摘要：为确保网络安全，防火墙、杀毒软件、IPS等产品早已在企业网络中普遍部署，但这些主要针对的是外网的安全防护，在面对内网安全威胁时，往往形同虚设。

第1页:内网安全数据为本 第2页:简单可靠是关键

　　
　　第二种方法是面向服务，购买第三方认证服务的建设模式。企业利用第三方CA服务提供商的集成PKI平台，通过配置和管理，将企业端的前台与第三方高可靠性、高安全性的PKI后台组合在一起，对外提供证书服务。此模式下，企业的CA被托管在可信的第三方，复杂、专业的PKI核心服务及维护将交与专业的第三方CA完成，企业复杂的设备以及PKI专家、法律专家，不需要单独承担全部的投资与风险。而基于数字证书的电子签名技术更完全符合我国相关法律的要求，实现诸如电子合同、网上招投标等高端应用。
　　
　　面向产品的自建CA与面向服务的托管CA代表着两种不同的建设模式,但两者间并不矛盾，因该是各有所长。针对数字证书体系的建设，企业需要根据自身的需求，仔细研究后选择合适的模式，当需要自主可控时选择自建方式，当涉及第三方交易时选购服务模式化解风险，企业完全可以找到适合自己的认证系统建设模式。
　　
　　简单可靠是关键
　　
　　李延昭表示，从天威诚信以及业界主流厂商多年的实际经验看，多数大型企业在建设CA认证平台时，强调系统的自主可控，此时采用自建CA模式更加适合。对于自建型的PKI/CA系统，客户需要考虑系统的后期运营和维护，建立完整的运营管理体系，并负责系统的日常维护和升级等。此时客户应当利用第三方认证中心的运营管理经验和提供的运营管理咨询服务，来建设自己的运营管理体系，有人可以借助PKI/CA软件提供商提供的维护和升级服务，对系统进行日常维护和升级。
　　
　　李延昭同时强调，自建CA平台通常需要很长的周期，企业需要根据自身情况有计划分步骤的实施，因为自己建设一个PKI系统需要主管部门的审批、资金的筹集、PKI产品的认证、物理环境的准备、系统的安装调试、操作规程的形成、系统的认证以及注册运营等多个环节。而对于一些规模较小或仅仅核心业务，例如财务系统、合同审批系统需要CA认证支持，完全可以采用服务模式来实现。在第三方服务模式下，对于PKI/CA核心后台的建设（包括安全性、可靠性和稳定性等方面的建设）、运营管理和系统维护都将由第三方PKI/CA服务提供商负责，企业只需要购买第三方PKI服务提供商的PKI/CA服务，并完成本地部分系统的建设、运营管理和维护即可。
　　
　　PKI/CA发展到今天，自建和服务两种模式下的产品从功能上看差别已经很小，技术已经不是用户选择的主要因素，最重要的是技术支持下的应用模式。在国内，自建PKI和基于服务的PKI长期共存着。今天，基于自建的CA还有相当的市场；同时，从行业发展来看，以市场方式运作的CA认证服务方式正在一些电子商务应用领域拥有更多的市场。
　　
　　由于客户需求的多样性，这对CA服务供应商的服务能力提出了巨大挑战，目前，市场上能够同时提供两种建设模式的CA服务商并不多。但是从市场发展的角度看，根据企业实际应用需求，量身定制多种服务模式融合的CA认证服务将成为主流。以目前在电子认证服务领域处于领先的天威诚信（iTrus China）为例，该公司目前可以向企业提供多种模式的PKI/CA服务，充分满足各种类型企业的实际应用需求。同时，天威诚信还在如何让用户简单、便捷地应用好CA上花费不少精力。据记者了解，天威诚信是VeriSign在国内的首要合作伙伴，通过大量借鉴吸收Veri Sign的技术以及运营管理经验，公司目前能够以最快的速度、最新的技术、最简便的方式、最适宜的投入，向企业提供高可靠的PKI/CA服务，帮助企业用户解决网络应用的多种安全问题。
　　
　　经过多年的发展，CA认证服务已经不是一个简单的安全概念，而是更加务实地应用到企业实际业务中去。在这种背景下，拥有稳定可靠的多种服务能力和第三方电子认证服务运营资质将成服务提供商最终赢得市场的关键。
　　
　　责任编辑：Honey