1 可信网络空间及其特性
可信网络空间是指一个网络主体彼此信任、信息的安全性和真实性值得信赖、仲裁结果令人信服的网络空间。其中,电子认证服务是连接网络主体与应用提供商的桥梁,是构建可信网络空间的核心环节,也是主体注册、信息存储、信息传输、信息提取、网络举证、网络仲裁等构建可信网络空间的其他环节的基础。
可信网络空间主要包括五个特性。
主体身份的“真实性”,即网络行为主体的身份真实可靠,如果是匿名或假名主体,必须确保通过一定的方式可以核实其真实身份。
主体属性的“可靠性”,即网络行为主体的年龄、性别、职务等属性信息是可靠的、值得信赖的。
信息内容的“保密性”,即网络信息不被泄露给非授权的用户、实体或过程,或供其利用。
信息内容的“完整性”,即网络信息在存储或传输过程中保持不被删除、修改、伪造、乱序、重放、插入等行为偶然或蓄意地破坏和篡改。
主体行为的“可追溯性”,即在适当的时间,采用合适的方式标识网络行为的主体、发生时间及状态,为网络仲裁提供依据。
可信网络空间国家战略就是要从政策、法律法规、组织机构、产业、基础设施、技术、人才等多个方面,确保我国网络空间满足上述五个特性。
2 构建我国可信网络空间存在的问题
2.1 网络空间产生诸多新威胁
网络空间的出现带来了快速而巨大的变革,同时也带来了新的威胁。近年来,全球信息安全安全保障和风险防范难度持续加大,具体包括:黑客行为组织化;恶意攻击更具目标性,高级可持续性攻击增多;出现了政府部门支持的攻击、恐怖分子发起的攻击;物联网、云计算、移动互联网等新技术应用带来新问题;重要信息系统和工业控制系统的安全状况面临挑战等。
2.2 可信网络空间核心产业不能满足可信网络空间需求
电子认证服务产业是可信网络空间的核心产业,其在快速发展的同时也存在着诸多问题。
第一,针对电子认证服务(CA)机构的商业保险等公共服务尚未发展起来。CA机构对其发放的数字证书给用户造成的损失进行赔付,是数字证书提供优质服务的保证,但目前保险行业还缺少相应保险属种。
第二,数字证书在服务器认证、移动电子商务等高端应用相对落后。截至2011年底我国有约230万个网站,但仅使用2万余张服务器证书,99%以上的网站没有使用服务器证书。在2万余张证书中,国外机构签发3510张,虽然只占我国证书总量的17.2%,但都应用于证券、银行、保险、其他金融类服务、电子商务行业等关系国计民生的领域存在安全隐患。
2.3 可信网络空间相关技术相对滞后
第一,国产密码算法尚不能满足需求。出于国家安全的考虑,作为重要基础设施的PKI系统将不能依赖于美国及其他国家密码算法产品的出口,必须加快国产密码算法技术产品的研发和生产,全面形成自有知识产权的系列密码算法。第二,相对于移动互联网、云计算、物联网等新兴领域日益扩大的需求,新技术领域可信技术开发仍存在较大差距。
2.4 可信网络空间的专业人才队伍不能满足需求
构建可信网络空间,归根结底要靠“人”去实施。目前可信网络空间专业人才严重不足,不能满足构建我国可信网络空间的需求。尤其缺少既懂技术又有经营管理经验的复合型人才,当务之急是要加快这类人才的培养。
3 构建我国可信网络空间的战略举措
3.1 构建我国可信网络空间的战略思路
构建我国可信网络空间应坚持的战略思路是:坚持政府引导、市场运作、各方参与的原则,坚持制度创新和研发创新相结合,推动部门、机构、区域、国家间广泛合作,兼顾解决方案可用性、安全可靠性、可互操作性和经济性,充分利用现有的电子认证服务业资源,把电子认证业作为可信网络空间的核心和基础环节,加快电子认证服务产业链建设、推动电子认证服务在电子商务、电子政务等领域的应用,逐步实现对实体身份、属性的认证,以及主体行为核查和追溯,建立网络空间身份认证、属性认证、信息保护、授权管理和责任认定机制,推动建立互信、互认、安全、公正的可信网络空间。
3.2 构建我国可信网络空间的战略目标
构建我国可信网络空间应实现的目标是:建立基于数字证书的可信网络生态体系,进一步推动各网络主体在网络空间中建立可靠的信任关系,有效规避各种网络风险和安全威胁,营造互信、互认、安全、公正的网络环境。
如图1所示,可信网络生态体系是一种信任机制,利用这种机制,政府、组织和个人能够在虚拟和自由的网络空间中建立起可靠的信任关系,充分相信对方,形成互信、互认、安全、公正的网络氛围。
3.3 可信网络生态体系应用模式示例
如图2所示,在参与在线业务之前,可信网络生态体系中的网络主体可从身份提供商处获得一个匿名或者可唯一标识身份的身份凭据。身份提供商将验证主体的物理身份,并确保数字身份准确地反应了真实的网络主体。随后,身份提供商将主体的身份凭据与主体的数字身份联系到一起。
在图3中,网络主体直接向依赖方展示其身份凭据和属性,以获得业务授权。网络主体利用隐私增强技术,使向依赖方提供的信息量最小化。接下来,在无需身份提供商及属性提供商知悉该主体正在进行当前业务的前提下,依赖方可以验证该主体的身份凭据和属性。网络主体可能向依赖方提供属性值(例如“我的生日是1974年3月31日”),或者是经过验证的属性声明(例如“我的年龄大于21岁”)。依赖方可以鉴别该凭据和属性是否来自于可靠的提供商,以及该凭据和属性是否仍具有时效性。同样,通过检查依赖方是否拥有可以证明其遵守可信网络生态体系规则的可信标记,网络主体能够更加明智地选择依赖方。当个体在线获取依赖方的服务时,可信标记可通过电子方式得以验证。
4 构建我国可信网络空间的措施建议
以电子认证服务为核心的网络信任体系建设,为构建可信网络生态体系奠定了坚实的政策、法律法规、组织机构、产业、基础设施、技术和人
才基础,但是可信网络生态体系的实现仍需开展大量的工作。
4.1 完善可信网络空间相关法律体系和标准规范
建议完善可信网络空间法律体系,健全《刑法》、《公司法》、《合同法》等相关法律法规,明确网络犯罪行为的认定和处罚、实现对虚拟财产、虚拟身份、网上交易等网络资源和行为的法律保护,并针对电子商务、网络隐私保护、网络信息安全保护的特殊需要,探索网络空间单独立法的必要性和可行性。完善网络身份管理、网络属性管理、网络权限管理、网络行为/内容认定相关标准规范,建立涵盖环境、系统、流程、内容的身份/权限证书签发和应用标准体系。
4.2 建立结构合理的证书策略体系
建议逐步推出可信网络空间个人、法人、设备等所有网络主体的证书分类策略,确保在可信网络空间中针对所有网络行为能够追溯出其所对应的网络主体。根据应用需要进行证书分级,建立完善的(身份)证书分类分级策略体系。
4.3 加强可信技术产品研发和创新
建议推动电子签名与认证基础技术产品的国产化,完成加密机、数字证书认证系统、数字证书介质、数字证书应用系统的升级换代,全面支持国产密码算法,大力提升国产密码算法产品的效率、稳定性和可靠性。加快国产可信安全操作系统、可信安全整机,以及可信安全芯片、可信BIOS等关键零部件的成熟化进程,鼓励重点领域的关键基础设施、信息系统采用国产可信计算产品和安全解决方案。
4.4 推动可信网站评价体系建设
建议制定合理的网站可信评价指标体系框架,明确网站可信展示指标、网站可信认证指标在网站可信评价指标体系中的地位以及它们之间的关系。明确网站可信认证指标,通过权威备案信息比对和服务器数字证书验证两种方法对网站进行可信评价,引入第三方机构参与评价,确保评价的公信力。
4.5 加快专门人才队伍建设
建议在教育机构中设立相关专业课程,进行专业培训,还要建立企业和高校联合培养机制,建立人才实训基地,大力培养行业紧缺人才。充分发挥行业组织等公共服务机构作用,开展行业专业技能培训,针对入侵检测、日志管理等专业内容,开展大规模的培训和认证。建立人才选拔机制,从现有的人员中选拔具有相关知识技能的人才,以应对专业人才缺乏的现状。
4.6 加大资金保障力度
可信网络空间建设需要持续大规模的资金投入。建议加大在技术研发和创新方面的资金支持力度,形成以政府投入为引导、企业投入为主体、其他投入为补充的长效投融资机制。建议将贯彻落实构建可信网络空间的资金纳入各级政府财政预算予以保障。建议拓展投融资渠道,鼓励和引导风险投资、民营资本投入到可信网络空间建设中来,为可信网络空间建设提供更为坚实的资金保障。
4.7 加强国际交流与合作
网络空间中国与国的边界日益模糊,构造可信网络空间已经成为跨越国界的世界性课题。推动可信网络空间建设不能闭门造车,应加强国际交流与合作,借鉴国际上的先进经验。建议加强国际交流与合作,积极参加国际社会有关可信网络空间的讨论,参与制订相关国际规则,规范信息和网络空间行为,推动数字证书等可信网络技术手段的跨境互认,提高我国在可信网络空间建设上的国际话语权。
参考文献
[1] 宁家骏.创建可信绿色网络空间.计算机安全,2005年 第4期.
[2] 中国电子信息产业发展研究院.中国电子认证服务业发展蓝皮书(2012).中央文献出版社,2012年10月.
[3] 中华人民共和国第十届全国人民代表大会常务委员会.电子签名法.2004年8月.
[4] 网络空间可信身份国家战略——增强在线选择性、有效性、安全性与隐私保护.美国白宫,2011年4月.
本文选自《信息安全与技术》2014年第5期,版权归原作者和期刊所有。
