信息通信技術和網際網路技術的迅猛發展,為傳統工業化模型下的大政府治理帶來了新的機遇和挑戰。以前那種集中管理、層層審批、攜帶大量紙質材料來回奔波的傳統模式已無法適應知識經濟背景下的政府功能需求,"電子政府"也就應運而生。
"電子政府"實質上是將傳統模型的實體政府轉變為適應以知識經濟為基礎,滿足高效、便利、低成本要求的、不受時空限制的虛擬政府。但是,以網絡為基礎的電子政府是一個非常開放的系統,其內部信息具有廣泛的分布性和極強的流動性,儘管它非常優越,但由於網絡先天的安全問題給非法使用和破壞提供了很多可能。因此,保證電子政府的安全運行是電子政府構建與運作過程中的首要問題和核心問題。
保證電子政府安全運行的極端重要性
網際網路不僅互聯互通,還具有互動性、匿名性和隱秘性的特點。再加上網際網路技術還遠沒有發展到可以完全解決自身安全問題的程度,這使得一些不法分子更容易進行網絡犯罪活動,如盜取用戶密碼及網絡財產、假冒用戶身份進行破壞、竊取或篡改用戶機密信息進行詐騙等。
儘管近年來我國已頒布實施了眾多有關網際網路安全的法律法規,國內外的軟體公司也不斷推出大量網絡安全性保護軟體和系統解決方案,但是網上非法入侵者(也就是我們常說的"網絡黑客")仍然經常對政府部門的網站、網上業務系統進行大肆攻擊和破壞,不但嚴重地影響了政府網站的正常運行,破壞政府網站的安全體系結構,降低政府的服務效能,同時也對企事業單位及個人的信息安全造成了巨大的威脅,嚴重者甚至導致用戶的重大經濟損失,其危害性不但已經成為全民關注的一個社會問題,也成為事關國家安全和社會穩定的法律問題,因此必須確保電子政府運行過程中的信息安全。
什麼是電子簽名?它是如何實現的?
信息安全的核心問題就是網絡虛擬身份如何真實代表現實生活中的實體身份,在網絡上行使具有法律效力的網絡行為,從而保障網絡行為具有與現實生活中同樣的安全性和法律效力,這裡面就涉及到如何實現電子簽名的問題。
傳統的簽名必須依附於有形的介質(如印刷用的紙),而在網上虛擬環境中,文件是以數據電文的形式而存在的,沒有有形的介質,這就需要通過一種技術手段來識別當事人的身份並確保文件傳輸的安全,以達到與傳統手寫簽名相同的功能,這種技術手段這就是電子簽名。2005年4月1日頒布實施的《中華人民共和國電子簽名法》,從法律上對網絡信息安全提出了新的更高的要求,這為以電子簽名為基礎的網絡信息安全保護提供了堅實的法律保障。目前,國際上通用的基於PKI/CA體系的數字認證就是符合《電子簽名法》要求的,能夠基本全面解決上述安全問題的方案。
CA認證到底是什麼?
將 PKI/CA 在網絡空間的地位與電力基礎設施在工業生活中的地位進行類比非常確切。電力系統通過延伸到用戶的標準插座為用戶提供能源。 PKI/CA 通過各種應用系統(如網上報稅、網上工商年檢、網上社保、網上政府採購等)延伸到用戶電腦的接口,為各種應用提供安全的服務,如身份識別、數字簽名、信息加密等。如果離開使用 PKI/CA 的應用系統, PKI/CA 本身沒有任何實際用處,正如有了電能卻沒有電視、冰箱這些電器一樣,電能就失去了意義。總之,它是解決網絡安全問題的、普遍適用的一種基礎設施,它能保障我們在各種網絡應用系統中的安全,即實現信息的保密性、完整性、抗抵賴、訪問控制授權以及身份鑑證。
在PKI/CA體系裡面,數字證書是網絡應用系統用戶與PKI/CA產生關聯的最為直接的體現。繼續以上面的類比來說明。電力系統將電能輸送到千家萬戶時,在每一家都會加裝一個電錶,這個電錶與用戶的身份一一對應,控制和記錄著用戶使用電能的基本信息。電力公司就是發放和檢測電錶的機構。數字證書就是用戶登錄和使用網上應用系統的一把鑰匙,這把鑰匙代表著用戶的身份和權益,用來簽署電子文件。CA認證中心就是為用戶頒發數字證書的機構。用更為貼切的比喻來解釋的話,數字證書就像是用戶的網絡"身份證",在現實生活中我們要用身份證才能住酒店、買機票,在網絡上我們要通過數字證書來使用相關的應用系統。身份證是由公安機關頒發的,而CA認證中心類似真實世界中的公安局,公安局之所以能為我們發放身份證,是因為其權威性和公正性,CA認證中心在網絡中也扮演著類似的角色。
CA認證中心可信嗎?
這時,人們不禁要問:公安機關大家都知道很權威,但數字證書及其CA認證中心的權威性從何而來?《中華人民共和國電子簽名法》賦予了電子簽名與紙質手寫簽名或蓋章具有同等法律效力,並明確了電子認證服務市場的准入制度。《電子簽名法》的施行意味著網上通行有了"身份證",對"電子簽名"、"數據電文"等電子文檔是否具有法律效力進行了明確的規定,同時對電子認證機構的法律地位和法律責任有了明確的界定,保證以後發生糾紛時的責任認定,並且使得電子簽名的安全性、可靠性有了法律保障,有效的保護了使用者的權益。
CA認證中心的法律地位和政府授權只是賦予了它最為基本的權威性來源,在實際的運營過程中為了保證CA認證中心簽發的每一張數字證書都是真實可靠的,都是具有法律效力的,CA認證中心還須建立一整套非常嚴密的,甚至近乎苛刻的安全運營保障體系,並為每一張數字證書的真實性承擔法律和賠償責任。在這樣的條件之下,CA認證中心的權威性和可信度是毋庸置疑的。
可能還會有人疑惑:CA認證固然重要且可信,但我現在並沒有感受到對它的迫切需求。這是由於在安全問題出現以前,廣大的用戶最優先考慮、最能直接體會到的還是應用系統帶給他們的方便性,但這並不能意味著安全問題以後絕對不會出現。這就猶如一個身體健康的人現在並不能感知到生病的狀態或危害,但他為了防止生病會採取很多防範措施,比如加強鍛鍊、注射疫苗等等。
何為統一數字認證體系?
我們國家的CA認證行業具有非常明顯的特點,那就是地域性特別強,尤其是在電子政務領域,基本上每個省、自治區或直轄市都有自己的CA認證中心,負責為本地的電子政務系統提供CA認證服務。以四川為例,在四川省政府的授權下,相關的政府部門於2007年底組建了符合國家法律法規要求且為省內唯一權威的CA認證機構--四川省數字證書認證管理中心(四川CA),為當地電子政務、電子商務等應用系統提供CA認證服務。在政府的信息化推進過程當中,四川省各級政府均採用四川CA的數字證書為職能部門的網上業務系統提供安全保障。
值得注意的是,四川在組建CA認證中心之初,就具有前瞻性地提出了建立全省統一數字認證體系的規劃設計,即在全省電子政務、電子商務等領域當中建立統一規劃、實施和管理的數字認證體系,以實現數字證書的"一證通用",這樣做的好處在於能夠避免重複建設、資源浪費的現象,節省證書用戶的使用成本,提高數字證書的使用效率。
四川省的數字認證體系建設雖然起步較晚,但由於前期規劃得當,所以基礎較好,發展迅速。全省統一認證體系實施三年來,已取得了顯著的成效。目前,四川CA提供的數字證書已廣泛應用在了稅務、社保、工商、統計、政府採購等十幾個業務部門的網上辦事系統當中,而且可以實現"一證通用"。廣大的企業將是這個統一認證體系的最直接受益者,因為今後將全部實現網上辦稅、網上社保、網上工商、網上招投標等,最終實現無紙化辦公,建立一種更加便捷安全、低碳環保的辦公模式。
更多數字證書行業研究分析,詳見中國報告大廳《數字證書行業報告匯總》。這裡匯聚海量專業資料,深度剖析各行業發展態勢與趨勢,為您的決策提供堅實依據。
更多詳細的行業數據盡在【資料庫】,涵蓋了宏觀數據、產量數據、進出口數據、價格數據及上市公司財務數據等各類型數據內容。
京公網安備 11010502031895號
