在创办初期,恒通安信公司将业务定位在信息安全技术这一大的领域,主要开发生产以信息安全管理为核心的产品。信息安全管理的业务可以从几个不同角度去发展,有人专门做咨询,有人专门做培训,恒通安信主要研发有关安全方面的管理软件,即开发特定的管理工具来协助信息安全的实施与管理。
一个信息系统会用到很多种管理软件,比如办公自动化、税收、财会软件等业务管理软件或统一管理即时通讯、邮件、语音等各种通讯方式的通讯管理软件。恒通安信公司开发生产的是安全方面的管理软件。公司成立后,恒通安信公司主要研发了两个不同的信息安全管理产品,一个是与北京理工大学管理学院合作开发的用户管理系统??“用户身份统一管理系统”。另一个产品是与其他公司合作开发的“安全策略管理”系统。
恒通安信公司依据国际信息安全管理标准,结合中国的实际,开发研制了“安全策略管理”系统这项产品。该产品与其他同类产品的最大区别在于能使用一些最新的国际标准,在这方面,国内与国外差距比较大,因此,可以说这一产品的开发填补了国内空白。
信息安全策略的制定与实施是任何企业或政府部门实现真正的信息安全的前提,因此,这种系统针对的市场实际上主要是企业和政府,尤其是政府。一个企业或政府部门根据自身具体的业务状况需要制定一套安全策略,即他们的很多行为规范都要符合这一套安全策略,都要符合一系列规定,最终将这个安全策略转化为一个具体的系统设置。在某一个关键性系统里,用户的密码必须有几个字节,其中必须包含数字,而且必须每几个星期换一次,这种设置方法就属于安全策略。那么制定了安全策略以后,就需要相应的手段来检验这一策略是否被执行了,而这个系统工具一是能够协助制定安全策略,二是在安全策略制定后,可使用户实现策略审计。所谓策略审计,就是用户可以检查自己的安全策略是否正确。例如用户应该每三个星期换一次密码,系统就去检查用户是否作了更换,如果没有更换,系统就可报警提示。此外,可限定用户是否可从这个系统上网,在安全要求较高的地方是禁止在这个系统上上网的,这属于安全策略实施。此管理系统有一个技术手段可检验用户是否在按照策略执行,其中的软件工具要能够在很多不同的系统上来检验策略是否得到执行。因此,做这样一个系统就需要对各种系统有比较透彻的了解。这在系统的开发过程中比较困难。目前,中国基本没有发展安全策略研发及生产方面的工作。
现在政府部门自身的信息化程度不高,在安全方面要求也不高,但随着其自身信息化需求的加大,对安全要求也就会越来越迫切。所以,恒通安信公司将来主要开发具有自主知识产权的信息安全管理平台。
信息安全管理系统有一个很重要的功能,这就是动态的权限管理。如用户要登陆一个网站,此网站首先要了解用户的相关信息,若用户的信息已经在这个网站里,网站将提示用户输入用户名及密码,然后决定是否允许该用户登陆。这是一种相对低级的信息服务,即用户要通过人工输入信息才可登陆使用。若应用“用户身份统一管理系统”,则不需要用户人工输入信息,只要由一个计算机程序来执行即可。用户只需登录一次,计算机程序则会自动把用户的信息置于这个应用系统里,并用安全的标准格式传递给其他系统,别的网站就会识别这个用户,系统将有选择地提示用户是否需要再做一次认证。减少了人的介入,错误率也随之降低。我们称它“动态的权限管理”。该系统中所包含的工作流程就是指由程序来执行代替人的重复操作,而实现这一步则要求程序与程序之间能够通信,并且必须依据国际相关方面的统一标准。恒通安信公司正是依据这个统一标准来开发该产品的。
前面提到的对用户身份管理,就是要采用集中身份管理。这个概念已经在信息环境里逐渐形成。例如,用户在应用某些系统的时候,有时会涉及某方面特殊的应用,如要通过多层认证才允许看到某公司很关键的财务信息,或者在不同的系统中可能是同一个用户,会有多个用户名和密码,这时就需要一个系统来管理,这种管理就叫做“集中身份管理”。
一个用户的身份信息可能分散在很多地方,可以用这个系统把这些信息进行集中管理。某些历史原因导致用户身份信息分散。如在一个较大的系统里,它可能由很多部分组成,甚至每部分由不同的软件公司制作,导致彼此间相互独立。随着时间的推移,系统需要增加某些功能,而新增功能又可能由不同的软件公司制作,用户使用时就需要做不同的认证。其后果是:一方面效率低,带给用户诸多不便;另一方面若用户要多次提供不同的用户名、密码,就容易导致因密码手写记录而泄密,从而增大安全风险。“集中身份管理”系统从根本上解决了以上两方面的问题,提高了效率,减少了用户的不便,大大降低了系统的安全风险。
恒通安信公司提供的“集中身份管理”系统将帮助用户把各个系统的信息合并在一起。即把用户的多个用户身份在多个不同的系统上进行统一,由用户选一个号码,用户就可以用这一个号码进行调用信息,不必依据调用的信息的差异而使用不同的号码。
恒通安信以自己的产品打开市场,这是用“硬件”说话,讲的是硬道理。恒通安信成了信息安全的卫士。