電子印章風險及防范措施探析

趙改俠

謝宗曉 博士

“十二五”國家重點圖書出版規劃項目《信息安全管理體系叢書》執行主編。自2003 年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發表論文160 多篇，出版專著20 多本。

信息安全管理系列之六十六

電子印章已普遍應用于各電子文件中，但電子版本容易被修改，因此需要通過技術手段保證電子印章的可靠性。下文中，從電子印章的概念講起，梳理了與電子印章相關的概念，分析了可能存在的風險，并重點針對電子印章申請審核方式、電子印章密鑰存儲方式、電子印章使用授權等給出風險防控措施。

謝宗曉（特約編輯）

摘要：主要介紹電子印章的概念，分析了電子印章運用過程中的風險，并對電子印章申請環節、存儲環節和使用環節面臨的風險給出風險控制措施。

關鍵詞：數字證書 數字簽名 電子簽名 電子印章 電子簽章 用戶參與驗證 風險

Abstract： This paper mainly introduces the concept of electronic seal， ananlyzes the risk in the process of using electronic seal， and gives the risk control measures for the application， storage and use of electronic seal.

Key words：? digital certificate， digital signature， electronic seal， electronic stamp， electronic seal signature， user interactive audit， risk

1 引言

近年來，盡管我國各行各業在互聯網應用方面取得了顯著成績，尤其是互聯網金融、消費金融等實施網上在線業務，對電子印章應用的需求更加凸顯;同時，國家從政策層面上對電子印章也多次給予支持和肯定，如國務院辦公廳《關于深化商事制度改革進一步為企業松綁減負激發企業活力的通知》（國辦發〔2020〕29號）提出，在加強監管、保障安全前提下，大力推進電子營業執照、電子發票、電子印章在更廣領域運用。然而在運用電子印章的過程中，很多人對電子印章認識存在一些誤解，電子印章本身也存在一些風險因素，對此筆者對電子印章的概念進行了梳理，從技術層面、管理層面分析了電子印章可能存在的風險，提出風險防范措施建議。

2 電子印章定義剖析

2.1 電子印章是一種信物

印章在我國有著悠久的歷史，其作為一種信物，起印證、認可的作用，從玉璽、藝術品章等，發展到現在的企業公章、業務章、法人章、人名章等各類印章，廣泛應用于各種業務往來中。隨著互聯網應用的發展，越來越多的業務及場景從線下搬到線上，傳統的紙質文書合約載體逐步向電子形式過度，為了保持人們對印章的感官及習慣，出現一種電子印章的概念。

2.2 權威資料對電子印章的定義

我們搜索各類資料發現，截至目前業界沒有一個統一的權威的電子印章定義。

國家標準GB/T 38540—2020《信息安全技術 安全電子簽章密碼技術規范》對電子印章定義：一種由電子印章制章者數字簽名的安全數據。注：包括電子印章所有者信息和圖形化內容的數據，用于安全簽署電子文件。電子簽章定義：使用電子印章簽署電子文件的過程。注：電子簽章可實現與紙質文件蓋章操作相似的可視效果，可保障數據來源的真實性、數據完整性以及簽名人行為的不可否認性。在第5章的概述中所述：通過數字簽名，將印章圖像數據與簽章者等印章屬性進行安全綁定，形成安全電子印章。

北京市公安局《關于電子印章管理工作意見》的通知中指出：電子印章是指電子數據表現形式的公章和具有法律效力的個人名章。電子印章的圖形化特征與實物印章的印模完全一致。在加強制作管理中提出電子印章由經公安機關許可的公章制作單位制作，其規格、式樣、存儲介質要符合國家有關規定，電子印章應當存儲于符合國家密碼管理要求的專用設備中，嚴格保管。

《上海市電子印章管理暫行辦法》中指出：電子印章，是可靠電子簽名的可視化表現形式，以密碼技術為核心，將數字證書、簽名密鑰與實物印章圖像有效綁定，用于實現各類電子文檔完整性、真實性和不可抵賴性的圖形化電子簽名制作數據。電子印章綁定的數字證書，應由依法設立的電子認證服務機構提供。

以上三個相對權威的文件中，出現了數字證書、數字簽名、電子簽名、電子印章、電子簽章，由于簽名和印章都具有信物的屬性，而數字證書、數字簽名是實現“電子信物”的一種技術手段，因此我們也經常看到各種文章將這幾個概念關聯在一起或者混淆在一起，對于普通大眾很難理解之間的區別。

2.3 數字證書與數字簽名技術屬性

數字證書、數字簽名是技術術語，其適用面更廣泛，可以利用數字證書、數字簽名技術，實現業務場景信息的安全防護，其重點在于技術防護。例如，使用openssl工具產生一個自簽名數字證書，用這個數字證書對私人文檔進行加密保存，或者對電子文檔做數字簽名，防止電子文檔被攻擊后篡改。再比如比特幣、區塊鏈技術也用到了數字簽名技術，使用擁有公私密鑰對做數字簽名及驗證，證明簽名者擁有私鑰即可。這類應用場景，法律相對關系通常比較弱。

2.4 電子簽名可靠屬性

在《中華人民共和國電子簽名法》（以下簡稱《電子簽名法》）第二條中規定：本法所稱電子簽名，是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據。要如何落實這句話，《電子簽名法》第二章數據電文，提出了很具體的法律要求;同時在第三章電子簽名與認證章節中，明確提出了可靠電子簽名必須同時具備的四個條件，以及對認證機構的相關要求。《電子簽名法》未明確指定實現電子簽名的具體技術，但基于PKI體系可以實現鑒別、加密、完整性和不可否認性等功能，在審批電子認證服務機構時，審核的是公鑰管理體制的基礎設施。因此，基于PKI體系所執行的電子簽名天然具有可靠屬性。

2.5 電子印章與電子簽章

分析《上海市電子印章管理暫行辦法》中對電子印章的定義，更符合《電子簽名法》中可靠電子簽名的相關要素，是一種印章圖形與可靠電子簽名的結合。而《北京市電子印章管理辦法》中的電子印章定義則相對簡單，沒有對電子印章本身的防篡改要求。電子簽章則需要基于可靠電子印章，體現簽署動作的真實性、意愿性，重點在簽署動作上。北京市的電子印章定義對普通大眾來說容易理解。比如一份電子文檔通知上的紅色印章;再比如某些大型金融機構通過內部印控系統在電子文本上加蓋與實務印章圖形一致的電子印章。這種電子印章通常出現在通知、公告或者集團內部、組織內部之間的業務場景中，接收電子印章的人無需質疑印章及電文內容的真假。但這種所謂的電子印章，由于從技術上無法保證電子印章真實性、完整性，存在很大的風險，可能導致假借官方名義發布通知、謠言，或者假借公司名義簽署虛假的電子合同、融資計劃等“蘿卜章”事件。

通過以上梳理，筆者認為電子印章實際上是可靠電子簽名的圖像展示。

3 電子印章應用風險分析

信息安全管理體系通常將風險劃分為兩大類，一類統稱為技術風險，即由于信息技術所導致的安全風險，例如，操作系統被植入木馬、數據在傳輸或存儲時被篡改;一類統稱為業務風險，即業務運營和管理過程中由于業務流程設計或者管理不善導致的風險，例如，審批機制不嚴格、驗證機制存在漏洞、人為干預等，下面將從技術風險和業務風險兩方面來深度剖析電子印章在應用過程中可能存在的風險。

3.1 技術風險

（1）操作系統風險

電子印章的制作和驗證一般通過電子印章系統實現，操作系統是電子印章系統運行的基礎環境，無論是PC環境還是移動設備，其操作系統的可靠性、安全性至關重要，對于操作系統的病毒、木馬攻擊以及竊取操作系統ROOT、越獄等行為都可能導致電子印章系統安全性降低。隨著電子印章應用影響力的擴大，尤其是金融、電子商務應用領域，很可能一些不法分子專門針對操作系統的漏洞，攻擊電子印章系統，造成重大風險。

（2）信息傳輸風險

網絡安全（Network Security ）是現如今“互聯網+”類業務的核心安全之一，必須予以保障，黑客或不法分子可利用中間人發起攻擊，在電子印章數據傳輸過程中篡改、替換，這將導致所見非所簽或所簽非所見，對業務安全運營影響極大。

（3）電子印章數據存儲風險

電子印章數據指的是數字證書、電子印章圖片數據以及電子簽章數據，由于存儲不善，可能會導致數字證書被復制、電子簽章數據被篡改、替換、偽造等，尤其是電子簽章數據通?；旌显赑DF、WORD等版式文件中，從技術上講，可以通過修改和再編輯版式文件達到篡改電子簽章的目的，如果沒有可靠的數據存儲和校驗機制，電子印章很可能在存儲階段被攻擊。

（4）電子印章系統風險

電子印章系統本身的安全性也至關重要，如果印章系統沒有完備的安全防護措施，被木馬替換，威脅也比較大;再比如電子印章系統所使用的密碼算法本身存在技術漏洞，也可能造成攻擊;同時，業務系統與電子印章系統的接口安全性、協議安全性、中間件和數據庫等的安全性也至關重要。應用系統被攻擊所導致的風險是多方面的，輕則導致系統癱瘓，重則直接透過系統竊取和篡改業務數據，這將影響到電子印章應用的所有環節。

3.2 業務風險

（1）業務流程風險

電子印章的應用流程包括電子印章申請、制作、簽章、驗章等環節。在印章申請環節，對印章申請人的身份真實性、申請信息準確性及意愿性審核至關重要。隨著互聯網商務發展，越來越多個人信息、企業信息被暴露在網上，甚至一些不法分子專門盜賣個人信息進行詐騙，而電子印章如果通過在線申請，申請人的意愿性很難保證，存在因申請環節身份審核不嚴格出現電子印章被冒領風險。

電子印章制作環節，可能存在未經過審核的制作操作，或者制作的電子印章與申請的電子印章不一致，造成風險;同時制章后，可能存在下發錯誤，比如將A的電子印章下發給了B，造成風險。

在簽章環節，如業務系統不驗證電子印章的有效性，可能導致使用電子印章業務的無效風險，比如某金融機構在使用電子簽章時，未對電子印章的有效性進行驗證，使用一個過期或者已經吊銷了的電子印章簽署電子合同，導致合同在出現糾紛時，不能作為一個有效的合約。如果電子印章存放在印章系統里，簽章時由系統自動調用，如未經過電子印章所有人授權或者驗證印章所有人身份，可能導致電子印章被盜用。在接收到電子印章后，應該對電子印章的有效性、完整性及簽章人身份是否匹配進行驗證，避免接收無效的電子合約。

根據最新的法律法規要求，各種在線業務流程，應做到明顯的提示、告知義務，同時業務流程上應做到邏輯正確，否則再強的技術保障都可能導致所簽署的電子文件法律上無效。比如一個業務系統先讓用戶申請到了電子印章，然后才向用戶提示、告知各種風險及獲取用戶授權，在出現法律糾紛時，法官可能會判決電子合同無效。電子印章具有時間敏感性，電子印章系統是否采用時間戳至關重要，若使用電子印章的電子文件出現無法解釋的時間誤差，可能導致所簽署的電子印章法律上失效。

（2）電子印章管理風險

電子印章的管理包含了電子印章申請管理、存放電子印章的密鑰載體的管理、電子印章用印管理、電子簽章數據存儲管理、印章系統權限、人員管理等。申請電子印章、用印管理應與實物印章管理等同;密鑰載體應該選用通過密碼檢測認證的產品，且定期關注密鑰有效期，及時進行更新;對電子簽章數據存儲、印章系統權限管理應與其他信息系統的管理一致，定期對數據進行備份，對印章系統進行漏洞掃描、操作審計等;保管電子印章的人員應該進行背景調查，定期進行安全教育培訓。

4 風險防范措施建議

針對電子印章系統所處的物理環境、操作系統環境以及人員的安全管理及防范措施，可采取通用的風險防范措施，比如病毒掃描、定期漏洞掃描、補丁更新、對應用系統簽名驗證、多級授權管理、定期人員安全培訓等，必要時可以輔助購買保險化解風險損失等措施。下面從電子印章申請審核、印章存儲、用印控制等環節給出風險防控措施建議。

4.1 設計用戶交互參與驗證實現審核目標

由于個人及企業的隱私信息可能已在網上多途徑泄露，單純通過個人及企業的官方證件信息、金融信息、公民身份庫、電信記錄等進行信息比對，已無法實現申請者的真實性、意愿性審核目標，因此可在通過以上幾要素信息比對準確性的基礎上，增加申請人參與驗證措施，以實現真實性、意愿性審核目標。

（1）交叉短信驗證碼

基于我國已全面實施了手機實名制，筆者認為向電子印章系統回填短信驗證碼的人即為印章申請人。針對企業授權的驗證，可以由電子印章系統通過權威的工商信息庫獲得企業法人信息，并發送短信驗證碼，提示企業法人向被授權人轉發短信驗證碼，由被授權人向系統回填驗證碼進行驗證。

（2）打款驗證

基于金融賬號的隱秘性和重要性考慮，筆者認為只有申請人自己能控制自己的銀行賬戶，因此可采取通過電子印章系統向申請人銀行卡賬號打款的方式，來確認申請人身份的真實性、意愿性。

（3）人臉識別

通過輔助活體檢測并與公民身份庫比對身份照片等方式實現真實性、意愿性審核。

（4）已有的智能密碼鑰匙

基于第三方認證中心發放的智能密碼鑰匙，已實施了真實性審核的目的，且智能密碼鑰匙由申請人控制的因素，可以通過驗證申請人控制的智能密碼鑰匙有效性實現真實性、意愿性審核目標。

以上各種交互參與方案是基于僅限申請人所擁有、所知曉、所控制的因素實現真實性、意愿性審核目標。同樣的也可以用郵箱、指紋、手機特征碼等方式來驗證，可根據電子印章業務影響，兼顧便利性選擇合適的方案。

4.2 電子印章存儲安全措施

當前最安全的電子印章存儲介質是通過密碼檢測認證的智能密碼鑰匙，具有控制便利、數據高度私有化，即插即用，與應用系統隔離的特點。但隨著移動應用的發展，智能密碼鑰匙也因為其與應用系統的分離特點造成了便利性差的特征，逐漸被集成于移動終端上的安全芯片所代替，同樣這種一體的方案也導致了安全性的降低，比如移動終端容易丟失而引發重大風險。

為了業務流暢性和易用性，大多數應用將用戶的電子印章保存在印章系統中，而電子印章系統應使用通過密碼檢測認證的硬件設備產生自身數字證書密鑰，并對產生的用戶電子印章、數字證書密鑰進行加密保存在數據庫中。當前業界還流行一種密鑰分離的存儲方案，這種方案是基于SM2密碼算法的特點實現的，由移動終端、服務端各存儲一半密鑰，提高電子印章所附密鑰的安全性。同時，筆者提出數字證書用途分離式方案，申請者可以申請一個專門用于身份審核的數字證書，放在智能密碼鑰匙中;同時申請電子印章數字證書，將電子印章圖片及其綁定的數字證書加密存儲在電子印章系統中，需要使用該電子印章時，插入專門用于審核身份的智能密碼鑰匙進行身份驗證，實現對存放在系統中的電子印章的調用授權、真實性、意愿性審核目標。

4.3 用印控制

用印控制可以采取審核環節的方案獲得用戶用印明確授權，但更重要的，在生成電子簽章數據時應執行完整的校驗流程。首先驗證電子簽章數據的完整性，然后提取簽章證書，驗證簽章證書的時間有效性、頒發機構、證書吊銷情況，并對申請用印人與電子印章信息進行比對，保證兩者信息一致。

5 小結

電子印章的應用是未來各行各業提升工作效率的必然選擇，同時電子印章相關的風險也需要持續不斷的關注。本文所述的各種風險及防范措施基本涵蓋了當前電子印章應用過程中的突出風險和問題，但在不同的業務場景也一定會碰到多種不可預測的問題，未來更應該關注利用電子印章所從事的業務本身的風險，比如利用電子印章實施詐騙貸款、賭博、洗錢等違法犯罪活動。需要保持風險防范意識，不斷分析可能存在的風險，提前預防風險的發生，促進電子印章在各領域健康運用。

（注：本文僅做學術探討，與作者所在單位觀點無關）

參考文獻

[1] 國務院辦公廳. 國務院辦公廳關于深化商事制度改革進

一步為企業松綁減負激發企業活力的通知：國辦發

〔2020〕29號[A/OL]. （2020-09-10）[2020-12-23].http：//www.gov.cn/zhengce/content/2020-09/10/content_5542282.htm.

[2] 上海市人民政府辦公廳. 上海市電子印章管理暫行辦法：滬府辦規[2018]28號[A/OL].（2018-10-29）[2020-12-23].http：//www.shbtpm.com/view_news.php？NewsTypeID=27&NewsID=20083&LX=4&ShowRiqi=0.

[3] 北京市人民政府辦公廳. 轉發市公安局《關于電子印章管理工作意見》的通知：京政辦發[2019]8號[A/OL].（2019-04-19）[2020-12-25].http：//beijing.gov.cn/zhengce/zfwj/zfwj2016/bgtwj/201905/t20190522_61929.html.

[4] 全國信息安全標準化技術委員會. 信息安全技術 安全電子簽章密碼技術規范： GB/T 38540—2020[S].北京：中國標準出版社， 2020.

[5] 國家電子文件管理部際聯席會議辦公室. 黨政機關電子印章應用規范：GB/T 33481—2016[S]. 北京：中國標準出版社， 2016.