網(wǎng)絡(luò)空間安全時(shí)代電子認(rèn)證機(jī)構(gòu)轉(zhuǎn)型的初步探索

李達(dá) 馬春旺 謝宗曉

摘要：介紹了當(dāng)前時(shí)期電子認(rèn)證服務(wù)機(jī)構(gòu)所面臨的發(fā)展難題，以及網(wǎng)絡(luò)空間安全發(fā)展現(xiàn)狀，對(duì)電子認(rèn)證機(jī)構(gòu)向網(wǎng)絡(luò)空間安全服務(wù)企業(yè)轉(zhuǎn)型的可行性、必要性和合理性進(jìn)行初步分析和研究，旨在探索出一條在網(wǎng)絡(luò)空間安全大框架下，電子認(rèn)證服務(wù)機(jī)構(gòu)的可持續(xù)發(fā)展之路。

關(guān)鍵詞：電子認(rèn)證 網(wǎng)絡(luò)空間安全 信息安全

Preliminary Exploration on the Transformation of CAs in the Era of Cyberspace Security

Li Da， Ma Chunwang， Xie Zongxiao

（China Financial Certification Authority）

Abstract： This paper introduces the current period of electronic certification service institution， the development of the problems facing and the current situation of the development of the cyperspace safety， the electronic certification institution to cyberspace security service enterprise transformation feasibility， necessity and rationality of a preliminary analysis and research， aiming to find a cyberspace safety under the framework， the road to the sustainable development of the electronic certification service institution.

Key words：? electronic certification， cyberspace security， information security

電子認(rèn)證服務(wù)機(jī)構(gòu)在我國(guó)已有20多年的發(fā)展歷史，20年前的“電子化”使我們國(guó)家建設(shè)了一批電子化產(chǎn)業(yè)，電子政務(wù)、電子商務(wù)初具模型，那時(shí)CA機(jī)構(gòu)大多只負(fù)責(zé)數(shù)字證書發(fā)放;5年前，國(guó)務(wù)院印發(fā)《國(guó)務(wù)院關(guān)于積極推進(jìn)“互聯(lián)網(wǎng)+”行動(dòng)的指導(dǎo)意見》，同期，隨著金融領(lǐng)域“無紙化”的建設(shè)，各個(gè)行業(yè)紛紛跟進(jìn)，除了線上業(yè)務(wù)的拓展和創(chuàng)新外，一部分線下業(yè)務(wù)也開始線上化，同時(shí)結(jié)合信息技術(shù)特點(diǎn)，開始對(duì)線下業(yè)務(wù)進(jìn)行流程再造，那時(shí)CA機(jī)構(gòu)開始深入業(yè)務(wù)，進(jìn)入方案創(chuàng)新和產(chǎn)品創(chuàng)新時(shí)代。

當(dāng)下，中國(guó)正式進(jìn)入了“數(shù)字化”時(shí)代，所謂數(shù)字化，不僅僅是某個(gè)企業(yè)、某個(gè)行業(yè)、某個(gè)區(qū)域的個(gè)體數(shù)字化，而是在新一代數(shù)字科技支撐和引領(lǐng)下，以數(shù)據(jù)為關(guān)鍵要素，以價(jià)值釋放為核心，以數(shù)據(jù)賦能為主線，對(duì)產(chǎn)業(yè)鏈上下游的全要素?cái)?shù)字化升級(jí)、轉(zhuǎn)型和再造的過程，于是，數(shù)字化造就了生態(tài)，數(shù)字生態(tài)，構(gòu)建容易、維持難。數(shù)字生態(tài)被構(gòu)建在網(wǎng)絡(luò)空間內(nèi)。

1 中國(guó)網(wǎng)絡(luò)空間安全發(fā)展現(xiàn)狀

人出生后有了意識(shí)，感受到了實(shí)實(shí)在在的自然空間，長(zhǎng)大成人走進(jìn)社會(huì)后，感受到了相互聯(lián)系、相互影響的社會(huì)空間，而在互聯(lián)網(wǎng)極度發(fā)達(dá)的現(xiàn)在，網(wǎng)絡(luò)空間已經(jīng)渾然天成。中國(guó)于2016年正式發(fā)布《網(wǎng)絡(luò)空間安全戰(zhàn)略》，正式繼海、陸、空、天之后，將網(wǎng)絡(luò)空間列為第五大空間，并分別從信息傳播、生產(chǎn)生活、經(jīng)濟(jì)、文化、社會(huì)治理、交流合作以及國(guó)家主權(quán)幾個(gè)角度來定義網(wǎng)絡(luò)空間。在網(wǎng)絡(luò)空間時(shí)代，我們既面臨著重大機(jī)遇，也存在著嚴(yán)峻的挑戰(zhàn)，網(wǎng)絡(luò)空間安全風(fēng)險(xiǎn)無處不在，因此早在2015年6月，為實(shí)施國(guó)家安全戰(zhàn)略，加快網(wǎng)絡(luò)空間安全高層次人才培養(yǎng)，提升國(guó)家整體網(wǎng)絡(luò)安全空間治理水平，國(guó)務(wù)院學(xué)位委員會(huì)決定在“工學(xué)”門類下增設(shè)“網(wǎng)絡(luò)空間安全”一級(jí)學(xué)科，學(xué)科代碼為“0839”，授予“工學(xué)”學(xué)位。該學(xué)科包括信息科學(xué)基礎(chǔ)類課程、信息安全基礎(chǔ)類課程、密碼學(xué)類課程、系統(tǒng)安全類課程、網(wǎng)絡(luò)安全類課程、內(nèi)容安全類課程、人文社科類課程。主要專業(yè)課程有：高級(jí)語言程序設(shè)計(jì)、計(jì)算機(jī)網(wǎng)絡(luò)、信息安全數(shù)學(xué)基礎(chǔ)、密碼學(xué)、操作系統(tǒng)原理及安全、網(wǎng)絡(luò)安全、通信原理、可信計(jì)算技術(shù)、云計(jì)算和大數(shù)據(jù)安全、電子商務(wù)和電子政務(wù)安全、網(wǎng)絡(luò)輿情分析、網(wǎng)絡(luò)安全法律法規(guī)等。可以看到，網(wǎng)絡(luò)空間安全是一門復(fù)雜的、多維度的系統(tǒng)性工程，它不是某個(gè)專業(yè)化細(xì)分，而是一批從事不同方向、不同領(lǐng)域的安全服務(wù)機(jī)構(gòu)，在網(wǎng)絡(luò)空間中開展綜合安全治理活動(dòng)所產(chǎn)生的總效能。電子認(rèn)證服務(wù)機(jī)構(gòu)就在其中。

2 電子認(rèn)證服務(wù)機(jī)構(gòu)發(fā)展困境

現(xiàn)如今，電子認(rèn)證服務(wù)機(jī)構(gòu)面臨著多方面的經(jīng)營(yíng)壓力，存在著易被忽視但必須解決的幾個(gè)問題。

一是更加嚴(yán)峻的電子認(rèn)證業(yè)務(wù)風(fēng)險(xiǎn)。隨著無紙化業(yè)務(wù)的大力發(fā)展，各行業(yè)業(yè)務(wù)創(chuàng)新持續(xù)不斷，新興業(yè)務(wù)必然帶來新的風(fēng)險(xiǎn)，同時(shí)市場(chǎng)也會(huì)倒逼電子認(rèn)證業(yè)務(wù)不斷創(chuàng)新，以適配當(dāng)前新業(yè)務(wù)發(fā)展需要，電子認(rèn)證服務(wù)機(jī)構(gòu)必須審慎創(chuàng)新，在合法合規(guī)與創(chuàng)新之間不斷尋找平衡點(diǎn)，尤其注意滿足電子簽名司法實(shí)踐的需要，某種程度上講，司法機(jī)構(gòu)出具的“不予認(rèn)可”判決書，對(duì)電子認(rèn)證服務(wù)機(jī)構(gòu)而言是毀滅性的打擊，電子認(rèn)證服務(wù)機(jī)構(gòu)存在的意義將受到質(zhì)疑，權(quán)威性將遭受大幅削弱。

二是無法避免的政策風(fēng)險(xiǎn)。電子身份證、電子營(yíng)業(yè)執(zhí)照以及各部委CA自建極大地?cái)D壓了電子認(rèn)證業(yè)務(wù)的市場(chǎng)份額，同時(shí)電子認(rèn)證服務(wù)機(jī)構(gòu)幾乎沒有能力阻止上述機(jī)構(gòu)進(jìn)行行業(yè)外延，電子認(rèn)證服務(wù)機(jī)構(gòu)面臨更加廣泛的競(jìng)爭(zhēng)。

三是互聯(lián)網(wǎng)企業(yè)與科技服務(wù)公司的降維競(jìng)爭(zhēng)壓力。互聯(lián)網(wǎng)企業(yè)“資本至上”“資產(chǎn)包裝”的策略直接從價(jià)格上打壓電子認(rèn)證服務(wù)機(jī)構(gòu)，使其開始喪失議價(jià)權(quán)，帶有業(yè)務(wù)屬性的科技服務(wù)公司申請(qǐng)電子認(rèn)證牌照，采取業(yè)務(wù)優(yōu)先、業(yè)務(wù)+認(rèn)證的綜合競(jìng)爭(zhēng)策略殺入市場(chǎng)，使電子認(rèn)證服務(wù)機(jī)構(gòu)陷入被動(dòng)。

四是我國(guó)電子認(rèn)證服務(wù)機(jī)構(gòu)互斥性強(qiáng)、意識(shí)形態(tài)固化、敵視心理嚴(yán)重，封閉守舊，最終導(dǎo)致在日益復(fù)雜和嚴(yán)峻的競(jìng)爭(zhēng)局勢(shì)中，電子認(rèn)證服務(wù)產(chǎn)業(yè)完全無法發(fā)揮整體產(chǎn)業(yè)效能，無法面對(duì)挑戰(zhàn)，從而一而再、再而三的錯(cuò)過機(jī)遇。例如，數(shù)字證書沒有在我國(guó)無紙化建設(shè)浪潮中成為中堅(jiān)力量、電子簽名沒有在電子數(shù)據(jù)司法實(shí)踐中占據(jù)核心地位、電子認(rèn)證服務(wù)機(jī)構(gòu)沒有把握住“互聯(lián)網(wǎng)+司法”的萌芽階段在最關(guān)鍵的時(shí)刻進(jìn)入到我國(guó)司法圈運(yùn)營(yíng)體系中。當(dāng)然，我們看待電子認(rèn)證服務(wù)機(jī)構(gòu)發(fā)展存在的問題重點(diǎn)不是批判，痛心歸痛心，但要設(shè)定更好的目標(biāo)，然后審視如何去達(dá)成，尤其是在數(shù)字化與網(wǎng)絡(luò)安全大力發(fā)展的今天，電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)抓住機(jī)遇、轉(zhuǎn)型發(fā)展、積攢力量，在眾多的挑戰(zhàn)當(dāng)中脫穎而出。

3 電子認(rèn)證服務(wù)機(jī)構(gòu)轉(zhuǎn)型機(jī)遇分析

電子認(rèn)證是信息安全管理體系的一部分，在信息安全管理體系中的技術(shù)安全和業(yè)務(wù)安全都有涉及，信息安全管理主要包括信息的安全管理、信息系統(tǒng)及基礎(chǔ)設(shè)施的安全管理以及安全制度體系的管理，網(wǎng)絡(luò)空間安全管理則是在上述三者的基礎(chǔ)上進(jìn)一步拓寬，將信息安全風(fēng)險(xiǎn)（含技術(shù)安全、業(yè)務(wù)安全）所導(dǎo)致的自然空間安全風(fēng)險(xiǎn)（又稱“引致安全1）”，如電子合同缺失導(dǎo)致的司法敗訴、群體事件等）納入到管理范疇。電子認(rèn)證服務(wù)機(jī)構(gòu)所從事的電子認(rèn)證業(yè)務(wù)、證據(jù)保全業(yè)務(wù)可歸結(jié)在網(wǎng)絡(luò)空間安全的范疇，電子認(rèn)證、證據(jù)保全從技術(shù)上實(shí)現(xiàn)了信息安全領(lǐng)域的防篡改、數(shù)據(jù)完整性、私密性，從司法實(shí)踐上則解決了自然空間的司法訴訟問題，保障了社會(huì)穩(wěn)定和個(gè)人權(quán)益。以此為基礎(chǔ)，電子認(rèn)證服務(wù)機(jī)構(gòu)能夠成為網(wǎng)絡(luò)空間安全綜合服務(wù)商，注意，只有電子認(rèn)證服務(wù)機(jī)構(gòu)才能出具所簽發(fā)數(shù)字證書的、與電子簽名法對(duì)標(biāo)的《電子簽名驗(yàn)證報(bào)告》，其他“中間商”不行。電子認(rèn)證機(jī)構(gòu)所處的歷史階段，是要積極地從傳統(tǒng)信息安全服務(wù)向新型網(wǎng)絡(luò)空間安全服務(wù)轉(zhuǎn)型，其目的就是要厚積薄發(fā)，利用信息技術(shù)保障包括自然空間在內(nèi)的安全，實(shí)現(xiàn)網(wǎng)絡(luò)空間安全風(fēng)險(xiǎn)的綜合治理2）。

當(dāng)然，網(wǎng)絡(luò)空間安全涉及方方面面，例如，環(huán)境安全、通信安全、云安全、應(yīng)用安全、身份識(shí)別與訪問控制、邊界訪問控制、內(nèi)容安全、數(shù)據(jù)安全、態(tài)勢(shì)感知、漏洞檢測(cè)與管理、信息安全服務(wù)、物聯(lián)網(wǎng)安全等安全領(lǐng)域，電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)立足自身密碼應(yīng)用能力，積極參與到其他安全領(lǐng)域建設(shè)，評(píng)估自身內(nèi)部資源與所處的外部市場(chǎng)環(huán)境，或自研，或聯(lián)合，補(bǔ)全安全服務(wù)能力短板，完善場(chǎng)景供應(yīng)，基于行業(yè)細(xì)分、立足電子認(rèn)證服務(wù)，將安全產(chǎn)品與服務(wù)做深做透。面對(duì)外部競(jìng)爭(zhēng)和經(jīng)營(yíng)壓力保持住戰(zhàn)略定力，采取差異化和專一化競(jìng)爭(zhēng)策略，應(yīng)對(duì)現(xiàn)階段市場(chǎng)競(jìng)爭(zhēng)態(tài)勢(shì)，同時(shí)持續(xù)在網(wǎng)絡(luò)空間安全領(lǐng)域發(fā)力，將技術(shù)安全、業(yè)務(wù)安全、合法合規(guī)做深做透，突出電子認(rèn)證服務(wù)機(jī)構(gòu)在安全領(lǐng)域的專業(yè)性，從標(biāo)準(zhǔn)、測(cè)評(píng)、咨詢、實(shí)施、司法等方面引領(lǐng)行業(yè)，并獨(dú)樹一幟，始終保持與其他降維競(jìng)爭(zhēng)對(duì)手差異化。電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)把握住自身的核心重點(diǎn)行業(yè)，并通過創(chuàng)新與微創(chuàng)新、提供實(shí)時(shí)高質(zhì)量的服務(wù)、加大和客戶黏性等措施堅(jiān)守已拓展行業(yè)客戶。

電子認(rèn)證服務(wù)機(jī)構(gòu)雖然不可能覆蓋網(wǎng)絡(luò)空間安全的所有范疇，但至少對(duì)部分業(yè)務(wù)涉及較深，例如，電子認(rèn)證服務(wù)涉及計(jì)算機(jī)安全、網(wǎng)絡(luò)安全（Network Security）、信息安全、業(yè)務(wù)安全、司法訴訟效率，從而引致安全;證據(jù)保全業(yè)務(wù)涉及電子數(shù)據(jù)信息安全、業(yè)務(wù)安全、司法訴訟效率，從而引致安全;SVS、密碼控件等密碼產(chǎn)品類涉及網(wǎng)絡(luò)安全和信息安全;等等。

電子認(rèn)證服務(wù)機(jī)構(gòu)向網(wǎng)絡(luò)空間安全綜合服務(wù)商看齊，其一：是以戰(zhàn)略眼光謀劃未來，在審視自己當(dāng)下定位的同時(shí)預(yù)判自身未來定位;其二：從信息安全發(fā)展為網(wǎng)絡(luò)空間安全，明確了未來業(yè)務(wù)發(fā)展的新邊界，即，站在網(wǎng)絡(luò)空間安全的高度開展業(yè)務(wù)創(chuàng)新、業(yè)務(wù)擴(kuò)項(xiàng)以及開展各業(yè)務(wù)單元戰(zhàn)略規(guī)劃;其三：在成為網(wǎng)絡(luò)空間安全綜合服務(wù)商的過程中，勢(shì)必會(huì)落地更多的國(guó)家和行業(yè)重大項(xiàng)目，在標(biāo)準(zhǔn)、規(guī)范、課題等方面有更多的建樹，在國(guó)家重大事項(xiàng)中發(fā)聲并參與，融入更多的權(quán)威行政圈、治理圈、司法圈、產(chǎn)業(yè)圈，最終提升電子認(rèn)證服務(wù)機(jī)構(gòu)地位。

總之，逆水行舟不進(jìn)則退，電子認(rèn)證服務(wù)機(jī)構(gòu)不能只滿足于“權(quán)威第三方CA機(jī)構(gòu)”，成為網(wǎng)絡(luò)空間安全綜合服務(wù)商代表了新的目標(biāo)，拋開戰(zhàn)略發(fā)展不談，某種程度來講，這也是積極開展戰(zhàn)略防御的一種有效措施。