6月3日，由工業和信息化部信息安全協調司主辦，中國電子認證服務產業聯盟、工信部賽迪智庫網絡安全研究所承辦的電子認證服務應用研討論壇在京舉行。該論壇是第二屆國家網絡安全宣傳周的重要活動之一，同時也是《電子簽名法》實施十周年系列宣傳活動之一。

    會上，中央網信辦網絡安全協調局副局長楊春艷指出，當前網絡安全領域最突出的問題，就是廣大網民缺乏網絡安全知識、缺乏安全技能和安全意識。而電子認證服務正是確認網絡主體身份、開展網絡可信身份管理的重要手段，可以有效解決網絡行為責任認定的舉證問題，從而保障廣大民眾的網絡權益。工業和信息化部信息安全協調司王宏處長表示，《電子簽名法》是信息化里面相關的第一部法律，為維護交易的各方合法權益，保證電子交易的安全，提供了必要的法律保障。國家密碼管理局商用密碼管理辦公室安曉龍副主任認為，目前，在網絡安全、硬件產品、操作系統嚴重依賴國外的情況下，只有廣泛使用商用密碼以及電子認證，才能保障我國的網絡安全。中國電子認證服務產業聯盟常務副理事長季金奎認為，在我國信息化領域《中華人民共和國電子簽名法》是迄今為止真正意義上的唯一一部法律，但電子認證服務產業聯盟本身的力量還是很弱小的，希望更多的企業加入到電子認證服務產業聯盟中，使電子認證服務真正發展成為建設網絡強國過程中不可或缺的安全基礎設施。

    《中國電子報》特摘編了6位主題發言人演講的主要內容，集中反映電子認證發展的現狀、趨勢，以及在各行業、各地區的應用情況。

    賽迪智庫網絡安全研究所王闖

    2014年電子認證服務規模同比漲38%

    《電子簽名法》從2005年實施以來，認證機構的數量不斷增加，現在為37家，分布在全國23個省、直轄市和自治區。截止到2014年年底，電子認證服務業產業規模達到129.9億元，同比增長38%。其中軟硬件市場規模98億元，CA機構營業額30億元，電子簽名產品和服務市場規模為1.9億元。

    截止到2014年底我國有效數字認證總數是2.38億，整體的需求數量是比較穩定的。在驗證層面來看，2014年大約有1531萬張數字證書應用在電子政務領域，金融領域6581張，主要是網上銀行為主。電子商務領域有效證書176萬張，其中企業內部管理占一半，企業經營占41%。

    制約電子認證市場發展因素大量存在。包括民眾對電子認證的認知比較低，技術基礎較為專業，用戶主動需求尚未發掘，法律效力問題目前還存在一定的爭議等。

    從電子認證的行業趨勢來看，電子認證服務業已經進入了比較穩定發展的階段。預計2019年市場規模將突破400億元。行業發展環境將得到持續改善，現在國家正在逐步推行行政體制改革，轉變政府職能，推動國有企業改革，激發企業的活力，這都對行業發展很有利。市場需求將不斷增大。商用密碼在互聯網上應用對行業發展、拓寬行業需求有很大的好處。在電子商務領域應用中，電子簽名應用增加，電子合同、電子簽章服務逐漸成熟，都使得這個行業需求不斷放大。目前，電子簽名標準制定已基本完成，電子簽名司法效力將得到廣泛認可。

    公安部第一研究所信息安全部副主任楊衛軍

    電子數據司法鑒定已在電子保單、銀行嘗試

    我們對網絡交易安全的認定是從交易信息的保密性，交易各方身份的確認，信息的防抵賴，以及交易信息的完整性和防篡改等這幾方面進行認定。電子簽名是可以作為電子證據使用的，最高法在2015年民事訴訟法司法解釋中提到，電子數據是指通過電子郵件、電子數據交換、網上聊天記錄、博客、微博、手機短信、電子簽名、域名等形成存儲在電子介質中的信息。

    電子簽名能夠表明無紙化業務中簽名人身份及簽名人對內容的認可意愿。符合可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。

    符合可靠電子簽名的數據電文已經具備合法的證據效力，因為技術的專業性需要更有效、更直觀的呈現形式，讓法庭和司法機構締結、認可。司法鑒定意見書本身是一種合法的證據形式，并且易于展示和理解，在法律質證時比單純的電子數據更易被法庭接受。由電子數據司法鑒定權威機構對電子簽名進行專業鑒定，并出具鑒定意見，有利于電子簽名在電子商務等領域中的應用推廣，消除當事人對電子簽名合法性的疑慮。電子數據司法鑒定目前已在電子保單、銀行等方面進行了嘗試。

    工業和信息化部通信保障局副調研員袁春陽

    計劃6月推出移動商店APP數字簽名標準

    互聯網、移動互聯網快速發展，面臨很多的安全挑戰。工信部作為行業主管部門，維護網絡安全是其中一項重要職責。

    在標準規范上，我們制定了《通信網絡安全防護管理辦法》，每年對運營商網絡進行風險評估和安全防護檢查制度，配套了相關的標準。工信部出臺了《關于加強移動智能終端管理的通知》，對進網的移動終端進行檢測，包括里面的應用軟件。2014年工信部又出臺了《關于加強電信和互聯網行業網絡安全工作的指導意見》，明確提出加強應用商店和移動互聯網應用APP的安全管理。這也是我們三到五年重要的工作指導。

    為推動互聯網、移動互聯網安全，我們正在研究制定相應的管理辦法，包括明確應用商店的責任，應用商家內部應該建立什么樣的安全管理制度；包括加強移動應用程序源頭管理，積極推動移動應用程序第三方數字簽名認證機制，我們也在積極探索建立移動應用程序第三方數字簽名認證的可行性。此外還開展移動惡意程序監測處置工作，以用促進行業自律等。

    下一步將持續開展重點工作，尤其是第三方簽名認證會進一步得到落實，包括展示應用商店簽名的應用，推動移動商店簽名APP的驗證，并計劃在今年6月份正式推出相應的簽名標準。

    北京證聯信通科技發展有限公司總經理馬圣東

    移動代碼簽名試點遇到在線申辦難題

    移動代碼簽名可以保障開發者身份真實可信，簽名具有法律效力，數字簽名可以防止移動應用程序篡改。

    整個流程包含證書申請、使用APK、工具簽名，還有使用驗證簽名。整體的流程包括開發者、應用商店、CA機構用戶、安全軟件和操作系統。

    證書申請流程與CA機構緊密聯系。舉個簡單的例子，一個開發者提交一個身份信息，向CA機構申請一個證書，用于程序的簽名。還有測試機構、應用商店，同樣需要申請數字證書。但是在這個過程中，我們推廣遇到一些困難。例如一個客戶有2000個用戶，需要在線申請數字證書，目前CA機構可能沒有任何一家能滿足他的要求。這是我們試點在推廣過程中遇到的障礙。

    APK簽名工具不受次數限制，不管是應用商店、檢測機構還是開發者。應用商店可以用SDK簽名驗證，SDK簽名主要針對有大量應用發布的場景。目前有較大意愿使用電子認證的是金融機構，他們正推出自己的APP，為了保證自己APP的可信性需要數字簽名。金融機構更在意給用戶推出的APP一定保證安全。廠商就特別在意自己推出的APP是否有人打包再去發布。目前國外APP開發廠商，他們也希望通過這種方式對他們的版權進行保護。

    我們遵循現有國內國外的標準，不改變APK原有的文件結構，具有最好的兼容性。原有APK的安裝模式和安全機制沒有任何改變。原有簽名證書可以繼續使用，可保證升級的平滑性。

    中國威信電子安全服務有限公司產品經理蔣小燕

    用SIM卡認證方式保障政企級安全手機

    政企用戶對安全手機的需求是比較大的。中國聯通目前是從數據網絡加密通信手機本身實現安全防護的，覆蓋手機APP的安全、通信安全、應用安全、操作系統安全等各個方面，為用戶提供全方位的軟硬件一體化解決方案。

    硬件防護主要包括系統級安全和手機本身的安全，我們推出SIM卡里獨立安全認證與加密模塊TF。在SIM里面植入鑰匙，不需要在外面攜帶證書，因為運營商已經把號碼和人進行了綁定，這張卡的證書保證就是用戶本人。通過這種結合，我們可以對手機相關的硬件包括USB、NFC、相機進行控制，對數據進行加密傳輸。在它之上還可以進行擴展安全應用，比如說支付應用、內容應用，還可以做單點登錄、設備的安全啟用，以及一些其他應用。需要手機簽名的時候，訪問SIM卡。還可以在手機上進行加解密的運算，用SIM卡保證敏感信息的安全。我們把手機做成了雙域隔離，工作區域和個人區域分開。工作區域通過VPN訪問公司內部的網絡，個人區域可以閱讀個人電子郵件等。

    在應用安全防護方面，我們提供了加密通信，把語音進行加密，會議電話進行加密，加密消息和群組消息，加密文件或者群體文件等等。

    上海市經信委信息化推進處副處長裘薇

    上海法人一證通有效解決證書碎片化問題

    2012年，上海開始推行法人一證通。原來上海在各個領域都發了相關的CA證書，但是從應用上講，每個領域發的證書只能在單個領域來用，所以上海首先推出了法人一證通。我們圍繞以下幾方面做工作：

    第一建設統一的認證系統。在全市范圍內建立法人網上統一身份認證系統，把包括工商、質檢、稅賦、人保、公積金五方面的基本信息都統一起來。第二完善統一的服務渠道。原來各個單位結合應用通過各個渠道發證，我們把原來的服務網點都關閉了，在17個區縣企業服務中心和便民服務中心設立22個服務網點，統一對各區縣法人單位發放證書。第三建立完善收費機制。第四拓展應用范圍，實現法人數字證書跨部門通用，設立法人在線辦理各類事項身份認證服務。

    截止到今年5月底，全市一共發放法人一證通140萬張，共為108萬家法人單位提供一證通服務，為全市法人節約成本3億元/年，節省出行時2250萬小時/年，節約紙張4400萬張/年。

    法人一證通推進3年時間中，獲得了相關方面的認可，是全國首個電子認證服務機構打破傳統服務模式的創新示范工程，也是全國首個由財政資金統一購買服務、為法人單位提供數字證書的服務。上海市政府每年提供3700萬的專項資金購買上海CA為法人提供的證書服務。