如何选择合适的电子印章系统
如何选择合适的电子印章系统
《中华人民共和国电子签名法》于2004年8月28日颁布以来的几年时间内,国内先后出现了20几家电子印章产品开发商,经过几年的市场竞争,目前还继续存续于市场上的也就仅仅3、5家而已。
经过几年的市场培育,直接用户对于电子印章的概念并不陌生,但是电子印章的认识也仅仅是在名称上不觉得陌生而已,对于什么是电子印章,以及电子印章系统的技术架构则并没有多少了解,有的甚至认为只要能够看到与实际实物印章一样的图片就认为是电子印章了。所以对于电子印章系统的选择几乎没有很好的科学的评价标准,另一个问题,就是在选型时,仅仅只考虑到目前项目中的需要,而没有通盘考虑今后的需求,把电子印章系统作为一个业务系统的一部分来看待,结果是,以后需要在别的业务系统中需要使用电子印章时,已经选择的电子印章系统可能不支持,这样就需要在采购一套电子印章系统,结果不仅造成重复投资建设,而且由于拥有多套电子印章,管理和使用都很不方便。
那么,什么是电子印章?应该怎样选择电子印章系统?选型时应该注意哪些问题?本文在此就以上问题提出一些建议,供用户参考。
关于电子印章的有关术语
我们经常听到“电子印章”、“电子签章”、“电子签名”、“数字签名”等术语,有点不知所措,不知道它们之间的联系和差异,在此,我们按照一般的理解,对以上名词做一个简单的定义:
1)电子印章:是物理印章在电子世界的表现形式,在电子世界中实现物理印章的功能,它包括印章图片、数字证书及其存储载体。电子印章分为电子公章和个人名章等。
2)电子签章:以数字证书为基础,以数字签名为核心技术,将数字签名与印章图片以及被签章对象绑定在一起,为签章对象提供完整性验证和真实性验证。它是数字签名的可视化表现形式之一。可以理解“电子签章”是利用“电子印章”对被签章对象进行数字签名后所形成的包括印章图片、数字签名值、数字证书等信息在内的不可分割的数据集。
3)电子签名:电子签名是一种电子代码,利用它,收件人便能轻松验证发件人的身份和签名。电子签名是所有身份鉴别技术的统称。目前主要的电子签名方法包括:a)基于PKI的公钥密码技术的数字签名。b)以生物特征统计学为基础的指纹、声音或虹膜识别。c)一个让收件人能识别发件人身份的密码代号、密码或个人识别码PIN等等。
但比较成熟的,使用方便具有可操作性的,在世界先进国家和我国普遍使用的电子签名技术还是基于PKI(PublicKeyInfrastructino)的数字签名技术。
4)数字签名:数字签名是利用公钥密码技术和其他密码算法生成的一系列符号及代码所组成的电子密码,用以替代手写签名和印章;这种电子式的签名还可进行技术验证,其验证的准确度是手工签名和实物图章的验证无法比拟的。这种签名方法可在很大的可信PKI域人群中进行认证,或在多个可信的PKI域中进行交叉认证,它特别适用于互联网和广域网上的安全认证和传输。
以上术语是在选用电子印章系统是经常遇到的名词,都是与信息安全相关的名词。对它们有一个基本的了解有利于在进行产品选型时与产品供应商进行有效的交流。
国内主流电子印章系统概述
就电子印章产品来说,目前国内的该类产品主要呈现以下四种产品形态:
1)独立文件格式,封闭签章环境。该类产品主要针对国家部委和省级政府机构的公文应用,其产品特点是将公文编辑软件编辑好的电子公文转换为特定的自定义文件格式,然后对转换后的文件进行电子签章,签章后的文件保存为特定的文件格式,这类产品对于国家部委机关和省级政府机关的公文管理比较适合,但是不太适合于架构一个通用的电子签章安全服务平台。该类产品的主流开发商是北大方正和北京书生国际公司,这两家厂商以前主要以数字图书馆的开发为主,由于数字证书馆中需要用到类似于PDF的版式文件格式,因此,他们都有自己定义的文件格式,后来再在其中加入电子印章的功能,就形成了基于版式文件的电子印章系统。国内其它厂商也基于开源的虚拟打印技术开发了自己的版式文件格式,但是由于没有得到市场认可,也仅仅是在其自身的某一个业务系统重使用而已,有些作为手写批注的平台基础,有些作为自己的数字图书馆系统的归档文件格式。然而,就标准化来说,所有的自定义版式文件中,只有方正的CEB、书生的SEP是获得国家档案局认可的,之所以能够得到认可,也是因为之前,很多部位机关的公文传输系统已经采用了这两种文件格式。
2)开放的电子签章平台类产品。这类产品的设计思路是为用户的各类应用系统提供电子签章认证平台类产品,这类产品遵循用户的原有使用习惯,把电子签章作为一个功能组件加载到原有软件环境中。这类软件的开发商主要有北京安证通信息技术有限公司,该公司的产品主要分为三大部分:a)电子印章管理系统——专为电子印章颁发管理机构使用,主要负责电子印章的申请、审批、制作、发放、挂失和销毁等管理,以及电子签章审计管理;b)电子签章认证系统——负责对签章时的签名认证,杜绝不合法的电子签章,确保电子签名的有效性;c)电子签章客户端软件——实现对Word、Excel、WPS、永中Office、PDF和AutoCAD等格式文件的电子签章,以及对网页或表单信息的电子签章。这类产品在各级省市县政府行政机关、各类企业和行业用户中具有很大的应用空间。
3)基于数据库的电子印章MIS系统。这类系统是一个封闭的系统,只能实现指定的几种文件的电子签章,由于是一个封闭的MIS系统,与具体的应用系统整合时需要较繁杂的系统整合工作,这种产品的实用性难以为市场接受,其发展的方向是将其发展成为一个包括公文收发文管理的安全电子公文交换系统。
4)客户端控件类产品。这类产品仅仅是一个在某一个具体软件环境下(例如word或Excel)的一个具有电子签章功能的控件,这类产品的严密性很成问题,其进行签章时只能够验证电子印章卡中的私钥和证书是否匹配,只要匹配就可以盖章。而一个非法的电子印章卡中的私钥和证书也完全是匹配的。这类产品没有完善的电子印章管理系统,只有简单地将印章图片导入印章卡中的程序,但是电子印章与传统的实物印章一样是非常严密的,不允许随意制作。该类产品只能够适合一个较小的单位内部使用,因为由于地理区域有限,又是内部使用,对于严密性和安全性方面的要求可以稍低一些也没有关系。但是对于跨区域的大型机构以及网上电子商务等应用是不安全可靠的。
由此可以看出,电子签章产品没有统一的标准的产品形态,而只有安全性和严密性上存在差异。至于用户选择使用什么样的产品则需要明确自己的需求和关注的重点,充分比较各类产品的优劣和公司技术服务的能力来取舍。版式文件PDF、CEB、SEP的特点是不可更改,其缺点是用户需要熟悉新的使用环境,同时CEB、SEP版式文件提供商,只能够支持在其自有的文件格式中实现电子签章,而不能够很好地支持通用文件格式的电子签章,具有很大的局限性。对于国务院到各个部委、省政府办公厅机关的公文传输可能比较合适,但是对于地市级政府机构来说就不是很好的选择了,因为,地市政府除了公文更多的是审批,审批可能直接在Office中进行,也可能通过网页来实现,这时候,版式文件就显得无能为力了。
如何选择电子印章系统:
电子印章系统是应用类信息安全系统,什么样的应用决定应该采用什么样的电子印章系统,用户选择电子印章时,应该注意以下几点:
1)明确当前需求:应该明确当前采购电子印章的目的是什么,需要了解对那些内容进行电子签名,业务信息系统的实现方式等等,只有明确需求,才知道需要采购什么样的系统。
2)预测未来需求:除了明确当前需求之外,还应该分析本单位以后可能的需求,以免采购的电子印章系统虽然满足当前需求,却不能够满足以后其它需求,到时候还得购买其它的电子印章系统,不仅造成投资浪费,管理使用上也很不方便。
3)安全性评测:在具体选择产品时,应该首先对被考察的电子印章系统的整体架构进行了解。电子印章系统是一个基于PKI技术的应用类信息安全系统,就系统架构上必须遵循CA认证的安全体系架构,同时作为实物印章的替代产品,还必须遵循传统实物印章的管理规范。用户可以从这两个方面来考察,首先看看系统的认证原理与流程是否符合CA认证的原理和流程,由于CA系统必须有服务器软件作为对客户端认证请求进行认证,另一方面,传统实物印章都是集中制作、管理,对用章的过程进行严格审批,同时具备详细的用章记录,因此,一个安全的电子印章系统必须是包括客户端签章应用软件和服务器端管理和认证软件两大部分,那些纯粹的控件型产品时很不安全的。后台服务器软件出了提供对印章的认证之外,还包括了对电子印章的制作、发放、授权、挂失、销毁等电子印章进行全程管理,对电子印章的使用进行全程监控——保留完整的用章日志。
4)功能性评测:在基本确认安全性要求之后,就是要考察客户端的功能了。首先需要了解被考察的软件支持的哪些类型的签章,比如是否支持MS Word、MS Excel、WPS、PDF、AutoCAD等等,另外对于数据库表单内容的保护是否有中间件产品来支持。因为支持的文件格式越多,满足需求的能力就越强,最好能够通过一套电子印章就可以支持本单位所有的电子签名需求。
5)产品应用考察:任何一个产品只有通过大量用户的应用才可能得到完善,特别是电子印章系统,作为一个新的行业性产品,并没有统一的要求,只有通过若干用户的实际使用不断完善才可能更好地满足用户的需求。另一方面,由于大部分电子签章客户端软件都是在各类Office软件中使用,软件系统的可靠性只有通过大量用户的应用材能够得到考验。因此,具体选型时,应该分析该产品的用户群以及应用方式,有可能也可以考察实际的用户使用情况,只有真正在用的软件才可以纳入选型的范围。
6)系统可扩展性:电子印章系统是一个基于PKI技术信息安全系统,用户在考察这类系统时,还可以更进一步考察系统的拓展型,看看所选的系统是否可以与基于PKI技术的身份认证系统集成在一起,是否可以扩展形成单点登录系统,以便于架构统一的高度集成的PKI安全应用体系。
总之,电子印章系统与其它应用信息系统一样,是一套计算机软件,而不是仅仅提供添加印章图片的小工具,随便选一个就可以的,并不是那么简单的事。用户在选型时,必须谨慎、科学地考察,以免浪费了投资,影响了工作的顺利推进。
