電子商務熱引發了全國各地的“CA認證中心建設熱”。據記者了解，不僅各行業、各地區都在建自己的認證中心，而且許多公司和網站也在建自己的認證中心。針對當前認證中心建設中存在的種種問題，記者采訪了國家信息安全測評認證中心主任吳世忠研究員。

中國有四、五個認證中心足矣

吳世忠認為，當前我國電子商務CA認證中心的建設很不規范，與我國對此沒有指導性的政策有關。就全國而言，從市場的需求及未來發展看，有四、五個認證中心足矣。即使是在電子商務很發達的美國，也只有兩、三個大型的認證中心。現在國內一哄而上建認證中心，完全沒有必要。他說，我們已經有中國電信的CA(CTCA)、中國人民銀行的CA(CFCA)，它們都是利用國外先進經驗，采用自主安全技術構建的大型CA中心，已經獲得或正在進行“國家信息安全認證”，起點都比較高。以后再重點發展一到兩個商業性CA，當時機成熟時，在此基礎上再建一個***的根CA，全國的認證問題基本上就解決了。濫建CA有悖信息化潮流，所以要給全國各地的“CA認證中心熱”潑點冷水，是因為這種熱衷于各搞一套的做法是條塊分割的老路子，與打破時間空間限制的網絡化潮流大相徑庭。網絡時代的各自為政無異畫地為牢。重復建設所帶來的不是利益的*大化，而是國家利益的*小化、公眾利益的*小化。以金融CA為例，中國人民銀行總行為CFCA制定了管理規范，為金融行業的認證提供了條件和基礎。以此觀之，其他銀行自己建的認證中心，實無多大必要。吳世忠認為，銀行應該遵循一個CA，不能再走信用卡的老路。以前各銀行自己搞自己的信用卡，結果，商場、賓館的收款臺要放五、六臺刷卡機，為國家管理和社會公眾帶來了負擔。

具備怎樣的能力才能建CA中心？

吳世忠認為，面向社會服務的CA中心必須達到一定的要求。**要看建設單位是否具備管理能力，以及責任和義務是否很明確，一旦證書出了問題，各方的責任是否清楚；其次是看技術能力和運行條件，CA要為社會服務，能否保證安全可信，運轉有效；這需要專門的技術能力和安全完整的網上認證技術體系。比如在炒股票時，如果認證的周期太長，別人已經成交了，你這里還堵著，那肯定不行。第三是看是否有足夠的財力支持。沒有數千萬乃至上億的投入，是無法面向社會提供可信賴的CA服務。第四是看整個CA系統和設施是否安全。總之，CA中心能否提供安全可靠的服務，不能僅憑其自身的宣傳，而是要通過“國家信息安全認證”。

出了問題找誰賠償

當前有的公司也在網上發放CA證書。記者詢問：如果出現問題，該公司是否為自己發放的證書承擔責任？得到的回答是：“不需要承擔責任”。就這個問題，吳世忠卻認為，這是不負責任的說法。如果發證機構不為自己發的證書負責，還要這個認證干什么？確保CA本身的可信安全、確保注冊機構和資源庫的可信安全、確保發布信息的可信安全是當前任何一個CA認證中心必須盡到的義務，同時，CA認證中心要在它的認證實施聲明中，明確注明自己的責任和對違約造成損失的賠償級別。現在有許多公司，以為建CA能賺錢，或者容易炒作，便紛紛涉足，從國外網站下載一些軟件，就開始發放所謂的CA證書，網民在網上隨便登記一個名字，就算是認證了，發證公司根本就不去核查，因而認證的安全性和可信度就大打折扣，出了問題，用戶的利益誰來管？找誰要賠償？這都是建設CA認證中心時必須回答、決不容回避的現實問題。

新聞背景

網絡也要有“身份證”

2000年也許將會被稱為“認證中心年”。今年以來，上海、天津、陜西等地的一批省市級大型信用認證中心相繼開通。6月底，歷經16個月的建設和試運行的中國金融認證中心(CFCA)正式投入使用，為中國電子商務的發展提供了一個權威、可信、公正的第三方信任機構。

個人信用資料和信用評估一直是我國金融界的一項空白。在發達國家，個人信貸是銀行業發放貸款的重點方向，而在我國，由于缺乏個人信用資料和信用評估數據，銀行業面對個人信貸這種國際通行的金融業務卻放不開手腳，評估手續繁復，貸款者不勝其煩。在網絡上進行交易和通訊，**必須保證交易或通訊雙方身份的合法性。隨著電子商務的興起，個人信用資料和信用評估的缺乏，成為我國發展電子商務發展的一大障礙。認證中心的成立，就是要建立起個人和商戶的信用資料和信用評估數據庫，為電子商務的發展掃清障礙。

為了保證互聯網上電子交易的安全性(保密性、真實完整性和不可否認性)，防范交易及支付過程中的欺詐行為，除了在信息傳輸過程中采用更強的加密算法等措施之外，還必須在網上建立一種信任及信任驗證機制，使交易及支付各方能夠確認其他各方的身份，這就要求參加電子商務的各方必須有一個可以被驗證的身份標識，即CA證書。CA證書是各實體(消費者、商戶／企業、銀行等)在網上進行信息交流及商務活動的身份證明，在電子交易的各個環節，交易的各方都需驗證對方數字證書的有效性，從而解決相互間的信任問題。

每個公民有身份證，在單位有工作證，它們都是用來證明人的身份的。認證中心發放的CA證書，就像是網絡社會中的“身份證”。從理論上講，誰都可以發放，只要能夠得到社會的認可。

“武裝到牙齒”的認證中心

中國金融認證中心是具有權威性、可信賴性及公正性的第三方機構，在安全方面具有突出優勢。為了保證安全，金融認證中心專門建了一幢獨立的小樓，配備了安全強度*高的物理建筑、門禁系統和保安崗哨。機房設計嚴格符合國際標準，六面墻體(四面墻和天花板、地板)都采用無縫鋼板防攻擊和屏蔽，安裝了**監控設備，裝置了嚴格的門墻設備。中心還制定了完善的安全制度，整個系統被劃分成不同安全等級的區域，有些可以由外界通過公共網進行訪問，有些則只準特許人員訪問，不同級別的工作人員口令也不一樣，以確保系統的安全性。