李達 馬春旺 謝宗曉

摘要：介紹了當前時期電子認證服務(wù)機構(gòu)所面臨的發(fā)展難題，以及網(wǎng)絡(luò)空間安全發(fā)展現(xiàn)狀，對電子認證機構(gòu)向網(wǎng)絡(luò)空間安全服務(wù)企業(yè)轉(zhuǎn)型的可行性、必要性和合理性進行初步分析和研究，旨在探索出一條在網(wǎng)絡(luò)空間安全大框架下，電子認證服務(wù)機構(gòu)的可持續(xù)發(fā)展之路。

關(guān)鍵詞：電子認證 網(wǎng)絡(luò)空間安全 信息安全

Preliminary Exploration on the Transformation of CAs in the Era of Cyberspace Security

Li Da， Ma Chunwang， Xie Zongxiao

（China Financial Certification Authority）

Abstract： This paper introduces the current period of electronic certification service institution， the development of the problems facing and the current situation of the development of the cyperspace safety， the electronic certification institution to cyberspace security service enterprise transformation feasibility， necessity and rationality of a preliminary analysis and research， aiming to find a cyberspace safety under the framework， the road to the sustainable development of the electronic certification service institution.

Key words：? electronic certification， cyberspace security， information security

電子認證服務(wù)機構(gòu)在我國已有20多年的發(fā)展歷史，20年前的“電子化”使我們國家建設(shè)了一批電子化產(chǎn)業(yè)，電子政務(wù)、電子商務(wù)初具模型，那時CA機構(gòu)大多只負責數(shù)字證書發(fā)放;5年前，國務(wù)院印發(fā)《國務(wù)院關(guān)于積極推進“互聯(lián)網(wǎng)+”行動的指導意見》，同期，隨著金融領(lǐng)域“無紙化”的建設(shè)，各個行業(yè)紛紛跟進，除了線上業(yè)務(wù)的拓展和創(chuàng)新外，一部分線下業(yè)務(wù)也開始線上化，同時結(jié)合信息技術(shù)特點，開始對線下業(yè)務(wù)進行流程再造，那時CA機構(gòu)開始深入業(yè)務(wù)，進入方案創(chuàng)新和產(chǎn)品創(chuàng)新時代。

當下，中國正式進入了“數(shù)字化”時代，所謂數(shù)字化，不僅僅是某個企業(yè)、某個行業(yè)、某個區(qū)域的個體數(shù)字化，而是在新一代數(shù)字科技支撐和引領(lǐng)下，以數(shù)據(jù)為關(guān)鍵要素，以價值釋放為核心，以數(shù)據(jù)賦能為主線，對產(chǎn)業(yè)鏈上下游的全要素數(shù)字化升級、轉(zhuǎn)型和再造的過程，于是，數(shù)字化造就了生態(tài)，數(shù)字生態(tài)，構(gòu)建容易、維持難。數(shù)字生態(tài)被構(gòu)建在網(wǎng)絡(luò)空間內(nèi)。

1 中國網(wǎng)絡(luò)空間安全發(fā)展現(xiàn)狀

人出生后有了意識，感受到了實實在在的自然空間，長大成人走進社會后，感受到了相互聯(lián)系、相互影響的社會空間，而在互聯(lián)網(wǎng)極度發(fā)達的現(xiàn)在，網(wǎng)絡(luò)空間已經(jīng)渾然天成。中國于2016年正式發(fā)布《網(wǎng)絡(luò)空間安全戰(zhàn)略》，正式繼海、陸、空、天之后，將網(wǎng)絡(luò)空間列為第五大空間，并分別從信息傳播、生產(chǎn)生活、經(jīng)濟、文化、社會治理、交流合作以及國家主權(quán)幾個角度來定義網(wǎng)絡(luò)空間。在網(wǎng)絡(luò)空間時代，我們既面臨著重大機遇，也存在著嚴峻的挑戰(zhàn)，網(wǎng)絡(luò)空間安全風險無處不在，因此早在2015年6月，為實施國家安全戰(zhàn)略，加快網(wǎng)絡(luò)空間安全高層次人才培養(yǎng)，提升國家整體網(wǎng)絡(luò)安全空間治理水平，國務(wù)院學位委員會決定在“工學”門類下增設(shè)“網(wǎng)絡(luò)空間安全”一級學科，學科代碼為“0839”，授予“工學”學位。該學科包括信息科學基礎(chǔ)類課程、信息安全基礎(chǔ)類課程、密碼學類課程、系統(tǒng)安全類課程、網(wǎng)絡(luò)安全類課程、內(nèi)容安全類課程、人文社科類課程。主要專業(yè)課程有：高級語言程序設(shè)計、計算機網(wǎng)絡(luò)、信息安全數(shù)學基礎(chǔ)、密碼學、操作系統(tǒng)原理及安全、網(wǎng)絡(luò)安全、通信原理、可信計算技術(shù)、云計算和大數(shù)據(jù)安全、電子商務(wù)和電子政務(wù)安全、網(wǎng)絡(luò)輿情分析、網(wǎng)絡(luò)安全法律法規(guī)等?？梢钥吹剑W(wǎng)絡(luò)空間安全是一門復雜的、多維度的系統(tǒng)性工程，它不是某個專業(yè)化細分，而是一批從事不同方向、不同領(lǐng)域的安全服務(wù)機構(gòu)，在網(wǎng)絡(luò)空間中開展綜合安全治理活動所產(chǎn)生的總效能。電子認證服務(wù)機構(gòu)就在其中。

2 電子認證服務(wù)機構(gòu)發(fā)展困境

現(xiàn)如今，電子認證服務(wù)機構(gòu)面臨著多方面的經(jīng)營壓力，存在著易被忽視但必須解決的幾個問題。

一是更加嚴峻的電子認證業(yè)務(wù)風險。隨著無紙化業(yè)務(wù)的大力發(fā)展，各行業(yè)業(yè)務(wù)創(chuàng)新持續(xù)不斷，新興業(yè)務(wù)必然帶來新的風險，同時市場也會倒逼電子認證業(yè)務(wù)不斷創(chuàng)新，以適配當前新業(yè)務(wù)發(fā)展需要，電子認證服務(wù)機構(gòu)必須審慎創(chuàng)新，在合法合規(guī)與創(chuàng)新之間不斷尋找平衡點，尤其注意滿足電子簽名司法實踐的需要，某種程度上講，司法機構(gòu)出具的“不予認可”判決書，對電子認證服務(wù)機構(gòu)而言是毀滅性的打擊，電子認證服務(wù)機構(gòu)存在的意義將受到質(zhì)疑，權(quán)威性將遭受大幅削弱。

二是無法避免的政策風險。電子身份證、電子營業(yè)執(zhí)照以及各部委CA自建極大地擠壓了電子認證業(yè)務(wù)的市場份額，同時電子認證服務(wù)機構(gòu)幾乎沒有能力阻止上述機構(gòu)進行行業(yè)外延，電子認證服務(wù)機構(gòu)面臨更加廣泛的競爭。

三是互聯(lián)網(wǎng)企業(yè)與科技服務(wù)公司的降維競爭壓力?；ヂ?lián)網(wǎng)企業(yè)“資本至上”“資產(chǎn)包裝”的策略直接從價格上打壓電子認證服務(wù)機構(gòu)，使其開始喪失議價權(quán)，帶有業(yè)務(wù)屬性的科技服務(wù)公司申請電子認證牌照，采取業(yè)務(wù)優(yōu)先、業(yè)務(wù)+認證的綜合競爭策略殺入市場，使電子認證服務(wù)機構(gòu)陷入被動。

四是我國電子認證服務(wù)機構(gòu)互斥性強、意識形態(tài)固化、敵視心理嚴重，封閉守舊，最終導致在日益復雜和嚴峻的競爭局勢中，電子認證服務(wù)產(chǎn)業(yè)完全無法發(fā)揮整體產(chǎn)業(yè)效能，無法面對挑戰(zhàn)，從而一而再、再而三的錯過機遇。例如，數(shù)字證書沒有在我國無紙化建設(shè)浪潮中成為中堅力量、電子簽名沒有在電子數(shù)據(jù)司法實踐中占據(jù)核心地位、電子認證服務(wù)機構(gòu)沒有把握住“互聯(lián)網(wǎng)+司法”的萌芽階段在最關(guān)鍵的時刻進入到我國司法圈運營體系中。當然，我們看待電子認證服務(wù)機構(gòu)發(fā)展存在的問題重點不是批判，痛心歸痛心，但要設(shè)定更好的目標，然后審視如何去達成，尤其是在數(shù)字化與網(wǎng)絡(luò)安全大力發(fā)展的今天，電子認證服務(wù)機構(gòu)應(yīng)抓住機遇、轉(zhuǎn)型發(fā)展、積攢力量，在眾多的挑戰(zhàn)當中脫穎而出。

3 電子認證服務(wù)機構(gòu)轉(zhuǎn)型機遇分析

電子認證是信息安全管理體系的一部分，在信息安全管理體系中的技術(shù)安全和業(yè)務(wù)安全都有涉及，信息安全管理主要包括信息的安全管理、信息系統(tǒng)及基礎(chǔ)設(shè)施的安全管理以及安全制度體系的管理，網(wǎng)絡(luò)空間安全管理則是在上述三者的基礎(chǔ)上進一步拓寬，將信息安全風險（含技術(shù)安全、業(yè)務(wù)安全）所導致的自然空間安全風險（又稱“引致安全1）”，如電子合同缺失導致的司法敗訴、群體事件等）納入到管理范疇。電子認證服務(wù)機構(gòu)所從事的電子認證業(yè)務(wù)、證據(jù)保全業(yè)務(wù)可歸結(jié)在網(wǎng)絡(luò)空間安全的范疇，電子認證、證據(jù)保全從技術(shù)上實現(xiàn)了信息安全領(lǐng)域的防篡改、數(shù)據(jù)完整性、私密性，從司法實踐上則解決了自然空間的司法訴訟問題，保障了社會穩(wěn)定和個人權(quán)益。以此為基礎(chǔ)，電子認證服務(wù)機構(gòu)能夠成為網(wǎng)絡(luò)空間安全綜合服務(wù)商，注意，只有電子認證服務(wù)機構(gòu)才能出具所簽發(fā)數(shù)字證書的、與電子簽名法對標的《電子簽名驗證報告》，其他“中間商”不行。電子認證機構(gòu)所處的歷史階段，是要積極地從傳統(tǒng)信息安全服務(wù)向新型網(wǎng)絡(luò)空間安全服務(wù)轉(zhuǎn)型，其目的就是要厚積薄發(fā)，利用信息技術(shù)保障包括自然空間在內(nèi)的安全，實現(xiàn)網(wǎng)絡(luò)空間安全風險的綜合治理2）。

當然，網(wǎng)絡(luò)空間安全涉及方方面面，例如，環(huán)境安全、通信安全、云安全、應(yīng)用安全、身份識別與訪問控制、邊界訪問控制、內(nèi)容安全、數(shù)據(jù)安全、態(tài)勢感知、漏洞檢測與管理、信息安全服務(wù)、物聯(lián)網(wǎng)安全等安全領(lǐng)域，電子認證服務(wù)機構(gòu)應(yīng)立足自身密碼應(yīng)用能力，積極參與到其他安全領(lǐng)域建設(shè)，評估自身內(nèi)部資源與所處的外部市場環(huán)境，或自研，或聯(lián)合，補全安全服務(wù)能力短板，完善場景供應(yīng)，基于行業(yè)細分、立足電子認證服務(wù)，將安全產(chǎn)品與服務(wù)做深做透。面對外部競爭和經(jīng)營壓力保持住戰(zhàn)略定力，采取差異化和專一化競爭策略，應(yīng)對現(xiàn)階段市場競爭態(tài)勢，同時持續(xù)在網(wǎng)絡(luò)空間安全領(lǐng)域發(fā)力，將技術(shù)安全、業(yè)務(wù)安全、合法合規(guī)做深做透，突出電子認證服務(wù)機構(gòu)在安全領(lǐng)域的專業(yè)性，從標準、測評、咨詢、實施、司法等方面引領(lǐng)行業(yè)，并獨樹一幟，始終保持與其他降維競爭對手差異化。電子認證服務(wù)機構(gòu)應(yīng)把握住自身的核心重點行業(yè)，并通過創(chuàng)新與微創(chuàng)新、提供實時高質(zhì)量的服務(wù)、加大和客戶黏性等措施堅守已拓展行業(yè)客戶。

電子認證服務(wù)機構(gòu)雖然不可能覆蓋網(wǎng)絡(luò)空間安全的所有范疇，但至少對部分業(yè)務(wù)涉及較深，例如，電子認證服務(wù)涉及計算機安全、網(wǎng)絡(luò)安全（Network Security）、信息安全、業(yè)務(wù)安全、司法訴訟效率，從而引致安全;證據(jù)保全業(yè)務(wù)涉及電子數(shù)據(jù)信息安全、業(yè)務(wù)安全、司法訴訟效率，從而引致安全;SVS、密碼控件等密碼產(chǎn)品類涉及網(wǎng)絡(luò)安全和信息安全;等等。

電子認證服務(wù)機構(gòu)向網(wǎng)絡(luò)空間安全綜合服務(wù)商看齊，其一：是以戰(zhàn)略眼光謀劃未來，在審視自己當下定位的同時預判自身未來定位;其二：從信息安全發(fā)展為網(wǎng)絡(luò)空間安全，明確了未來業(yè)務(wù)發(fā)展的新邊界，即，站在網(wǎng)絡(luò)空間安全的高度開展業(yè)務(wù)創(chuàng)新、業(yè)務(wù)擴項以及開展各業(yè)務(wù)單元戰(zhàn)略規(guī)劃;其三：在成為網(wǎng)絡(luò)空間安全綜合服務(wù)商的過程中，勢必會落地更多的國家和行業(yè)重大項目，在標準、規(guī)范、課題等方面有更多的建樹，在國家重大事項中發(fā)聲并參與，融入更多的權(quán)威行政圈、治理圈、司法圈、產(chǎn)業(yè)圈，最終提升電子認證服務(wù)機構(gòu)地位。

總之，逆水行舟不進則退，電子認證服務(wù)機構(gòu)不能只滿足于“權(quán)威第三方CA機構(gòu)”，成為網(wǎng)絡(luò)空間安全綜合服務(wù)商代表了新的目標，拋開戰(zhàn)略發(fā)展不談，某種程度來講，這也是積極開展戰(zhàn)略防御的一種有效措施。