网络安全漏洞逼近你我他 可信身份体系建设迫在眉睫

数据已经成为国家和企业发展的重要资源，各类信息保护更事关网民的切身利益。近年来，国内经常发生各类信息和重要数据泄露来源的事件，加强数据安全保护的技术手段建设和监管能力建设已然迫在眉睫，而构建一个可信身份体系，便是网络空间安全发展的一个重要前提。

当前，可信身份已经上升到一定的高度，成为互联网+的重要基础。从产业规模来看，2016年底，我国的网络电子认证市场还不到200亿，但是黑产的规模已经高达千亿左右。这说明，在产业圈中还有大量的工作要做，特别是对于可信身份的市场还大有可期。

值得了解的是，个人的真实身份性和合法性是由政府的权威认证所提供的。那么，怎么建立可信身份体系呢？国外的发展或许可以带给我们一些借鉴。

国外建设起步较早

在可信身份体系发展情况方面，美国和欧盟起步较早，做得较为权威。早在2006年，欧盟就已经出台了相关法律法规，开展了网络可信身份体系的建设。美国在2011年的时候，公布了美国的网络空间可信身份国家战略，他们计划用10年的时间，来建设美国全国的网络身份体系。

把可信身份提到国家战略层面，而且成立专门的部门来为国家或者是欧盟的网络可信身份体系进行指导建设，对于我们国家的可信身份体系建设有极强的借鉴意义。

在欧盟和美国建设可信身份体系过程中非常注重顶层设计。就像欧盟对推进eID的框架路线给出整体规划，并且对成员国应用eID管理，都得到了众多欧盟成员国的支持。美国在2011年提出的国家战略中，同样有非常明确的顶层设计。

另外，国外的身份体系建设还包括了法律法规的操作性、标准化的建设以及对于隐私的保护，在顶层设计中，标准化的建设是非常重要的一环。

国内发展正当其时

反观国内身份体系发展情况，首先我们已经有《电子签名法》和《网络安全法》的法律和政策的基础建设和体系。网信办，工信部，国家密码管理局等相关部门，也提出了方向性的指引和要求，也谈到了加强顶层设计、推动数据共享、打破数据孤岛、推进电子签名等的应用。

“我们认为可信身份体系，现在发展应该是正当其时。首先是国家网络战略的要求，其次是企业和个人的需要。网络发展到万物互联的时代，万物互联需要人还有社会的身份识别和可信认证。所以，现在的发展是正当其时。”在近日的2018·C3安全峰会上，亚信安全副总裁、网络安全事业部总经理陆光明如是表示。

事实上，除了法律法规的发布，国内社会各界包括政府、研究机构、学校，还有相关产业企业都在进行一些努力，有相应的产品、技术逐步落地。

但是在产业界，中小企业都是在自建认证，安全合格性差一点。在大型的企业，如金融等央企有自由平台的建设，包括建立一些信用体系，但是他们仅仅局限在自己这个行业的数据之中，因此，没有跨行业之间形成身份认证核心的传递和互认成为问题。

陆光明称，从技术层面来讲，也面临一些问题，首先单一的认证技术无法保证用户的身份可信，“短信验证码是用得较多，美国已经全面废除验证码作为一个因子，因为验证码非常不安全，已经在美国全境废除了。澳大利亚在2015年的时候，就已经要求和废除短信验证码的认证。”

基于以上问题，亚信安全认为可信身份体系应有几个大的体系。首先，单纬度单系统的解决特定场景的可信身份，要向多维度、综合性的可交叉的可信身份体系助力网络安全身份体系发展，并且要形成刚才谈到的可信身份认证的传递和互信。

其次，在技术上安全便捷和身份成本的技术会更加的受青睐，要重视业务的合规性，生物特征的认证，免密无感，融合认证等等。在设备里，内制数字证书或者说密密钥分割协同认证的软认证，这些技术相对来讲比较便捷，用户体验较好。

最重要的一点是，可信身份的互联互通加强实现，需要有一个以社会公信力的身份认证服务平台作为国家的关键信息基础设施技术来建设。

重点难点所在

方向确立后，打造可信身份体系重点难点在哪里？亚信安全认为有以下几个方面。首当其冲是要保障用户的身份可信。这就是要确定网络中，在网络虚拟社会中，用户的真实身份。

再有是保护用户身份的隐私。如德国设计网络电子身份认证的时候就非常注重隐私，采用双向认证的策略，和数据最小化的原则。

第三方面便是要调动各方的参与，“虽然在刚才的分析和讨论过程中，网络可信身份不是一个分散的概念，要维护网络的应用和安全。我们想不仅仅是一家企业，或者是政府自己就能实现的，需要各行各业的企业，互联网应用的提供商，以及我们的网民都要参与进来，” 陆光明认为。

当然，最为重要的是要搭建一个公信力统一身份认证平台，这个是要先行。搭建起平台之后，来面向社会的公众、企业提供权威的认证源，作为统一认证和授权的基础设施。