九乡新闻网艾灸能治儿童近视眼:中国电子签名网 >> 标准园地 >> 什么样的电子印章产品才是合法的
来源:百度文库 编辑:九乡新闻网 时间:2024/04/29 18:08:13
要弄清楚什么样的电子印章产品是合法的可以进入市场销售的问题,首先就要了解电子印章的产品性质和国家关于安全产品的有关规定。
电子印章从其本质上来说等于数字签名加上印章图片,其主要的作用就是在于对被保护目标进行电子签名以提供信息的完整性和不可抵赖性检验。因此,它应该属于信息安全类产品,作为信息安全产品,国家规定只有公安部才是唯一可以对相关产品进行检测和发放销售许可证的机构。同时,由于电子印章是基于密码技术的产品,国家关于密码产品又有相关的规定,凡是研制生产密码产品的单位必须得到国密办的批准,对于电子印章来说,现在一般都是用支持PKI技术的智能卡或Ekey作为密钥存储与运算的,所以其所使用的智能卡或Ekey必须是国密办批准生产的。如果电子印章使用的密码产品是国密办批准的,那么电子印章产品本身就没有必要再去国密办申请认证,关于这一点,我们曾经多次找过国密办咨询过。至于中国国家信息安全产品测评中心则是一个类似于ISO质量认证机构一样的经国家注册成立的中立的认证机构,其认证的价值在于对产品的性能进行客观的评判,即使得到该机构的认证,也并不意味着产品就拥有了合法进入市场的资格。
根据《电子签名法》,各政府机构可以根据该法决定电子签名的法律依据,也可以进行电子印章产品的入围选型,但这些只是为了在该政府机构内部统一产品技术标准而为,有一点类似于通过招标选择入围厂商而已。
当然,根据军队对于安全产品的使用规定,凡是进入军方的信息安全产品除了必须获得民用安全产品销售许可外,还必须经过军队信息安全产品检测中心的监测。
综合以上所述,作为电子印章产品,必须使用经过国密办批准的密码卡,必须经过公安部的检测并得到相应的销售许可证。如果想进入军方市场,还必须经过军队信息安全产品检测中心的检测。
目前,由于用户对密码产品的管理规定不是很清楚,再加上有些厂商处于自己利益的考虑,误导用户,往往将电子印章产品的资质要求与密码产品的要求混为一谈。事实上,尽管信息加密和电子签名有紧密的关联性,但是,他们解决问题的侧重点是不一样的,加密的目的是防止信息泄密,而电子签名的目的是提供完整性和不可抵赖性检验。作为加密产品,国家有相关的规定。一般来说,国家对涉密信息分为商密和普密(机密)和绝密,由于绝密信息是不允许在网上流转的,所以加密产品一般分为商密和普密(机密)两大类。而对于密码产品的使用,则基本遵循这样一个原则:凡是副省级以上的政府机关涉密信息上网,应该使用普密产品进行加密;其它政府机关和企事业单位的涉密信息上网,不强制使用加密产品,但建议使用商密产品。目前,拥有普密产品研制生产资质的只有五家国有研究机构,而商密产品研究与生产资质的企业则有上百家。
有一点,用户应该明白,并不是使用最高级别的加密产品,越能够确保信息的安全性。