您现在的位置是:首页 > IT基础架构 > 网络与安全 >

CA认证:网银安全的有力保障

2009-01-21 16:18:00作者:张静来源:

摘要在银行的风险管理和网银安全方面,CA究竟发挥和什么样的作用?为此,中国信息主管网CIO360网站的记者独家专访了中国金融认证中心(CFCA)副总经理曹小青。 ...

四年前颁布的《中华人民共和国电子签名法》成为我国电子商务发展史上的里程碑,客观地促进了银行网银安全方面的发展。而此后陆续获得电子认证服务许可的CA机构,成为国家重要的金融信息安全基础设施。那么CA在银行的风险管理和网银安全方面究竟发挥和什么样的作用?为此,中国信息主管网CIO360网站记者独家专访了中国金融认证中心(CFCA)副总经理曹小青。

CA认证给网银安全带来的影响

目前,各家银行为开展网上业务大都成立了各自CA认证机构,专门负责签发和管理数字证书,并进行网上身份审核,实现权威的、公正的、可信赖的第三方的作用。这样,交易的双方在参加交易之前,就已经通过网络银行在互联网上的身份验证和确认。这样有效保证了买卖双方的真实身份,为安全的交易奠定了信任的基础。

那么,作为认证机构,从CA自身来讲,《电子签名法》的颁布对市场规范以及取得认证的公司带来了哪些帮助?

曹小青认为,《电子签名法》的颁布对市场规范、对取得认证资质的公司都起到了很好的作用,因为《电子签名法》里规定CA的电子认证服务资格需要通过国家相关部门的审批,同时,国家主管部门还有一套专门的管理办法进行规范、进行管理,包括严格按照法律程序审批、年检等。这样就使电子认证服务机构在管理规范化方面有据可查、有章可循,同时国家批准的电子认证服务机构就可以名正言顺地开展自己的业务,也更方便了。

另外,《电子签名法》对CA机构是一个极大的促进。在互联网提供信息安全服务,使用电子签名,是存在风险的,而CA认证的存在,在很大程度上规避了银行和用户的风险。如果出现纠纷,CA也能够成为一个有力的保障,做到有据可查,使双方的损失降到最低。

那么,CA国内除了获得电子认证服务许可的CA,还有几百家没有获得许可的CA,他们所做的认证有没有资格?

曹小青表示,实际上做电子认证服务可以说有两种,比如说一个企业内部只需要对企业内部管理,可以不需要第三方。但是当需要做一些真正网上电子商务、电子政务的交易,或者说网上交易、网上申报、网上支付需要第三方电子政务的时候,按照电子签名法的规定应该由第三方电子认证机构来提供。法律是这样规定的,需要第三方电子认证机构提供服务的时候应由国家批准的电子认证服务机构提供服务。所谓需要,实际上目前就基于数字证书的数字签名这种形式的电子签名而言,应该也是需要第三方的,但是电子签名法不是基于某一种技术制订的。将来随着这个发展可能会有基于其他手段的电子签名,在这种情况下有可能不需要第三方。目前基于电子证书的数字签名应该由第三方来提供,但未经国家许可,向公众提供电子认证服务是不符合《电子签名法》的。

 

保障网银电子签名技术的安全性

网银安全的风险本身一方面是企业或者说社会大环境信用制度没有建立起来,另一方面从另百姓来讲,或者说企业级用户可能大家的层次比较高了解的比较多,从个人的角度对安全缺乏了解,这种情况如何来推广?用什么技术证明这个是安全的?

对此,曹小青说:“从目前来看实际上不法分子和提供安全服务的厂家之间的较量,也就是安全的问题,要说百分之百做到安全,并不能完全做到,这个东西是否安全,比如说我们用数字认证的技术是不是安全,那我们只能讲,破解这种密码在计算上很难做到,破解是可以的,看你怎么破,只能告诉你说在目前的计算手段下不可行。而且实际上百分之百的安全不可能。飞机不安全但大家就不坐飞机了吗?不还照样坐吗?”

法律进一步完善是网银安全的保障

在金融领域,CFCA是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构,是《电子签名法》颁布后,国内首批获得电子认证服务许可的CA之一。作为国家级权威、公正的第三方安全认证机构,为网上金融、电子商务、电子政务提供安全认证服务;确保了网上信息传递双方身份的真实性、信息的保密性和完整性、以及网上交易的不可否认性。但《电子签名法》本身没有对行业进行具体的划分,从银行和CA的角度,有哪些值得拓展的空间?

对此,曹小青表示,《电子签名法》是一个基本的立法,实际上在各个领域、方方面面的应用还有很大得空间,比如说在金融领域,实际上有相应的法律法规应该根据《电子签名法》做调整,比如说票据法,因为电子签名有法律支持了,票据也应该配套,把电子签名应用到更深更广还有很大的空间,如果支票能够电子化了就更方便了。关键是这种东西更安全、可靠,实效性更好,一个支票原来是密码方式、印章比对,其实误差是很大的,但电子支票立马就可以上网查,而且准确性就目前的情况看这张支票是真是假上网就可以查出来。

曹小青说:“因为咱们国家有些东西是规章制度是从属于法律的,实际上规章制度更好用,这还需要对《电子签名法》进行宣传和普及。我想有相当多原来的规定都不适用于在网上做,比如明文规定纸介的东西,但《电子签名法》里说等同,有很多人就不理解这个。所以对《电子签名法》的宣传我觉得还不够,有些细节的地方大家还没有认识到。”


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们