尊敬的季主任,各位领导,各位来宾下午好!感谢信息产业部电子认证办公室的邀请,在这里我代表北京CA与相关电子认证机构做一个交流。我交流的题目是可信规范的运营,随需应变的服务。对于现在17家跨过资质门槛的CA来说,目前的最大问题是如何成功地扩展电子认证服务。这里我讲两个方面的内容,一个是可信规范的运营,以及随需应变的服务。我们可以把电子认证服务看作一个大的拼图,我们不用层次的角度,看这个拼图的话,包括资金、人员、物力、场地、系统、密码等,下一步还有客户服务、鉴证服务、投资回报、业务拓展以及风险、责任等等,这些内容一起构成了我们开展电子认证服务乐观整体框架。这个框架来自于我们对《电子签名法》以及《电子认证管理办法》的一个遵守和执行。
我们挑几个比较的点,一个是鉴证服务,这是我们电子认证服务的一个支撑。另外一个是业务可持续性,就是具有高可靠性、高可用性、能够有效应对危机的电子认证服务。还有一个投资回报就是为客户带来切实的投资回报。第四个拼图是风险与责任管理,就是承担相应的责任,降低用户的风险。
第一个是鉴证服务。在《电子签名法》和《电子认证服务管理办法》里面有明确的要求,收到电子签名认证的证书申请过后,应该对申请人的身份进行查验,并对有关的材料进行审核。同时认证服务提供者应保证电子签名的一方能够证实或电子证书所在内容的和其他相关事项。这说明了鉴证服务是电子认证服务的核心。我们提供的是一个认证,就是我们要鉴证用户的身份,同时在网上去证明他。只有可靠的鉴证服务,才能够构建起一个可信电子认证服务。作为电子认证服务的提供者,我们需要对不同的业务设定不同鉴证模式,采用相应的的流程和方法,CA中心应该严格执行这种流程或者方法。就是说设定了一套鉴证的模式过后,一定要严格执行,不能因为客户的一些要求而改变。这是维护我们法律的严肃性的一个最重要方面。目前我们可以看到的有各种各样的鉴证方式,比如说当面鉴证,像北京CA用在税务、招投标方面我们都是当面鉴证,就是面对面对的审核他们的材料。第二种模式是委托鉴证,就是说有这样公信力的一些机构,比如说银行、政府,它提供鉴证材料,你不需要对银行客户或者是政府内部的客户进行再次的审核,它的审核材料提供给我们,我们照着这个审核材料准确无误地发出去。还有其他的一些模式,比如说异地的,有些大型的网络可能是遍布全国,不太容易目前面对面对的时候,就需要采用其他的方法进行异地鉴证。还有一些虚拟身份的鉴证,包括QQ号、MSN,或者是游戏的帐号,这些也需要鉴证。
我举一个例子,我们在进行社区卫生平台搭建的时候就遇到了这样的问题,比如说医疗方面,一个社区里面应该有一些全科医生,这种医生会是所有的科室都知道,比如说他负责这一个小区50家的用户,并一直上门服务,你家里有人得病,就提交给全科医生,就像派出所指定的一个民营一样,你制定这个医生,他会上门给你做相应的服务。这个医生会背着一个笔记本到用户家去,现场开处方或做记录,与后台进行连接。这样的一个系统,很重要的一点就是解决了医患的纠纷,现场就可以开处方,怎么能保证身份的鉴别或者是责任的认定,因为医疗目前的纠纷很多。做这个改革的时候,我们就使用了电子认证解决方案,为社区的医生发这个证书,每个医生对这个电子处方、病例进行签名,这就代表了医生对自己操作需要负责任。这个时候我们的鉴证就特别重要,对医生身份的鉴证以及涉及到后面责任的界定起到了很大的作用。我们这个系统特别采用了一种鉴定模式来支撑这样的业务。
第二个拼图是业务可持续性。《电子签名法》提出了可持续性,比如说CA的信息保存期限为五年,必须要实时让电子依赖方可以验证到自己的信息。这个时候就要求我们的业务是可持续性的,包括建立一个体系,无论是政府还是企业,还维持这个长期的稳定服务。在这个周期里面,还需要提供证书的验证、查询,证书的信息也要长期地保存下去。同时在CPS里面也给用户提出了很多可持续的保证,你说CA是可以开出一个百年老店,在做的时候也是需要这样的做。可持续建设,通过我们的风险分析可以来自于很多方面,包括安全风险评估、可信人员、设施、系统的可靠性设计、系统安全、档案管理、应急预案以及CPS的审核,这些目标合起来就是要提高高可靠性,高可用性,能够有效应对危机的电子认证服务。这个可持续性是我们CA获取资质过后很重要的一个环节,就是在我们业务运营中间,一旦发了很多证书之后,面临的业务是否能可持续的提供这种服务就显得很重要。
比如说在网上报税的系统里面,我们目前有一个财税横向联网系统,这个把申报和缴款联合起来了,作为一个报税人来说,只要上去一报税,钱有可以从银行跨入国库,这样的做法对纳税人、国库都是非常有意义的项目,就是说已经涉及到钱了,需要把钱划到国税去,这个时候就需要身份认证。而且税务有一个特点,报税期是一个很短的时间,是一到十号,这个时候就需要你的服务是不间断的。我们CA在做税务系统的时候也面临了这种压力,刚开始做的时候电话会把我们的客户中心爆掉,全社会那么多用户都需要在这十天报税,这对我们有一个连续性的考验,对于我们CA来说就需要支撑这样一个可持续的要要求。
第三我讲一下风险与责任管理。《电子签名法》里面提出了电子认证服务提供者要承担赔偿的要求。就是说承担相应的责任,同时我们应该看到,别人看我们CA中心的时候是作为一个安全服务的提供者,应该是提供一个全面的安全支撑。不是说发一个证书给他,随便你来用就可以了,因为你是一个安全,是一个基础设施,所以要加强用户的安全,降低用户的风险。在这一点上,我们有一个案例。我们原来也给一些银行发这样的证书,来实现身份认证、传输、抗抵赖的要素。对于银行来说,这些完全不够,因为银行的业务很复杂,它的风险来自于你发证书的时候或者是使用证书的时候有一些问题,这些问题如果从证书的层面来看的话是不够的。我们会不仅仅局限在这个上面,是把证书放在整个网银业务流程中去分析业务流程的风险,我们曾经给人做过这样的咨询,也看到了假冒、复制、分流等风险,我们针对这个风险一个一个把解决方案列出来,在流程中和证书的使用方法中去进行改进。这个时候CA中心就成了一个全面的安全解决方案,证书是真正给用户承担了责任,带来了安全,这样的话CA中心会走的越好。
第四,投资回报。《电子签名法》采用的是当事人意思自制的原则,就是说第三方不是强制性的。我们经常用政府的一些文或者强制性手段往里面推,这是暂时的,最后还是用户的选择。也就是说,我们要做到给用户带来切实的投资回报。带来切实的回报,是客户选择认证服务和第三方认证服务的基础。
我们举一个例子,在无纸化审批中间,汽车报一个环保的审批过程,原来的过程会要求这个汽车企业去手工扫描上百页的检测报告书的内容,一个一个的进行扫描,然后递上去,环保局打印出来,这样的一个过程,汽车企业会跑很多圈。这样一个业务,如果我们提供第三方服务的话,给审批机构和送审单位都带来了投资回报。我们看到一些同行,在企业的ERP里面也做类似的工作。也就是说,它签合同、审批都会很简单的,用电子邮件送一个文件上来就可以完成。这是给客户带来了切实的回报,所以他们会采用这样的认证服务。
以上四点是我们认为电子认证服务中的几个典型。我们实际上是要依照法律开展可信规范的运营。这是我讲演的前半部分。
第二部分,我们是要做随需应变的服务。可信规范的运营是电子认证服务的基础,这个做好之后,下一步作为我们来说,应该有相应的产品,就是要有全面的证书认证产品。作为北京CA来说,我们都有全套的产品。在这些产品基础上,我们去搭建随需应变的解决方案,这种解决方案可能分两种,包括通用的,像电子邮件、文档签章、SSL与Web安全管理等。还有行业应用解决方案,包括网上银行、税务、招投标、保险、教育等,在这些行业里面,用我们各种各样的产品来搭配他们这些需求,最终提供一个解决方案。通过我们可信的运营,全面的证书产品和随需应变的解决方案,可以让我们电子认证服务有一个成熟的拓展。
我们可以用这样一个行业趋势图,来看整个行业的趋势。电子认证服务业务是有一个技术群发过程,这是美国的一个曲线,跟中国曲线类似。在99年的时候,美国CA是一个高潮,就像我们前几年全国有几百个CA一样,到《电子签名法》发布的时候是一个转型,我们目前是处在这样一个位置,未来电子认证服务会消息在随需应变中,就是说在各种各样的应用中我们会用到电子认证服务,这个时候是行业的平缓期,并进入成熟期。
我的演讲就到这里,谢谢大家!
