電子和數(shù)字證書政府缺一不可
“電子政府”實質上是將傳統(tǒng)模型的實體政府轉變?yōu)檫m應以知識經濟為基礎,滿足高效、便利、低成本要求的、不受時空限制的虛擬政府。但是,以網(wǎng)絡為基礎的電 子政府是一個非常開放的系統(tǒng),其內部信息具有廣泛的分布性和極強的流動性,盡管它非常優(yōu)越,但由于網(wǎng)絡先天的安全問題給非法使用和破壞提供了很多可能。因 此,保證電子政府的安全運行是電子政府構建與運作過程中的首要問題和核心問題。
保證電子政府安全運行的極端重要性
互聯(lián)網(wǎng)不僅互聯(lián)互通,還具有互動性、匿名性和隱秘性的特點。再加上互聯(lián)網(wǎng)技術還遠沒有發(fā)展到可以完全解決自身安全問題的程度,這使得一些不法分子更容易進 行網(wǎng)絡犯罪活動,如盜取用戶密碼及網(wǎng)絡財產、假冒用戶身份進行破壞、竊取或篡改用戶機密信息進行詐騙等。
盡管近年來我國已頒布實施了眾多有關互聯(lián)網(wǎng)安全的法律法規(guī),國內外的軟件公司也不斷推出大量網(wǎng)絡安全性保護軟件和系統(tǒng)解決方案,但是網(wǎng)上非法入侵者(也就 是我們常說的“網(wǎng)絡黑客”)仍然經常對政府部門的網(wǎng)站、網(wǎng)上業(yè)務系統(tǒng)進行大肆攻擊和破壞,不但嚴重地影響了政府網(wǎng)站的正常運行,破壞政府網(wǎng)站的安全體系結 構,降低政府的服務效能,同時也對企事業(yè)單位及個人的信息安全造成了巨大的威脅,嚴重者甚至導致用戶的重大經濟損失,其危害性不但已經成為全民關注的一個 社會問題,也成為事關國家安全和社會穩(wěn)定的法律問題,因此必須確保電子政府運行過程中的信息安全。
什么是電子簽名?它是如何實現(xiàn)的?
信息安全的核心問題就是網(wǎng)絡虛擬身份如何真實代表現(xiàn)實生活中的實體身份,在網(wǎng)絡上行使具有法律效力的網(wǎng)絡行為,從而保障網(wǎng)絡行為具有與現(xiàn)實生活中同樣的安 全性和法律效力,這里面就涉及到如何實現(xiàn)電子簽名的問題。
傳統(tǒng)的簽名必須依附于有形的介質(如印刷用的紙),而在網(wǎng)上虛擬環(huán)境中,文件是以數(shù)據(jù)電文的形式而存在的,沒有有形的介質,這就需要通過一種技術手段來識 別當事人的身份并確保文件傳輸?shù)陌踩?,以達到與傳統(tǒng)手寫簽名相同的功能,這種技術手段這就是電子簽名。2005年4月1日頒布實施的《中華人民共和國電子 簽名法》,從法律上對網(wǎng)絡信息安全提出了新的更高的要求,這為以電子簽名為基礎的網(wǎng)絡信息安全保護提供了堅實的法律保障。目前,國際上通用的基于 PKI/CA體系的數(shù)字認證就是符合《電子簽名法》要求的,能夠基本全面解決上述安全問題的方案。
CA認證到底是什么?
將 PKI/CA 在網(wǎng)絡空間的地位與電力基礎設施在工業(yè)生活中的地位進行類比非常確切。電力系統(tǒng)通過延伸到用戶的標準插座為用戶提供能源。 PKI/CA 通過各種應用系統(tǒng)(如網(wǎng)上報稅、網(wǎng)上工商年檢、網(wǎng)上社保、網(wǎng)上政府采購等)延伸到用戶電腦的接口,為各種應用提供安全的服務,如身份識別、數(shù)字簽名、信息 加密等。如果離開使用 PKI/CA 的應用系統(tǒng), PKI/CA 本身沒有任何實際用處,正如有了電能卻沒有電視、冰箱這些電器一樣,電能就失去了意義??傊?,它是解決網(wǎng)絡安全問題的、普遍適用的一種基礎設施,它能保障 我們在各種網(wǎng)絡應用系統(tǒng)中的安全,即實現(xiàn)信息的保密性、完整性、抗抵賴、訪問控制授權以及身份鑒證。
在PKI/CA體系里面,數(shù)字證書是網(wǎng)絡應用系統(tǒng)用戶與PKI/CA產生關聯(lián)的最為直接的體現(xiàn)。繼續(xù)以上面的類比來說明。電力系統(tǒng)將電能輸送到千家萬戶 時,在每一家都會加裝一個電表,這個電表與用戶的身份一一對應,控制和記錄著用戶使用電能的基本信息。電力公司就是發(fā)放和檢測電表的機構。數(shù)字證書就是用 戶登錄和使用網(wǎng)上應用系統(tǒng)的一把鑰匙,這把鑰匙代表著用戶的身份和權益,用來簽署電子文件。CA認證中心就是為用戶頒發(fā)數(shù)字證書的機構。用更為貼切的比喻 來解釋的話,數(shù)字證書就像是用戶的網(wǎng)絡“身份證”,在現(xiàn)實生活中我們要用身份證才能住酒店、買機票,在網(wǎng)絡上我們要通過數(shù)字證書來使用相關的應用系統(tǒng)。身 份證是由公安機關頒發(fā)的,而CA認證中心類似真實世界中的公安局,公安局之所以能為我們發(fā)放身份證,是因為其權威性和公正性,CA認證中心在網(wǎng)絡中也扮演 著類似的角色。
CA認證中心可信嗎?
這時,人們不禁要問:公安機關大家都知道很權威,但數(shù)字證書及其CA認證中心的權威性從何而來?《中華人民共和國電子簽名法》賦予了電子簽名與紙質手寫簽 名或蓋章具有同等法律效力,并明確了電子認證服務市場的準入制度?!峨娮雍灻ā返氖┬幸馕吨W(wǎng)上通行有了“身份證”,對“電子簽名”、“數(shù)據(jù)電文”等電 子文檔是否具有法律效力進行了明確的規(guī)定,同時對電子認證機構的法律地位和法律責任有了明確的界定,保證以后發(fā)生糾紛時的責任認定,并且使得電子簽名的安 全性、可靠性有了法律保障,有效的保護了使用者的權益。
CA認證中心的法律地位和政府授權只是賦予了它最為基本的權威性來源,在實際的運營過程中為了保證CA認證中心簽發(fā)的每一張數(shù)字證書都是真實可靠的,都是 具有法律效力的,CA認證中心還須建立一整套非常嚴密的,甚至近乎苛刻的安全運營保障體系,并為每一張數(shù)字證書的真實性承擔法律和賠償責任。在這樣的條件 之下,CA認證中心的權威性和可信度是毋庸置疑的。
可能還會有人疑惑:CA認證固然重要且可信,但我現(xiàn)在并沒有感受到對它的迫切需求。這是由于在安全問題出現(xiàn)以前,廣大的用戶最優(yōu)先考慮、最能直接體會到的 還是應用系統(tǒng)帶給他們的方便性,但這并不能意味著安全問題以后絕對不會出現(xiàn)。這就猶如一個身體健康的人現(xiàn)在并不能感知到生病的狀態(tài)或危害,但他為了防止生 病會采取很多防范措施,比如加強鍛煉、注射疫苗等等。
何為統(tǒng)一數(shù)字認證體系?
我們國家的CA認證行業(yè)具有非常明顯的特點,那就是地域性特別強,尤其是在電子政務領域,基本上每個省、自治區(qū)或直轄市都有自己的CA認證中心,負責為本 地的電子政務系統(tǒng)提供CA認證服務。以四川為例,在四川省政府的授權下,相關的政府部門于2007年底組建了符合國家法律法規(guī)要求且為省內唯一權威的CA 認證機構——四川省數(shù)字證書認證管理中心(四川CA),為當?shù)仉娮诱铡㈦娮由虅盏葢孟到y(tǒng)提供CA認證服務。在政府的信息化推進過程當中,四川省各級政 府均采用四川CA的數(shù)字證書為職能部門的網(wǎng)上業(yè)務系統(tǒng)提供安全保障。
值得注意的是,四川在組建CA認證中心之初,就具有前瞻性地提出了建立全省統(tǒng)一數(shù)字認證體系的規(guī)劃設計,即在全省電子政務、電子商務等領域當中建立統(tǒng)一規(guī) 劃、實施和管理的數(shù)字認證體系,以實現(xiàn)數(shù)字證書的“一證通用”,這樣做的好處在于能夠避免重復建設、資源浪費的現(xiàn)象,節(jié)省證書用戶的使用成本,提高數(shù)字證 書的使用效率。
四川省的數(shù)字認證體系建設雖然起步較晚,但由于前期規(guī)劃得當,所以基礎較好,發(fā)展迅速。全省統(tǒng)一認證體系實施三年來,已取得了顯著的成效。目前,四川CA 提供的數(shù)字證書已廣泛應用在了稅務、社保、工商、統(tǒng)計、政府采購等十幾個業(yè)務部門的網(wǎng)上辦事系統(tǒng)當中,而且可以實現(xiàn)“一證通用”。廣大的企業(yè)將是這個統(tǒng)一 認證體系的最直接受益者,因為今后將全部實現(xiàn)網(wǎng)上辦稅、網(wǎng)上社保、網(wǎng)上工商、網(wǎng)上招投標等,最終實現(xiàn)無紙化辦公,建立一種更加便捷安全、低碳環(huán)保的辦公模 式。
返回深圳電子展首頁http://m.1151434.com/dzz