如何从服务看电子认证

本资料来源第一页，共二十二页。可信规范的运营随需应变的服务

——从服务看电子认证林雪焰北京数字证书认证中心第二页，共二十二页。背景《中华人民共和国电子签名法》（第十六条）：电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。《电子认证服务管理办法》：本办法所称电子认证服务，是指为电子签名相关各方提供真实性、可靠性验证的公众服务活动。第三页，共二十二页。

迈过资质门槛的CA，面临的问题是如何成功拓展电子认证服务？第四页，共二十二页。电子认证服务的“拼图”资金

人员

物理场地CPS审计鉴证服务CA认证中心系统密码资质风险与责任管理应用模式客户服务系统安全投资回报业务持续性应用拓展客户培训业务咨询获得电子认证服务资质依法开展电子认证服务第五页，共二十二页。鉴证服务电子认证服务的支撑开展电子认证服务的重要拼图业务可持续性具有高可靠性、高可用性、能够有效应对危机的电子认证服务投资回报给用户带来切实的投资回报风险与责任管理承担相应的责任，降低用户风险第六页，共二十二页。鉴证服务第二十条电子签名人向电子认证服务提供者申请电子签名认证证书，应当提供真实、完整和准确的信息。电子认证服务提供者收到电子签名认证证书申请后，应当对申请人的身份进行查验，并对有关材料进行审查。第二十二条

电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确，并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。《电子签名法》和《电子认证服务管理办法》对电子认证服务提供者提出了严格身份认证要求

鉴证是电子认证服务机构的核心功能之一，只有可靠的鉴证服务，才能构建起可信的电子认证服务第七页，共二十二页。当面鉴证委托鉴证异地鉴证虚拟身份鉴证可靠的鉴证模式1234针对不同的业务，设计不同的鉴证模式，以及相应的流程和方法。CA中心需要严格执行鉴证流程和方法税务、技监、招投标…银行、政府…易货贸易…游戏…第八页，共二十二页。案例：医疗认证服务与鉴证创建新型的社区卫生服务的应用需求通过信息化网络建设搭建社区卫生服务信息平台，对社区卫生服务工作进行网格化管理并做到全方位和全人群覆盖，所有医疗数据全部实现电子化、网络化的管理。由于医患双方间医疗纠纷的普遍性，因此需要为社区卫生平台建立有效的身份鉴证及责任认定机制，确保在事后出现医疗纠纷时能够追踪与取证，界定责任。电子认证服务解决方案为社区医生颁发数字证书针对医疗数据需要严格电子签名，对电子病历、电子处方等关键业务数据的处理，要对操作人采取可视数字签名处理，以准确追踪、定位原始行为人严格的鉴证流程，使证书及签名发挥责任认定的作用第九页，共二十二页。业务可持续性第二十二条

电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确，并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。第二十四条

电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后五年。《电子签名法》和《电子认证服务管理办法》对电子认证服务提供者提出了持续服务要求，对业务暂停和承接作出了严格的规定电子签名活动，要求认证服务的可持续性证书认证体系建立后，需要长期持续稳定服务证书发放后，在证书的整个生命周期，CA中心需要提供证书验证和查询等认证服务证书信息需要长期保存CA中心的在CPS中对客户作出了可持续服务承诺第十页，共二十二页。业务可持续性的建设目标：具有高可靠性、高可用性、能够有效应对危机的电子认证服务通过分析电子认证服务的业务体系，CA中心的风险来自人员、物理环境、系统、密钥等方面。因此业务可持续性建设应包括：安全风险评估可信的人员安全的物理环境系统可靠性设计系统的安全防护密钥、设备管理文档资料管理应急处理预案CPS符合行审查第十一页，共二十二页。案例：网上报税业务与业务持续性网上报税缴税的应用需求“财税库行横向联网系统”，通过数据共享和税票信息的电子化，使纳税人在纳税申报、缴纳税款等各个环节突破时间和空间的限制，实现网上实时缴税。需要严格的身份认证和责任认定要求不间断服务解决方案电子认证服务解决方案全面的基于数字证书的应用安全服务，保障了网上申报实时缴税的安全，实现无纸化报税。应用对电子认证服务业务持续性的高要求第十二页，共二十二页。风险与责任管理电子认证服务提供者依照《电子认证业务规则》承担相应的责任为用户提供全面的安全支撑，用电子认证服务加强用户的安全，降低用户的风险第二十八条电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。《电子签名法》和《电子认证服务管理办法》对电子认证服务提供者提出了承担赔偿责任的要求第十三页，共二十二页。案例：网上银行业务与风险管理网上银行业务的安全需求网银系统通过证书实现了用户的身份认证、信息传输的保密和完整、交易行为的不可抵赖。但由于银行的业务流程的复杂，风险可能不是直接来自证书被攻破。电子认证服务解决方案不仅仅局限于证书，而是将证书放到整个网银的业务流程中，分析网银业务的风险针对业务流程中假冒、复制、截留、责任认定、非授权操作等风险，提出解决方案使证书真正成为全面安全解决方案第十四页，共二十二页。投资回报第三方认证服务不是强制性电子认证服务需要给客户带来业务的差异性，带来切实的投资回报投资回报是客户选择认证服务的基础，有时是唯一的决策因数第三条民事活动中的合同或者其他文件、单证等文书，当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。第十六条电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。《电子签名法》和《电子认证服务管理办法》对电子签名采用当事人意思自治原则第十五页，共二十二页。案例：网上审批业务与投资回报无纸化网上审批的应用需求可销售汽车审批，主要审批依据是由依据环保监测机构所出具的汽车尾气检测报告书。为防止汽车企业私自修改检测数据，要求汽车企业手工扫描上百页检测报告书的内容，通过网络方式上传到市环保局，打印出来后作为复印件存档。电子认证服务解决方案通过引入基于数字证书的电子签章机制，优化了网上审批流程，既保证了检测书来源的可信性及文件内容的完整性，又避免了用户繁琐手工操作，真正提高了办事效率。为审批机构和送审单位都带来了投资回报第十六页，共二十二页。成功电子认证服务的基础可信规范的运营随需应变的解决方案全面的证书应用产品

成功的电子认证服务

可信规范的运营是成功的电子认证服务的基础第十七页，共二十二页。身份认证与授权管理WEB信息安全系统BJCASecX统一认证管理系统UAMS单点登录系统BJCASSO责任认定电子签章系统DocSign可信环境桌面安全系统PCGuarder全面的证书应用产品可信规范的运营随需应变的解决方案全面的证书应用产品

成功的电子认证服务围绕网络信任体系的建设，BJCA开发了大量自有知识产权的应用安全产品第十八页，共二十二页。随需应变的解决方案可信规范的运营随需应变的解决方案全面的证书应用产品

成功的电子认证服务通用PKI解决方案安全电子邮件文档电子签章SSL与Web安全管理统一认证与授权行业应用解决方案网上银行网上税务网上证券网上招投标在线保险在线教育

……第十九页，共二十二页。电子认证服务的未来

——消失在随需应变的应用中技术触发过度期望的峰值应用前景乐观度渐增生产力平缓期峰谷低落期第二十页，共二十二页。

服务是一种行为，它要求行为人要日复一日、月复一月、年复一年，时时刻刻保有旺盛的精力、进取的精神、熟练的技术和广博的知识。对他们来说，坚持不懈是最难做到的。

——《持续成功的九种驱动力》第二十一页，共二十二页。内容总结本资料来源。迈过资质门槛的CA，面临的问题是如何成功拓展电子认证服务。具有高可靠性、高可用性、能够有效应对危机的电子认证服务。创建新型的社区卫生服务的应用需求。严格的鉴证流程，使证书及签名发挥责任认定的作用。第二十四条

电子认证服务提