法律完善国标出台数字认证服务面对新挑战.pdfVIP

法律完善国标出台数字认证服务面对新挑战 中华人民共和国电子签名法》 、《电子认证服务管理办法》等法律法规的相继出 台，《证书认证机构建设和运营管理准则》也于去年上升为国标。 2006 年 5 月起信息产业部 对 19 家获得国家资质数字认证服务商开始了新的一轮检查， 并将于 10 月公布检查结果， 不 合格者将面临被除名的危险。 在检查过程中， 一些未能取得合法牌照但仍在运营的企业面临 着新考验，他们能否继续生存值得关注。 在相关标准法规出台前， 国内已建设的 CA 认证机构大大小小有数十个， 建设的安全程度高 低不一样， 运营管理水平也参差不齐， 致使服务质量有很大差异。 而公正的第三方数字认证 机构肩负着对外提供电子签名等信任服务的使命， 运营情况的好坏直接影响电子签名的法律 效力，为此客观上需要一个统一标准来规范各家数字认证机构建设和运营。 为了详细了解相 关情况， 笔者电话采访了 《证书认证机构建设和运营管理准则》 的主要起草者 天威诚信数 字认证中心，据他们介绍数字认证中心是基于 PKI/CA 技术，可以对外签发各种类型的数字 证书用于标识网络个体、 设备的真实身份， 其中电子签名证书还可以用于签署合法的合同文 件。由于该准则将作为国标出台，势必影响整个行业的发展， 因此在起草过程格外慎重。天 威诚信在起草过程中充分借鉴了自身从业 6 年来在运营和管理过程过程中所积累的丰富实 际经验，并结合其合作伙伴国际领先的数字信任服务提供商 verisign 在运营过程中的独到 之处， 最后出台的整个标准几乎涉及了 CA 认证机构建设和运营管理的各个方面。 标准内容 包括规范性引用文件、认证系统、系统安全、备份与灾难恢复、物理场地、 CA 密钥管理、 人事安全管理策略、运营管理、审计、安全测评等 14 个方面，其中对于诸如 CA 密钥管理 等方面做了详细规定。 为了让标准更好的实施， 天威诚信还考虑到了国内认证服务机构的实 际建设运营情况，在保证安全的条件下对物理场地安全等标准上都予以了调整和简化。 据了解像 《证书认证机构建设和运营管理准则》 这样的标准和规范还将陆续逐步出台， 2006 年 5 月开始的大检查只是拉开了进一步规范数字认证行业的序幕。 不久， 有的机构或许可以 获得第 20 、21 张牌照，但面对日益激励的市场竞争、技术标准门槛的提高，即使已经获得 牌照的 19 家数字认证机构也很可能面临着新一轮的重组，毕竟现有市场容量远远不能满足 各家的胃口。 附录： VeriSign 是国际领先的数字信任服务提供商，总部位于美国加利福尼亚的山景（ Mountain View ）。VeriSign 的数字信任服务通过 V eriSign 的域名登记、数字认证和网上支付三大核心 业务，在全球范围内建立起了一个可信的虚拟环境， 使任何人在任何地点都能放心地进行数 字交易和沟通。 VeriSign 的数字信任服务每天可以处理超过 50 亿次的网络连接和在线交易。