天威诚信首席安全官李延昭二十周年随笔
天威诚信二十年随笔
文/天威诚信首席安全官·李延昭
生于动荡年代
20年前,当天威诚信成立之时,迎接我们的不是鲜花和啤酒,而是世界级 互联网 泡沫的破灭,作为一个成立之初就立志于通过互联网为中国的企业、个人提供电子认证服务的机构,天威诚信也不可避免的遭受到了严重的冲击,为了生存,我们不得不调整战略,通过系统集成、软件定制等项目维持生计。
接踵而至的 SARS,让天威诚信的经营陷入更加困难的境地,搬家、裁人,当时我们只有一个目的,就是坚持活下去,我们坚信,电子认证一定是未来数字 经济 发展的基石,基于电子认证的网络信任服务,一定会有广阔的发展空间,只要活着,就能迎来转机。只要把产品做好、服务做好,让客户满意,我们就能继续生存,等待时机。
我们都有这样的经验,一个在小时候经历过磨难的人,往往在成熟以后对目标的追求会有着极度的渴望和百折不挠的意志。天威诚信就是这样一个经历过无数磨难而依旧渴望成功并且坚持向着自我设定的目标努力前行的组织,我们珍惜每一个用户给我们的机会,“满足用户的需求,从而获得回报”,我们把这句话视为生存之道,深深地刻在我们的意识形态里。我们有着明确的目标,前行中虽然沟壑荆棘,却也甘之如饴。这种原生文化一旦在一个组织的意识形态里形成,就难以改变,这就是生于动荡年代给我们留下的烙印。
绝望中迎来转机
希望往往都诞生于绝望之中。SARS 为中国互联网的发展、电子商务的发展创造了客观环境,之后的十几年,爆发出了惊人的力量,几乎改变了我们生活的方方面面。2013 年,随着 4G 牌照在中国的发放,基于新一代智能 手机 迅速普及,再一次推动了互联网的发展, 社交 软件、手机支付、基于移动设备的电子商务应用层出不穷,不仅改变了我们的信息获取方式,也改变了我们的购物方式、支付方式、工作方式、理财方式、学习方式、娱乐方式,这也使得天威诚信的服务器认证业务线迅速发展了起来,一跃成为中国市场占有率最高的服务器认证服务供应商,并且在最近的十几年间,一直保持市场占有率第一。而2005 年《电子签名法》的出台,也极大地激发了电子认证服务市场,用户从购买产品逐渐转变为购买政府授权的第三方电子认证服务,我们的企业证书与个人证书发证数量激增,收入也进入了快速的增长时期。日子渐渐地好起来了。
山雨欲来风满楼
随着中国经济进入转型升级时期,政府为了保持市场活力,提高政府办事效率,切实减轻企业税费负担,出台了针对性极强的政策,明确不允许电子政务电子认证业务向企业收费。税务总局、市场监督管理总局、海关总署、人力资源和社会保障部,越来越多的政府机构开始自行建设电子认证系统,并且免费对行政相对人提供电子认证服务。这一波减税降费的大潮,对于那些依托电子政务领域收费的电子认证机构的打击是致命的,他们并没有准备好。而政府行政管理部门建设的电子认证机构所提供的电子认证服务是否具备司法效力,也成了业内争论的焦点。
在 商业 市场中,这几年涌现出来众多的从事在线签约服务的互联网公司,以极致的用户体验,便宜的价格,博得了众多用户的青睐。同时,这也让那些习惯于“强监管”之下的、凡事都要遵从标准规范的、行事一板一眼的电子认证机构难以招架。“电子签名服务”,原本应该是电子认证机构理所当然的本业,却一夜之间沦为了为电子签名服务平台提供底层数字证书的角色。这也再次暴露出大多数电子认证服务机构缺乏创新、固守陈规、偏安一隅的现状,直接导致大多数电子认证服务机构被采购者疯狂压价,这些机构为了生存也只能与同在底层的其他机构低价竞争,谋求生路。历史一再的证明,落后就要挨打就要被颠覆,只有不断的创新,走出安逸,自我突破,才能摆脱困局。
“我们熟悉的东西有些快要闲起来了,我们不熟悉的东西正在强迫我们去做。我们必须学会自己不懂的东西。”
面朝大海,春暖花开
最近电子认证行业普遍都弥漫着悲观的情绪,依托于定期收取证书费的商业模式慢慢地崩塌,新的业务方向没有头绪。对于那些依托于网上报税、工商年检、社保数据申报等电子政务业务开展电子认证服务的机构来说,情况更为糟糕。随着类似税务、工商行业主管部门自建电子认证系统的增多,免费的数字证书会依托于政务业务渗透到各省市地县,原先那些地方 CA,虽然有某个地方行政单位的支持,但是也难于抵抗自上而下的业务渗透,而且,最为关键的是,原先基于地方行政命令的收费模式,根基已经动摇了。
行业内很多人都在思考,电子认证服务行业下一步应该往何处去?应该如何创新?我们不妨再思考一下电子认证的本质,我认为电子签名法规定的电子认证服务是基于行政许可的第三方对电子签名可靠性的证明服务,是以密码技术为基础,针对虚拟世界身份真实、行为真实、意愿真实的可靠性证明服务,是构建数字经济健康、规范发展的信任基石。电子认证行业的创新应该围绕着电子认证的本质寻找突破口。但是反观业内大多数企业的现状,即使是认识到了这一点,也没有能力去这么做。
基于这个现实情况,我预感未来电子认证机构会朝着四个不同的方向寻求发展。
一部分机构会逐渐朝着更加标准化、专业化的方向发展,成为一个纯粹的数字证书服务机构。通过不断地在技术、运营、系统安全、策略安全、服务产品等方面进行完善,并满足更加高水平的能力标准要求,比如符合 WebTrust审计要求中针对 CA 运营基线标准,将自己塑造为可以被信赖的电子认证机构。
少数电子认证机构会被一个大的集团或者一个有实力的应用公司收编,为这个集团的应用做证书服务或更高级的信任服务。阿里、平安等集团企业或有实力的应用厂商通过资本整合的方式,将电子认证机构并入集团,这样使得集团可以放心的将其所有用户数据开放给这个认证机构,同时,可以在集团所有的应用展开与电子认证服务的深度整合。
一些有技术实力的电子认证机构会朝着泛化的信息安全企业发展。他们以电子认证服务产品为核心,通过自我研发或者兼并收购的方式,将业务扩展至身份认证类产品、网络通信安全产品、存储产品、边界安全类产品,不断扩大业务范围。
还有一部分运营较为规范、具有一定的技术研发实力并且对电子证据相关法律要求比较熟悉的电子认证机构,会尝试性的在构建数字世界的信任体系领域进行业务和产品形态的创新,目前看这是最为困难但也拥有广泛市场空间的发展方向,需要经历长时间的实验与探索。信任服务有狭义和广义两类。狭义信任服务的目标,是基于电子签名技术,建设从底层芯片,到操作系统,中间件软件,应用软件,一整套自下而上的信任模型,构建可信计算生态环境。广义的信任服务的目标,是依托于狭义信任服务生态环境,以法律法规为保障体系,构建与现实世界等同的、可融合的数字世界的信任体系。从而更好地促进中国数字经济安全、稳定、高效的发展。
天威诚信应该向何处去?我想答案是不言自明的,他就在“天威诚信”这四个字里,构建数字世界的信任生态环境,是我们责无旁贷的责任。我们应该如何去实现?
首先,我们要强化我们的电子认证服务本身,全面地遵从于CAB组织的基线标准要求,符合 WebTrust 的审计标准,让我们的运营体系更加的安全、可用、可靠。其次,我们要强化以天威云为基础运营平台的产品体系建设,强化统一的技术架构,强化研发能力建设。这两个任务,是为了打造一个强大且坚固的底盘,为我们后续的发展奠定坚实的基础。
在此之上,基于电子证据真实性、有效性、合法性的三个特性,完善产品线,让数据从生成到确认,再到固定、存储、提取等环节符合法律对证据的要求,有效解决电子证据在存证、取证、示证、举证、质证、认定各个环节中的问题,提升司法机构对电子证据真实性、有效性、合法性的判定效率,加快司法机构对案件的审理进程,提升司法资源的利用效率,加强司法体系对数字经济发展的保障作用。与此同时,通过我们不断的司法实践,积累天威诚信“以法律为基础的信任服务”的品牌影响力,以“信任+”的方式,赋能更多的应用,形成信任生态圈,从而实现天威诚信“构建信任,传递信任”的愿景目标。
纸上得来终觉浅,绝知此事要躬行。伟大的愿景目标,需要每一个天威人付出艰苦卓绝的努力,躬身入局,用我们的双手踏踏实实地干出来。美好的未来,虽充满挑战但也腾焰飞芒,他就像在海岸遥望海中已经看得见桅杆尖头了的一只航船,他就像立于高山之巅远看东方已见光芒四射喷薄欲出的一轮朝日,他就像躁动于母腹中的快要成熟了的一个婴儿,正缓缓而来。