网络安全 国之大事
服务器证书国产化刻不容缓
政府采购信息网 作者: 发布于:2016-01-28 12:49:23 来源:和讯网
一.服务器证书是网络信息安全的基础
伴随着互联网金融、网络购物、在线支付、电子合同等网络应用的高速发展,信息安全的重要性日益凸显,而多数网络应用都离不开一个重要的安全认证措施,即数字证书。数字证书就像是互联网上的电子身份证,用来标识信息单元的个体身份信息。而当网站服务器安装数字证书后,便可向网站访问者证明服务器的真实身份,因为数字证书是由一个受信任的第三方权威机构——CA(证书管理机构)产生、分配并管理的,就像公民个人身份证一样具有唯一性,无法篡改和仿冒。
服务器证书国产化刻不容缓
我们知道,互联网安全存在两大基本隐患,一是因为身份认证机制的缺位,使网络成为各种“钓鱼”诈骗行为的温床,导致互联网空间缺乏信任。另一方面,互联网每时每刻都在传输数以亿万的信息,这些信息如果未经加密,就有可能遭到窃取或篡改,造成难以估算的损失。而安装在服务器上的数字证书在提供网站身份认证的同时,还可对网络传输的信息数据进行加密,确保其在传输过程中的机密性和完整性。这种安装在服务器上、解决了网络信息安全两大主要隐患的数字证书就是服务器证书(SSL证书)。在西方国家,半数以上的网络流量经过服务器证书的加密,而美国让所有政府类网站都进行服务器证书认证。虽然服务器证书不可能解决所有安全问题,但其已经成为一种必备的网站安全产品,堪称网络信息安全的基础。
二.服务器证书国产化刻不容缓
在我国,服务器证书最早只在银行类网站使用,但随着人们信息安全意识的提高,互联网金融、电子政务、电邮、电商等多个行业的网站也在逐步普及服务器证书。目前,国外品牌的服务器证书在我国拥有更高的市场占有率,但国外证书的根证书系统在国外,联想到近年发生的“棱镜门”等境外窃听、泄密事件,其安全隐患不可不防。例如政府、科研、中央企业等机构的网站服务器如果安装国外证书,一旦遭遇境外的黑客攻击、信息窃取,又怎能相信其可以发挥信息安全基础的作用?正如习近平主席所指出的,互联网发展对国家主权、安全、发展利益提出了新的挑战,没有网络安全就没有国家安全。在我国将网络安全提升至国家战略层面的大背景下,作为一种必备的安全产品,服务器证书的国产化刻不容缓。
三.服务器证书国产化现状
前文提及国外服务器证书拥有更高的市场占有率,主要原因可归纳为以下三点:
(1)国产证书起步较晚。国外证书的产品销售、市场推广往往都有十几甚至二十几年的历史,而国产证书在市场、渠道、品牌等方面的建设不过数年,尚在起步阶段。
(2)多数国产证书的用户体验度不及国外证书,例如无法支持手机端、仅能支持部分浏览器等。
(3)一款能得到市场认可的服务器证书产品需要如浏览器、Web服务器、操作系统对根证书的信任等各环节的标准化与相互支持。而这些环节的标准均有国外机构制定,中国厂商如想符合绝非易事。
目前,只有通过WebTrust国际安全审计认证的CA机构,才有资格将自己的服务器证书根证书植入到各大根证书管理机构中,比如微软、谷歌、Mozilla等,这样才算成为一张获得全球信任、支持所有设备和浏览器的服务器证书。完成以上工作对国内CA来说是一项艰巨、漫长的工作,如果CA无法完成以上工作,企业和机构就不会选择它颁发的服务器证书。在我国,通过WebTrust认证的CA只有上海CA、沃通CA、广东CA 和CFCA(中国金融认证中心)四家。但在之后入根各大根证书管理机构的过程中,有的CA因为种种障碍陷入停滞。有的CA则通过收购国外根证书系统,再将系统迁移至国内的方式完成入根,但却无形中在海外留下“后门”,导致稳定性不高、存在安全风险。据了解,目前只有CFCA完成了主要的入根工作,并在我国境内自建了全球服务器证书根证书系统,实现了服务器证书的100%国产化。
四.服务器证书国产化建议
服务器证书是互联网的安全基石,而一个国家的网络安全只有建立在独立自主的基石之上才足够稳固。针对我国服务器证书的国产化现状,本文提出三点建议,希望可以加快其国产化进程:
(1)扩大我国在服务器证书规则制定中的国际话语权
前文已经提及,服务器证书的各项规则标准均由海外机构制定,我国CA行业之前几乎没有参与过这些标准的制定,无法在规则中体现自己的意志和诉求。因此,建议由政府或行业组织来推动、协调产业界或学术界关注这一问题,积极参与标准制定。目前,已有部分国内CA加入了制定服务器证书入根和业务执行标准的CA/浏览器论坛(简称CAB),应该说这是一个良好的开端(2)建立全国统一的协作机制,积极推进国产化
一直以来,我国均按照各地区各行业自行建立CA认证机构。这使得区域性、行业性CA发展很快,国产化程度较高。但这种具有封闭性的产业模式,也仅能满足特定行业、区域的需求,一旦面对高度开放、大众化的服务器证书应用领域,就无法实现行业和区域需求的全覆盖。所以,建议应尽快完成我国电子认证体系的顶层设计和统一规划布局,用统一的协作机制推动国产化。
(3)政策引导,苦练内功
目前,我国已经拥有100%国产化且在功能上媲美国外品牌的国产服务器证书。但因其推出时间较晚,所以在市场认知度上相较国外证书落后很多。在这种情况下,国家可考虑在重点领域大力推广国产证书的应用,以引导企业优先安装国产服务器证书。但“打铁还要自身硬”,国内CA若想在服务器证书领域做大做强,必须不断提高自身实力。在完全自主研发、自建根证书系统的基础上,完善证书对各个浏览器、操作系统的支持,提高用户体验。同时加强售前、售后能力及市场推广力度。用过硬的产品和完善的服务,提高国产证书的市场占有率。
本网拥有此文版权,若需转载或复制,请注明来源于政府采购信息网,标注作者,并保持文章的完整性。否则,将追究法律责任。
上一篇:黑客“青睐”互联网服务器
相关新闻
- 双阳区第一实验小学设备采购及校园网络安全工程招标公告
- 双阳区第一实验小学设备采购及校园网络安全工程公开招标公告
- 江西正安工程咨询有限公司关于江西省江西财经大学智慧校园升级和网络安全设备采购项目(招标编号:DTY15321L105)电子化公开招标中标公告
- 怒江州林业局林业专网接人网络安全设备项目单一来源采购中标公告
- 罗定市财政局采购包1电脑办公设备、包2远程综合网络安全系统公开招标的最低价法中标公告
- 光山县人力资源和社会保障局网络安全设备购置项目政府采购招标公告
- 福州市公安局公共信息网络安全监察支队办公家具采购项目中标公告
- 威海市网络安全设备询价变更公告
- 驿城区检察院网络安全设备和侦察取证一体化设备采购项目竞争性谈判公告
- 吉林省万力招标咨询有限公司关于集安市医院关于采购网络安全系统、血液透析机、血液透析过滤机项目中标公告
网友评论
- 惠州市教育局惠州市普通高考远程视频监控平台(普通高考网上巡查系统平台)升级改造采购项目公开招标公告
- 江西汇众招标咨询有限公司关于江西省公安厅视频会议系统等建设项目(招标编号: JXHZ2016-G016)公开招标公告
- 东平县公安局“天眼工程”高清视频指挥会议系统设备采购项目招标公告
- 甘肃省公安厅全省公安视频图像联网平台改造建设项目公开招标公告
- 定西市公安局业务技术用房信息化建设项目公开招标公告
- 开封市金明区数字化管理与平安建设指挥中心技防监控设施维护及线路改造项目招标公告
- 邢台市工业和信息化局616新兴产业展设计搭建项目竞争性磋商公告
- 吉林市图书馆购置古籍文献数字化加工服务项目公开招标公告
- 宿州市住房公积金管理中心政务服务信息化平台对接设备采购项目采购公告
- 文山州农村土地承包经营权确权登记颁证信息化综合管理平台建设项目公开招标公告