中国自己的密码服务规范体系--《安全电子文件密码应用规范》即将实施,这一规范的出台在推动我国信息化产业实现跨越式发展和我国信息安全管理维护上具有极为重要的意义,同时也标志着我国的电子文件系统密码应用的标准化、规范化体系正在逐步完善形成。
规范产生的相关背景
在信息化产业的发展进程中,电子安全产品以其独特的身份扮演着极其重要的角色,无论硬件产品还是软件系统,都有上百家的生产厂商充斥在用户的不同应用环境中,密码应用的相关产品也都各自为战、自由发展,在涉及电子文件处理及流转的应用系统中,普遍存在着密码协议不统一、密码接口混乱、密码服务处理层次不清晰等现象,电子文件在不同应用系统之间进行交互式时,也出现了兼容性差和安全失控等问题。“没有规矩不成方圆”,如果各家厂商没有统一的密码应用规范,任由各种协会组织及厂商各自发挥,将不利于信息安全产业的完善和发展。
在信息安全体系中密码技术是最为核心和关键的技术,只有纳入到国家密码相关管理体系中才能真正保障国家信息安全。因此相关规范的制定和完善也获得了国家各相关部委的高度重视,2007年2月15日,作为我国密码使用和管理的唯一领导单位国家密码管理局正式下达了《安全电子文件密码应用规范》的编制任务,上海颐东网络信息有限公司与国内其他七家单位共同完成了初步的编制工作。规范针对电子文件处理和流转时,存在非法操作、安全管理失控等问题,提出了一种标签与电子文件绑定的安全控制机制,标签规定了电子文件的操作权限和安全属性,记录了所有针对文件的密码操作,可实现电子文件全生命周期的机密性、完整性、有效性和抗抵赖性等安全控制。规范还定义了安全电子文件密码服务的中间件体制,由中间件为应用系统提供统一、规范的密码服务,使用统一的应用系统的安全服务接口和调用方法,可以有利于应用系统、中间件和密码服务开发单位专注于自身技术的开发,促进技术的产品化。
为配合规范的推广及应用,上海颐东公司投入核心开发团队在原有产品的基础上按照保密局的规范,在2008年1月推出规范产品V1.0版,经过近一年多的市场砺练,目前产品已经推出V3.0版本。国家电子文档安全标准总体组十分关注颐东产品的研发成果,两次派人专程了解产品的研发进程,对公司的核心技术表示十分认可。
示范产品的应用前景
英赛虎电子文档安全管理系统利用“电子文档安全标签”、“安全电子文件密码服务中间件”等核心技术为企业的信息安全特别是各类文档信息的安全保驾护航。产品客户端程序将本地文档安全编码后,通过稳定、安全的加密信道送入服务器进行统一存放,而在用户本地硬盘仅仅存放该文档的标签文件,文档标签作为该文件的索引使用,并非文档的实体,类似于该文件的一个加密的快捷方式。运用此项技术,文件内容实体实际不存放在本地硬盘,每次用户打开文件,先经过服务器认证用户权限,若权限符合,密文将即时从服务器传递给用户,供本地动态解密和进行相关授权操作。由于标签保存的内容并不包括文档密文,所以不用担心非法复制、木马窃取、无意遗失、暴力破解导致文档信息泄露等安全问题,而对于使用者来说也没有改变其使用上的习惯,加强安全性的同时也为用户提供了灵活和便利。
《安全电子文件密码应用规范》的实施将促使国内外安全产品生产企业必须遵守该规范,这也意味着安全产品生产企业要想进入中国巨大的信息安全市场就必须在产品的设计和研发上遵照规范,否则将无法跨越这一门槛,被拒之门外。由此可见,此项规范无疑为国家信息安全构筑了一道坚不可催的安全防线,而使用标签技术确保文件安全的此款安全示范产品将在未来的应用市场上演绎怎样的精彩呢,让我们共同期待!(王彬)
