信息化觀察網(wǎng)

近日，北京數(shù)字認證股份有限公司（簡稱：數(shù)字認證）首席科學(xué)家、研究院院長夏魯寧出席中國網(wǎng)絡(luò)空間安全協(xié)會主辦的沙龍活動，他以《構(gòu)建以密碼為基礎(chǔ)的信任服務(wù)》為題，暢談了電子認證行業(yè)從認證服務(wù)到網(wǎng)絡(luò)信任服務(wù)的發(fā)展思路。

夏魯寧認為，建立安全有序的網(wǎng)絡(luò)空間，信任是最關(guān)鍵的環(huán)節(jié)，而密碼技術(shù)是建立網(wǎng)絡(luò)空間信任的核心技術(shù)和基礎(chǔ)支撐。

密碼技術(shù)的法定作用

《密碼法》指明，密碼是指采用特定變換的方法對信息等進行加密保護、安全認證的技術(shù)、產(chǎn)品和服務(wù)。對于密碼的法定作用，在2005年發(fā)布的《電子簽名法》中就有所論述?？紤]到技術(shù)中立性，《電子簽名法》雖沒有直接指定使用密碼技術(shù)實現(xiàn)電子簽名，但它所說的電子簽名的兩大作用，即識別簽名人身份和表明簽名人認可其中內(nèi)容，目前為止只有基于密碼算法的數(shù)字簽名才能夠?qū)崿F(xiàn)。也就是說，符合法律效力的電子簽名，目前只有使用密碼技術(shù)才能做得到。

此外，2020年1月，國辦印發(fā)《國家政務(wù)信息化項目建設(shè)管理辦法》，其中第十五條明確提出“項目建設(shè)單位應(yīng)當(dāng)落實國家密碼管理有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范的要求，同步規(guī)劃、同步建設(shè)、同步運行密碼保障系統(tǒng)并定期進行評估。”這說明，使用密碼對信息系統(tǒng)進行保護，已經(jīng)不單單是技術(shù)上的需求，同時也是法定的義務(wù)。

基于密碼技術(shù)構(gòu)建安全可信的網(wǎng)絡(luò)空間

《電子簽名法》第十六條提出：“電子簽名需要第三方認證的，由依法設(shè)立的電子認證服務(wù)提供者提供認證服務(wù)。”這使得電子認證成為構(gòu)建網(wǎng)絡(luò)信任體系的安全基礎(chǔ)支撐。當(dāng)前，電子認證機構(gòu)的主流業(yè)務(wù)仍然聚焦在認證服務(wù)上，即以電子簽名法所述“識別簽名人身份”為主。但隨著市場安全需求和信任需求的不斷釋放，單純的認證服務(wù)已遠不能滿足多樣化的網(wǎng)絡(luò)信任需求。

此背景下， 以“識別簽名人身份”為核心的認證服務(wù)，開始向“表明簽名人認可其中內(nèi)容”為核心的信任服務(wù)轉(zhuǎn)變。以密碼技術(shù)為基礎(chǔ)、與信息技術(shù)深度融合、開展與業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)信任服務(wù)成為電子認證行業(yè)新藍海。相比傳統(tǒng)認證服務(wù)，網(wǎng)絡(luò)信任服務(wù)呈現(xiàn)如下特點：

業(yè)務(wù)強相關(guān)

從認證服務(wù)到信任服務(wù)再到信息化業(yè)務(wù)過程中，對密碼建設(shè)信任的作用，已經(jīng)逐漸從與業(yè)務(wù)無關(guān)，過渡到和業(yè)務(wù)緊密相關(guān)。這意味著，密碼服務(wù)機構(gòu)，要逐步從“一招吃遍天”過渡到深入用戶業(yè)務(wù)、深度溝通業(yè)務(wù)需求中。

一體化交付

證書服務(wù)仍屬于產(chǎn)品交付范疇，而信任服務(wù)則是體系交付。信任服務(wù)提供商直接向客戶提供身份管理、責(zé)任認定、數(shù)據(jù)保全、電子合同等服務(wù)體系，并與客戶的信息系統(tǒng)無縫銜接，客戶無需再實施二次開發(fā)。這使得電子認證機構(gòu)需要更加深入了解用戶信息系統(tǒng)的技術(shù)細節(jié)，對研發(fā)能力的要求有了質(zhì)的提高。

持續(xù)性運維

認證服務(wù)提供商主要運維自身電子認證基礎(chǔ)設(shè)施，而信任服務(wù)提供商則還要承擔(dān)客戶信任體系的經(jīng)常性運維。這意味著“項目”不再是簡單的證書購銷行為，而是信任體系設(shè)計、建設(shè)、運維的持續(xù)性活動。這對電子認證機構(gòu)提出了面向不同客戶、面向不同系統(tǒng)建立運維力量的新要求。

這些特點將深刻影響電子認證機構(gòu)的經(jīng)營模式和盈利模式，迫使電子認證機構(gòu)在企業(yè)戰(zhàn)略、投入方向上做出轉(zhuǎn)變。

作為電子認證行業(yè)龍頭企業(yè)，數(shù)字認證已從聚焦身份認證擴展到構(gòu)建可信身份、可信內(nèi)容、可信行為的全鏈條網(wǎng)絡(luò)信任體系，通過與新興業(yè)務(wù)應(yīng)用場景的深度融合，已在電子合同、電子檔案、互聯(lián)網(wǎng)醫(yī)療、互聯(lián)網(wǎng)金融、在線教育等領(lǐng)域，用前瞻性的創(chuàng)新為客戶和行業(yè)創(chuàng)造價值。