和几个朋友聊天,无意中提起认证、授权、责任鉴定的相关话题,大家对这个三个层面的认知存在着很大的差别,同时考虑到实际应用单位的业务应用情况,在数据安全被日益重视的当下有必要将肤浅认识给大家分享一下。
记得很久以前在电子政务建设的相关文件中就明确提到要在电子政务网络中构建认证体系、授权体系和责任鉴定体系,并重点强调这三大体系是应用安全的核心支撑体系,国家几个重要部委也都在零几年开始建设身份认证与授权管理体系,不过截止目前为止,作者认为其实际效果参差不齐,并没有真正达到支撑的作用。原因分析如下:认证是被应用最多的安全基本功能,当下有各式各样的认证技术和认证产品,作者以往的文章中也曾提及过,当前最混乱的安全功能就是认证,在信息化建设中各种认证技术可谓是百花齐放、各领风骚。基于数字证书的身份认证方式曾在网银、政务服务系统被广泛使用,基于刷脸、指纹等生物特征的认证方式也在逐步渗透到各种应用场景中。但无论基于那种技术的认证,好像都存在这样或那样的问题,仔细分析一下不难发现,在信息化中基于人/法人的认证一定需要国家或政府行为(国家在着手实施推进的电子证照就是这个意思),否则认证和现实脱节或得不到政策保护那是一定的。所以,以往的各种认证都很难形成闭环,只能在局部使用,很难形成统一支撑也就不难理解了。另外想想一个人要记忆那么多的账号、买那么多的key,这样的应用体验也是时常被诟病的。所以:认证做不成体系支撑,是因为顶层设计不够,政府尚未行动。
授权是公认最不好做的安全功能,因为和应用绑定的比较紧,所以当下真正做成授权支撑体系的寥寥无几,在密码行业曾经推广过PMI体系,也在国家几个重要的政府部门进行了规模化建设,虽然投入了很多钱,但基本都沦为摆设。授权本质上不是技术问题,而是管理问题,当信息化仅作为辅助手段时,其管理手段就不那么重要,在这样的前提下构建授权体系,基础是不牢靠,还要去驱动应用系统做相关改造,成功的难度就可想而知了。
所以:授权做不成体系支撑,是因为信息化管理水平没有达到。
责任鉴定,在以前通常以审计记录的形式出现,而记录的内容以操作数据、调试数据、错误数据为主,其目的多以解决信息系统本身的问题为主,还上升不到责任的层次。在信息系统本身责任小的情况下,信息系统的责任鉴定就更不那么重要,并且责任鉴定往往是一种事后行为,不属于业务主线,最为关键的是国家并没有制度明确责任鉴定对信息化主体价值保障意义。所以,责任鉴定做不成体系支撑,是一方面是信息化发展阶段不到,一方面是国家没有赋予价值保障意义。
以往认证、授权、责任鉴定没有起到体系支撑作用,主要原因是信息化发展阶段不到,并不是认证、授权、责任鉴定本身的问题。我们要充分认识到这一点。
随着信息化成为国家战略,成为社会治理、经济转型、民生改善重要抓手,加之疫情的影响,更促进了信息化的全面加速发展,信息化成为各行各业肩负重任的重要方式,责任大大的。同时国家相关政策也快速完善,先后明确了数据是重要生产要素,电子档案、电子证照、电子签名、电子印章等具备法律效力,电子数据可以成为电子证据等等。国家也在快速设计和部署电子证照体系,也成立了多家互联网法庭,依法治网逐渐形成闭环体系,国家在行动。
随着信息化时代的到来,认证、授权、责任鉴定,也终将在网络安全中发挥重要支撑作用,作为从业者更需要做出正确的判断,把握住重点,尽量少走弯路,如下是作者几点肤浅的认识,供大家参考:1、认证,须和社会对接(电子证照、CTID等),信息化单位重点工作是考虑如何对接问题,而不是研究怎么实现的问题。特别提醒尽量不要自成体系;2、授权,信息化责任越来越大,授权已成为业务流程、管理最为关键环节,最体现信息化水平,是信息中心最重要的工作。构建授权管理体系势在必行,请从业者多把精力放在授权体系设计和建设上,授权只能自成体系;3、责任鉴定,数字时代、法制时代的到来,信息化设计须考虑法律遵从性和可追溯性,做到可信 、可证明。当下国家已明确了一些责任鉴定方法和机构,责任鉴定同样要和社会(电子证据、互联网法庭等)对接,这样才能保障自身的合法权益。作为从业者,责任鉴定是有章可循的。
认证和责任鉴定需要按照社会要求进行设计,如何和自身业务对接是核心;授权是信息化单位的工作核心,需要成体系,建议加大关注度。