高级搜索

我国网络可信身份服务发展现状、问题和对策研究

  • 来源:网络空间安全
  • 关键字:网络安全,网络可信身份服务
  • 发布时间:2019-02-01 10:12

  摘要:随着信息化和网络化的日益普及、国家对网络安全的重视、用户使用信心的逐渐增强以及进入网络可信身份服务领域的企业数量进一步增多,网络可信身份服务业市场规模将进一步扩大。论文首先从法制环境、基础设施、行业标准等角度分析了我国网络可信身份服务发展现状;其次从顶层设计、行业监管和人才培养等方面提出了网络可信身份服务发展面临的问题;最后给出相应的对策建议。

  关键词:网络可信身份服务;现状和问题;对策建议

  中图分类号:TP393 文献标识码:A

  1引言

  随着互联网、移动互联网、物联网的飞速发展,人们的日常生活、工作对网络空间的依赖程度越来越高,而随着网络空间价值的不断提升,其面临的安全态势越发错综复杂,技术侵略、失密泄密、国际窃密、网络间谍、有组织的网络攻击等频发,造谣、诽谤、诈骗、网络暴力等一系列网络违法犯罪活动层出不穷并持续升级,对个人生命与财产安全、企业生产经营、社会稳定以及国家安全带来极大的风险与隐患。

  2我国网络可信身份服务发展现状

  2.1法制环境初步形成

  随着互联网信息技术的发展,网络空间治理受到越来越多的重视,我国不断加强网络空间安全的法制化管理,制定、颁布并施行了多个有关网络实体身份信息安全与管理的法律、法规以及规范性文件,初步形成了良好法制环境。2005年4月正式施行的《中华人民共和国电子签名法》,明确了电子签名人身份证书的法律效力,为确定网络主体身份的“真实性”提供法律依据。2012年12月通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》提出,“网络服务提供者为用户办理网站接入服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确定提供服务时,要求用户提供真实身份信息”。2014年8月颁布的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,规范了审理利用信息网络侵害人身权益民事纠纷案件。

  2015年4月,中共中央办公厅、国务院办公厅联合印发了《关于加强社会治安防控体系建设的意见》,明确加强信息网络防控网建设,建设综合的信息网络管理体系,加强网络安全保护,落实相关主体的法律责任,落实手机和网络用户实名制,健全信息安全等级保护制度,加强公民个人信息安全保护,整治利用互联网和手机媒体传播暴力色情等违法信息及低俗信息。2017年6月正式实施的《中华人民共和国网络安全法》,明确提出“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认”。此外,相关部委也相继出台一系列规定和管理办法。

  2.2基础设施建设进展显著

  近年来,中央网信办、国家发展和改革委员会、科技部、工业和信息化部、公安部、财政部、人力资源社会保障部、商务部、中国人民银行、海关总署、国家税务总局、工商总局、质检总局、国家密码管理局等网络可信身份相关主管部门都积极开展了网络可信身份相关研究和实践工作,极大地促进了网络可信身份基础资源建设。比如,中央网信办组织开展了国内外网络可信身份现状、相关理论、政策和应用研究,并指导开展了网络可信身份项目试点工作。工业和信息化部推行域名实名注册登记制度,规范域名注册服务,加强对第三方认证服务机构的监管,推进电子认证服务产业健康、快速发展。公安部组织直属机构和科研院所加强对网络身份认证技术、标准的研究和探索,公安部第一研究所和第三研究所分别提出居民身份证网上副本和电子身份标识作为网络身份凭证,确保网络身份的真实性、有效性。中国人民银行监管的各金融机构已建立客户身份识别制度,并有效落实执行了账户实名制,通过“面签”的形式确认客户的真实身份,并依据实名认证的结果给用户发放身份凭证;针对在线业务制定了网络身份认证策略和网络身份管理策略等等。工商总局建设了市场经营主体网络身份识别系统(2013年更名为“电子营业执照识别系统”),采用统一标准发放的电子营业执照包括社会信用代码、市场主体登记等信息,具有市场主体身份识别、防伪、防篡改、防抵赖等信息安全保障功能,主要解决企业法人网络身份的识别问题。

  2.3技术产品日趋丰富

  随着网络空间主体身份管理与服务的不断深入,我国网络可信身份技术自主可控能力显著提升,以实现网络主体身份“真实性”和属性“可靠性”的国产认证技术产品基本成熟。一是网络认证模式从最早适用于社交平台、电子邮件等安全性需求较低的用户名+账号、手机号、二维码等低强度认证方式,逐渐演变为适用于电商平台、电子支付、证券交易等安全性需求较高的电子认证、生物特征识别、动态口令等认证模式;二是以国产非对称加密算法、散列算法等为主的基础密码技术逐渐替代国外的算法,例如国产密码SM1、SM2、SM3、SM4等,国产密码算法产品不断丰富,通用型产品已达到62项,涉及PCI密码卡、数字证书认证系统、密钥管理系统、身份认证系统、数字证书认证系统、服务器密码机等22种产品类型;三是基于数字证书的身份认证技术日益成熟,包括数字签名、时间戳等关键技术,以及身份认证网关、电子签名服务器、统一认证管理系统、电子签章系统等一系列身份认证安全支撑产品,国产服务器证书正在逐步替代国外同类产品。

  2.4网络可信身份服务业形成一定规模

  随着网络空间主体身份管理与服务的不断深入,生物特征、区块链等技术逐步融入到网络身份服务行业,推动网络可信身份服务新模式不断涌现,促进我国网络可信身份服务产业快速成长。据赛迪智库统计,截至2017年底,我国网络可信身份服务产业总规模近990亿元。其中,网络可信身份第三方中介服务规模约25亿元,网络可信身份服务基础软硬件产品约为460亿元,网络可信身份服务机构收入超过505亿元。

  3我国网络可信身份服务发展面临的问题

  3.1顶层设计缺失,缺少统筹规划和布局

  我国的网络可信身份体系建设缺少国家层面的顶层设计,还未明确将网络身份管理纳入国家安全战略,也未形成推进我国网络可信身份体系建设整体框架、时间表和路线图,在政策法律、技术路线、应用模式等方面缺少统筹规划和布局,导致各主管部门职责不清,政府和市场、自主和开放等间的关系还没有理清,责任主体权益和义务不明确,急需做好调研、理清现状、把握问题,结合中国实际情况,做好顶层设计,统筹推进我国网络可信身份服务健康持续快速发展。

  3.2行业监管不足,市场有待进一步规范

  网络可信身份作为网络空间的基础设施,随着网络安全攻击手段不断升级,其面临的安全风险日益严重。网络可信身份行业的监督需进一步加强,网络可信身份认证规范体系有待建立,包括从主体资格、经营场所、注册资本、技术设备、专业人员、用户身份信息管理、可信身份标识管理、网络安全管理、运营管理、信用等方面,对网络可信身份服务商的综合能力和水平进行认证,规范网络可信身份服务市场,提高行业整体规范性和服务能力。

  3.3基础设施尚未互联互通,重复建设现象严重

  由于缺乏战略设计和统筹规划,我国网络可信身份基础设施共享合作相对滞后。目前,公安、工商、税务、质检、人社、银行等部门的居民身份证、营业执照、组织机构代码证、社保卡、银行卡等基础可信身份资源数据库还未实现互通共享,且缺少护照、台胞证、驾驶证等有效证件的对比数据源,导致数据核查成本较高、效率低;现有的网络可信身份认证系统基本上由各部门、各行业自行规划建设,各系统各自为战,网络身份重复认证现象严重,并且“地方保护”“条块分割”现象严重,阻碍了网络可信身份快速发展和价值发挥。

  3.4认证技术发展滞后,还不能满足新技术、新应用的需求

  随着互联网应用深化,对方便、快捷、在线的身份认证需求迫切,但无论是自然人的身份证还是法人的营业执照等尚不能有效支持网络化远程核验,在初次核验用户身份后,在实际业务开展中缺乏必要的后续验证,难以保证用户网络身份与真实身份的持续一致性。云计算、大数据、移动互联网、工业互联网等新一代信息技术不断涌现,数据的传输、存储、处理等方式与传统信息技术及应用存在重大差异,已有身份认证技术、认证手段、认证机制还不足以支撑新技术、新应用的发展。服务商及设备身份、感知节点、应用程序、用户数据存储及处理控制等诸多可信身份的鉴别和认证,对网络可信身份提出更新、更高的要求,网络可信身份技术需要创新发展、与时俱进。

  3.5教育培养体系建设滞后,人才队伍严重匮乏

  人才短缺已成为制约网络可信身份行业发展的重要因素。作为互联网新兴产业,网络可信身份服务仍处于发展阶段,人才培养体系建设滞后,人才支撑能力不足,极度缺乏高端人才,专业技术人才供需矛盾日益突出。第一,普通高校还没有设置网络可信身份专业,相关课程设置也不科学,没有遵循完整性、前沿性、特色性的原则,国际前沿的网络可信技术知识未能快速普及到课程之中;第二,高等职业教育定位不清。很多高等职业学校除了在理论课程内容设置比学历教育浅显外,培养方式与普通高等教育方式并无差别,高职教育没有突出网络可信身份职业导向所重视的实操能力培养;第三,社会培训作用有限,目前我国社会培训并没有成为网络可信人才培养的主要途径,社会上开展网络可信身份相关知识培训的机构非常少,举办的相关知识培训班屈指可数,通过国际认证资质的网络可信身份人才数量极为有限。

  4加快我国网络可信身份发展的对策建议

  4.1完善顶层设计,加快出台战略规划

  为实现网络可信身份生态体系建设的总目标,我国应加强顶层设计,及时出台战略规划。一是打破现在各部门“分工负责、各司其职”的条块方式,在中央网信办统筹协调下,建立分工合理、责任明确、运转顺畅的协调体制,成立联合指导小组负责网络可信身份生态体系的标准制定和评估认可流程;二是研究制定网络空间信任体系风险评估模型,建立综合的身份标识和鉴别标准,保障技术和政策标准的一致性和互操作性,以适应不断升级的安全威胁和不断创新变化的市场需求;三是为实现个人和服务商之间的互操作和信任,加强隐私保护机制和问责机制,防止个人信息滥用,制定或修订相关的政策和法律法规,通过建立清晰的个人隐私保护规则和指南,设立问责机制和补救程序。

  4.2推动相关法律法规衔接,完善法律体系

  完善网络可信身份服务法律体系,主要通过两种途径来完成:一是对已有的法律法规进行修订、完善,如个人信息与网络身份管理相关的条款在《刑法》《刑事诉讼法》《民事诉讼法》《合同法》《电子签名法》《侵权责任法》《居民身份证法》等法律法规中有涉及,可以通过修订、完善相关条款,来明确网络可信身份在社会生活中的重要作用和法律地位;二是对尚未涉及的部分进行立法补充,如起草数据采集、存储和跨境流动相关法律,规定互联网服务提供商、网站运维商等机构收集、存储数据的范围,地域边界和时效性,界定政府、企业、个人的权责和义务,应禁止服务商和运维商存储法律规定不得存储的信任源数据。

  4.3建设可信身份服务平台,推动可信身份资源共享

  通过建设集成公安、工商、CA机构、电信运营商等多种网络身份认证资源的可信身份服务平台,提供“多维身份属性综合服务”,包括网络身份真实性、有效性和完整性认证服务,最终完成对网上行为主体的多途径、多角度、多级别的身份属性信息的收集、确认、评价及应用,实现多模式网络身份管理和验证。可信身份服务平台,打通了不同网络身份认证体系、不同身份服务提供商之间的壁垒,实现身份认证凭证之间的互通互认,整体提升网络可信身份服务商的服务能力。通过完善网络身份管理,能够保障网络主体的身份可信、网络主体属性可用,营造安全的网络环境,加快各互联网应用的进程,维护保障网络活动中有关各方的合法权益,促进电子政务、电子商务的健康发展,为信息化建设提供安全支撑。

  4.4加强认证技术创新,提升行业竞争力

  我国网络可信身份生态体系的安全稳定离不开网络可信基础技术产品的国产化。这就要求产业链上下游企业要打破国外垄断,积极进行技术创新,避免低水平重复研发。一是加大对核心加密算法等基础研究的投入,加快进行国产密码算法在主流安全产品中兼容性、稳定性和可靠性测试,提高高加密强度下产品的综合性能;二是积极研究身份认证技术升级改进,研发国产身份认证系统,对认证介质和基础数据库进行升级换代;三是加快国产可信安全操作系统、可信安全整机以及可信安全芯片、生物识别芯片、可信BIOS等关键软硬件的成熟化和产业化进程;四是采取有力措施鼓励与支持重点领域的关键基础设施,采用国产可信计算产品和安全解决方案。

  4.5加强业界合作,打造良好产业生态

  为推进网络可信身份服务业的健康发展,应建立网络可信身份生态联盟,该联盟由产业链上下游的第三方中介服务机构、基础软硬件厂商、网络可信身份服务商、依赖方、高校和科研单位等共同组成。联盟以技术创新为纽带,以契约关系为保障,有效整合政产学研用等各方资源,通过对网络可信身份认证技术的研究及自主创新,形成具有自主知识产权的产业标准、专利技术和专有技术,开展重大应用示范,推动我国网络可信身份生态的建设和发展。此外,联盟还负责与政府、行业主管部门、协会等的沟通,推动成员开展合作等。

  4.6加强宣传培训,营造可信身份良好氛围

  加强对网络可信身份知识的宣传是提高用户接受程度的主要途径。宣传工作应从三方面入手:一是重点网络可信身份生态体系建设的重大意义和对民众带来的实在益处;二是宣传培训范围要广泛,不仅包括自然人,也包政府部门、企业、科研单位和社会团体等;三是应注意消除公众对网络可信身份生态体系建设的疑虑,特别是个人隐私保护方面的误解。

  当前互联网传播方式也早已进入自媒体时代,个体传播行为的重要性日益突出,网络可信身份生态体系建设的宣传培训过程也是用户主动传播的过程,为提高宣传效果,政府媒体应注意三点:一是网络可信身份生态体系的建设应有效地解决用户需求,给使用者带来真正的好处,使用户心甘情愿地主动为网络可信体系进行宣传;二是网络可信身份生态体系的建设应确保参与者(如网络可信身份服务商)的利益,这样他们才能成为宣传的中坚力量;三是认真听取社会各方面的的不同意见,主动沟通,争取最大范围的支持,使网络可信身份生态体系深入人心。

  5结束语

  本文首先分析了我国网络可信身份服务发展现状,其次分析了我国网络可信身份服务发展面临的问题,最后提出相关对策建议。研究表明,网络可信身份管理的法律法规环境已初步形成,行业基础设施建设和信息技术产品发展卓有成效,网络可信身份服务业已具备一定规模。但必须要注意的是,我国网络可信身份服务在顶层规划、行业监管、基础设施互联互通、认证技术研发和人才培训等方面尚存在不足,亟待实现战略规划的加速出台、法律体系的完善、可信身份服务平台的建设、认证技术的创新、业界合作和人才培训的加强等。

  参考文献

  [1]刘耀华.国际网络可信身份战略研究及对我国的启示[J].网络空间安全,2018,9(2):21-5.

  [2]宋宪荣,张猛.国外网络可信身份认证技术发展现状、趋势及对我国的启示[J].网络空间安全,2018,9(2):6-11.

  [3]荆继武.网络可信身份管理的现状与趋势[J].信息安全研究,2016,2(7):666-668.

  (赛迪智库网络空间研究所,北京100846)

  张博卿

关注读览天下微信, 100万篇深度好文, 等你来看……
立即购买本期杂志
查看本期更多内容