CA立身的核心问题-<电子签名法>颁布5周年

从05年8月到现在,“电子签名”正在由一个概念逐渐演变成一套制度体系,人们的目光从什么是电子签名聚焦到如何制作安全可靠的电子签名,规范电子签名市场。《电子签名法》仅奠定了电子签名的基础,信产部、商务部、国标委等政府部门正在其上搭建电子签名监管架构,而市场演变也让CA公司更加成熟。

监管是基石

对电子签名监管的核心是监管CA机构,只有CA机构本身安全,其签发的电子签名才是安全的,从而保证电子商务和电子政务的安全性。信产部推进司从去年《电子签名法》出台就开始研究制定认证服务机构的管理办法,最初的想法是通过抬高CA门槛,淘汰绝大部分不合格的CA。现在国内大大小小的CA有近两百家,真正能保证CA发证安全的不超过四五家。然而由于CA机构都有政府背景,或是行业的、或是地方的,信产部在多易其稿后,最终出台的《电子认证服务管理办法》只是做了粗线条的规定,“从业人员不得少于30人,注册资金在3000万以上,有商业密码使用许可”,这其实是对审批放了口子,像对注册资金和从业人员的数字要求都是很容易临时实现的。据业内人士透露,就算是这样的规定,信产部也是顶着很大压力做出的。 

信产部的监管是一条明线,其实对CA的管理还有另一条暗线——CA运营的国家标准。据标准参与者透露,上个月标准方案通过了国家标委会内容审批,正在等待批号。国标制定了一整套CA运营规范,包括物理环境安全、系统设立、密钥保管、人员岗位部署、日常管理流程等等,为希望做CA的人提供了模范样本。只要认真按照国标的流程,少于30人是根本无法运作CA的,所以信产部的规定只是停留在表面,根本的规则还是国标。 

按照信产部规定,05年9月30日之前对现有的CA审批,不合格的将不允许再营业,停止对外发证书的权力。然而信产部第一次审批可能还是会放宽尺度,允许几十家CA存在,但在今后的年审中会用国标的尺子逐步淘汰,最终只留下四五家在市场上。 

审批还只是CA面临的第一个淘汰机制,真正的淘汰是在和国际接轨过程中。《电子签名法》的实施是为了符合国际规范,和国际电子商务平台接轨,因此与认证机构的接轨不可避免,与国外CA的对等认可也必不可少。像阿里巴巴这种B2B的电子商务网站,要想在中国之外建立品牌,必须要有国外CA认可的国内CA。虽然现在国外CA还无法进入中国,但一旦对等规则确立,国外CA的进入就是顺理成章的事情了。 

流程是关键

对于CA而言,安全的要害不是电子签名技术,而是流程。流程的确立需要积累,这需要从上而下的长期坚持,形成惯性力量。而只有稳定才能把习惯坚持下来,因此CA公司要稳定,公司里的核心人员要稳定,公司内部策略要稳定。CA公司的关键人员流动都应该向监管部门备案。在国外,CA公司的中高层离职是一件很危险的事情。 对于安全公司而言,业务不是第一位的,安全和信用才是第一位。如果连自己的安全和信用都可以不顾,业务也不会长久。发出的证书是对别人的承诺,只是发出去证书,不严格按照流程是不负责任的做法。

CA主要成本在于鉴别身份,CA不同于制造企业,产量上规模就能把成本降下来,CA一天发出几万张证书没有提高多少成本,但发给企业一张证书就需要鉴证一个企业的身份,即使成本高也不能降低鉴证成本,否则会给CA带来法律上的风险。CA公司换流程主要就是换鉴证途径,随着经验积累,越换成本越低。