论文部分内容阅读
北京易恒信认证科技有限公司是在北京市科委支持下,由北京信息安全产业基地与CPK技术发明人和QNS工作室于2005年7月共同发起成立的一家专门从事CPK技术研究和产业化服务的高技术公司,是政府重点扶持的科技创新企业。公司以具有国际领先水平和自主知识产权的CPK技术为核心,以创新发展新一代可信安全技术为己任,坚持CPK Built-in经营理念,致力于通过与企业用户的密切合作,将CPK技术嵌入到设备、系统和应用中,为促进国内信息安全技术产业和应用的发展做出自己的贡献。
作为国家密码管理局批准的商用密码产品生产定点单位,支持SM2算法的密钥生产钥匙和智能密码钥匙已获产品定型,并开发完成了包括CPK认证芯片在内的一系列基于CPK技术的系统解决方案和应用产品。其中,CPK文件保险箱、CPK文件守护神等桌面软件产品已取得军B级安全产品认证。
随着电子政务、电子商务的发展,信息技术已经渗透到政府和企业日常运作的每个环节,无纸化办公已成为发展趋势。信息技术的应用极大地提高了工作效率,但也带来安全上的风险。黑客攻击、木马盗取或因存储介质的保管不善造成保密文件、商业机密和个人隐私丢失和泄露,以及网络中传输文件被窃取、篡改的事件频繁发生,给政府、企业和用户带来了巨大的损失。
威胁不只来自外部,更多的来自内部。据权威机构统计,80%的信息泄露来自内部原因。一般单位和企业的内部机密文件、核心技术资料等通常保存在服务器和重要人员的计算机内。窃密者往往通过攻击或欺骗等手段,获取到特定权限,登录服务器,下载资料,或者通过攻击技术,非法从重要人员的计算机中窃取信息甚至设法将服务器和计算机搬走。因此采取有效技术措施保证存放在服务器上和个人计算机内的重要信息和数据的安全,妥善解决文件的安全存储和共享问题,成为当前政府、军队和企事业单位亟待解决的问题。
在网络条件下实现电子文件的安全共享是一项复杂的系统工程,也是国际性难题。保证文件安全主要通过两种途径:一是加强对文件使用的控制和管理,从电子文件的保存和使用环境入手,采取网络物理隔离,控制非法接入,并对文件服务器采取严格的授权访问控制和审计等措施,防止文件的丢失;二是利用密码技术对文件数据进行加密保护,即使数据丢失,也不会泄密。然而,尽管对文件内容加密是最有效、也是最彻底的解决办法,但却带来使用上的问题。要想既保证信息的安全,又方便信息的共享,必须首先解决客户端与服务端、客户端与客户端之间的密钥管理和动态交换问题,而我国自主发明的CPK技术圆满地解决了这一难题。
北京易恒信认证科技有限公司开发的以CPK标识认证系统为基础的新一代电子公文安全文件系统。系统由CPK安全文件服务器和CPK桌面安全系统(包含CPK文件保险箱和CPK守护神)及CPK智能密钥钥匙(产品形态如U盘)组成,可以将文件的使用控制管理和文件加密两种手段紧密结合,构建起一个从服务器到客户端,涵盖存储、传递及各个使用环节,集文件加密、访问控制、授权管理、动态密钥交换、过程审计、动态跟踪为一体的保密文件管理体系,不仅能保证文件在存储状态下和网络传输过程中的安全,还可以通过数字签名保证文件和数据的真实性、完整性和不可抵赖性,从而实现数据、文件密码级的安全存储、传递和共享。
系统主要功能如下:
安全存储——所有文件加密后存储在CPK安全文件服务器里。
安全登录——用户只能用CPK桌面安全系统才能进入网络办公系统。
安全传输——用户和服务器之间的信息交互是密文(高强度加密算法)。
安全交互——用户和用户之间的信息交互是密文(高强度加密算法)。
数字签名——CPK桌面安全系统支持对被加密的数据进行ECDSA(或SM2)数字签名,保证文件数据的完整性,防止数据在存储或网络传输过程中被非法篡改并能有效防止抵赖和仿冒。
授权管理——安全文件服务器配置授权管理,可以对每个用户对每份文件的查询检索、上传下载权限实施严格的授权管理,并提供容错和备份等功能。
日志审计——系统采用日志备份功能对登录用户,文件下载情况等进行详细记录和安全审计,及时发现和制止非法操作,并对用户文件上传、下载操作进行管理和统计分析,支持将统计结果导出为MS-Excel格式文档,支持生成统计报表,支持打印预览、打印设置、打印等操作。一旦出现问题可进行责任追溯。
文件粉碎——普通的文件删除只是作标识删除,即使格式化硬盘也可以通过磁盘文件恢复软件对已删除文件进行恢复。而文件粉碎删除功能是采用以随机数据多次重写文件的方案(符合DOD-5220.22标准),确保文件的数据在删除后彻底清除,不可恢复。
文件夹隐藏——CPK桌面安全系统对加入到文件夹列表中的受控文件夹进行安全保护,当合法登录后可与普通文件夹一样操作,而当用户退出时所有文件夹列表中的受控文件夹将被隐藏。这样非法用户就无法访问到受控的文件夹,也就不能对加密文件进行非法删除等操作,确保用户文件的安全。
电子公文安全文件系统能够在互联网开放的环境中,提供极高安全级别的可信办公条件。无论在公网还是在专网部署该系统,均无需对网络链路和设备进行改造,具有资金投入少、运行费用低、安全级别高、应用范围宽等优点。
与其他现有系统相比,该系统不仅保密性强、效率高、能够支持大规模应用,而且体系结构简单(不需要第三方认证和在线数据库支持)、使用灵活方便、易于管理,广泛适用于政府、军队和企、事业单位,实现内部机密文件的安全存储和充分共享,有效地解决当前各单位最担心的机密文件和重要数据的丢失问题。同时,该项技术也可以扩展应用到数字版权管理、视频点播等领域,对发展教育娱乐等产业,保护知识产权具有重要价值。
CPK体制已经得到国际承认和国家认可。在一批资深安全组专家直接参与、指导下,现已开发出具有世界领先水平的新一代标志认证系统和基于CPK技术的系列应用产品,率先提出新一代信息安全理念和技术架构,形成了一系列系统的解决方案和应用技术产品,并申请了二十余项国内外发明专利。
作为国家密码管理局批准的商用密码产品生产定点单位,支持SM2算法的密钥生产钥匙和智能密码钥匙已获产品定型,并开发完成了包括CPK认证芯片在内的一系列基于CPK技术的系统解决方案和应用产品。其中,CPK文件保险箱、CPK文件守护神等桌面软件产品已取得军B级安全产品认证。
随着电子政务、电子商务的发展,信息技术已经渗透到政府和企业日常运作的每个环节,无纸化办公已成为发展趋势。信息技术的应用极大地提高了工作效率,但也带来安全上的风险。黑客攻击、木马盗取或因存储介质的保管不善造成保密文件、商业机密和个人隐私丢失和泄露,以及网络中传输文件被窃取、篡改的事件频繁发生,给政府、企业和用户带来了巨大的损失。
威胁不只来自外部,更多的来自内部。据权威机构统计,80%的信息泄露来自内部原因。一般单位和企业的内部机密文件、核心技术资料等通常保存在服务器和重要人员的计算机内。窃密者往往通过攻击或欺骗等手段,获取到特定权限,登录服务器,下载资料,或者通过攻击技术,非法从重要人员的计算机中窃取信息甚至设法将服务器和计算机搬走。因此采取有效技术措施保证存放在服务器上和个人计算机内的重要信息和数据的安全,妥善解决文件的安全存储和共享问题,成为当前政府、军队和企事业单位亟待解决的问题。
在网络条件下实现电子文件的安全共享是一项复杂的系统工程,也是国际性难题。保证文件安全主要通过两种途径:一是加强对文件使用的控制和管理,从电子文件的保存和使用环境入手,采取网络物理隔离,控制非法接入,并对文件服务器采取严格的授权访问控制和审计等措施,防止文件的丢失;二是利用密码技术对文件数据进行加密保护,即使数据丢失,也不会泄密。然而,尽管对文件内容加密是最有效、也是最彻底的解决办法,但却带来使用上的问题。要想既保证信息的安全,又方便信息的共享,必须首先解决客户端与服务端、客户端与客户端之间的密钥管理和动态交换问题,而我国自主发明的CPK技术圆满地解决了这一难题。
北京易恒信认证科技有限公司开发的以CPK标识认证系统为基础的新一代电子公文安全文件系统。系统由CPK安全文件服务器和CPK桌面安全系统(包含CPK文件保险箱和CPK守护神)及CPK智能密钥钥匙(产品形态如U盘)组成,可以将文件的使用控制管理和文件加密两种手段紧密结合,构建起一个从服务器到客户端,涵盖存储、传递及各个使用环节,集文件加密、访问控制、授权管理、动态密钥交换、过程审计、动态跟踪为一体的保密文件管理体系,不仅能保证文件在存储状态下和网络传输过程中的安全,还可以通过数字签名保证文件和数据的真实性、完整性和不可抵赖性,从而实现数据、文件密码级的安全存储、传递和共享。
系统主要功能如下:
安全存储——所有文件加密后存储在CPK安全文件服务器里。
安全登录——用户只能用CPK桌面安全系统才能进入网络办公系统。
安全传输——用户和服务器之间的信息交互是密文(高强度加密算法)。
安全交互——用户和用户之间的信息交互是密文(高强度加密算法)。
数字签名——CPK桌面安全系统支持对被加密的数据进行ECDSA(或SM2)数字签名,保证文件数据的完整性,防止数据在存储或网络传输过程中被非法篡改并能有效防止抵赖和仿冒。
授权管理——安全文件服务器配置授权管理,可以对每个用户对每份文件的查询检索、上传下载权限实施严格的授权管理,并提供容错和备份等功能。
日志审计——系统采用日志备份功能对登录用户,文件下载情况等进行详细记录和安全审计,及时发现和制止非法操作,并对用户文件上传、下载操作进行管理和统计分析,支持将统计结果导出为MS-Excel格式文档,支持生成统计报表,支持打印预览、打印设置、打印等操作。一旦出现问题可进行责任追溯。
文件粉碎——普通的文件删除只是作标识删除,即使格式化硬盘也可以通过磁盘文件恢复软件对已删除文件进行恢复。而文件粉碎删除功能是采用以随机数据多次重写文件的方案(符合DOD-5220.22标准),确保文件的数据在删除后彻底清除,不可恢复。
文件夹隐藏——CPK桌面安全系统对加入到文件夹列表中的受控文件夹进行安全保护,当合法登录后可与普通文件夹一样操作,而当用户退出时所有文件夹列表中的受控文件夹将被隐藏。这样非法用户就无法访问到受控的文件夹,也就不能对加密文件进行非法删除等操作,确保用户文件的安全。
电子公文安全文件系统能够在互联网开放的环境中,提供极高安全级别的可信办公条件。无论在公网还是在专网部署该系统,均无需对网络链路和设备进行改造,具有资金投入少、运行费用低、安全级别高、应用范围宽等优点。
与其他现有系统相比,该系统不仅保密性强、效率高、能够支持大规模应用,而且体系结构简单(不需要第三方认证和在线数据库支持)、使用灵活方便、易于管理,广泛适用于政府、军队和企、事业单位,实现内部机密文件的安全存储和充分共享,有效地解决当前各单位最担心的机密文件和重要数据的丢失问题。同时,该项技术也可以扩展应用到数字版权管理、视频点播等领域,对发展教育娱乐等产业,保护知识产权具有重要价值。
CPK体制已经得到国际承认和国家认可。在一批资深安全组专家直接参与、指导下,现已开发出具有世界领先水平的新一代标志认证系统和基于CPK技术的系列应用产品,率先提出新一代信息安全理念和技术架构,形成了一系列系统的解决方案和应用技术产品,并申请了二十余项国内外发明专利。