从服务看电子认证－－林雪焰　北京数字证书认证中心

可信规范的运营可信规范的运营 随需应变的服务随需应变的服务从服务看电子认证从服务看电子认证背景背景 中华人民共和国电子签名法中华人民共和国电子签名法（第十六条）： 电子签名需要第三方认证的，由依法设立的电子认证服务电子认证服务提供者提供认证服务。 电子认证服务管理办法：本办法所称电子认证服务电子认证服务，是指为电子签名相关各方提供真实性、可靠性验证的公众服务活动。 迈过资质门槛的CA，面临的问题是如何成功拓展电子认证服务？电子认证服务的电子认证服务的“拼图拼图”资金资金 人员人员 物理场地物理场地CPS 审计审计鉴证服务鉴证服务CA认证认证中心系统中心系统密码密码资质资质风险与风险与责任管理责任管理应用模式应用模式客户服务客户服务系统安全系统安全投资回报投资回报业务持续性业务持续性应用拓展应用拓展客户培训客户培训业务咨询业务咨询获得电子认证服务资质获得电子认证服务资质依法开展电子认证服务依法开展电子认证服务开展电子认证服务的重要拼图开展电子认证服务的重要拼图鉴证服务鉴证服务当面鉴证当面鉴证委托鉴证委托鉴证异地鉴证异地鉴证虚拟身份鉴证虚拟身份鉴证可靠的鉴证模式可靠的鉴证模式1234案例：医疗认证服务与鉴证案例：医疗认证服务与鉴证通过信息化网络建设搭建社区卫生服务信息平台，对社区卫通过信息化网络建设搭建社区卫生服务信息平台，对社区卫生服务工作进行网格化管理并做到全方位和全人群覆盖，所生服务工作进行网格化管理并做到全方位和全人群覆盖，所有医疗数据全部实现电子化、网络化的管理有医疗数据全部实现电子化、网络化的管理 。由于医患双方间医疗纠纷的普遍性，因此需要为社区卫生平由于医患双方间医疗纠纷的普遍性，因此需要为社区卫生平台建立有效的身份鉴证及责任认定机制，确保在事后出现医台建立有效的身份鉴证及责任认定机制，确保在事后出现医疗纠纷时能够追踪与取证，界定责任。疗纠纷时能够追踪与取证，界定责任。为社区医生颁发数字证书为社区医生颁发数字证书针对医疗数据需要严格电子签名，对电子病历、电子处方等针对医疗数据需要严格电子签名，对电子病历、电子处方等关键业务数据的处理，要对操作人采取可视数字签名处理，关键业务数据的处理，要对操作人采取可视数字签名处理，以准确追踪、定位原始行为人以准确追踪、定位原始行为人严格的鉴证流程，使证书及签名发挥责任认定的作用严格的鉴证流程，使证书及签名发挥责任认定的作用业务可持续性业务可持续性业务可持续性的建设业务可持续性的建设目标：目标：具有具有 的电子认证服务的电子认证服务通过分析电子认证服务的业务体系，通过分析电子认证服务的业务体系，CA中心的风险来自人员、物中心的风险来自人员、物理环境、系统、密钥等方面。因此业务可持续性建设应包括：理环境、系统、密钥等方面。因此业务可持续性建设应包括：安全风险评估安全风险评估可信的人员可信的人员安全的物理环境安全的物理环境系统可靠性设计系统可靠性设计系统的安全防护系统的安全防护密钥、设备管理密钥、设备管理文档资料管理文档资料管理 应急处理预案应急处理预案CPS符合行审查符合行审查案例：网上报税业务与业务持续性案例：网上报税业务与业务持续性“财税库行横向联网系统财税库行横向联网系统”，通过数据共享和税票信息的电，通过数据共享和税票信息的电子化，使纳税人在纳税申报、缴纳税款等各个环节突破时间子化，使纳税人在纳税申报、缴纳税款等各个环节突破时间和空间的限制，实现网上实时缴税。和空间的限制，实现网上实时缴税。需要严格的身份认证和责任认定需要严格的身份认证和责任认定要求不间断服务解决方案要求不间断服务解决方案全面的基于数字证书的应用安全服务，保障了网上申报实时全面的基于数字证书的应用安全服务，保障了网上申报实时缴税的安全，实现无纸化报税。缴税的安全，实现无纸化报税。应用对电子认证服务业务持续性的高要求应用对电子认证服务业务持续性的高要求风险与责任管理风险与责任管理 电子认证服务提供者依照电子认证业务规则承担相应的责任 为用户提供全面的安全支撑，用电子认证服务加强用户的安全，降低用户的风险案例：网上银行业务与风险管理案例：网上银行业务与风险管理网银系统通过证书实现了用户的身份认证、信息传输的保密网银系统通过证书实现了用户的身份认证、信息传输的保密和完整、交易行为的不可抵赖。和完整、交易行为的不可抵赖。但由于银行的业务流程的复杂，风险可能不是直接来自证书但由于银行的业务流程的复杂，风险可能不是直接来自证书被攻破。被攻破。不仅仅局限于证书，而是将证书放到整个网银的业务流程中，不仅仅局限于证书，而是将证书放到整个网银的业务流程中，分析网银业务的风险分析网银业务的风险针对业务流程中假冒、复制、截留、责任认定、非授权操作针对业务流程中假冒、复制、截留、责任认定、非授权操作等风险，提出解决方案等风险，提出解决方案使证书真正成为全面安全解决方案使证书真正成为全面安全解决方案投资回报投资回报 第三方认证服务不是强制性 电子认证服务需要给客户带来业务的差异性，带来切实的投资回报 投资回报是客户选择认证服务的基础，有时是唯一的决策因数案例：网上审批业务与投资回报案例：网上审批业务与投资回报可销售汽车审批，主要审批依据是由依据环保监测机构所出可销售汽车审批，主要审批依据是由依据环保监测机构所出具的汽车尾气检测报告书。具的汽车尾气检测报告书。为防止汽车企业私自修改检测数据，要求汽车企业手工扫描为防止汽车企业私自修改检测数据，要求汽车企业手工扫描上百页检测报告书的内容，通过网络方式上传到市环保局，上百页检测报告书的内容，通过网络方式上传到市环保局，打印出来后作为复印件存档。打印出来后作为复印件存档。通过引入基于数字证书的电子签章机制，优化了网上审批流通过引入基于数字证书的电子签章机制，优化了网上审批流程，既保证了检测书来源的可信性及文件内容的完整性，又程，既保证了检测书来源的可信性及文件内容的完整性，又避免了用户繁琐手工操作，真正提高了办事效率。避免了用户繁琐手工操作，真正提高了办事效率。为审批机构和送审单位都带来了投资回报为审批机构和送审单位都带来了投资回报成功电子认证服务的基础成功电子认证服务的基础随需应变的解决随需应变的解决方案方案全面的证书应全面的证书应用产品用产品WEBWEB信息安全系统信息安全系统BJCASecXBJCASecX统一认证管理系统统一认证管理系统UAMS UAMS 单点登录系统单点登录系统BJCASSO BJCASSO 电子签章系统电子签章系统DocSign DocSign 桌面安全系统桌面安全系统PCGuarderPCGuarder全面的证书应用产品全面的证书应用产品可信规范的运营可信规范的运营随需应变的解决随需应变的解决方案方案全面的证书应全面的证书应用产品用产品随需应变的解决方案随需应变的解决方案可信规范的运营可信规范的运营随需应变的解决随需应变的解决方案方案全面的证书应全面的证书应用产品用产品安全电子邮件安全电子邮件文档电子签章文档电子签章SSLSSL与与WebWeb安全管理安全管理统一认证与授权统一认证与授权 网上银行网上银行 网上税务网上税务网上证券网上证券网上招投标网上招投标在线保险在线保险在线教育在线教育 电子认证服务的未来电子认证服务的未来 技术触发技术触发过度期望的峰值过度期望的峰值应用前景乐观度渐增应用前景乐观度渐增生产力平缓期生产力平缓期峰谷低落期峰谷低落期 服务是一种行为，它要求行为人要日复一日、月复一月、年复一年，时时刻刻保有旺盛的精力、进取的精神、熟练的技术和广博的知识。对他们来说，坚持不懈是最难做坚持不懈是最难做到的到的。 持续成功的九种驱动力谢谢谢谢 010-82031677-8199