数字认证：引领2010 保障网络融合安全

　　2010年初，国务院提出推进电信网、广播电视网和互联网整合发展，实现三网互联互通、资源共享。三网融合将实现数据、声音、图像这三种业务用一个网络、一种平台进行服务，不仅会为业务创新提供空间，而且会为产业发展带来新的经济增长点。随着三网整合进入关键推进期，网络融合安全成为业内热点话题。

　　笔者从国内信息安全权威企业北京数字证书认证中心了解到，在刚刚结束的第十一届中国信息安全大会上，“融合安全与风险识别”成为大会热议焦点，千余名国内外知名的信息安全专家、厂商代表从各自行业与学术背景出发，再次对三网融合背景下的网络安全管理进行深入探讨。

　　三网融合 安全风险加剧

　　北京数字证书认证中心指出，三网融合后安全风险将来自于网络开放性、终端复杂性、信息可信性等若干方面。三网融合之后，原先封闭的电信网、广电网将不断开放，网络信息量将急剧增加，网络开放性使攻击者有可乘之机。原先由于传统互联网的封闭性，一些安全漏洞被掩盖起来。而在开放的环境下，这些缺陷极有可能显现出来。与此同时，在孤立的网络环境下，病毒或黑客的攻击范围相对有限。而在融合的背景下，一个网络中的安全威胁将延伸到另一个网络中，从而出现全网的安全威胁。流行于互联网的黑客、病毒、木马等将会转移到电信网、广电网，产生巨大的危害。

　　其次终端接入方式变得多种多样，三网融合后，网络端终将会由目前传统电脑接入发展为各种电子信息终端接入模式，尤其将会增加大量移动终端的网络接入，例如网络电视、电子书、手机、MP4、GPS等等。曾有专家指出，80%的安全隐患今后会来自于终端。特别是对于移动终端来说，其面临的安全问题将更加复杂。移动终端正逐渐成为个人信息处理中心，受终端自身的屏幕大小、计算能力、电力供应、接入速率等的限制，移动终端自身的防御能力相对较弱。而移动终端越来越智能化、应用更加丰富、联网时间更长，这使得其将面临更多的攻击。

　　此外，三网融合后信息量将急剧增加，内容安全面临着巨大的考验。垃圾邮件、商业诈骗以及危害国家安全的信息充斥在各种网络当中，并将对网络的信息安全带来极大挑战。因此，提高信息的可信性也将成为融合安全的重要组成部分。

　　数字认证 识别网络风险

　　无论是政府管理部门还是商业企业，在日常生活和工作中，往往有很多文件、命令、条约、协议、合同等需要签署，以便在法律上能够认证、核准、生效。传统上我们采用手写签名或印章的方式。但是远程办公、电子商务和网络风险使得传统的签名不再可靠。远离网络信息风险成为行业用户的迫切需求，这一背景下，数字认证便应运而生。北京数字证书认证中心技术权威人士指出，数字证书就是取代书面签名的数字图像化，通过密码技术用符号及代码组成的电子密码进行“签名”来代替手写签名或印章，对电子文档进行数字签名。数字签名采用规范化的程序和科学化的方法，不但能鉴定签名人的身份和认可一项数据电文内容的信息，而且还能验证出文件的原文在传输过程中有没有被恶意篡改。

　　北京数字证书认证中心推出的“信天行”数字证书、全球服务器证书、电子签章系统、企业CA解决方案、网络实名接入解决方案、无线应用解决方案、电子化政府采购解决方案、资源交换平台安全解决方案等众多产品和方案，实行分级、分层、分域的保护机制，根据不同单元在系统中的重要程度、面临的风险威胁、安全需求、安全成本等因素，将网络划为不同的安全保护等级并采取相应的安全保护技术和管理措施，以及不同级别的安全防护机制、安全监测机制、安全恢复机制。

　　数字认证 要问权威出身

　　数字签名可以保证网络信息的真实性，那么怎样得到可靠的数字签名呢？在电子商务中，由于交易的双方互不认识，彼此间缺乏信任的前提，这就需要一个“第三方”对数字认证人的身份进行认证，向交易对方提供信誉保证。“第三方”通常被称为电子认证服务机构（CA）。事实上，认证机构的可靠与否，对保证数字认证的真实性和电子交易的安全性起着至关重要的作用，因此数字签名的可靠与否，关键要看认证机构的资质和权威。

　　国际上数字认证已有相当发展的国家都有对认证机构的评价标准。美国强调市场选择，所有在数字签章活动中提供认证服务的机构都是一种商业活动，他们靠自身的技术和信誉获得市场的认可。欧洲则要求中介机构对认证机构进行评测、审计，并对其安全性、可信性给出意见。亚洲一些国家则是政府许可型，日本从事认证业务必须经过许可，韩国的认证机构均由政府指定，新加坡要求认证机构必须由政府批准。而在我国电子认证市场刚进入起步阶段，国家相关管理部门也发布了一些行业规范，随着数字认证法的出台，国家也势必会加强对认证中心的管理。

　　在国内为数不多的商业认证机构中，北京数字证书认证中心就是最具技术优势的一家。北京数字证书认证中心不仅是获得国家信息安全测评中心颁发的“信息安全服务资质一级证书”，同时是国家保密局认证的具备“国家涉密计算机信息系统集成资质”的企业，并且是在全国范围内经营数字认证服务的商业PKI/CA认证中心，可以为政府、金融、电信等各行业提供信息安全咨询服务、信息系统风险评估服务、信息安全系统集成服务、安全运行维护服务。目前已成功为中国平安保险、北京市地税局、北京市政府采购中心等数千家政府部门及企业提供了信息安全服务。

　　按照国务院的布署，2013年至2015年，将全面实现三网融合发展，普及应用融合业务，建立适应三网融合的国家信息安全和其他标准体系，基本形成适度竞争的网络产业格局。面对用户日益复杂的信息安全需求和广阔的产业发展前景，北京数字证书认证中心总经理詹榜华博士表示，希望国家有关部门要加强政策扶持，制定相关政策，支持三网融合共性技术、关键技术、基础技术和服务的研发和产业化；对三网融合涉及的产品开发、方案建设、业务应用给予积极的支持，将三网融合相关产品和业务纳入政府采购范围。