工业互联网密码应用实验室：工业互联网密码应用模式白皮书（24页）.pdf

1、电子签章，与数字证书一样,是用来作为身份验证的一种手段，泛指所有以电子形式存在，依附在电子文件并与其逻辑关联，可用以辨识电子文件签署者身份，保证文件的完整性，并表示签署者同意电子文件所陈述事实的内容。中华人民共和国电子签名法自 2005 年 4 月 1 日起施行。被称为“中国首部真正意义上的信息化法律”，自此电子签名与传统手写签名和盖章具有同等的法律效力。DNSSEC （ Domain Name System SecurityExtensions）是 IETF 对确保由 DNS 中提供的关于IP 网络使用特定类型的信息规格包。DNSSEC 对DNS 提供给 DNS 客户端（Resolver）的

2、 DNS 数据来源进行认证，并验证不存在性和校验数据完整性验证，但不提供或机密性和可用性。目前仅部署在.org 域名和.gov（美国政府域名）以及部分国家和地区顶级域（ccTLD）。2010 年 7 月 18 日，根域名服务器（root-）已经完成DNSSEC 签名。消息安全性等同于密钥安全性，数据很大，但密钥很小。加密技术将安全问题缩小到密钥管理问题。将密钥管理与访问控制、审计结合，构建“防绕过”安全防线。通过在Windows/Linux 驱动层安装炼石TFE模块，应用免改造实现存盘文件密文存储。 TFE 驱动模块与文件加密管理平台交互，获取加解密策略以及密钥。 可指定要加密的文件夹，该文件

3、夹（及其子文件夹）的文件在保存时被加密，也可选择全盘加密；可选择要授权的应用，通过白名单机制使应用正常访问；而未授权应用或者直接拷贝文件，只能读取密文文件。密钥生命周期管理平台统一进行加解密所使用密钥的管理工作。文件加密管理平台与密钥生命周期管理平台进行交互，获取加解密所使用的密钥。将安全组件与业务从技术上解耦、但又实现了能力融合交织，免开发改造应用实现细粒度业务数据保护，将密码应用从传统“外挂式”升级为“内嵌式”，有效提升信息化系统的有效安全能力。面向服务侧，可实现敏感数据的加密存储，有效防范外部黑客及内部 IT 人员；面向用户侧，又可以结合用户身份信息动态脱敏，有效防范内部业务人员越权访问。当使用互联网服务处理商业秘密信息，可采用VPN 技术保护。IPSec VPN 是基于 IP 网络的 VPN，适用于总部与分支机构之间；IPSec VPN 是基于SSL/TLS 协议的 VPN，支持浏览器接入，适用于用户从远程接入。