王琎

随着网络空间技术的发展以及云计算、物联网、移动互联网、区块链等新技术、新应用的不断涌现，网络社会提升到了一个新水平、新阶段。面对网络空间各领域参与主体的迅猛扩张，安全问题愈发凸显，电子认证服务作为确认网络主体及行为、保障用户权益、认定法律责任的重要手段，需求日益升温。经过多年的发展和市场培育，我国电子认证服务产业初具规模，上下游产业链条不断完善，包括电子认证软硬件提供商、电子认证服务机构、电子签名应用产品和服务提供商、电子认证公共服务机构、应用单位和终端用户等主体。回顾2017年，电子认证服务业在各方面都取得一定业绩。

电子认证服务业整体发展现状

产业规模继续扩大。近年来，电子认证服务产业总体规模保持快速增长态势，2017年电子认证服务产业总体规模实现220亿元，同比增长14.1%。其中，电子认证软硬件市场规模157.6亿元，电子认证服务机构营业额55.4亿元，电子签名应用产品和服务市场规模7亿元。

标准化工作稳步推进。当前，我国电子认证服务相关标准可分为两个层面：一是国家标准层面，该项工作由全国信息安全标准化技术委员会（以下简称信安标委）负责;二是行业标准层面，由各相关领域的主管部门根据职责发布行业标准。截止到2017年底，我国正式发布的电子认证相关国家标准达80项，其中，基础设施类标准基本成熟，相关标准有29项，2017年新发布3项标准。技术类标准较为完备，相关标准34项，2017年新增6项标准。管理类标准相对较少，有3项，应用支撑类标准发展较快，有14项。与此同时，密码行业标准进展良好，国密局2017年努力推进行业标准晋升为国家标准和国际标准。2017年11月3日，在第55次ISO/IEC联合技术委员会信息安全技术分委员会（SC27）德国柏林会议上，含有我国SM2与SM9数字签名算法的ISO/IEC14888-3附录1获得一致通过，成为ISO/IEC国际标准。

数字证书应用逐步普及。截至2017年底，全国有效数字证书总量约达3.41亿张，其中，个人证书约2.78亿张，机构证书约5900万张，设备证书约364万张。数字证书覆盖区域日渐扩大。数字证书跨境互认应用持续推进。近年来，工业和信息化部已经对申请开展粤港电子签名认证跨境互认的CA机构进行了核准，并开展数字证书跨境应用。数字证书主要应用于六大领域，即移动互联网、金融、电子政务、医疗卫生、电子商务和教育。此外，一证多用和未能严格区分领域的其他应用证书得到迅猛发展。其中，应用最多的是移动互联网领域，有22860万多张有效数字证书;其次是电子商务领域，约3860万张;再次是金融领域，约1820万张;第四是电子政务领域，约1300万张;第五是医疗卫生领域，约58.6万张;第六是教育领域，约2万张。此外，其他领域，约4199.4万张。

我国电子认证服务业的发展趋势

电子政务数字证书互通互认跨入快速发展阶段。2018年7月31日，国务院印发《关于加快推进全国一体化在线政务服务平台建设的指导意见》（发文字号：国发〔2018〕27号，以下简称《指导意见》）。《指导意见》的附件还包含了《全国一体化在线政务服务平台建设组织推进和任务分工方案》。《指导意见》就电子政务服务平台“一网通办”做出了重要部署，并明确了部署任务的责任部門及完成时间点。其中，“统一身份认证”“统一电子印章”“统一电子证照”三项任务，试点地区、部门应于2019年底前完成，全国范围2020年完成。电子政务数字证书是电子认证服务业的重要领域，国家政务服务平台将会基于自然人身份信息、法人单位信息构建统一身份认证平台，该平台将会打通电子政务中各部门区域的信息壁垒，从而推进数字证书的跨区域互通互认。电子政务数字证书互通互认将会在2018年至2020年快速发展。

电子认证服务市场结构将进一步调整。伴随国家“放管服”工作的推进，2017年起，工商、税务等部门开始推进电子营业执照及报税凭证的收费机制整改。特别是2018年4月，国税总局发布了《关于落实第三方CA证书收费整改工作的通知》。这些政策的出台和调整对电子认证服务行业的市场结构产生了重要的影响。截至2017年底，机构证书及个人证书在数字证书的总占比高达98.8%，总数达3.37亿张。在各CA中，原工商、税务的证书所产生的业务量在部分电子认证服务机构中的占比约为20%至40%。赛迪智库认为，在2018至2020年，电子认证服务的市场结构将会出现调整。其中，电子政务（包括工商、税务等）相关部分的市场将进一步优化调整，部分自然人、法人领取的多种不同事项数字证书将会伴随“一网通办”工作的推进逐渐统一。部分以工商、税务电子证书为主营业务CA的证书量及营收会出现缩减的情况。

服务器证书业务有望成为下一个新兴增长点。随着个人隐私越来越受到人们的重视，在网络上使用明文传输网页数据逐渐被人们认为是不安全的行为。最近几年来，越来越多的网站开始使用服务器证书及TLS协议保证浏览网页的安全。谷歌作为互联网行业的领军企业，从微软的手中抢占了全球互联网浏览器超过一半的市场份额。以Chrome浏览器为抓手，谷歌推行了与微软IE的差异化竞争策略，以数据安全为切入点，谷歌努力将自己实现的TLS1.3草案推行成为互联网行业标准。而TLS的使用离不开电子认证服务机构颁发的服务器证书。目前我国绝大多数服务器证书市场均由外国厂商占领，国内CA机构参与的竞争并不充分，市场份额潜力大。商业CA颁发的服务器证书售价较高，有充分的利润空间，在电子认证服务机构转型的过程中，服务器证书领域有望成为下一个新型增长点。

国产密码算法的配套标准及工具逐步成型。通过近几年的努力，我国国密算法的标准化工作一直在高速推进。2017年11月3日，在第55次ISO/IEC联合技术委员会信息安全技术分委员会（SC27）德国柏林会议上，含有我国SM2与SM9数字签名算法的ISO/IEC14888-3附录1获得一致通过，成为ISO/IEC国际标准，标志着我国向国际标准化组织（ISO）和国际电工委员会（IEC）贡献中国智慧和中国标准取得重要突破，将进一步促进我国在密码技术和网络空间安全领域的国际合作和交流。2018年4月，我国提出的SM9-KA秘钥协商协议纳入ISO/IEC11770-3、ZUC序列密码算法纳入ISO/IEC18033-4、SM9-IBE纳入ISO/IEC18003-5三项密码算法标准化提案获得国际立项，我国密码专家被任命为项目报告人。伴随近年来分布式计算、超算的发展，国外密码界将以RSA为代表传统算法升级为以ECC为代表的新一代算法的呼声越来越高。我国目前已经在标准和配套工具上做好了积累和准备，国密SM2/SM3/SM4/SM9算法有望在近几年算法升级的浪潮中，打破国外加密算法垄断各行业应用的格局，使我国电子认证服务业提前布局的国密算法系列证书得到更为广泛的应用。

我国电子认证服务业发展的主要问题

电子认证新应用新模式拓展不足。当前，大数据、云计算、移动互联网等新形态、新业务的迅速发展给网络空间带来了丰富的应用，形成了大量有价值的数据资产。随着人们生产生活与网络空间的紧密结合，各类安全风险也随之而来，网络安全保障需求也与日俱增。这促使新的认证需求不断开启，推动了认证方式的多元化。实际上，除了基于PKI的数字证书认证方式外，现在已经出现了短信密码、动态口令牌、手机令牌、智能卡、生物识别等一系列认证方式，虽然这些认证方式在技术角度并不比电子签名安全性高，但大都是针对特定的应用场景，加之都符合其自身安全要求，具备操作便捷、用户友好等特点，从而得到了广泛应用。然而，作为互联网环境下保障人们合法权益的重要手段，电子认证服务的应用模式较为单一，主要提供企业、自然人数字证书服务，应用范围也仅限于网络身份认证，相对狭窄。由于自身应用过程繁琐，在很多互联网应用中很难得到认可，电子签名相关应用尚未大规模开展，不利于行業的进一步发展。此外，我国电子认证服务机构多以政府部门自建或国有资产控股为主，在运营上有比较稳定的客户，经营收入方面不存在后顾之忧，容易导致满足于现状，缺乏对新应用、新模式的开拓动力，技术创新、业务创新明显不足。

电子认证服务资金投入力度较弱。当前，社会各界对电子认证服务重要性的认识程度仍显不足，认为电子认证服务仅仅是一项市场化活动，忽略了电子认证服务在网络信任体系建设中重要基础设施的作用，因而，对电子认证技术研发和创新、基础设施建设等方面的资金支持力度，与其他信息技术产业相比仍然较弱。政府通过资金补贴、项目支持等政策激励企业开发拥有自主知识产权的国产化技术和产品、搭建全国性的基础平台（如政府外网、内网访问控制平台、统一网络身份管理与服务平台等）的力度不强，在投融资渠道方面，风险投资、民营资本投入到电子认证服务业的力度也非常有限。

自建电子认证系统给行业发展造成巨大冲击。目前，部分行业主管部门大力建设电子认证服务系统，在管辖领域的电子政务对公服务中向用户提供电子认证服务，对行业电子政务数字证书应用带来极大挑战。如国家市场监管总局已建设完成的电子营业执照系统中含有电子认证系统，将数字证书与电子营业执照绑定，同时发放给企业;国家税务总局也开始自建电子认证系统签发数字证书，用户可通过该证书实现网上报税。此外，交通、财政、能源等行业已建或在建电子认证系统。这些行业的自建CA行为对电子认证服务行业产生了巨大冲击，直接影响了多家机构已有业务的开展，造成有效证书发放量大幅减少，营业收入大幅降低;更严重的是，自建电子认证系统阻断了行业重要的盈利点，削弱了整个电子政务领域的市场容量，挤压了电子认证机构的生存空间。电子政务领域自建电子认证系统，给CA机构的生存和发展造成较大威胁。

电子认证服务专业人员严重匮乏。由于电子认证服务业是新兴服务业，社会上对电子认证服务的理解和重视程度还远远不够，加上我国相关学历教育尚不完善，未形成产学研结合的人才培养体系，岗位从业认证机制不健全，人才队伍建设尚不完善。同时，我国电子认证服务人才选拔和引进机制仍不完善，同时缺乏对现有人才队伍开展的专业化培训和继续教育，导致从事电子认证服务的专业人员严重匮乏。据统计，目前电子认证服务机构从业人员总量仅5000余人，其中，专业技术人员所占的比例不足30%。专业人才以及既懂技术又懂管理的综合性人才短缺已成为制约行业发展的重要因素。

CA机构服务能力面临较大压力。“互联网+”时代，传统行业与互联网深度融合，各种互联网应用层出不穷，信息化程度日趋深入。尤其是云计算、物联网、大数据、移动电子商务等新兴互联网应用，对数据保密、访问控制、责任追溯等有了更高要求，而电子认证数据加密、完整性认证、电子签名等功能正好契合了新应用的需求。如何适应新时代互联网的发展，如何在新兴领域中充分发挥电子认证作用，是电子认证服务行业持续发展所面临的首要问题。行业传统的、以签发数字证书为主要业务的模式，难以满足新时期的市场要求，CA机构不仅需要签发证书，还需要充分了解应用系统的业务流程和安全需求，并且有能力将证书应用在业务系统中，发挥证书在业务流程各个环节中的保障作用。这对认证机构技术研发能力、服务创新能力，以及从业人员的知识结构和综合素质提出更高要求，需要认证机构掌握必要的核心技术，积累丰富的研发经验，培养一批专业的人才队伍。新时期，电子认证服务机构能力建设将面临更大压力。

发展我国电子认证服务业的对策建议

完善配套政策法规、引导电子认证行业发展。电子认证服务业的发展需要多方面的保障和支撑，尤其是需要法律法规和相关政策方面的支撑，只有构建系统而完善的法律法规体系，才能充分保障电子认证服务业的健康、快速发展，促进行业应用，进而推动电子政务、电子商务等网络应用的发展。针对目前电子政务业务互通性差的情况，应当尽快围绕国发〔2018〕27号《指导意见》的部署，进一步完善我国《电子签名法》《电子认证服务管理办法》《电子认证服务密码管理办法》等法律法规。为按部署推进“一网通办”工作做好法律法规方面的准备，同时将党的十九大明确的中国特色社会主义新时代发展思路及部署完善到法律法规当中去，为简政放权、放管结合、优化服务完善法律法规方面的依据。

进一步加强监管、提升电子认证服务行业标准。近年来，国际政治局势、网络安全形势迅速变化。为了紧跟时代的发展，捍卫国家网络空间主权，我国于2017年6月1日正式实施了《中华人民共和国网络安全法》。电子认证服务业作为网络信任的重要支撑和信任根，其在网络安全中发挥的作用将愈发明显和重要。在工业和信息化部2018年组织的“双随机，一公开”检查情况的公示中，部分电子认证服务机构在运营管理及技术系统存在隐患，部分管理制度执行不到位，部分技术没有跟上网络安全形势。伴随公安部《网络安全等级保护条例》进入司法程序，“等保2.0”时代即将来临的大背景，应对电子认证服务机构应当进一步加强监管，从而在国际网络安全问题突出的形势下确保我国网络身份信任根的管理安全和平稳运行。

规划新兴业务市场、倡导企业联合培育。电子签名法颁布14年来，各省市、地区电子认证服务机构经历了充分的行业内竞争，已经成为红海市场。伴随电子政务数字证书市场“一网通办”“放管服”的深入推进，对于电子认证服务机构，应当在积极配合政府部门开展证书互通互认、减免收费的同时，对行业现状进行突破，开发以服务器证书为代表的新领域，创造出属于电子认证服务机构自己的市场蓝海，从而实现整体行业的持续发展。在开拓市场时，应当极力避免在新市场内盲目扩张、打价格战等短视行为。应倡导企业联合，从用户教育和市场培育做起，让用户充分了解电子认证服务机构及电子签名的法律效应、应用效果，培养起用户的使用习惯，从而开拓出新兴业务市场。

重视可信运营队伍建设、构建网络空间信任基础。虽然近年来电子认证服务业发展良好，但目前整个行业中存在着重视市场开拓能力，轻视可信运营团队的状况。电子认证服务机构是我国网络空间的信任根，是构建可信网络空间体系的基础，优秀的管理和高质量的运营是企业立足的根本。一旦电子认证服务机构的运营出现问题，将会在目前的全媒体时代快速传播曝光，直接导致公众对于该机构的信任流失乃至信用破产。而对于电子认证服务机构，这样的打击是致命的，信用的问题将直接影响所有业务的开展，已经开展的业务也将面临用户的投诉与指责，乃至被国际的网络安全行业列入黑名单。在我国《网络安全法》实施的大背景下，电子认证服务机构的可信运营队伍重要性再度提高，应当大力加强CA运营队伍人才的建设，确保核心安全运维人员拥有扎实的知识、丰富的经验与可靠的品德。为国家网络空间安全战略打好信任基础。

试验互联网新技术、规划技术未来方向。从2017年起，以区块链为代表的互联网新技术得到了资本市场的青睐产生了爆发式增长。区块链技术作为一种分布式账本的技术方案，它具有开放、去中心、交易透明以及数据不可篡改等特征，可能会对整个生产关系、社会结构产生巨大的影响。电子认证服务业也应投入适当的精力预研、试点相关应用，探索可能的落地及应用模式。深入研究提出依托电子认证服务的区块链解决方案，推动CA机构积极参与到金融、电子商务等领域区块链应用中去。