网络空间安全时代电子认证机构转型的初步探索
2021-08-23李达马春旺谢宗晓
李达 马春旺 谢宗晓
摘要:介绍了当前时期电子认证服务机构所面临的发展难题,以及网络空间安全发展现状,对电子认证机构向网络空间安全服务企业转型的可行性、必要性和合理性进行初步分析和研究,旨在探索出一条在网络空间安全大框架下,电子认证服务机构的可持续发展之路。
关键词:电子认证 网络空间安全 信息安全
Preliminary Exploration on the Transformation of CAs in the Era of Cyberspace Security
Li Da, Ma Chunwang, Xie Zongxiao
(China Financial Certification Authority)
Abstract: This paper introduces the current period of electronic certification service institution, the development of the problems facing and the current situation of the development of the cyperspace safety, the electronic certification institution to cyberspace security service enterprise transformation feasibility, necessity and rationality of a preliminary analysis and research, aiming to find a cyberspace safety under the framework, the road to the sustainable development of the electronic certification service institution.
Key words: electronic certification, cyberspace security, information security
电子认证服务机构在我国已有20多年的发展历史,20年前的“电子化”使我们国家建设了一批电子化产业,电子政务、电子商务初具模型,那时CA机构大多只负责数字证书发放;5年前,国务院印发《国务院关于积极推进“互联网+”行动的指导意见》,同期,随着金融领域“无纸化”的建设,各个行业纷纷跟进,除了线上业务的拓展和创新外,一部分线下业务也开始线上化,同时结合信息技术特点,开始对线下业务进行流程再造,那时CA机构开始深入业务,进入方案创新和产品创新时代。
当下,中国正式进入了“数字化”时代,所谓数字化,不僅仅是某个企业、某个行业、某个区域的个体数字化,而是在新一代数字科技支撑和引领下,以数据为关键要素,以价值释放为核心,以数据赋能为主线,对产业链上下游的全要素数字化升级、转型和再造的过程,于是,数字化造就了生态,数字生态,构建容易、维持难。数字生态被构建在网络空间内。
1 中国网络空间安全发展现状
人出生后有了意识,感受到了实实在在的自然空间,长大成人走进社会后,感受到了相互联系、相互影响的社会空间,而在互联网极度发达的现在,网络空间已经浑然天成。中国于2016年正式发布《网络空间安全战略》,正式继海、陆、空、天之后,将网络空间列为第五大空间,并分别从信息传播、生产生活、经济、文化、社会治理、交流合作以及国家主权几个角度来定义网络空间。在网络空间时代,我们既面临着重大机遇,也存在着严峻的挑战,网络空间安全风险无处不在,因此早在2015年6月,为实施国家安全战略,加快网络空间安全高层次人才培养,提升国家整体网络安全空间治理水平,国务院学位委员会决定在“工学”门类下增设“网络空间安全”一级学科,学科代码为“0839”,授予“工学”学位。该学科包括信息科学基础类课程、信息安全基础类课程、密码学类课程、系统安全类课程、网络安全类课程、内容安全类课程、人文社科类课程。主要专业课程有:高级语言程序设计、计算机网络、信息安全数学基础、密码学、操作系统原理及安全、网络安全、通信原理、可信计算技术、云计算和大数据安全、电子商务和电子政务安全、网络舆情分析、网络安全法律法规等。可以看到,网络空间安全是一门复杂的、多维度的系统性工程,它不是某个专业化细分,而是一批从事不同方向、不同领域的安全服务机构,在网络空间中开展综合安全治理活动所产生的总效能。电子认证服务机构就在其中。
2 电子认证服务机构发展困境
现如今,电子认证服务机构面临着多方面的经营压力,存在着易被忽视但必须解决的几个问题。
一是更加严峻的电子认证业务风险。随着无纸化业务的大力发展,各行业业务创新持续不断,新兴业务必然带来新的风险,同时市场也会倒逼电子认证业务不断创新,以适配当前新业务发展需要,电子认证服务机构必须审慎创新,在合法合规与创新之间不断寻找平衡点,尤其注意满足电子签名司法实践的需要,某种程度上讲,司法机构出具的“不予认可”判决书,对电子认证服务机构而言是毁灭性的打击,电子认证服务机构存在的意义将受到质疑,权威性将遭受大幅削弱。
二是无法避免的政策风险。电子身份证、电子营业执照以及各部委CA自建极大地挤压了电子认证业务的市场份额,同时电子认证服务机构几乎没有能力阻止上述机构进行行业外延,电子认证服务机构面临更加广泛的竞争。
三是互联网企业与科技服务公司的降维竞争压力。互联网企业“资本至上”“资产包装”的策略直接从价格上打压电子认证服务机构,使其开始丧失议价权,带有业务属性的科技服务公司申请电子认证牌照,采取业务优先、业务+认证的综合竞争策略杀入市场,使电子认证服务机构陷入被动。
四是我国电子认证服务机构互斥性强、意识形态固化、敌视心理严重,封闭守旧,最终导致在日益复杂和严峻的竞争局势中,电子认证服务产业完全无法发挥整体产业效能,无法面对挑战,从而一而再、再而三的错过机遇。例如,数字证书没有在我国无纸化建设浪潮中成为中坚力量、电子签名没有在电子数据司法实践中占据核心地位、电子认证服务机构没有把握住“互联网+司法”的萌芽阶段在最关键的时刻进入到我国司法圈运营体系中。当然,我们看待电子认证服务机构发展存在的问题重点不是批判,痛心归痛心,但要设定更好的目标,然后审视如何去达成,尤其是在数字化与网络安全大力发展的今天,电子认证服务机构应抓住机遇、转型发展、积攒力量,在众多的挑战当中脱颖而出。
3 电子认证服务机构转型机遇分析
电子认证是信息安全管理体系的一部分,在信息安全管理体系中的技术安全和业务安全都有涉及,信息安全管理主要包括信息的安全管理、信息系统及基础设施的安全管理以及安全制度体系的管理,网络空间安全管理则是在上述三者的基础上进一步拓宽,将信息安全风险(含技术安全、业务安全)所导致的自然空间安全风险(又称“引致安全1)”,如电子合同缺失导致的司法败诉、群体事件等)纳入到管理范畴。电子认证服务机构所从事的电子认证业务、证据保全业务可归结在网络空间安全的范畴,电子认证、证据保全从技术上实现了信息安全领域的防篡改、数据完整性、私密性,从司法实践上则解决了自然空间的司法诉讼问题,保障了社会稳定和个人权益。以此为基础,电子认证服务机构能够成为网络空间安全综合服务商,注意,只有电子认证服务机构才能出具所签发数字证书的、与电子签名法对标的《电子签名验证报告》,其他“中间商”不行。电子认证机构所处的历史阶段,是要积极地从传统信息安全服务向新型网络空间安全服务转型,其目的就是要厚积薄发,利用信息技术保障包括自然空间在内的安全,实现网络空间安全风险的综合治理2)。
当然,网络空间安全涉及方方面面,例如,环境安全、通信安全、云安全、应用安全、身份識别与访问控制、边界访问控制、内容安全、数据安全、态势感知、漏洞检测与管理、信息安全服务、物联网安全等安全领域,电子认证服务机构应立足自身密码应用能力,积极参与到其他安全领域建设,评估自身内部资源与所处的外部市场环境,或自研,或联合,补全安全服务能力短板,完善场景供应,基于行业细分、立足电子认证服务,将安全产品与服务做深做透。面对外部竞争和经营压力保持住战略定力,采取差异化和专一化竞争策略,应对现阶段市场竞争态势,同时持续在网络空间安全领域发力,将技术安全、业务安全、合法合规做深做透,突出电子认证服务机构在安全领域的专业性,从标准、测评、咨询、实施、司法等方面引领行业,并独树一帜,始终保持与其他降维竞争对手差异化。电子认证服务机构应把握住自身的核心重点行业,并通过创新与微创新、提供实时高质量的服务、加大和客户黏性等措施坚守已拓展行业客户。
电子认证服务机构虽然不可能覆盖网络空间安全的所有范畴,但至少对部分业务涉及较深,例如,电子认证服务涉及计算机安全、网络安全(Network Security)、信息安全、业务安全、司法诉讼效率,从而引致安全;证据保全业务涉及电子数据信息安全、业务安全、司法诉讼效率,从而引致安全;SVS、密码控件等密码产品类涉及网络安全和信息安全;等等。
电子认证服务机构向网络空间安全综合服务商看齐,其一:是以战略眼光谋划未来,在审视自己当下定位的同时预判自身未来定位;其二:从信息安全发展为网络空间安全,明确了未来业务发展的新边界,即,站在网络空间安全的高度开展业务创新、业务扩项以及开展各业务单元战略规划;其三:在成为网络空间安全综合服务商的过程中,势必会落地更多的国家和行业重大项目,在标准、规范、课题等方面有更多的建树,在国家重大事项中发声并参与,融入更多的权威行政圈、治理圈、司法圈、产业圈,最终提升电子认证服务机构地位。
总之,逆水行舟不进则退,电子认证服务机构不能只满足于“权威第三方CA机构”,成为网络空间安全综合服务商代表了新的目标,抛开战略发展不谈,某种程度来讲,这也是积极开展战略防御的一种有效措施。