国家密码管理局魏允韬副局长在“《电子签名法》实施一周年暨电子认证服务业发展研讨会”上的讲话
各位领导、各位来宾,大家好!
今天,信息产业部认证服务管理办公室在这里举办“《电子签名法》实施一周年暨电子认证服务业发展研讨会”,国家有关管理部门的领导、业内专家和企业的代表在这里,纪念我国《电子签名法》施行一周年,研讨推进网络信任体系建设,推广电子签名和电子认证应用,促进电子认证服务业的发展,非常有意义。借此机会,我代表国家密码管理局祝会议取得圆满成功。根据会议的安排,下面结合我国电子认证服务和密码管理的有关问题与大家共同研讨和交流。
一、《电子签名法》促进我国信息化发展作用重大。去年4月1日起,我国《电子签名法》开始施行,这标志着我国信息化发展历程中一个新时代的开始。从这一天起,我国信息化告别了过去无法可依的历史,开创了我国在信息化领域探索法制化管理的良好开端,对推动我国信息化发展具有十分重大的意义,对于保障电子商务、电子政务的安全,维护网络世界的有序运转和有关各方的合法权益,促进电子商务、电子政务的健康发展具有极为重要的作用。根据《电子签名法》的授权,信息产业部出台了《电子认证服务管理办法》,国家密码管理局出台了《电子认证服务密码管理办法》和《证书认证系统密码及其相关安全技术规范》,规范了电子认证系统与电子认证机构的建设、运营和管理,使电子认证服务业的发展和管理走上了法制化轨道。《电子签名法》的施行,不但解决了电子签名的法律效力,而且解决了我国以往的电子认证无法律依据、无标准规范、无主管部门的“三无”问题。可以说,《电子签名法》施行一年来,经过主管部门、定点企业和建设运营单位的共同努力,针对电子认证的各项管理工作基本规范,电子签名应用领域不断扩大,我国的电子认证服务业得到了有序发展,促进了电子商务和电子政务的推广应用。同时,在建设国家信息安全保障体系、促进信息化建设的健康发展中发挥了重要的作用。
二、密码是保障电子认证的核心技术。随着信息技术的发展,信息网络社会化、开放化和个人化的特点,在给人们带来方便、高效和信息共享的同时,也给信息安全带来许多问题。没有网络和信息安全,就没有真正意义上的信息化。在网络信息的交互操作中,首先必须要解决有关各方实体身份的真实性,必须要解决信息的防篡改、防伪造和防抵赖,对重要的涉密信息,还必须要解决信息的保密问题,防止涉密信息被非法窃取。当前解决这些问题最直接和有效的办法,就是采用密码技术来实现。其中,建设以密码技术为基础、以身份认证、授权管理、责任认定为主要内容的网络信任体系,实现网络接入认证和网上信息的签名认证,是解决网络和信息安全的基本需求。作为国家密码管理部门,我们非常重视我国电子认证系统的建设和发展。从1998年开始,我们就从商用密码管理的角度积极介入,一方面抓相关的技术和产品的研发,另一方面加强对管理工作的研究。从实践当中我们认识到,我国的电子认证体系的建设必须走我国自己的道路,要学习和借鉴国外的先进技术,但不能全盘照搬,国外走过的弯路我们不能再走。必须坚持采用我国自己的密码技术,结合我国的发展实际,建设具有我国特点的电子认证服务体系。经过我国专家和企业的多年研究、探索和实践,确定了我国数字证书认证系统采用“双证书”,“双中心”的技术和管理体制。这种体制具有中国特色,既有利于我国电子认证的发展、应用和管理,也有利于我国的网络和信息安全。
在管理方面,我们根据《电子签名法》的授权,配合信息产业部实施了对从事第三方电子认证服务机构的审批工作。我们依据《电子认证服务密码管理办法》,对认证系统的安全性进行审核把关,对符合规范要求的系统发放《电子认证服务使用密码许可证》,为电子认证服务机构最终取得信息产业部批准的电子认证服务资质、开展电子认证活动提供前置审批。按照法定程序,目前国家密码管理局已向二十多家单位颁发了《电子认证服务使用密码许可证》。
这几年,我国商用密码技术发展很快,商用密码产品生产定点单位围绕电子认证服务研制开发了一批新产品和新技术,为我国电子认证服务系统的建设和应用提供了有力的支持。从电子认证服务系统、密钥管理系统、各类密码服务器到数字证书载体,都有一批成熟的完全自主可控的商用密码产品,可以满足电子认证服务业发展的需要,已在系统的建设中发挥了很大的作用。
三、电子认证服务业需要不断发展和提高。在各相关部门和企业的共同努力下,我国从事电子认证服务的机构已具备了一定规模。数字证书的应用在不断扩展,专业人才队伍在不断扩大,电子认证服务机构运营和管理经验在不断积累,社会经济效益在不断显现,这些都是非常可喜的。但是,也要看到我们在电子认证服务业发展方面还存在一些问题。一是数字证书的应用不够广泛,效益还不够突出;二是行业和区域认证机构的矛盾比较突出,对用户和应用支持存在不利影响;三是数字证书的跨认证服务机构的相互认证业务尚未开展,限制了电子认证的业务扩展;四是同一地区电子认证系统的密钥管理中心尚未实现集中统一管理,需要进一步理顺等等。
多年来,我们一些单位对电子认证的认识也存在一些误区。有的认为搞电子认证可以赚大钱,有的把电子认证当成政绩工程、形象工程和面子工程来搞,看不清实际应用需求,没有意识到应该承担的法律责任和义务。
数字证书是网上的“身份证”,应该是与用户的合法身份绑定,是在网络上通用的合法证件,不应该受地域的限制,也不应该受行业业务的限制。随着我国信息化和电子商务、电子政务的发展,实现数字证书跨认证服务机构的相互认证是大势所趋,也是发展的必然结果。由于我国在证书认证系统建设中广泛吸取了国外的经验和教训,发挥了我们的后发优势,贯彻了统一体系和标准化规范化的要求,为实现跨认证服务机构的交叉认证提供了有利的技术条件。为此,我们根据国家网络信任体系建设的需求和技术体制,已经组织建设了国家网络信任源根证书认证系统,用来解决不同认证机构签发的证书相互认证问题。现在已有多家认证机构完成了入根测试,并提供了接入认证服务。我们相信,这种模式将会推进国家网络信任体系建设的有序发展。
现在,有的地区依法设立的可信第三方电子认证服务机构已有两个或两个以上。由于历史等各方面的原因,密钥管理中心也有两个或两个以上,而且大多数是分散的、一对一的分别为不同的认证系统提供密钥服务,尚未实现在同一地区密钥管理中心的集中统一管理。密钥管理中心的集中统一管理,是国家密码管理的既定政策,既有利于国家安全,也有利于对用户权益的保护,减少重复建设。下一步还要加强整合,加强管理。凡是同一个地区有多个电子认证服务系统的,都要逐步过渡到由本地区的同一个密钥管理中心提供统一的密钥服务。
应该说,我国电子认证业的发展还处于起步阶段,发展中存在这样那样的问题是难免的。但这些问题都需要我们认真地加以研究和对待,需要我们加强研究,统一认识,进一步加强规范化管理,积极开拓数字证书的应用范围,提升电子认证服务的能力和水平,提高服务质量和效率。国家密码管理局将认真履行职责,依法对电子认证服务密码系统实行有效管理。
四、电子认证服务业发展前景广阔。前不久,国务院批准下发了关于网络信任体系建设的若干意见,明确提出要加强电子认证整体规划和发展战略研究,完善有关管理办法。同时,明确国家密码管理局要会同有关部门做好电子政务中电子认证工作的规划和管理。目前,根据国务院的授权,我们将会同有关部门,结合电子政务的特点,按照科学规划、合理布局、注重应用、协调发展的原则,研究提出电子政务中电子认证体系建设的规划和相关管理办法。进一步规范电子政务中电子认证系统的建设、运营和管理,促进我国网络信任体系的建设。
《电子签名法》的实施,为我国电子认证服务业的发展创造了良好的法律环境。我们的企业按法定程序获得了开展电子认证服务的资质,同时也要给自己一个准确的定位,明确自己的责任和义务,要为我国电子认证的发展做出贡献。我希望我们的企业,一要提高法律意识,依法运营,自觉接受政府主管部门的管理和指导;二要认清法律责任,加强内部管理,严格规章制度,做到运营规范,保持良好的公正形象;三要维护好电子认证系统,保证系统运行稳定,能够提供不间断的正常服务;四要积极拓展业务,大力推动数字证书的应用,服务主动周到,信誉良好;五要做好保密工作,切实维护好用户的利益和权益。总之,希望我们从事可信第三方电子认证服务的企业,首先把守法、服务、公平、公正放在首位,把经济效益放在第二位。通过做好这些工作,得到更多用户的信赖,从而提高企业的经济效益。
我们相信,在党和政府的高度重视下,在社会各界的关心支持下,通过我们大家的共同努力,我国电子认证服务业一定会在现有的基础上,取得新的更大的发展,为促进我国电子商务、电子政务的发展,建设国家的信息安全保障体系,实施国家信息化发展战略,全面实现建设小康社会的宏伟目标做出新的贡献。
谢谢大家!