主持人：各位网友，大家好，欢迎收看中国信息安全博士网《高端访谈》栏目。我是中国信息安全博士网的特约记者边锋。本期我们邀请到的嘉宾是：中国电子认证服务产业联盟秘书长刘权。刘秘书长，您好！

刘权秘书长：主持人，你好！各位网友，大家好！

主持人：工业和信息化部于2011年11月4日发布了《电子认证服务业“十二五”发展规划》，其主要内容有哪些？

刘权秘书长：工业和信息化部于2011年11月4日发布了《电子认证服务业“十二五”发展规划》（以下简称《规划》），该规划围绕贯彻落实《电子签名法》、《2006－2020年国家信息化发展战略》、《国民经济和社会发展信息化“十二五”规划》，在总结“十一五”我国电子认证服务业发展现状的基础上，明确了“十二五”的发展目标和思路，确定了6项重点任务及2项重大工程，并提出了相关保障措施。

主持人：社会上对电子认证服务业还不是特别了解，您能介绍一下电子认证服务的重要意义和作用吗？

刘权秘书长：信息技术革命引发的全球信息化浪潮，推动形成了覆盖全球的网络空间，为人类经济和社会活动提供了一个开放、高效、便捷、低碳的全新领域，网络空间日益成为经济社会不可或缺的活动空间，网络安全已经成为国家安全的一个重要组成部分。建立网络秩序，构建可信、安全的网络空间已经成为保障经济繁荣和社会和谐的关键。

电子认证服务是建设网络信任体系，构建可信、安全的网络空间的不可或缺的基础设施。电子认证可以实现虚拟社会和现实社会的主体绑定，解决网络空间中的身份认证和行为确认问题，是确认网络主体、认定网络行为从而明确法律责任的重要手段，是网络空间秩序构建的重要支撑。《电子签名法》明确了电子认证的法律效力和实现原则，奠定了电子认证服务的法律基础。

培育、发展、壮大电子认证服务业，是建设网络信任体系、推进网络诚信体系的重要内容，是贯彻落实《电子签名法》的重要举措，对于建立健全覆盖全社会的诚信系统，推进政务诚信、商务诚信、社会诚信和司法公信建设具有十分重要的意义。

主持人：这次规划提出了鼓励和引导第三方电子认证服务，什么是第三方电子认证服务，其重要性有哪些？

刘权秘书长：在我们的电子商务和电子政务等信息化活动中，广泛的采用了PKI体系作为安全保障措施，这样就产生了电子签名方、电子签名依赖方和电子认证服务机构（CA）这三种角色。其次，如果是这三个角色由两个实体来扮演的话，举例来说，依赖方自建CA，依赖方既扮演CA角色，同时又是电子签名的依赖方，这种情况我们认为不存在第三方电子认证服务，如果电子认证服务机构（CA）是依法设立的独立实体，则其提供的服务为第三方电子认证服务。第三方电子认证服务是由独立于依赖方和用户的具有法人资格的实体提供的服务，与自建CA相比，具有显著特点。

第一，第三方电子认证服务的价值在于身份解决中的独立地位。由于具有独立、公正的地位和作用，因此第三方认证服务在保障网络身份真实、网络行为可溯、数据电文可信，维护用户在互联网环境下的合法权益和实现可靠电子签名中的具有重要作用。

第二，第三方电子认证服务机构与PKI体系中的认证机构（CA）的职责和较色不同。PKI体系中的认证机构仅仅是提供数字证书发放、验证等电子签名验证过程中的系列服务，而《规划》中提到的第三方电子认证服务机构是指《电子签名法》第十六条规定的提供电子签名服务的依法设立的电子认证服务机构。因此第三方电子认证服务机构提供的服务包括数字证书发放、电子签名验证、可靠电子签名认证、数据电文认证等诸多事项。

第三，法律地位显著不同。自建CA的法律效力不足、法律风险较大，第三方电子认证服务具有法律效力和公信力。

第四，应用场景显著不同。第三方电子认证服务应用于独立责任主体之间的信息交换过程，自建CA主要应用于企业（政府）内部办公及员工间的信息交换。

第五，发展趋势不同。第三方电子认证服务将得到社会的普遍认同，发展前景广阔。自建CA将被第三方电子认证机构所取代，逐渐走向消亡。《规划》明确提出了鼓励和引导第三方电子认证服务，大力推动应用各方采用依法设立的电子认证服务机构的服务，积极推进电子认证服务的专业化、市场化。

主持人：这次规划提出了数字证书策略，什么是数字证书策略，其重要性有哪些？

刘权秘书长：经过多年发展和推广，我国电子认证应用领域逐步拓宽，在公共服务、电子商务等领域应用不断扩大，数字证书类别日益丰富。电子认证在网上报税、电子报关、工商年检、社保缴纳、公积金管理等公共服务领域获得广泛应用。在网上招投标、在线支付、在线合同等电子商务领域应用迅速增长，并逐步向知识产权保护、物流和供应链管理等领域扩展。数字证书种类也从最初的个人数字证书、企业法人数字证书、服务器数字证书等几个类别拓展到了邮件证书、代码证书、设备证书等数十种证书。《规划》在重点任务中明确提出要在网络服务器、移动智能终端、可信软件认证服务等方面取得突破，占据网络设备等认证服务市场的主导地位。电子认证应用领域逐步拓宽和数字证书类别日益丰富过程中沉淀了诸多问题，如应用市场有待进一步培育、信息化监管手段亟待建立，身份认证与签名应用有待规范，数字证书交叉认证还没有实现等等。这些问题的解决需要推行数字证书策略。

所谓数字证书策略指是一组安全规则，描述了数字证书签发和管理过程中物理安全、网络安全、审计评估、赔偿和责任等方面的规范性要求，既为电子认证服务机构提出了安全和服务方面的要求，也为应用方选择证书提供了可参考的标准和依据，同时也为主管部门开展行业监管提供技术手段，也为实现数字证书交叉互认提供支撑。

《规划》首次提出了将推行数字证书策略作为“十二五”期间规范电子认证服务的重点任务，并明确指出根据数字证书标识对象不同和安全保障等级不同，针对个人、机构、设备、软件代码等分类分级制定证书策略，规范电子认证服务行为，为证书互认奠定基础。

此外，为了推行证书策略，行业主管部门已经组织力量研究起草了《自然人证书分级服务规范》和《法人证书分级服务规范》等文本规范。该规范主要内容包括“信息发布和证书资料库职责”、“身份标识与鉴别”、“证书生命周期操作要求”等9个章节，用以规范电子认证服务机构在提供自然人/法人数字证书服务过程中应当遵循的各项要求。根据安全保障等级和服务能力的不同，将自然人和法人证书分为A、B、C三个级别，确定了需要进行分级的13项安全指标和10项服务指标。身份鉴别是最主要的分级安全指标，C级、B级、A级证书分别要求“非当面鉴别”、“当面鉴别”和“当面鉴别且权威部门认定”。保险范围是最主要的分级服务指标，C级、B级、A级证书中的要求分别为“暂不做规定”、“设立风险保障金或购买商业保险”和“设立一定数额以上的风险保障金或购买商业保险”。服务规范中给出了每级证书的推荐应用场景，也明确提出了不同等级证书中各分级指标的不同要求。

主持人：这次规划提出了可靠电子签名和数据电文认证，什么是可靠电子签名和数据电文认证，《规划》是如何部署的？

刘权秘书长：开展可靠性电子签名和数据电文认证是电子认证服务行业重中之重的工作。根据《电子签名法》规定可靠电子签名必须满足四个条件：（1）电子签名制作数据用于电子签名时，属于电子签名人专有；（2）签署时电子签名制作数据仅由电子签名人控制；（3）签署后对电子签名的任何改动能够被发现；（4）签署后对数据电文内容和形式的任何改动能够被发现。可靠电子签名和数据电文认证涉及电子认证服务机构的认证系统、依赖方应用系统等相关软硬件，开展可靠性电子签名和数据电文认证技术难度高、操作复杂，目前还没有启动该项工作。但只有可靠性电子签名才是法律认可、具有与手写同等法律效力的签名，因此开展可靠性电子签名和数据电文认证是电子认证服务行业的头等大事。

《规划》将开展可靠电子签名认证工作提上了议事日程，在发展目标、主要任务和重大工程部分都做了部署。在发展目标部分，《规划》提出了到“十二五”末，基本形成可靠电子签名认证体系，满足社会对可靠电子签名的应用需求。在主要任务部分，《规划》提出组织制定《可靠电子签名指南》，明确对不同格式数据电文进行签名的程序、流程和认定标准。研究制定电子签名设备、系统检测等技术类标准，推动制定电子签名行业应用标准。培育和发展专业化机构，对含可靠电子签名模块相关系统和产品进行检测，对认证服务过程和质量进行监督。在重大工程部分，《规划》提出了可靠电子签名与数据电文应用试点工程。明确提出要建立可靠电子签名服务平台，开发可靠电子签名和数据电文检测工具，搭建电子签名可靠性认证服务平台，围绕数据电文生成、传递、接收、保存、提取、鉴定等可靠性认证各环节开展试点。