从服务看电子认证

可信规范的运营随需应变的服务——从服务看电子认证背景•《中华人民共和国电子签名法》（第十六条）：电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。•《电子认证服务管理办法》：本办法所称电子认证服务，是指为电子签名相关各方提供真实性、可靠性验证的公众服务活动。电子认证服务的“拼图”资金人员物理场地CPS审计鉴证服务CA认证中心系统密码资质风险与责任管理应用模式客户服务系统安全投资回报业务持续性应用拓展客户培训业务咨询获得电子认证服务资质依法开展电子认证服务鉴证服务电子认证服务的支撑开展电子认证服务的重要拼图业务可持续性具有高可靠性、高可用性、能够有效应对危机的电子认证服务投资回报给用户带来切实的投资回报风险与责任管理承担相应的责任，降低用户风险鉴证服务•第二十条电子签名人向电子认证服务提供者申请电子签名认证证书，应当提供真实、完整和准确的信息。电子认证服务提供者收到电子签名认证证书申请后，应当对申请人的身份进行查验，并对有关材料进行审查。•第二十二条电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确，并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。《电子签名法》和《电子认证服务管理办法》对电子认证服务提供者提出了严格身份认证要求鉴证是电子认证服务机构的核心功能之一，只有可靠的鉴证服务，才能构建起可信的电子认证服务当面鉴证委托鉴证异地鉴证虚拟身份鉴证可靠的鉴证模式1234针对不同的业务，设计不同的鉴证模式，以及相应的流程和方法。CA中心需要严格执行鉴证流程和方法税务、技监、招投标…银行、政府…易货贸易…游戏…案例：医疗认证服务与鉴证创建新型的社区卫生服务的应用需求•通过信息化网络建设搭建社区卫生服务信息平台，对社区卫生服务工作进行网格化管理并做到全方位和全人群覆盖，所有医疗数据全部实现电子化、网络化的管理。•由于医患双方间医疗纠纷的普遍性，因此需要为社区卫生平台建立有效的身份鉴证及责任认定机制，确保在事后出现医疗纠纷时能够追踪与取证，界定责任。电子认证服务解决方案•为社区医生颁发数字证书•针对医疗数据需要严格电子签名，对电子病历、电子处方等关键业务数据的处理，要对操作人采取可视数字签名处理，以准确追踪、定位原始行为人•严格的鉴证流程，使证书及签名发挥责任认定的作用业务可持续性•第二十二条电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确，并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。•第二十四条电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后五年。《电子签名法》和《电子认证服务管理办法》对电子认证服务提供者提出了持续服务要求，对业务暂停和承接作出了严格的规定•电子签名活动，要求认证服务的可持续性–证书认证体系建立后，需要长期持续稳定服务–证书发放后，在证书的整个生命周期，CA中心需要提供证书验证和查询等认证服务–证书信息需要长期保存•CA中心的在CPS中对客户作出了可持续服务承诺业务可持续性的建设目标：具有高可靠性、高可用性、能够有效应对危机的电子认证服务通过分析电子认证服务的业务体系，CA中心的风险来自人员、物理环境、系统、密钥等方面。因此业务可持续性建设应包括：安全风险评估可信的人员安全的物理环境系统可靠性设计系统的安全防护密钥、设备管理文档资料管理应急处理预案CPS符合行审查案例：网上报税业务与业务持续性网上报税缴税的应用需求•“财税库行横向联网系统”，通过数据共享和税票信息的电子化，使纳税人在纳税申报、缴纳税款等各个环节突破时间和空间的限制，实现网上实时缴税。•需要严格的身份认证和责任认定•要求不间断服务解决方案电子认证服务解决方案•全面的基于数字证书的应用安全服务，保障了网上申报实时缴税的安全，实现无纸化报税。•应用对电子认证服务业务持续性的高要求风险与责任管理•电子认证服务提供者依照《电子认证业务规则》承担相应的责任•为用户提供全面的安全支撑，用电子认证服务加强用户的安全，降低用户的风险•第二十八条电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。《电子签名法》和《电子认证服务管理办法》对电子认证服务提供者提出了承担赔偿责任的要求案例：网上银行业务与风险管理网上银行业务的安全需求•网银系统通过证书实现了用户的身份认证、信息传输的保密和完整、交易行为的不可抵赖。•但由于银行的业务流程的复杂，风险可能不是直接来自证书被攻破。电子认证服务解决方案•不仅仅局限于证书，而是将证书放到整个网银的业务流程中，分析网银业务的风险•针对业务流程中假冒、复制、截留、责任认定、非授权操作等风险，提出解决方案•使证书真正成为全面安全解决方案投资回报•第三方认证服务不是强制性•电子认证服务需要给客户带来业务的差异性，带来切实的投资回报•投资回报是客户选择认证服务的基础，有时是唯一的决策因数•第三条民事活动中的合同或者其他文件、单证等文书，当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。•第十六条电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。《电子签名法》和《电子认证服务管理办法》对电子签名采用当事人意思自治原则案例：网上审批业务与投资回报无纸化网上审批的应用需求•可销售汽车审批，主要审批依据是由依据环保监测机构所出具的汽车尾气检测报告书。•为防止汽车企业私自修改检测数据，要求汽车企业手工扫描上百页检测报告书的内容，通过网络方式上传到市环保局，打印出来后作为复印件存档。电子认证服务解决方案•通过引入基于数字证书的电子签章机制，优化了网上审批流程，既保证了检测书来源的可信性及文件内容的完整性，又避免了用户繁琐手工操作，真正提高了办事效率。•为审批机构和送审单位都带来了投资回报成功电子认证服务的基础可信规范的运营随需应变的解决方案全面的证书应用产品成功的电子认证服务可信规范的运营是成功的电子认证服务的基础身份认证与授权管理•WEB信息安全系统BJCASecX•统一认证管理系统UAMS•单点登录系统BJCASSO责任认定•电子签章系统DocSign可信环境•桌面安全系统PCGuarder全面的证书应用产品可信规范的运营随需应变的解决方案全面的证书应用产品成功的电子认证服务围绕网络信任体系的建设，BJCA开发了大量自有知识产权的应用安全产品随需应变的解决方案可信规范的运营随需应变的解决方案全面的证书应用产品成功的电子认证服务通用PKI解决方案•安全电子邮件•文档电子签章•SSL与Web安全管理•统一认证与授权行业应用解决方案•网上银行•网上税务•网上证券•网上招投标•在线保险•在线教育……电子认证服务的未来——消失在随需应变的应用中技术触发过度期望的峰值应用前景乐观度渐增生产力平缓期峰谷低落期谢谢可信规范的运营随需应变的服务