主持人：为了实现更有效的安全防护体系，国家出台了很多的政策和标准，比如说信息系统安全等级保护标准，安全电子文件应用规范，下面我们请上海颐东网络信息有限公司密码应用研究院副院长蒋健 他演讲的题目是规范成就安全——打造国家级的文件安全平台。

蒋健：很荣幸能有今天的机会跟大家讨论一下安全问题，今天我们大会主题是一个可信、安全的，我在说我这个PPT之前，先和大家说一些范围上的事，第一个说可信，说可信其实是有点范围的，什么东西可以信，什么东西不可以信这是一个范围问题，就好象我们说人民民主专政也不是对所有的人都是民主，对坏分子也是要专政的，对于我们需要保护的东西，我们企业内、政府内，一些重要的文件，重要的数据我们是需要保护的，我们信任它，对于我们企业内部的一些人员，我们信任他，但是这个是局限在一个范围内的，而对于这个范围之外的东西，比如说一些病毒，因为今天来了很多关于杀毒软件病毒防火墙方面的专家，这个病毒文件我们是不信任的。

所以说我们说可信，这是在一个层面和范围内的，既然范围定了以后，大家可能关心的是我们信什么不信什么？我们想保护的内容是什么。

刚才几位都说了一些，比如说对病毒的查杀，对数据的过虑，对数据的保护，我们上海颐东它主要是做文件安全的，就是说如果你的东西是以文件形式在你的机器内，我可以帮你保护它，如果你这个信息是在网络上传播了，以流的形式来存放的，可能刚才那位比我们擅长一点，我们关注于文件，涉及到文件可能涉及到另一个范畴，就是谁在哪操作这个文件，我们保护的主体是文件，这个是网络中的课题，操纵这个文件的人是不是可信，这也是我们关注的层面，这个已经有很好的解决方案了，用户身份认证权限控制的机制已经相当的完备了。

大家每次在网上银行，电子交易发的UK就是很好的用户身份认证的例子，除了关注主体，人，客体就是文件，还要关注这个环境是不是安全，一个正确的人做一件正确的事情很不幸他落入了一个贼团，他做的操作，这个人再正确，拥有的权限再大，操作的文件再需要保护都没有任何的意义了，反而是起到反作用，这个人的权限越大，操作的权限越重要，造成的危害就越大。

我们还是说信，我们说我们要保护文件，我们要对我们的三方面主体、客体、环境进行认证和保护，我们的依据是什么？我凭什么说那个是可信的，那个不可信，我凭什么说这样做是可信的，那样做是不可信了，就是一个规范的问题，我们主要是对文件来做一些保护性操作，主要使用的就是加密的技术，这个加密必须要经过国家的规范的认证的，前一阵子播的《暗算》就是涉及到加密、解密密码的破译，密码的技术安全的国家技术，你用外国的加密的手段不是说不可以，只是说出了问题会带来一些危害，因为国外的东西进来的时候就会有一些漏洞。

这个是完全按照国家规范的方式，密码，有国家密码管理局。我今天说的东西，就是第一个就是一个背景的介绍，第二就是国家规范的解读，本来我想说两个规范的，一个是保护的，一个是安全电子文件的规范，上午一直在学习会刊，发现对面有孙铁专题是谈论保护的，所以我重点说一下安全应用的规范。