由于利益的驅(qū)動和沖突����,CA建設(shè)諸侯群起。據(jù)悉��,從1999年到2002年正是國外CA機構(gòu)飛速發(fā)展的階段���,他們逐漸形成了穩(wěn)定的盈利和現(xiàn)金流��,在股市上每年業(yè)績翻一番。于是��,國內(nèi)的行業(yè)和政府主管部門紛紛頭腦發(fā)熱��,認(rèn)為建CA就能立馬帶動電子商務(wù)和電子政務(wù)發(fā)展����,就能坐地收錢。
然而當(dāng)時中國企業(yè)的IT水平極低����,甚至連防火墻�����、防病毒的基礎(chǔ)設(shè)施都不完備�,更何談使用CA的保護�����。因此有的CA機構(gòu)在建成后沒有發(fā)過一張證書��,建立之日就是其死亡之時�;有的CA機構(gòu)第一年還能依靠行政力量,攤派下屬企業(yè)使用�����,后來因為不能提供有效的服務(wù)����,客戶也逐漸流失殆盡;只有像長三角��、珠三角����、北京這些IT和金融業(yè)發(fā)達(dá)的地區(qū)����,幾家CA機構(gòu)才得以逐漸發(fā)展壯大���,占據(jù)相對穩(wěn)定的市場��。
當(dāng)然從客觀角度上講����,有的政府機構(gòu)建CA�,其初衷就是搞政績工程,壟斷電子印章和證書簽發(fā)的權(quán)力��,但依靠政府的背景和力量���,他們還是在行業(yè)里得到了立足之地并發(fā)展成為相當(dāng)規(guī)模的機構(gòu)。
由于前幾年國內(nèi)對CA行業(yè)管理上存在的一些問題����,致使國內(nèi)的PKI/CA機構(gòu)管理水平良莠不齊,區(qū)域割據(jù)嚴(yán)重�,服務(wù)質(zhì)量低下。《電子簽名法》的出臺對國內(nèi)CA機構(gòu)發(fā)展也提出了更高的要求��,會極大地促進(jìn)CA認(rèn)證市場的規(guī)范化管理�,打破地方區(qū)域割據(jù)的局面,尤其會促進(jìn)CA認(rèn)證機構(gòu)提高服務(wù)質(zhì)量�,為用戶真正提供有價值的虛擬世界的身份認(rèn)證服務(wù)。
自1999年以來����,國內(nèi)CA機構(gòu)如雨后春筍般涌現(xiàn)出來,由于國內(nèi)IT領(lǐng)域的發(fā)展滯留于低谷���,加上沒有權(quán)威的監(jiān)管部門來加以制約����、相關(guān)的法律尚未健全����,CA們一直在虧損中艱難度日,長期以來都處于干燒錢的狀態(tài)����。
“PKI系統(tǒng)作為虛擬世界的可信技術(shù)設(shè)施,從技術(shù)平臺的搭建到管理運營策略建設(shè)�����、專業(yè)運營人員的培訓(xùn)、安全環(huán)境的完善����,再到提供7x24小時的服務(wù),按照嚴(yán)格的規(guī)范運營管理���,建設(shè)初期需要投入巨大的資金和較長的一段時間��,因此收支不平衡是非常正常的現(xiàn)象�����。從國外的運營經(jīng)驗來看也是如此��,CA服務(wù)機構(gòu)必須投入巨資在完善技術(shù)平臺的同時建立一套安全體系及管理流程才能夠?qū)ν馓峁┱J(rèn)證服務(wù)��?����!?/p>
然而,國內(nèi)一窩蜂搭起的CA草臺班子無論從技術(shù)人員的數(shù)量��、基礎(chǔ)設(shè)施條件還是管理流程上,都不能保證簽發(fā)證書的安全性����。有的CA網(wǎng)站連CP(證書政策)、CPS(認(rèn)證業(yè)務(wù)說明)都沒有�,證書使用各方的關(guān)系、法律責(zé)任都沒有說明�����,也沒有能力說明��。還有的CA機構(gòu)把制作數(shù)據(jù)就放在服務(wù)器里�����,并沒有專用的加密機設(shè)備��,也沒有專門的介質(zhì)保存相關(guān)數(shù)據(jù)�����,數(shù)據(jù)被竊取的也是時有發(fā)生�。在這種運營狀態(tài)下怎能在市場競爭中占領(lǐng)一席之地?用李延昭的話講那就是,“信產(chǎn)部的CA門檻是非常嚴(yán)格的�����,不是誰都能隨便就可以進(jìn)來炒一票的?���!?/p>
新法實施部分CA難逃一劫
有資料顯示,目前國內(nèi)CA公司大約70多家���,從宏觀分為行業(yè)CA���、地方CA和商業(yè)CA三類。第一類是行業(yè)主管部門建立的CA中心��,國內(nèi)12家商業(yè)銀行共同組建的中國金融CA認(rèn)證中心(CFCA)���,電信CA和海關(guān)CA等��;第二類是地方政府部門建立的CA中心����,像北京CA�����、上海CA等;第三類是民間資本建立的商業(yè)CA,像天威誠信等�����。而真正有客戶�,具有一定規(guī)模的CA機構(gòu)在運營上能夠作到收支平衡或盈利的則寥寥無幾�����。
在過去幾年中對CA認(rèn)證中心的監(jiān)管并沒有明確的部門����,基本上采取多個部門分別就其所轄的部分分進(jìn)行管理��,各負(fù)其責(zé)����。簽名法規(guī)定從事電子認(rèn)證服務(wù)的機構(gòu)��,應(yīng)當(dāng)向國務(wù)院信息產(chǎn)業(yè)主管部門提出申請�,并提交相應(yīng)的材料�。國務(wù)院信息產(chǎn)業(yè)主管部門接到申請后經(jīng)依法審查,征求國務(wù)院商務(wù)主管部門等有關(guān)部門的意見后����,自接到申請之日起四十五日內(nèi)做出許可或者不許可的決定��。提供電子認(rèn)證服務(wù)應(yīng)當(dāng)具備下列條件:具有與提供電子認(rèn)證服務(wù)相適應(yīng)的專業(yè)技術(shù)人員和管理人員;具有與提供電子認(rèn)證服務(wù)相適應(yīng)的資金和經(jīng)營場所�;具有符合國家安全標(biāo)準(zhǔn)的技術(shù)和設(shè)備���;具有國家密碼管理機構(gòu)同意使用密碼的證明文件��;法律行政法規(guī)規(guī)定的其他條件��。
按照《電子簽名法》的要求,現(xiàn)在市場上大多數(shù)CA公司都將無法通過審查���,而且在這么短暫的時間內(nèi)想彌補上企業(yè)軟硬件的不足,達(dá)到《電子簽名法》的要求也是不現(xiàn)實的���。屆時將有近40家CA難逃此劫。
存活者面臨市場大餐如何下口
適者生存不適者淘汰這是大自然的生存法則����,在當(dāng)今的人類社會仍然適用。對于存活下來的CA們確實是件值得慶賀的事情���,但這就讓我們高枕無憂了嗎?就可以分享盛夏的果實了嗎�����?
在我國不同的認(rèn)證機構(gòu)產(chǎn)生不同的認(rèn)證機構(gòu)的用戶群體����,形成了各自不同的封閉型的信任環(huán)境���,這種狀況無疑會對電子商務(wù)的發(fā)展造成較大的影響。由于傳統(tǒng)利益的驅(qū)動和沖突�����,CA建設(shè)諸侯群起��,地區(qū)行業(yè)借助各自優(yōu)勢互相爭奪����,CA認(rèn)證無法互通�,電子商務(wù)被傳統(tǒng)的勢力隔離化��。因此����,《電子簽名法》實施以后�����,解決“信息孤島”問題迫在眉睫。
針對這一問題中國國際電子商務(wù)中心國富安電子商務(wù)安全認(rèn)證有限公司副總趙海濤作了細(xì)致分析��,“信息孤島問題確實存在���,由于證書的頒發(fā)機構(gòu)不同和使用的范圍不同就導(dǎo)致認(rèn)證雙方無法進(jìn)行信息的互通���,這就造成了廣義的信息孤島���。對于如何加以解決���,就個人認(rèn)為需要兩方面相互配合�����。第一從技術(shù)上要做到交叉認(rèn)證�,第二從行政管理上對證書的發(fā)行機構(gòu)做一個重新的調(diào)整與整合�����,從政府角度有一個宏觀的調(diào)控�����?����!?/p>
有兩個解決的辦法,一是建立一個國家級的橋CA���,橋CA是多域PKI體系(連接多個信任域)中的核心組織���,是不同信任域之間的橋梁CA,主要負(fù)責(zé)為不同信任域的主CA頒發(fā)交叉認(rèn)證的證書��,建立各個信任域的證書政策與橋CA的證書政策之間的一一映射關(guān)系��,更新交叉認(rèn)證證書���,發(fā)布交叉認(rèn)證證書黑名單���;二是通過技術(shù)在應(yīng)用系統(tǒng)上得到交叉認(rèn)證,由于前者實施起來投入較大所以比較提倡后者��。
CA的建設(shè)缺乏有效的監(jiān)管渠道���,CA作為電子商務(wù)活動提供第三方的權(quán)威、公正認(rèn)證的部門��,是保障電子商務(wù)安全活動的一個重要組成部分��。由于CA的職責(zé)包含著向社會提供個體的真實身份證明�,在技術(shù)方面使用了高等級的加密技術(shù)����,涉及到政府部門職能和網(wǎng)絡(luò)安全問題。目前中國的CA建設(shè)還沒有一套從申辦到運營方面完整的管理體制���,這些CA的公信力與運作能力如何�,加密技術(shù)有沒有達(dá)到必須的要求還是個問號�����。李延昭坦陳��,包括天威誠信在內(nèi),現(xiàn)在所有的CA應(yīng)用性可以說做的都不太好����,但國外成熟的技術(shù)方案在中國應(yīng)用時���,語言是最大的障礙���,如何順利地實現(xiàn)轉(zhuǎn)換是CA面臨的共同問題。
由于電子簽名在電子商務(wù)領(lǐng)域里還屬于一個新生事物���,企業(yè)和個人對電子商務(wù)的應(yīng)用還是停留在網(wǎng)上信息瀏覽的階段,要通過網(wǎng)絡(luò)的形式來傳遞重要的電子文件以及電子合同��,他們一時還無法適應(yīng)����,很顯然電子簽名普及化將成為制約CA發(fā)展的另一個瓶頸�����。趙海濤說�,“用戶認(rèn)識不到證書的重要性以及它為企業(yè)所帶來的好處���,他當(dāng)然不會用�,但隨著 《電子簽名法》的實施后�,上升到法律的高度,人們在網(wǎng)上交易�、支付出現(xiàn)問題�����,就不再是個人承擔(dān)責(zé)任���,還有可能第三方(CA)為你共同承擔(dān)或者完全賠償損失,當(dāng)人們耳聞目睹到出現(xiàn)問題第三方禮賠了的話題越來越多時����,自然會認(rèn)識到證書存在的重要性。證書普及是一個不可阻擋的歷史發(fā)展趨勢�,需要國家����、證書發(fā)放方和證書使用方三方的共同推進(jìn)才能得以順利發(fā)展�?��!?br>
中國金融CA認(rèn)證中心的關(guān)振勝說����,現(xiàn)在CA技術(shù)真正得到應(yīng)用的是工商、稅務(wù)�����、網(wǎng)站����、金融、海關(guān)��、對外進(jìn)出口���、電信這幾大領(lǐng)域和部門,個人應(yīng)用的需求量極小����。這是和我國互聯(lián)網(wǎng)發(fā)展水平相對應(yīng)的,也是國內(nèi)外CA存在差距的根本原因��。這正如阿里巴巴的副總裁金建杭用詼諧的語言表述的那樣,也許有朝一日當(dāng)所有人不再興奮地談起“電子商務(wù)”這個詞���,并視之為普通商務(wù)交易模式的時候����,就是電子商務(wù)真正普及的時代�,就像魚在水中生活得自由自在,卻不曾察覺周圍是水的環(huán)境��。同樣道理,只有當(dāng)人們在意識中把電子簽名默認(rèn)為自己在互聯(lián)網(wǎng)上或者某系統(tǒng)中身份驗證確認(rèn)的工具時�,才是電子簽名真正走向普及的時候���。
我國目前有近9千萬網(wǎng)民,其中2千萬網(wǎng)上交易用戶�,隨著網(wǎng)民數(shù)量的持續(xù)上升��,和網(wǎng)上交易數(shù)量的增大����,這將釋放出巨大的需求��。這些CA機構(gòu)也想借機拿到更多的市場份額。
但首要的問題是如何獲取從事電子認(rèn)證服務(wù)的“資格”
