網絡空間信任體系建設
責編:admin |2014-11-17 15:20:36全球網絡空間中,不同行為體之間占有的資源與擁有的能力處于不對稱狀態,網絡空間信任體系的重要性日趨凸顯。基于網絡空間信任體系的能力競爭,已經成為國家間能力競爭的最前沿。這種競爭旨在實現保障國家網絡安全和全球網絡空間行動準則這兩個主要目標,這兩者之間的關系,整體來看,是并行不悖的,尤其是對大國而言。推動這種競爭的主要驅動力來自網絡空間信任體系層面,即傳統信任體系的深刻變遷。因為如此,這種競爭的出現、發展和加劇都是無法避免的。只有從這一視角出發,我國必須要準確把握后斯諾登時代全球網絡空間治理及其信任體系建設的核心任務,并形成與之匹配的策略、規劃、路徑和保障措施,助力形成符合時代發展方向和需求的網絡空間治理新秩序。在此過程中,包含網絡空間信任體系關鍵基礎設施、支撐技術與標準、核心資源等具體內容,使之符合網絡空間治理體系的調整,并成為我國網絡空間戰略與保障能力的主要組成部分。
新背景與新挑戰
近年來,與互聯網以及全球網絡空間相關的議題迅速崛起,并逐漸從相對邊緣的區域次第滲入到國際舞臺的核心區域。2010年維基揭秘網站與美國國防部、國務院展開了信息公開與國家安全的博弈,谷歌公司則試圖挑戰中國對互聯網的主權管理;2011年西亞北非局勢發生動蕩,奧巴馬政府出臺《網絡空間國際戰略》;2012年到2013年有被渲染為美國國家安全的“中國網絡間諜攻擊”系列新聞和中情局前雇員愛德華·斯諾登(Edward Snowden)披露的“棱鏡門”事件;2014年美國修改國家安全局存儲數據的構想浮出水面,突然宣布“放棄”對互聯網名稱與數字地址分配機構(ICANN)的“管理”,更是直接將網絡空間與不同行為體之間的關系推上了風口浪尖。
面對上述事件的紛紛擾攘,特別是從國際關系的視角理解上述變動對國家安全、國家間關系以及與各類行為體(包括國家與非國家行為體)密切相關的網絡空間治理體系所帶來的影響,顯然必須認真考慮網絡空間信任體系的建設與發展問題。在此發展變動的關鍵時刻,重新思索和理解網絡空間信任體系這個重要概念的新含義,并以此構建分析、認識、理解網絡空間治理和網絡經濟產業健康發展問題框架的起點,顯然是非常重要的。
自20世紀60-70年代至今,信息技術革命造就了一個幾乎有效覆蓋全球各地的網絡空間,不同類型的行為體參與了網絡空間的各類活動與事務且日趨頻繁、形式多樣,涉及了信息生產、交換、傳輸、存儲和處理等相關的活動,并直接或間接與實體空間相對應。在20世紀90年代,互聯網剛剛啟動實質性的商業化進程沒多久,有關網絡信任體系能力、管理的微妙關系就引發了人們的關注。進入21世紀之后,隨著“云計算[注]”這一技術的興起,新形勢下的網絡空間信任體系概念逐漸引起了多方關注。直接涉及到數據所有者、使用者、存儲者在地理位置上的分離以及由此帶來的權利識別和有效行使的問題。
實踐表明,對網絡空間行為主體的信任鏈的理解,其最主要回答的問題既包括網絡空間行為實施者與行為承受者之間的權益博弈,還包括網絡空間秩序維護者即規則制定者與網絡空間群體之間的博弈。信任問題在沒有顯著的物理邊界可供感知的網絡空間中其風險被進一步放大了,如果沒有擁有法律和管理意義上的信任體系,則很難應對大數據[注]背景下的網絡空間責任認定、身份認證和授權管理及其不當運用。
實踐還表明,可以通過提供更加有效的網絡空間信任體系來解決上述問題。具體來說,這需要進一步完善信息技術迅速發展背景下的網絡信任體系建設及其相關的新架構、新模式、新技術和新應用,助力網絡空間的安全保障體系建設與努力提升。
我國網絡空間信任體系建設的成績與不足
如前所述,隨著電子政務、電子商務、物聯網、移動互聯時代的到來,同時也帶來了網絡信任體系以及由此衍生的社會和諧穩定的重大挑戰。網絡信任體系越來越成為保證電子政務、電子交易等安全、可信的重要保障。對此,各國政府無不對此重大挑戰高度重視并采取強有力的措施進行干預和管理。
從各國實際發展情況看,為了在網絡空間建立統一的信任體系,通常會建立起國家PKI體系。就一個國家而言,PKI體系的建設,基本上可分為“自上而下”和“自下而上”兩種模式進行。
“自上而下”模式是國家在一開始就成立了專門的管理機構負責本國的PKI建設,首先建立國家根CA,然后由國家根CA負責對下級CA的認證,最終建立起層狀的國家PKI信任體系。例如加拿大、德國、韓國等采用了“自上而下”模式。澳大利亞采用的方式是建立國家PKI認可委員會,對國內的CA頒發認可證書,從而形成自上而下的國家PKI體系。
“自下而上”模式則是先分地區、分行業建立起地區性和行業性的CA機構,然后再由國家出面進行協調,通過某種方式(如橋接CA技術),將各自獨立的CA機構聯結起來,形成國家PKI信任體系。例如美國、日本等通過橋接CA方式建立國家PKI體系,在網絡空間建立統一的信任體系。
我國PKI體系建設的情況是:一方面,行業和區域性CA發展很快,電子認證服務機構規模逐步擴大。目前,獲得工業和信息化部頒發電子認證服務許可的CA機構已有數十家之多,另外還有很多未獲得電子認證服務許可的CA機構在實際運營。另一方面,我國還未建立起國家統一的PKI體系。工業和信息化部作為電子簽名法授權的監管部門,行使服務許可等管理職能;而國家密碼管理部門正在根據政府相關文件以根中心模式規劃建設國家電子政務電子認證體系。
網絡空間信任體系建設的另外一個方式就是網絡身份證問題,數年前時任美國商務部長駱家輝透露,美國政府將通過推出“網絡身份證”構建網絡生態系統,使每個網絡用戶可以相互信任彼此的身份。商務部將成立專門的辦公室來處理這個項目,美國政府將尋求獨立的網絡技術供應商來設計、建造和提供網絡身份識別技術。據有關專家介紹,網絡身份證不僅能夠增加網絡安全,還可以減少網絡用戶記憶密碼的煩惱。推出網絡身份證,是美國加強網絡安全建設的一個步驟。美國將于未來頒布《身份認證國策》法案,推出智能身份證或數碼證書以識別網民身份。其它互聯網用戶大國的相關計劃亦已提上日程或正在實施當中。
中國工程院院士方濱興多年來一直呼吁推行網絡身份證,以確保網絡空間安全并預防個人信息泄露。業界專家一致認為這可能催生出一套新的網絡空間治理生態系統,即可能認識網絡空間活動主體,有效保障網絡空間主權,同時又符合網絡空間發展客觀需求。
我國目前網絡信任體系建設取得了不少成績,但也存在不少問題。特別是《電子簽名法》發布實施以來,我國的電子簽名及認證服務業得到了健康發展,依法提供電子認證服務許可的服務機構的服務能力不斷增強,服務范圍不斷擴大,發放的有效證書不斷增加。這些證書廣泛應用于報稅、報關、外貿管理等電子政務領域和網絡銀行、網上證券、網上支付等電子商務領域,取得了良好的使用效果。但不容忽視的是,這個領域也存在不少問題。由于缺乏戰略研究和進一步的統籌規劃,主管部門缺乏有效的技術監管手段和工具為其工作提供有力的技術支撐,使我國電子認證行業面臨證書策略管理、互聯互通、以及業務連續性保證等方面的困難。就我國目前電子認證服務業的發展狀況和趨勢來看,也還存在著一系列急需解決的問題。首先是至今尚未建立起國家級完善的電子簽名證書管理體系,目前我國CA的運營仍是各自為政,自成體系,沒有統一的證書分類、分級規范和方法,沒有統一的安全要求和風險控制,不能保證用戶對其所申請證書使用的可信度,影響用戶對電子簽名的使用信心,從而影響了整個電子認證行業的發展。此外,至今我國仍然依據《電子簽名法》和《電子認證服務管理辦法》(工信部第1號令)對CA機構進行服務許可管理,從基本制度上實現了對獲得電子認證服務許可的CA機構的管理,但CA機構間不能互連、互通、互認的問題長期得不到妥善解決,主管部門不能從技術手段上采取有效的管理措施,進行及時的精細化管理,阻礙了電子認證行業的健康、快速發展。第三個重要問題就是至今尚未高度重視技術國家級電子認證服務業務連續性保證的問題。目前已經得到工信部電子認證服務許可的各類電子認證服務機構,其業務連續性能力和保障水平參差不齊,有關部門對于他們的運行風險缺乏技術性手段進行監控、評估和管理,一旦發生CA機構倒閉、系統損壞等問題,其涉及業務的連續性和安全行都無法得到保證,將給用戶帶來不可估量的損失,對社會安定帶來不利影響,增加社會的不和諧因素,影響社會穩定。另外網絡身份證問題至今仍然停止不前,亟待加快論證實施。
加快我國網絡空間信任體系建設的幾點建議
必須加強我國網絡空間信任體系建設的頂層設計,進一步通過規范的電子認證服務建立和逐步完善國家網絡信任體系。隨著我國經濟發展速度的加快和經濟總量規模的增大,電子認證呈現出證書發放量逐年增大、覆蓋應用面快速擴展的特點。這些數字證書在各行業、各地區的電子政務、電子商務等領域,發揮著積極作用,促進了網絡信任的建立。但電子認證服務業作為信息安全領域重要的基礎設施和網絡信任體系的核心基礎,還處于發展初期,發展規模及應用模式等方面尚未形成集中優勢,其條塊分割的運行模式使電子認證行業的職能未能充分體現和被廣泛認可,數字證書服務的質量有待提高,市場未能得到充分挖掘。經濟和信息化的快速發展對電子認證服務已形成倒逼機制,電子認證服務的業務模式有待轉變,業務水平有待提高,服務意識有待提升。要建立我國有效的網絡信任體系,需要建立相應的證書策略體系、管理機制和技術平臺,實現國家級的CA策略管理、證書互認和電子認證的業務連續性保證(+微信關注網絡世界),形成我國規范的電子認證服務。為此,我們需要做好以下幾項工作。
(1) 制定國家級證書策略體系,實現證書分類分級管理
借鑒美國等國家的經驗,制定基線證書策略和各應用領域的分級證書策略,形成我國自主的證書策略分類分級體系及其實施方案,實現證書策略管理,促進應用系統間認證資源共享,為數字證書推廣和跨行業應用打好基礎。
建立電子簽名證書策略管理體系,可以從產業全局出發建立規范統一的證書策略管理體系,實現電子認證機構評估標準和流程的統一;可以指導應用程序開發商和數字證書依賴方識別證書安全級別,對證書正確使用;可以通過專門的策略管理中心實施基于證書策略的電子監管,以技術手段替代行政管理手段,實現對電子認證機構的服務質量評估;可以為我國電子認證體系與國際電子認證體系的接軌奠定基礎。
(2) 建立國家級證書互認平臺,實現證書互認和技術監管
開展數字證書互認研究,制定證書互認工作規范和互認標準,制定證書互認技術方案,建立跨區域、跨行業數字證書的互認試點,促進認證服務機構互聯互通,推動全國網絡信任體系建設,實現國內各CA機構之間的證書互認,為與國際CA機構間的證書互認奠定基礎。
建立國家級證書互認平臺,可以有效解決目前電子認證機構間不能互連互通,缺乏統一技術、應用、服務標準,簽發證書不能互認等問題,為電子認證主管部門提供有效的技術監管手段,解決CA機構質量評估、證書驗證等國家電子認證主管部門急需解決的問題;可以通過建立完整的電子認證基礎設施,為國家網絡信任體系的建立奠定基礎,實現政府有效監管、認證機構規范運營、依賴方便捷應用、電子簽名人得到有效法律保障的目標;可以為電子認證行業提供必要的技術引導,尋求產業發展新方向和新模式;可以促進國際合作的發展,提升我國電子認證服務行業在國際上的競爭力。
(3) 建立國家級證書備份庫,實現電子認證業務連續性保證
建立各CA資料的備份庫,實現對CA機構證書資料庫的靈活調用、統一查驗,做到對證書的統一管理,完成對CRL列表和OCA服務器等的統一監管,做好CA機構業務承接中的應急響應,保證電子認證業務的連續性,保障證書使用者的合法利益。
建立國家級證書備份庫,可以通過對CA機構證書庫及相關信息的備份,及時對CA的運營狀況進行監控和引導;可以通過采用科學、規范的方法,依據不同層次的證書策略要求,對認證機構進行不同安全要求的評估和認定,規范電子簽名證書的質量,保證證書策略的有效實施。
(4) 加快推進網絡空間后臺全員實名制,制定和頒發統一的網絡身份證,實現網絡空間身份真實性保證。
大數據時代的來臨加速了網絡空間信任體系建設發展的約束性要求進程,網絡空間的各種復雜行動也對此提出了更加緊迫的要求。網絡空間自身的特定屬性既為推動網絡空間信任體系的提供了便利條件,又提出了前所未見的全新挑戰。在這個特殊的空間里建立主權,而且是參考現實世界中的主權,正成為國家間競爭的新領域。要更好地認識并理解這種網絡空間正在出現并高速發展的新型競爭,就必須深刻認識加快當前網絡空間信任體系建設的緊迫性。真正需要的是以此為契機提出基于網絡空間信任體系建設的網絡空間治理機制的新主張,從目前的發展態勢看,我們必須迎頭趕上,為建設信息強國而努力奮斗。
下一篇:當前網絡安全形勢與展望