电子商务热引发了全国各地的“CA认证中心建设热”。据记者了解,不仅各行业、各地区都在建自己的认证中心,而且许多公司和网站也在建自己的认证中心。针对当前认证中心建设中存在的种种问题,记者采访了国家信息安全测评认证中心主任吴世忠研究员。
吴世忠认为,当前我国电子商务CA认证中心的建设很不规范,与我国对此没有指导性的政策有关。就全国而言,从市场的需求及未来发展看,有四、五个认证中心足矣。即使是在电子商务很发达的美国,也只有两、三个大型的认证中心。现在国内一哄而上建认证中心,完全没有必要。他说,我们已经有中国电信的CA(CTCA)、中国人民银行的CA(CFCA),它们都是利用国外先进经验,采用自主安全技术构建的大型CA中心,已经获得或正在进行“国家信息安全认证”,起点都比较高。以后再重点发展一到两个商业性CA,当时机成熟时,在此基础上再建一个国家级的根CA,全国的认证问题基本上就解决了。滥建CA有悖信息化潮流,所以要给全国各地的“CA认证中心热”泼点冷水,是因为这种热衷于各搞一套的做法是条块分割的老路子,与打破时间空间限制的网络化潮流大相径庭。网络时代的各自为政无异画地为牢。重复建设所带来的不是利益的最大化,而是国家利益的最小化、公众利益的最小化。以金融CA为例,中国人民银行总行为CFCA制定了管理规范,为金融行业的认证提供了条件和基础。以此观之,其他银行自己建的认证中心,实无多大必要。吴世忠认为,银行应该遵循一个CA,不能再走信用卡的老路。以前各银行自己搞自己的信用卡,结果,商场、宾馆的收款台要放五、六台刷卡机,为国家管理和社会公众带来了负担。
吴世忠认为,面向社会服务的CA中心必须达到一定的要求。首先要看建设单位是否具备管理能力,以及责任和义务是否很明确,一旦证书出了问题,各方的责任是否清楚;其次是看技术能力和运行条件,CA要为社会服务,能否保证安全可信,运转有效;这需要专门的技术能力和安全完整的网上认证技术体系。比如在炒股票时,如果认证的周期太长,别人已经成交了,你这里还堵着,那肯定不行。第三是看是否有足够的财力支持。没有数千万乃至上亿的投入,是无法面向社会提供可信赖的CA服务。第四是看整个CA系统和设施是否安全。总之,CA中心能否提供安全可靠的服务,不能仅凭其自身的宣传,而是要通过“国家信息安全认证”。
当前有的公司也在网上发放CA证书。记者询问:如果出现问题,该公司是否为自己发放的证书承担责任?得到的回答是:“不需要承担责任”。就这个问题,吴世忠却认为,这是不负责任的说法。如果发证机构不为自己发的证书负责,还要这个认证干什么?确保CA本身的可信安全、确保注册机构和资源库的可信安全、确保发布信息的可信安全是当前任何一个CA认证中心必须尽到的义务,同时,CA认证中心要在它的认证实施声明中,明确注明自己的责任和对违约造成损失的赔偿级别。现在有许多公司,以为建CA能赚钱,或者容易炒作,便纷纷涉足,从国外网站下载一些软件,就开始发放所谓的CA证书,网民在网上随便登记一个名字,就算是认证了,发证公司根本就不去核查,因而认证的安全性和可信度就大打折扣,出了问题,用户的利益谁来管?找谁要赔偿?这都是建设CA认证中心时必须回答、决不容回避的现实问题。
●新闻背景
2000年也许将会被称为“认证中心年”。今年以来,上海、天津、陕西等地的一批省市级大型信用认证中心相继开通。6月底,历经16个月的建设和试运行的中国金融认证中心(CFCA)正式投入使用,为中国电子商务的发展提供了一个权威、可信、公正的第三方信任机构。
个人信用资料和信用评估一直是我国金融界的一项空白。在发达国家,个人信贷是银行业发放贷款的重点方向,而在我国,由于缺乏个人信用资料和信用评估数据,银行业面对个人信贷这种国际通行的金融业务却放不开手脚,评估手续繁复,贷款者不胜其烦。在网络上进行交易和通讯,首先必须保证交易或通讯双方身份的合法性。随着电子商务的兴起,个人信用资料和信用评估的缺乏,成为我国发展电子商务发展的一大障碍。认证中心的成立,就是要建立起个人和商户的信用资料和信用评估数据库,为电子商务的发展扫清障碍。
为了保证互联网上电子交易的安全性(保密性、真实完整性和不可否认性),防范交易及支付过程中的欺诈行为,除了在信息传输过程中采用更强的加密算法等措施之外,还必须在网上建立一种信任及信任验证机制,使交易及支付各方能够确认其他各方的身份,这就要求参加电子商务的各方必须有一个可以被验证的身份标识,即CA证书。CA证书是各实体(消费者、商户/企业、银行等)在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方数字证书的有效性,从而解决相互间的信任问题。
每个公民有身份证,在单位有工作证,它们都是用来证明人的身份的。认证中心发放的CA证书,就像是网络社会中的“身份证”。从理论上讲,谁都可以发放,只要能够得到社会的认可。
中国金融认证中心是具有权威性、可信赖性及公正性的第三方机构,在安全方面具有突出优势。为了保证安全,金融认证中心专门建了一幢独立的小楼,配备了安全强度极高的物理建筑、门禁系统和保安岗哨。机房设计严格符合国际标准,六面墙体(四面墙和天花板、地板)都采用无缝钢板防攻击和屏蔽,安装了高级监控设备,装置了严格的门墙设备。中心还制定了完善的安全制度,整个系统被划分成不同安全等级的区域,有些可以由外界通过公共网进行访问,有些则只准特许人员访问,不同级别的工作人员口令也不一样,以确保系统的安全性。