李达
摘要:介绍电子认证行业20年的发展历程以及金融领域电子认证应用现状,提出了电子认证机构在金融领域结合ISO 21188对认证业务实施有效的管理与控制的方法与建议,旨在打造强大的电子认证业务和基础服务设施来满足金融领域日益强烈的认证需求。
关键词:电子认证 证书策略 金融服务
Abstract: In this paper, the electronic certification industry 20 years of development and the financial sector electronic certification application situation, proposed the electronic certification bodies according to ISO 21188 certification in the field of financial business implement effective management and control method and the suggestion, aims to build powerful electronic certification services and infrastructure services to meet the demand of the financial sector is increasingly strong authentication.
Key words: electronic certification, certificate policies, financial services
1 電子认证发展20年
电子认证机构在中国已经生存了20年,20年前我们国家建设了一批“电子化”产业,电子政务、电子商务初具模样,那时,电子认证机构大多只负责发放数字证书。5年前,国务院印发《国务院关于积极推进“互联网+”行动的指导意见》,同期,随着金融领域“无纸化”的建设,各个行业纷纷跟进,除了线上业务的拓展和创新外,一部分线下业务也开始线上化,同时结合信息技术特点,开始对线下业务进行流程再造,那时,电子认证机构开始深入业务,进行方案创新、产品创新。也就是在5年前,电子认证机构设计并研发了基于本地化的无纸化电子合同与签章系统、基于SAAS服务的电子合同签署平台、基于移动端的数字证书应用产品,以及基于场景化认证的场景型数字证书等一系列创新产品和创新证书应用,推广和应用效果十分显著。
当下,中国正式进入了“数字化”时代,所谓数字化,不仅仅是某个企业、某个行业、某个区域的个体数字化,而是在新一代信息技术的支撑和引领下,以数据为核心,以创造价值链为目标,依托数据赋能产业、产业促进数据价值升级的形式,对产业链上下游进行数字化升级、转型和再造,此为:数字化产业和产业数字化。于是,数字化造就了生态,数字生态同样离不开电子认证,针对网络可信身份认证、网上电子签约、电子数据保全认证与司法实践的需求快速增长,尤其是网络身份已经成为互联网数字生态下重要的战略资源,依托于电子认证服务的业务合法合规建设愈发重要。此外,生物特征识别、云计算、大数据、区块链、人工智能、5G等技术融合发展,极大地丰富了电子认证业务的内涵,促进了电子认证业务在金融、政务、医疗等各领域数字生态中的应用。总之,电子认证行业历经20年的洗礼,终于迎来了发展的黄金时代,这一黄金时代,既是电子认证行业的机遇也是电子认证行业的挑战,如何正确把握机遇、迎接挑战、解决问题、研究创新、开拓市场、做好产品、做好服务、辅助司法,是各电子认证机构当下面临的最为严峻的问题。
2 金融领域电子认证应用现状
自2013年互联网金融兴起后,金融领域的业务创新从来没有停止过,金融机构努力做好“互联网+金融”,力争以少量时间抓住大量客户,以有限成本拓展无限市场;希望业务创新短、平、快,期待业务运营长、健、稳,在致力于提升易用性的同时,又要满足合法合规的要求,当然,也没有说全部都做到了十全十美,司法败诉的风险时常有之,监管机构的谈话也时常有之,改正了风险问题、弥补了合规问题,业务就会得到健康的发展,中国金融行业在追求资本利益最大化的路上会永远的“砥砺前行”下去。
电子认证行业在我国国家经济与金融发展历程中发挥了不可替代的作用,不管是何种类型的金融机构、不管是何种类型的金融业务,只要是数字化金融、无纸化金融展业模式,从技术上讲,就会涉及技术安全范畴,例如:系统安全、网络安全、数据安全等信息安全的问题。从业务上讲,就会涉及业务安全范畴,例如:网络可信身份认证、电子合同司法效力、电子证据的保全、验证与可追溯问题。金融领域电子认证的发展现状大体可以总结为以下几个方面。
(1)植根业务、专注安全,大力促进电子认证与金融业务的深度融合
在传统网银时代,电子认证机构只需要发证即可,不需要关注业务细节,只需要知道证书已经发放出去,同时做好登记即可。但如今,电子认证机构若想更好地服务于金融业务,发挥电子认证能力的最大价值,就必须深入了解业务细节,在做好行业细分的同时做好业务细分,根据业务的特点、面向的客户群体、业务模型、流程框架,甚至业务系统信息架构,以数字证书为核心、金融业务为基础,提出能够解决技术安全、业务安全切实可行、可实施1)、可实践2)的解决方案。相比其他行业,金融领域业务安全属性强,更加注重电子认证与业务结合后的实践效果,没有效果的方案、产品和服务很快就会被“降本增效”掉,金融领域不存在锦上添花的服务。
(2)发挥优势、自成闭环,积极建设电子认证服务生态
目前,金融领域电子认证业务已经从单一化的数字证书服务转变为全流程、全方位的生态型服务,从首次客户注册时的可信身份验证,到交易过程中的业务数据电子签名、电子合同签章、事中保全,到业务办结后的司法存证,最后到司法实践时的电子签名验证、电子证据验证以及在线司法诉讼,电子认证机构围绕自己的核心业务建立了全方位的生态化服务,致力于为各金融机构提供一站式解决方案,依托数字证书实现了“起点即终点”。
(3)前抵用户、后达司法,无比关注业务安全的“最后一公里”
电子认证服务能力要作用在两极,一极是用户3),保障用户的合法权益,另一极则是司法机构,某种程度上讲,后者要比前者更加重要,因为司法机构决定案件走向。因此,让法官或仲裁员了解电子认证相关的方案、业务、原理,甚至产品、技术就变得至关重要,电子认证机构有义务让法官或仲裁员了解在案件中电子认证机构能证明什么,不能证明什么,为什么能证明以及为什么不能证明。这样结合其他证据以及法官或仲裁员的自由心证才能最大限度地判断证据真伪、接近案件事实,做出最终的审判或裁决。这些年来,电子认证机构积极主动地推进与司法机构的交流,努力融入司法圈的目的就在于此。业务安全的“最后一公里”就是司法是否认可,如果在大量的司法案件中,法官或仲裁员不认可业务中的电子认证服务能力和作用,电子认证机构就不再有价值,电子认证产业就会被淘汰掉。
以上就是金融领域电子认证发展现状以及它在金融业务中起到的重要作用。既然电子认证业务在金融领域的价值如此之大,那么我们有必要关注电子认证本身的实施和策略,打铁还需自身硬,只有打好电子认证自身安全稳定的业务基础,方可赋能金融业务,在这方面,ISO 21188:2018标准,可以为电子认证机构的业务安全实施提供很好的指导和借鉴。
3 电子认证业务的基础:ISO 21188的应用与实践
ISO 21188:2018《用于金融服务的公钥基础设施 实施和策略框架》(Public key infrastructure for financial services—Practices and policy framework)标准中包含了3大重要内容,分别是证书策略(Certificate Policy,CP)、电子认证业务规则(Certification Practice Statement,CPS)和认证机构控制程序(即电子认证业务模型),这些是电子认证业务开展的基础,其中,证书策略是电子认证机构制订的一组策略,表明在电子认证机构的PKI 体系中各个参与者的划分与其义务,并包含电子认证机构所颁发证书的基本策略。电子认证业务规则是关于电子认证机构在全部数字证书服务生命周期(如签发、吊销、更新)中的业务实践所遵循规范的详细描述和声明,是对相关业务、技术和法律责任方面细节的描述。认证机构控制程序规定了电子认证机构开展电子认证业务所需要遵循的基本框架、规程。三者的关系是:证书策略是总体纲领。电子认证业务规则是证书策略的细化和分解,根据电子认证机构的证书体系划分,电子认证业务规则或有多个,但最终都与同一个证书策略相映射。认证机构控制程序则最终要在证书策略和电子认证业务规则中得以全面体现和落实。ISO 21188对电子认证业务的指导是全面化的,并应用于具体的实践中,它主要体现在了以下几个方面。
(1)关于制定证书策略的实践指导意义
标准中阐述了证书策略文档中应包含的基本内容,具体包括:电子认证活动参与者各方的义务和责任、CA签发证书的适用条件,证书策略文档的管理和维护规程、明确适用的信任限制或证书使用的财务限制、公钥证书规定的最小要求。
根据标准,在制定证书策略时,我们首先要定义电子认证活动参与者,例如:电子认证服务机构、注册机构、订户、依赖方以及其他参与者,只有定义了电子认证活动参与者,才能够进一步明确各方的义务和责任。针对CA签发证书的适用条件,通常的设定为:证书支持在相应的合法合规的环境4)中使用,证书禁止在任何与国家或地方法律、法规规定相违背的环境中使用。针对证书策略文档的管理和维护规程,应规定文档的管理和维护机构与部门,同时规定证书策略文档的编制与审批程序和审批负责机构“安全管理委员会”。在信任限制或财务限制方面,应规定证书的收费策略、财务责任、业务信息保密策略、个人信息保护策略以及知识产权有关内容。在公钥证书规定的最小要求中,应明确证书的版本号、证书扩展项、颁发机构和主体密钥标识符、密钥用法、主题备用名称等基础字段。证书策略应包含认证机构控制程序的有关要求。
(2)关于制定电子认证业务规则的实践指导意义
根据标准,在制定电子认证业务规则时,要对应证书策略展开,细化规定,明确具体的流程和控制手段,因此,结合证书策略和标准中的认证机构控制程序,电子认证业务规则应包含的内容如下。
概括性描述。包括文档的概述、文档名称与相关标识、电子认证活动参与者(电子认证服务机构、注册机构、订户、依赖方、其他参与者、受益者及责任)、证书应用条件和禁止条件、CPS策略管理、有关定义和缩写。
信息发布与信息管理。包括信息库、认证信息的发布、发布的时间或频率、信息库访问控制策略。
身份识别与鉴别。包括证书命名、订户的匿名或偽名、名称的唯一性、初始身份确认、证明拥有私钥的方法、订户身份的鉴别、没有验证的订户信息、授权确认、互操作准则、密钥更新请求的标识与鉴别。
证书生命周期操作要求。包括证书申请、证书申请处理、证书签发、证书接受、密钥对和证书的使用、证书密钥更新、证书变更、证书吊销和挂起、证书状态服务。
认证机构设施、管理和操作控制。包括物理控制、程序控制、人员控制、审计日志程序、记录归档、电子认证服务机构密钥更替、损坏与灾难恢复、电子认证服务机构或注册机构的终止。
认证系统技术安全控制,包括密钥对的生成和安装、私钥保护和密码模块工程控制、密钥对管理的其他方面、激活数据、数据安全控制、计算机安全控制、生命周期技术控制、网络的安全控制。
证书、证书吊销列表和在线证书状态协议。包括公钥证书格式、CRL格式、在线证书状态协议。
认证机构审计和其他评估。包括评估的频率或情形、评估者的资质、评估者与被评估者的关系、评估内容、对问题与不足采取的措施、评估结果的传达与发布、其他评估。
法律责任和其他业务条款。包括费用(证书签发和更新费用、证书查询费用、证书吊销或状态信息的查询费用等)、退款策略、财务责任、对最终实体的保险或担保范围、业务信息保密、个人信息私密性、保护隐私的责任、知识产权、陈述与担保、担保免责、有限责任、电子认证机构、争议处理、管辖法律、 一般条款和其他条款。
(3)关于开展电子认证业务的实践指导意义
标准中所述认证机构控制程序,详细列举了CA环境控制中关于人员安全、物理和环境安全、运行管理、系统访问管理、业务连续性管理、审计日志的控制目标和控制规程;列举了CA密钥、主体密钥生命周期管理、CA证书(含从属CA证书)和主体证书生命周期管理控制目标和控制规程。通过这些控制项、控制目标和控制规程,结合电子认证机构自身特点和金融领域特殊环境,可以从以下几方面来制定合法合规、安全有序的电子认证业务规则与模型。
规范化认证机构设施、管理和操作控制。一是实现物理控制,系统的物理安全和环境安全是整个CA系统安全的基础,它包括基础设施的管理、周边环境的监控、区域访问控制、设备安全及灾难预防等各方面。为保证CA系统物理环境的安全可靠,CA系统应被放置于安全稳固的建筑物内并具备独立的软硬件操作环境,充分考虑水患、火灾、地震、电磁干扰与辐射、犯罪活动以及工业事故等的威胁。设置物理访问制度、敏感文件资料管理和销毁制度、建立同城和异地数据备份机制。二是实现程序控制,包括建立可信角色,规定每项任务需要的人数,严格控制任务和职责的分割,加强对每个角色的识别与鉴别,重要角色必须强制分割。三是实现人员控制,成为CA可信角色的人员必须提供相关的背景、资历证明,并具有足以胜任其工作的相关经验,且没有相关的不良记录,在培训后上岗工作。四是实现审计控制,明确定义记录事件的类型,制定日志备份策略,做好日志备份,建立审计日志的保护机制,采取物理和逻辑的控制方法确保只有经电子认证机构授权的人员才能对审计日志进行操作。审计日志处于严格的保护状态,严禁未经授权的任何操作。五是实现业务连续性控制,包括定期开展脆弱性评估,并根据评估报告采取措施,制定损坏与灾难恢复策略并定期演练,针对不同事件制定相应的应急处理机制。
规范化认证系统技术安全控制。一是规范化密钥对的生成和安装,针对CA签名密钥的生成、RA密钥的生成和订户密钥的生成制定不同的管理策略,电子认证机构有义务指导订户按照正确的流程生成密钥,用于验证证书签名的验证公钥(证书链)可从电子认证机构的信息库获得。遵从国家法律法规、政府主管机构等对密钥长度的明确规定和要求生成密钥,做好公钥参数的生成和质量检查,明确和细分密钥使用目的。二是做好私钥保护和密码模块工程控制,制定专门的加密机管理办法,从采购、验收、进入机房、初始化、激活使用、备份、维护、销毁等环节进行了规范化审批管理。
规范化证书生命周期控制。在证书申请阶段要明确证书申请实体、注册过程与责任,制定证书申请批准和拒絕的标准,设定处理证书申请的时间;在证书签发阶段要明确证书签发中注册机构和电子认证服务机构的行为,并对订户进行证书签发结果通告;在密钥对和证书的使用阶段,明确订户私钥和证书的使用以及依赖方对公钥和证书的使用,同时针对证书密钥更新、证书变更、证书吊销和挂起、CA系统所提供的证书状态服务进行详细的规定和约束。
4 小结
ISO 21188在金融领域中规定了确保电子认证PKI基础设施整体完整性的方法和实践要求,随着金融行业对互联网技术应用的不断扩大,金融行业对安全性、机密性和可信赖性交易的需求不断增长,该标准越发的重要,电子认证机构需要打造强大的电子认证业务和基础服务设施来满足金融领域日益强烈的需求,我们只有在不断优化中完善自我,才能伴随着金融领域的业务长远的走下去。