA 工程领导小组的组织下，以公开招标的形式组织建设。 共有国内外 24 家厂商参加邀标会， 10家厂商或集团参加投标。 最终， IBM 公司中标 SET 系统，德达 /SUN/Entrust 集团中标 NON－ SET系统，并于 1999 年 8 月 30日正式签约实施。 在保证系统安全可靠的基础上，中国金融认证中心进一步完善了系统的各项功能，完成了密码产品的本地化工作，并于 20xx 年 6月 20 日通过了由国家密码管理委 员会和人民银行支付科技司联合主持 19 的密码产品本地化工作的安全性审查。 经过 9 个月的紧张实施，系统建设工程已全面完成，并已于 20xx 年 6 月 29日开始对社会各界提供证书服务，系统进入运行状态。 网络无国界，数字证书只有随处通行，才能显示出巨大价值。 各 CA机构深谙其道，纷纷打出“国字号”招牌，以显得神通广大：“中国协卡认证体系”在对外宣传资料上赫然印着 8 个大字：“一证在手，走遍天下”，让人对网上安全前景怦然心动；中国金融认证中心一开始就打出“统一中国”的口号，气势高昂；同样，南方几家认证联盟已经把触角伸到西 南、西北，整体轮廓依稀可见。 地区类 CA 机构起步早，本地化优势明显，机制灵活，市场化运作强，很快便成为地方性战场的桥头堡。 而且，后来者强有力地冲击也使各地方性 CA 架出联合行动的态势，在表层上形成统一品牌推向全国的行动。 行业类 CA 机构虽然觉醒迟了一刻，但凭借固有基础资源和从属关系，运用行政的手段，强力“推”出一条战线。 这条战线结合传统业务的 e 化流程，具有得天独厚的政策优势和资源优势，雄心勃勃地勾勒出一统江山后的图画。 在“中国协卡认证体系”网站上，北京站、上海站、天津站同而列之，共推“协卡” 这块品牌。 这些认证网站经济上完全独立，应用开发和投入上各自去做，做出来的应用方案可以相互借鉴、通用，在技术标准、客户服务标准、保险等方面则是完全统一，以保证市场品牌的统一性和用户使用上的便捷。 在发展用户这一点上，它们根据协作关系，地域性的业务，原则上都是在当地的认证中心来做，省部级的项目大家就 20 协商着来做。 中国金融认证中心早在 1999 年初组建领导小组时，就明确阐明了“统一规划、联合共建”的基本原则。 金融 CA 是金融行业联合共建、全国统一的认证中心，各地人民银行不应再牵头建设地方性认证中心，各商业银行也 不支持其分支行参与其他认证中心的建设。 所以，与银行相关的业务，要从网上走的话，基本上需要经过 CFCA 这个认证关口。 当然，这样的想法有些一厢情愿，没能得到完全的落实。 例如，在上海正式开通的电子商务网上支付系统中，当地的工行、农行、交行等商业银行就已经成为 SHECA 数字证书审批受理点。 同样在北京等省市，地方 CA 参与到网上银行业务也很经常。 （二）我国数字认证机构发展中 存在的问题 各 CA 中心为使自家证书受用面更广，广开渠道、相互渗透、拓展市场在所难免，但对于最终用户来说，仍存在一张证书只能 在一定地域或业务范围内才能使用的尴尬局面。 打破地方保护、利益条块分割的做法，为中国电子商务发展做一个通盘的考虑，是政府发展国内信息安全产业的关键所在。 具体到数字认证领域，覆盖全局的跨国界、跨地区、跨行业之间的交叉认证是症结所在。 据业内权威部门和专家的估计，全国有两到三家大的 CA 认证中心就够了，但具体谁能最终活下来，目前还只能等待市场的筛选。 目前国内对 CA 的认识尚属初级阶段，知者少，用者微。 一般人要么是根本上没有认识，要么是有了些认识，但比较肤浅，停留在把 CA仅作为电子商务凭证的阶段，真正能理解 CA“第三方”属性的更是少之 21 又少。 但电子商务概念的热浪扑面而来，一度催生出各种类型和 CA 机构和公司，甚至在网上可以看到某个人网站在发送数字证书的景象。 国内 CA 的机构和公司对 CA有一个明显的误解就是，好像这是一个谁都随便可以做的东西，而且只要做了就都可以发财的。 其实， CA 是一个要承担很大责任的机构，和一般的赢利机构和公司是两种概念。 现在往往是几个企业联合，然后找个政府部门支持就来做，每个地方、每个城市、每个地区都做 CA，其实这是不利于 CA 发展的。 这个责任要有几个保障：首先是政府支持，然后是要有经济实力 ，出了问题要赔得起，相应的保险要做足等等因素缺一不可。 正如人们常见的彩票中奖现场必须有公证人员宣读公证书这一必不可少的环节一样，数字认证机构 /中心 /单位不仅是网上安全活动的“保护神”，还是担负“第三方”监控、公证职责的公证员。 在某些情况下，“第三方”这一属性显得更为重要，然而恰恰相反它被用户、商家、认证中心所忽视。 同样，对行业类认证机构的“第三方”属性也需要认真研究。 比如证券公司目前提出的交易安全、信息安全概念，主要做的是加解密这一块工作，他们向股民承诺的是有了这个认证，你的资料、交易 不会被别人看到，但这只是停留在加解密层面上的安全，但真正的安全还包括身份的确认、整个交易记录完整性的确认等方面，就像做公证一样，有个“第三方”的特性，恰恰这个特性被忽略了。 试想，如果一个股民在交易股票时发生了上千万金额的安全问题，而证券公司既是这场交易的承办者，又是安全见证者，处在一个双重身份下，能够保证完全公平地处 22 理问题吗。 这种状况不由得让人担忧“既当裁判，又当运动员”的做法在国内电子商务市场上故伎重演。 如此推断下去，国内银行涉足 CA 领域，看上去很好，属于水到渠成的事情，其实未必，从“银行卡” 这一业务即可以看出端倪。 众所周知，国外的银行一般是不发卡的，而是通过像 VISA、 MASTERCARD 这些中间机构来发卡，银行参与其中，使得这几张卡是最权威、通用的，也方便了卡的持有者。 而国内情况大相径庭，每个银行都发自己的卡，造成多卡种、跨地域、跨行、流通困难的局面。 同样做 CA，各个银行之间、银行上下之间如何做好利益协调、业务共通的工作，依然是紧要的问题。 目前国内认证机构远远还没到达赢利的平衡线，大家仍在做持续的投入来培育这块在“不久的将来”会爆发的市场，而这个“不久”，再一次被国内电子商务低迷 的气氛所推迟。 数字认证作为纯粹的网络原生业务形态，必然与国内外电子商务的大氛围息息相关。 上海、北京、天津等组成的“中国协卡认证体系”在国内是首家信任服务和安全服务的提供商，起步至今已有 3 年的历史。 据了解， SHECA 从 1999 年上半年SET 证书系统和通用证书系统建设完成至今，正式对外发放数字证书超过 12 万张，其中针对个人用户的占绝大部分，约 10 万左右，主要应用于安全邮件和网上炒股；其余则发放给商家和网络服务器。 个人用户的数字证书目前尚属免费阶段，即使用于网上炒股，只要券商不单独对其收费， SHECA 也从中直接 得不到一分钱；发放给企业用于企业安全电子邮件、企业身份识别的证书以及服务器证书，一般每年年费在 1200 元左右，再加上相关产品与解决方案，每年收入不过百万元。 23 要 CA 在短期内达到赢利是不现实的，但它作为网络运行的基础之一，必然随着网络的发展而水涨船高。 网络和电子商务的向前发展的趋势是不可逆转的，经营有方的认证机构在 3 年内达到收支平衡是可能的。 （三）我国电子商务认证机构的建设 1. 电子商务认证机构建设的重要性和紧迫性 电子商务交易顺利进行的关键问题是安全问题。 解决安全问题 的基本条件就是需要具有相应的电子商务认证机构，为买卖双方提供值得信任的认证服务。 从技术角度讲 ， 电子商务认证机构所提供的服务包括签证的管理、使用者公钥的产生与保管，以及密钥管理三大类。 通过采用国际上最先进的安全保密技术对网络上的数据发送方、接收方进行身份情况确认和资信情况确认，以保证交易各方信息的安全性、保密性和可靠性。 从商业角度讲，每一个电子合同的签定，买卖双方都需要对对方的身份情况、资信情况和经营情况进行认证，否则，很难作出正确的决策。 所以，通过认证机构来进行买卖双方的全面认证，是保证网络交易安全的重要措施。 由于 CA认证在电子商务中的特殊地位，尽快建立国家电子商务认证机构已迫在眉睫。 近年来，国际组织为建立全球数字认证中心制订了一系列的标准与法规，如国际标准组织（ ISO）已颁布的密钥鉴别架构（ Authentication Framework）标准 ISO 95948[2]、开放系统连接安全架构（ Security Frameworks in Open Systems ） 标 准 ISO 10181[3] ， 存 证 （ Nonrepudiation）标准 ISO 13888[4]也在草拟中。 根据 ISO各项已颁 24 布及草拟中 的相关标准， Inter网络工程技术小组（ Inter Engineering Task Force）在安全领域方面，正在订定基于 开密钥基础建设标准（ Public Key Infrastructure，简称 PKIX）、通用鉴别技术（ Common Authentication Technology，简称 CAT）、防火墙通过鉴别标准（ Authenticated Firewall Traversal，简称 AFT）、简单公开密钥基础建设标准（ Simple Public Key Infrastructure，简称 SPKI）、交易层安全标准（ Transport Layer Security，简称 TLS）、网络交易安全标准（ Web Transaction Security，简称 WTS）等相关标准，逐步建设世界权威性的全球数字认证机构机制。 认证机构的建立，目前已经成为电子商务的一个热点问题。 各个行业、各个部门都希望建立自己的认证机构，许多 ISP 和商品交易中心也尝试建立自己的认证中心。 为了保证电子商务的健康发展，建立一个国家级的电子商务认证机构，使它能够联系政府部门的网络安全认证中心以及各行各业 现存的认证机构，进而形成一个完整的体系，为参与网络交易的各方提供法律认可的、具有权威性的商务认证，已经成为电子商务发展的迫切要求。 2. 电子商务认证机构建设的不同思路 电子商务 认证机构的建立，各国都非常重视，加拿大和新加坡等国已经建立了政府性认证中心。 我国台湾地区有这方面的前车之鉴。 他们虽然建立 CA较早，但由于最初没有统一规划，形成了银行系统各自都建有认证中心、互不通用的混乱格局，使得客户购物非常不便，调整起来也非常困难。 有鉴于此，我们应吸取教训，尽快形成自己的电子商务认 25 证机构的建设方案。 关于认证机构的建设，目前有三种典型的思路。 1）地区主管部门认为应当以地区为中心建立认证中心 3。 地方政府出面，可以 从建设初期就统一规划、统一布局，组建唯一的地区 CA认证中心，负责本地区电子商务证书的注册、发放、验证和管理工作。 2）行业主管部门认为应当以行业为中心建立认证中心。 银行希望拥有 CA认证权力，它认为，金融认证中心是电子商务的一个核心环节，也是实现网上交易和网上支付的安全保障，因此，由人民银行组织其他商业银行共同兴建金融认证中心势所必然 4，这样做，也有利于在今后的工作中能够自由选 择高服务质量的 ISP；而电信部门同样也希望拥有CA认证权力，这样可以自由选择银行 5。 密码管理部门也希望拥有这样的权利。 3）也有人提出建立几个国家级行业安全认证中心，如银行系统和国际贸易系统，形成一个认证网络，然后，实行相互认证 6。 我们认为，电子商务交易认证不应是单纯的政府行为，而应当由政府授权，采用市场运营方式，发挥私人和行业的积极性，以便形成竞争的局面。 认证机构的建立，从国家方面讲，目前首先应当组建国家级的CA认证中心，负责全国电子商务证书的注册、发放、验证和管理工作。 然后，按照统一规 划、统一布局的原则，在各行业设立横向的职能认证机构。 在各地区设立纵向的分支认证机构，从而形成类似于企业管理中。