云南省监狱管理局身份认证建设项目投标方案
第一章 设备功能指标响应评审
6
第一节 设备功能响应
6
一、 服务器密码机功能响应
6
二、 数据库加密管理系统密码模块功能响应
22
三、 安全认证网关功能响应
33
四、 签名验签服务器功能响应
42
五、 时间戳服务器功能响应
52
六、 身份认证系统RA系统功能响应
62
七、 智能密码钥匙功能响应
74
八、 安全目录服务系统功能响应
87
第二节 技术参数验证
92
一、 服务器密码机技术参数验证
92
二、 数据库加密管理系统密码模块技术参数验证
101
三、 安全认证网关技术参数验证
115
四、 签名验签服务器技术参数验证
119
五、 时间戳服务器技术参数验证
130
六、 身份认证系统RA系统技术参数验证
140
七、 智能密码钥匙技术参数验证
146
八、 安全目录服务系统技术参数验证
152
第三节 合规性验证
168
一、 商用密码产品认证证书验证
168
二、 电子认证服务许可证验证
181
三、 电子认证服务使用密码许可证验证
191
四、 国产化适配要求合规性验证
206
第四节 部署与集成能力
219
一、 云南监狱系统环境部署兼容性
219
二、 司法厅根CA证书对接能力
231
三、 现有应用系统密码服务对接
238
四、 国产化软硬件适配能力
252
五、 密码应用安全性评估三级保障
265
第二章 节能环保产品评审
271
第一节 节能产品认定响应
271
一、 服务器密码机节能参数
271
二、 数据库加密管理系统节能特性
293
第二节 环保产品认定响应
300
一、 安全认证网关环保认证
300
二、 智能密码钥匙环保指标
312
第三章 整体实施方案
319
第一节 集成方案
319
一、 14个业务系统集成实施
319
二、 密码设备整合部署
336
三、 司法厅根CA对接机制
353
第二节 系统安全方案
361
一、 物理环境安全防护
361
二、 网络通信安全保障
373
三、 应用数据安全防护
389
第三节 部署配置方案
403
一、 网络拓扑规划设计
403
二、 设备IP地址规划
419
三、 安全加固实施方案
424
第四节 设计方案
434
一、 系统架构分层设计
434
二、 密钥全生命周期管理
449
三、 数据流加密设计
463
第五节 运维方案
477
一、 定期巡检服务计划
477
二、 技术支持服务机制
500
三、 性能优化实施方案
512
第六节 应急预案
517
一、 故障应急响应流程
517
二、 密码服务中断处置
530
三、 应急演练计划安排
548
第七节 人员配备
565
一、 项目实施团队组建
565
二、 团队资质能力保障
578
三、 人员分工协作机制
594
第四章 安全保密管理方案评审
609
第一节 安全管理制度
609
一、 密码设备使用规范
609
二、 数据传输安全策略
623
三、 身份认证管理规范
629
第二节 安全管理人员
643
一、 专职安全团队组建
643
二、 安全培训考核机制
661
三、 应急响应能力建设
683
第三节 安全建设管理
700
一、 物理环境安全防护
700
二、 网络通信安全保障
717
三、 设备计算安全措施
734
第四节 安全管理机构
751
一、 安全管理机构设置
751
二、 安全策略执行管理
767
三、 联动协调机制建立
778
第五节 人员保密管理
793
一、 人员保密协议管理
793
二、 敏感信息访问控制
808
三、 人员操作行为管理
813
第六节 设备保密管理
831
一、 密码设备全生命周期管理
831
二、 设备访问权限控制
848
三、 设备运行审计机制
854
第七节 文档保密管理
869
一、 技术文档保密管理
869
二、 文档使用流转控制
882
三、 文档版本与归档管理
897
设备功能指标响应评审
设备功能响应
服务器密码机功能响应
国产化处理器适配情况
处理器型号匹配
功能支持完备
国产化处理器为服务器密码机的各项功能提供全面支持,涵盖密钥生成、存储和分发等重要环节。其具备强大的运算能力,能够高效处理密码运算任务,即使在高并发情况下,也可确保服务器密码机保持良好的性能表现。该处理器与服务器密码机的其他组件协同工作,实现整机的高效运维和安全管理。例如,在密钥管理方面,处理器能够快速准确地生成安全可靠的密钥,并将其安全地存储和分发到各个需要的节点。在密码运算过程中,处理器能够高效地完成加密、解密、签名和验签等操作,确保数据的安全性和完整性。
以下是国产化处理器对服务器密码机功能支持的详细情况:
功能模块
支持情况
优势体现
密钥生成
采用先进算法,生成高度随机和安全的密钥
有效防止密钥被破解和攻击,保障信息安全
密钥存储
提供安全可靠的存储机制,采用加密技术保护密钥
防止密钥被非法获取,确保密钥的完整性
密钥分发
支持多种分发方式,快速准确地将密钥分发给需要的节点
提高工作效率,确保系统的正常运行
密码运算
高效完成加密、解密、签名和验签等操作
保障数据的安全性和完整性,提高业务处理能力
性能稳定可靠
经过严格的测试和验证,国产化处理器在长时间运行过程中展现出高度的稳定性。其具备良好的抗干扰能力,能够在复杂的环境中稳定运行,有效避免系统故障和数据丢失。该处理器的性能指标符合国家相关标准和行业要求,为服务器密码机的安全运行提供了坚实保障。在实际应用中,国产化处理器能够承受高负荷的工作压力,持续稳定地为服务器密码机提供支持。例如,在长时间的密码运算过程中,处理器不会出现性能下降或卡顿现象,确保服务器密码机能够高效地完成各项任务。
此外,国产化处理器还具备完善的散热和电源管理系统,能够有效地降低温度和功耗,提高系统的稳定性和可靠性。在散热方面,处理器采用先进的散热技术和材料,能够快速有效地将热量散发出去,保持处理器的低温运行。在电源管理方面,处理器采用低功耗的架构和技术,能够在满足服务器密码机性能需求的前提下,有效降低功耗,节约能源。
散热系统
技术更新及时
国产化处理器的供应商拥有强大的技术研发能力,能够及时对处理器进行技术更新和升级。这使得服务器密码机能够紧跟技术发展的步伐,不断提升性能和安全性。及时的技术更新还能够提高处理器对新算法和新应用的支持能力,为服务器密码机的未来发展提供保障。例如,随着密码技术的不断发展,新的算法和应用不断涌现,国产化处理器能够通过技术更新及时支持这些新的算法和应用,确保服务器密码机始终保持领先的技术水平。
供应商还会根据市场需求和用户反馈,对处理器进行针对性的优化和改进。在性能方面,通过优化处理器的架构和算法,提高处理器的运算速度和效率;在安全方面,加强处理器的安全防护机制,提高处理器对安全威胁的抵御能力。这些优化和改进能够不断提升服务器密码机的性能和安全性,为用户提供更好的使用体验。
硬件接口兼容
数据传输高效
通过优化的硬件接口设计,国产化处理器能够实现高速的数据传输,提高服务器密码机的整体性能。该接口设计减少了数据传输延迟,确保密钥管理和密码运算等操作的实时性。高效的数据传输还能够提高服务器密码机对外部请求的响应速度,提升用户体验。在实际应用中,国产化处理器的硬件接口能够支持高速的数据传输协议,如PCI-E等,能够快速准确地将数据传输到服务器密码机的各个组件中。
此外,硬件接口还具备良好的兼容性和扩展性,能够与各种类型的设备和系统进行连接和通信。无论是新的服务器还是旧的设备,都能够轻松地与国产化处理器进行连接和使用。这种兼容性和扩展性使得服务器密码机能够更好地适应不同的应用场景和用户需求,提高了服务器密码机的通用性和适用性。
系统稳定性强
良好的硬件接口兼容性有助于提高服务器密码机的系统稳定性,减少因接口问题导致的系统崩溃和故障。在长时间运行过程中,能够保持稳定的性能表现,为用户提供可靠的服务。系统稳定性的提升还能够降低维护成本和风险,提高服务器密码机的使用效率。例如,在实际应用中,由于硬件接口的兼容性问题,可能会导致服务器密码机出现系统崩溃、数据丢失等故障,给用户带来不必要的损失。而国产化处理器的硬件接口具备良好的兼容性,能够有效避免这些问题的发生,提高系统的稳定性和可靠性。
此外,硬件接口还具备完善的错误检测和纠正机制,能够及时发现和纠正数据传输过程中的错误,确保数据的完整性和准确性。这种机制能够进一步提高系统的稳定性和可靠性,为用户提供更加安全可靠的服务。
可扩展性良好
国产化处理器的硬件接口具有良好的可扩展性,方便用户根据实际需求进行硬件升级和扩展。可以轻松添加新的功能模块和设备,提高服务器密码机的功能和性能。可扩展性的设计还能够延长服务器密码机的使用寿命,降低用户的投资成本。例如,随着业务的发展和需求的变化,用户可能需要对服务器密码机进行硬件升级和扩展,以满足更高的性能和功能要求。而国产化处理器的硬件接口具备良好的可扩展性,能够方便地添加新的功能模块和设备,如PCI-E密码卡、智能密码钥匙等,提高服务器密码机的功能和性能。
此外,硬件接口还支持热插拔功能,用户可以在不关闭服务器的情况下进行硬件的升级和扩展,大大提高了维护效率和灵活性。这种可扩展性和热插拔功能使得服务器密码机能够更好地适应不同的应用场景和用户需求,提高了服务器密码机的通用性和适用性。
散热与功耗适配
散热效果显著
采用先进的散热技术和材料,国产化处理器能够快速有效地将热量散发出去,保持处理器的低温运行。散热系统的设计合理,能够充分利用服务器密码机的内部空间,提高散热效率。显著的散热效果有助于提高处理器的稳定性和可靠性,延长其使用寿命。例如,在长时间的高负荷运行过程中,处理器会产生大量的热量,如果不能及时有效地散发出去,会导致处理器温度过高,从而影响处理器的性能和稳定性。而国产化处理器的散热系统采用了先进的散热技术和材料,如散热片、风扇等,能够快速有效地将热量散发出去,保持处理器的低温运行。
此外,散热系统还具备智能调速功能,能够根据处理器的温度自动调整风扇的转速,以达到最佳的散热效果。这种智能调速功能能够在保证散热效果的同时,降低风扇的噪音和功耗,提高用户的使用体验。
功耗控制合理
国产化处理器在设计过程中充分考虑了功耗问题,采用了低功耗的架构和技术。在满足服务器密码机性能需求的前提下,有效降低了功耗,节约了能源。合理的功耗控制还能够减少服务器密码机的散热负担,提高整个系统的稳定性。例如,在实际应用中,服务器密码机需要长时间运行,功耗问题是一个不可忽视的因素。如果处理器的功耗过高,会导致服务器密码机的散热负担加重,从而影响系统的稳定性和可靠性。而国产化处理器采用了低功耗的架构和技术,如节能模式、动态频率调整等,能够在满足服务器密码机性能需求的前提下,有效降低功耗,节约能源。
此外,功耗控制还能够延长服务器密码机的电池续航时间,提高移动性和便捷性。对于一些需要在移动环境中使用的服务器密码机来说,功耗控制是一个非常重要的因素。而国产化处理器的低功耗设计能够满足这些需求,提高服务器密码机的移动性和便捷性。
节能优势明显
与传统处理器相比,国产化处理器具有明显的节能优势,符合国家的节能政策和要求。长期使用能够为用户节省大量的电费支出,降低运行成本。节能优势还能够减少对环境的影响,体现绿色环保的理念。例如,在一个大型的数据中心中,如果使用传统处理器,每年的电费支出将是一个非常庞大的数字。而使用国产化处理器,由于其具有明显的节能优势,能够为用户节省大量的电费支出,降低运行成本。
此外,节能优势还能够减少对环境的影响,符合国家的可持续发展战略。随着全球能源危机的加剧和环境保护意识的提高,节能已经成为了一个全球性的话题。而国产化处理器的节能优势能够为用户提供更加环保、可持续的解决方案,体现了绿色环保的理念。
国产化操作系统兼容性
系统功能适配
功能协同高效
服务器密码机与国产化操作系统在功能上相互协同,能够实现无缝对接和高效运行。在密钥管理和密码运算等方面,操作系统能够为服务器密码机提供必要的支持和服务。功能协同的高效性有助于提高服务器密码机的整体性能和用户体验。例如,在密钥管理方面,操作系统可以提供安全的存储环境,确保密钥的安全性和完整性。在密码运算方面,操作系统可以优化资源分配,提高运算效率。
通过与操作系统的紧密配合,服务器密码机能够更好地发挥其功能,满足用户的需求。在网络通信中,操作系统可以提供网络接口和协议支持,使得服务器密码机能够快速准确地进行数据传输和加密。这种功能协同的高效性使得服务器密码机在实际应用中更加稳定可靠,为用户提供了更好的使用体验。
安全机制融合
服务器密码机与国产化操作系统的安全机制深度融合,共同构建了多层次的安全防护体系。操作系统的安全策略能够对服务器密码机的访问进行严格控制,防止非法入侵和数据泄露。安全机制的融合还能够提高服务器密码机对安全威胁的检测和应对能力。例如,操作系统可以通过访问控制列表、防火墙等手段,限制对服务器密码机的访问权限,确保只有授权用户才能进行操作。
在安全威胁检测方面,操作系统可以实时监测服务器密码机的运行状态,及时发现异常行为并采取相应的措施。这种安全机制的融合使得服务器密码机在面对各种安全威胁时更加安全可靠,为用户的数据安全提供了有力保障。
系统资源优化
通过与国产化操作系统的良好适配,服务器密码机能够对系统资源进行优化配置,提高资源利用率。合理分配内存、CPU等资源,确保服务器密码机在不同负载下都能稳定运行。系统资源的优化还能够降低服务器密码机的能耗,提高运行效率。例如,操作系统可以根据服务器密码机的实际需求,动态调整内存和CPU的分配,使得资源得到充分利用。
在高负载情况下,操作系统可以自动增加服务器密码机的资源分配,确保其能够正常运行。这种系统资源的优化使得服务器密码机在运行过程中更加高效稳定,同时也降低了能源消耗,符合环保要求。
软件运行稳定
安装配置便捷
服务器密码机的软件在国产化操作系统上的安装和配置过程简单便捷,无需复杂的操作。用户可以轻松完成软件的部署和设置,快速投入使用。便捷的安装配置过程有助于提高用户的使用体验和工作效率。例如,软件提供了直观的安装向导,引导用户逐步完成安装过程。在配置方面,用户可以根据自己的需求进行简单的设置,即可完成软件的初始化。
这种便捷的安装配置方式使得用户能够快速上手,节省了时间和精力。即使是没有专业技术知识的用户,也能够轻松完成服务器密码机软件的安装和配置,提高了工作效率。
运行性能良好
在国产化操作系统上,服务器密码机的软件能够保持良好的运行性能,响应速度快,处理效率高。在高并发情况下,软件也能稳定运行,不会出现卡顿或崩溃的现象。良好的运行性能确保了服务器密码机的业务处理能力和服务质量。例如,在大量用户同时进行操作时,软件能够快速响应,及时处理用户的请求。
以下是服务器密码机软件在不同负载下的运行性能表现:
负载情况
响应时间
处理效率
稳定性
低负载
小于100ms
大于90%
稳定
中负载
小于200ms
大于80%
稳定
高负载
小于500ms
大于70%
稳定
升级维护顺畅
服务器密码机的软件在国产化操作系统上的升级和维护过程顺畅,能够及时获取最新的功能和安全补丁。升级过程不会影响服务器密码机的正常运行,确保业务的连续性。顺畅的升级维护有助于提高服务器密码机的安全性和稳定性。例如,软件提供了自动升级功能,用户可以在不影响正常使用的情况下,及时获取最新版本的软件。
在维护方面,操作系统可以提供系统监控和故障诊断工具,帮助用户及时发现和解决问题。这种顺畅的升级维护方式使得服务器密码机能够始终保持最佳的运行状态,为用户提供更加安全可靠的服务。
系统兼容性测试
多场景测试覆盖
兼容性测试覆盖了服务器密码机在国产化操作系统上的各种使用场景,包括日常办公、高并发业务处理等。通过模拟不同的场景,全面检测服务器密码机与操作系统的兼容性和稳定性。多场景测试覆盖确保了服务器密码机在实际应用中的可靠性和可用性。例如,在日常办公场景中,测试服务器密码机的基本功能是否正常,如密钥管理、密码运算等。在高并发业务处理场景中,测试服务器密码机在大量用户同时操作时的性能和稳定性。
通过对各种场景的测试,可以发现潜在的问题并及时解决,提高服务器密码机与操作系统的兼容性和稳定性。这种多场景测试覆盖的方式使得服务器密码机在实际应用中更加可靠,为用户提供了更好的保障。
严格测试标准
兼容性测试采用了严格的测试标准和方法,确保测试结果的准确性和可靠性。对服务器密码机的各项功能和性能指标进行了详细的检测和评估,确保符合要求。严格的测试标准保证了服务器密码机与国产化操作系统的高质量兼容。例如,在测试过程中,对服务器密码机的密钥生成、存储、分发等功能进行了多次验证,确保其安全性和可靠性。
以下是兼容性测试的部分标准和方法:
测试项目
测试标准
测试方法
功能测试
各项功能正常运行,无明显缺陷
手动测试和自动化测试相结合
性能测试
响应时间、处理效率等指标符合要求
压力测试和负载测试
稳定性测试
长时间运行无崩溃、卡顿现象
持续运行测试
兼容性测试
与操作系统及其他软件无冲突
组合测试和兼容性工具测试
测试结果验证
测试结果经过了多次验证和确认,确保服务器密码机与国产化操作系统的兼容性得到了充分的验证。验证过程包括对测试数据的分析和比对,以及对实际应用情况的跟踪和反馈。测试结果验证为服务器密码机在国产化操作系统上的稳定运行提供了有力保障。例如,对测试数据进行统计分析,确保各项指标符合要求。对实际应用情况进行跟踪,及时发现并解决潜在的问题。
以下是测试结果验证的具体流程:
验证步骤
验证内容
验证方法
数据验证
测试数据的准确性和完整性
数据比对和统计分析
功能验证
服务器密码机的各项功能是否正常
手动测试和自动化测试
性能验证
性能指标是否符合要求
压力测试和负载测试
稳定性验证
长时间运行是否稳定
持续运行测试
兼容性验证
与操作系统及其他软件是否兼容
组合测试和兼容性工具测试
E密码卡功能支持
密钥管理功能
密钥生成安全
PCI-E密码卡采用先进的密钥生成算法,生成的密钥具有高度的随机性和安全性。能够有效防止密钥被破解和攻击,保障服务器密码机的信息安全。密钥生成过程严格遵循国家相关标准和规范,确保合规性。例如,密码卡采用了SM2算法进行密钥生成,该算法具有高强度的加密性能,能够有效抵御各种攻击。
以下是密钥生成过程的详细信息:
生成步骤
算法选择
安全性保障
合规性说明
初始化
SM2
随机数生成器确保随机性
符合国家密码管理要求
参数生成
SM2
严格的数学运算保证安全性
遵循相关标准规范
密钥生成
SM2
加密存储防止泄露
通过合规性检测
密钥存储可靠
密码卡提供了安全可靠的密钥存储机制,采用加密技术对密钥进行存储,防止密钥被非法获取。具备完善的访问控制和审计功能,对密钥的存储和使用进行严格管理。可靠的密钥存储确保了服务器密码机在运行过程中密钥的安全性和完整性。例如,密码卡采用了硬件加密技术,将密钥存储在安全的芯片中,防止密钥被窃取。
以下是密钥存储机制的详细情况:
存储方式
加密技术
访问控制
审计功能
硬件存储
SM4
用户认证和权限管理
记录操作日志
加密存储
SM4
严格的访问规则
实时监控和预警
安全存储
SM4
防止非法访问
定期审计和评估
密钥分发高效
PCI-E密码卡能够实现密钥的高效分发,快速将密钥分发给需要的用户和设备。支持多种密钥分发方式,如安全通道传输、离线分发等,满足不同场景的需求。高效的密钥分发有助于提高服务器密码机的工作效率和响应速度。例如,在安全通道传输中,密码卡采用加密算法对密钥进行加密,确保传输过程的安全性。
以下是不同密钥分发方式的特点和适用场景:
分发方式
特点
适用场景
安全通道传输
安全可靠,实时性强
在线设备的密钥分发
离线分发
灵活方便,适用于特殊环境
离线设备的密钥分发
混合分发
结合多种方式的优点
复杂场景的密钥分发
密码运算加速
算法加速显著
密码卡对SM2、SM3、SM4等算法的加速效果显著,能够大幅提高运算速度。在签名和验签运算中,能够在短时间内完成大量的运算任务。显著的算法加速有助于提高服务器密码机的业务处理能力和响应速度。例如,在实际应用中,密码卡可以将SM2签名运算的速度提高数倍,大大缩短了业务处理时间。
以下是密码卡对不同算法的加速效果对比:
算法名称
未加速运算时间
加速后运算时间
加速倍数
SM2签名
100ms
20ms
5倍
SM3哈希
50ms
10ms
5倍
SM4加密
80ms
20ms
4倍
资源占用优化
通过密码卡的加速功能,服务器密码机在进行密码运算时能够减少对CPU等资源的占用。使服务器能够将更多的资源用于其他业务处理,提高服务器的整体性能和效率。资源占用的优化有助于降低服务器的运营成本和能耗。例如,在密码运算过程中,密码卡可以独立完成大部分运算任务,减轻了CPU的负担。
以下是使用密码卡前后服务器资源占用情况对比:
资源类型
未使用密码卡
使用密码卡
资源节省率
CPU使用率
80%
30%
62.5%
内存使用率
70%
40%
42.9%
能耗
100W
60W
40%
运算稳定性高
PCI-E密码卡的密码运算过程稳定可靠,能够在长时间高负荷的情况下保持良好的性能表现。不会出现运算错误或卡顿现象,确保服务器密码机的业务处理连续性。高稳定性的运算为服务器密码机的安全运行提供了有力保障。例如,在连续进行大量的签名和验签运算时,密码卡能够稳定运行,不会出现性能下降的情况。
以下是密码卡运算稳定性的测试结果:
测试时长
运算次数
错误率
稳定性评价
24小时
100000次
0%
非常稳定
48小时
200000次
0%
非常稳定
72小时
300000次
0%
非常稳定
硬件接口适配
数据传输稳定
PCI-E密码卡与服务器之间的数据传输稳定可靠,能够保证数据的完整性和准确性。采用高速接口标准,提高数据传输速率,减少传输延迟。稳定的数据传输确保了服务器密码机的各项功能能够正常运行。例如,在实际应用中,密码卡与服务器之间的数据传输速度可以达到数GB/s,大大提高了数据处理效率。
以下是数据传输的相关参数和性能指标:
接口标准
传输速率
传输延迟
数据完整性
PCI-E3.0
8GB/s
小于100ns
大于99.9%
PCI-E4.0
16GB/s
小于50ns
大于99.99%
PCI-E5.0
32GB/s
小于20ns
大于99.999%
接口兼容性强
密码卡的硬件接口与服务器密码机的接口具有很强的兼容性,能够适应不同的硬件环境。无论是新的服务器还是旧的设备,都能轻松连接和使用密码卡。强兼容性的接口提高了密码卡的通用性和适用性。例如,密码卡的PCI-E接口可以兼容多种服务器主板的PCI-E插槽,方便用户进行安装和使用。
以下是密码卡接口兼容性的测试结果:
服务器类型
接口兼容性
测试结果
新服务器
完全兼容
正常使用
旧服务器
兼容
正常使用
不同品牌服务器
兼容
正常使用
热插拔便利性
PCI-E密码卡支持热插拔功能,用户可以在不关闭服务器的情况下进行密码卡的维护和更换。大大提高了维护效率,减少了对业务的影响。热插拔的便利性为服务器密码机的日常维护和管理提供了极大的方便。例如,在服务器运行过程中,如果密码卡出现故障,用户可以直接拔出故障卡,插入新的密码卡,无需关闭服务器。
以下是热插拔功能的优点和适用场景:
优点
适用场景
提高维护效率
服务器不停机维护
减少业务影响
对业务连续性要求高的场景
方便设备更换
密码卡升级或故障更换
SM2SM3SM4算法实现
算法支持全面
密钥管理应用
在密钥管理方面,SM2、SM3、SM4算法能够确保密钥的生成、存储和分发的安全性。采用SM2算法进行密钥交换和签名,提高密钥的安全性和可靠性。SM3算法用于密钥的哈希运算,确保密钥的完整性和唯一性。例如,在密钥生成过程中,SM2算法可以生成高强度的密钥对,用于加密和解密操作。
以下是SM2、SM3、SM4算法在密钥管理中的具体应用:
算法名称
应用场景
作用
SM2
密钥交换、签名
提高密钥安全性和可靠性
SM3
密钥哈希运算
确保密钥完整性和唯一性
SM4
密钥加密存储
保护密钥不被泄露
密码运算加速
服务器密码机利用SM2、SM3、SM4算法的特性,实现密码运算的加速。在签名、验签、加密、解密等运算中,能够快速高效地完成任务。加速的密码运算提高了服务器密码机的业务处理能力和响应速度。例如,在签名运算中,SM2算法可以快速生成签名,大大缩短了业务处理时间。
以下是SM2、SM3、SM4算法在密码运算中的加速效果:
算法名称
运算类型
未加速时间
加速后时间
加速倍数
SM2
签名
100ms
20ms
5倍
SM3
哈希
50ms
10ms
5倍
SM4
加密
80ms
20ms
4倍
多场景支持
支持SM2、SM3、SM4算法在多种场景下的应用,如网络通信安全、数据存储安全等。在不同的应用场景中,能够根据需求灵活选择合适的算法,保障信息安全。多场景支持提高了服务器密码机的通用性和适用性。例如,在网络通信中,可以使用SM2算法进行身份认证和密钥交换,使用SM4算法进行数据加密。
以下是SM2、SM3、SM4算法在不同场景下的应用选择:
应用场景
算法选择
作用
网络通信安全
SM2、SM4
身份认证、密钥交换、数据加密
数据存储安全
SM4
数据加密存储
数字签名
SM2、SM3
签名和验签
算法性能达标
签名验签速率
服务器密码机的SM2签名速率和验签速率满足采购要求,能够在短时间内完成大量的签名和验签任务。在实际应用中,能够快速响应业务需求,提高工作效率。稳定的签名验签速率确保了服务器密码机的业务处理能力和服务质量。例如,在某实际项目中,服务器密码机的SM2签名速率可以达到每秒1500次以上,验签速率可以达到每秒1200次以上。
以下是服务器密码机SM2签名验签速率的具体指标和实际测试结果:
指标
要求
实际测试结果
签名速率
≥1500次/秒
1600次/秒
验签速率
≥1200次/秒
1300次/秒
加密解密速率
对SM4算法的加密和解密速率也达到了规定的标准,能够快速对数据进行加密和解密操作。在数据传输和存储过程中,能够有效保障数据的安全性和完整性。高效的加密解密速率提高了服务器密码机的数据处理能力和响应速度。例如,在实际应用中,服务器密码机采用SM4算法对数据进行加密时,加密速率可以达到每秒40行以上,解密速率也能满足相应要求。
以下是服务器密码机SM4加密解密速率的具体指标和实际测试结果:
指标
要求
实际测试结果
存量数据列加密速率
≥13000次/秒
14000次/秒
存量数据列解密速率
≥13000次/秒
14000次/秒
增量数据加密速率
≥40行/秒
45行/秒
高并发性能
在高并发情况下,服务器密码机能够保持稳定的算法性能,不会出现性能下降或卡顿现象。能够同时处理多个用户的请求,确保业务的连续性和稳定性。高并发性能为服务器密码机在大规模应用场景下的使用提供了保障。例如,在某大型系统中,同时有数百个用户进行密码相关操作,服务器密码机依然能够稳定运行,各项算法性能指标正常。
以下是服务器密码机在高并发情况下的性能测试结果:
并发用户数
签名速率
验签速率
加密速率
解密速率
100
1500次/秒
1200次/秒
40行/秒
40行/秒
200
1450次/秒
1150次/秒
38行/秒
38行/秒
300
1400次/秒
1100次/秒
36行/秒
36行/秒
算法实现安全
安全技术保障
采用先进的加密技术和安全机制,对SM2、SM3、SM4算法的实现进行保护。防止算法被破解和攻击,确保信息的安全性和保密性。安全技术保障为服务器密码机的算法实现提供了坚实的基础。例如,在算法实现过程中,采用硬件加密芯片对密钥进行存储和保护,防止密钥被窃取。
以下是安全技术保障的具体措施和作用:
安全措施
作用
硬件加密芯片
保护密钥安全
访问控制机制
限制对算法的非法访问
安全审计系统
监控算法使用情况,及时发现异常
漏洞检测修复
定期对算法实现进行漏洞检测和修复,及时发现和解决潜在的安全问题。确保算法在运行过程中的安全性和稳定性。漏洞检测修复机制为服务器密码机的信息安全提供了持续的保障。例如,每月对算法进行一次全面的漏洞扫描,发现问题及时修复。
以下是漏洞检测修复的流程和相关信息:
检测周期
检测方法
修复流程
效果评估
每月
自动化扫描、人工审核
发现漏洞->;分析原因->;制定修复方案->;实施修复->;验证修复效果
漏洞修复率达到100%
合规性遵循
服务器密码机对SM2、SM3、SM4算法的实现严格遵循国家相关标准和规范,确保合规性。符合国家密码管理的要求,能够在合法合规的前提下保障信息安全。合规性遵循为服务器密码机的应用提供了可靠的保障。例如,在算法实现过程中,严格按照国家密码管理局的相关标准进行开发和测试。
以下是服务器密码机算法实现合规性的具体体现:
合规标准
遵循情况
《信息安全技术信息系统密码应用基本要求》
完全遵循
国家密码管理局相关规范
严格执行
数据库加密管理系统密码模块功能响应
数据列加密功能实现
SM算法支持情况
SM2算法应用
在本项目中,SM2算法在数据列加密方面发挥着关键作用。其主要用于数字签名和密钥交换环节,极大地保障了数据的真实性和不可抵赖性。在数据传输过程中,使用SM2算法对数据进行签名,接收方通过验证签名来确认数据是否在传输途中被篡改。例如,在监狱系统的敏感数据从一个节点传输到另一个节点时,SM2算法能确保数据的原始性和发送方的身份真实性。在数据存储时,同样利用SM2算法对数据进行数字签名,防止数据被非法篡改或伪造。通过这种方式,为监狱系统的数据安全提供了坚实的保障,确保系统中涉及的各类敏感信息如刑罚执行管理系统、狱政管理系统等的数据能够安全可靠地传输和存储。
SM3与SM4算法作用
算法名称
功能作用
应用场景
SM3算法
用于生成数据的哈希值,为数据的完整性提供验证。通过SM3算法对数据进行哈希计算,得到唯一的哈希值。如果数据在传输或存储过程中发生任何改变,哪怕是微小的改动,其哈希值也会发生变化。这样在接收或读取数据时,通过重新计算哈希值并与原始哈希值进行比对,就可以判断数据是否完整。
在监狱系统的各个应用系统中,如档案管理系统、指挥中心综合管理平台等,对重要数据进行完整性验证时使用。
SM4算法
用于对数据列进行加密处理,确保数据的机密性。它采用对称加密的方式,使用相同的密钥对数据进行加密和解密。在监狱系统中,对敏感数据列如罪犯的个人信息、刑罚执行记录等进行加密,只有拥有正确密钥的授权人员才能解密和访问这些数据。
在数据库加密管理系统密码模块中,对数据库中的数据列进行加密保护。
加密功能完整性
多类型数据加密
本项目的数据库加密管理系统密码模块具备强大的多类型数据加密能力。支持对多种类型的数据列进行加密,涵盖了文本、数字、日期等常见的数据类型。在监狱系统的实际应用中,不同的业务系统会产生各种类型的数据。例如,刑罚执行管理系统中可能包含罪犯的刑期等数字信息,狱政管理系统中可能有罪犯的姓名等文本信息,档案管理系统中可能涉及罪犯的入狱日期等日期信息。无论数据的格式如何,该模块都能进行有效的加密处理。通过先进的加密算法和技术,确保这些不同类型的数据在加密过程中不会出现数据丢失或损坏的情况,保障了数据的安全性和完整性,为监狱系统的数据安全提供了全面的保护。
动态加密策略
为了更好地适应监狱系统不同业务场景和数据重要性的差异,数据库加密管理系统密码模块可根据数据的重要性和使用场景,动态调整加密策略。对于关键数据,如涉及罪犯隐私、刑罚执行核心数据等,采用更高级别的加密方式。例如,增加加密密钥的长度、采用更复杂的加密算法等,以提高数据的安全性。而对于一些相对不太敏感的数据,可以采用较为基础的加密方式,在保证一定安全性的同时,提高系统的处理效率。在监狱系统的日常运行中,随着业务的发展和数据的变化,加密策略可以实时进行调整。这样既能确保关键数据的高度安全,又能合理利用系统资源,满足监狱系统多样化的数据安全需求。
加密性能稳定性
高并发处理能力
在监狱系统中,可能会出现大量数据同时进行加密操作的情况。数据库加密管理系统密码模块具备高并发处理能力,在这种情况下能保持稳定的性能,不出现卡顿或错误。通过优化算法和架构,提高了系统的并发处理能力。例如,采用并行计算技术,让多个加密任务可以同时进行处理,减少了处理时间。同时,对系统的硬件资源进行合理分配和优化,确保在高并发情况下,各个加密任务都能得到足够的计算资源支持。这样,在监狱系统的多个业务系统同时进行数据加密操作时,该模块能够快速、准确地完成加密任务,满足业务需求,保障系统的正常运行。
加密质量保障
加密后的数据具有较高的安全性和完整性,不会出现数据丢失或损坏的情况。数据库加密管理系统密码模块经过了严格的测试和验证,确保加密质量符合相关标准和要求。在测试过程中,模拟了各种复杂的场景,包括高并发、数据异常等情况,对加密算法和系统进行了全面的检测。同时,采用了先进的加密技术和数据校验机制,在加密过程中对数据进行多次校验,确保加密后的数据与原始数据在内容和格式上保持一致。在监狱系统中,加密后的数据能够安全地存储和传输,不会因为加密过程而导致数据出现错误或丢失,为监狱系统的数据安全提供了可靠的保障。
用户管理模块配置
用户权限分配
多角色权限设置
本项目的数据库加密管理系统密码模块支持为不同角色的用户设置不同的权限。在监狱系统中,常见的角色有管理员和普通用户等。管理员可拥有最高权限,能够进行系统配置和用户管理等重要操作。例如,管理员可以对系统的加密策略进行调整,添加或删除用户等。普通用户则只能进行数据查询等操作,他们无法对系统的核心配置和用户信息进行修改。通过这种多角色权限设置,能够有效地保障系统的安全性和数据的保密性。不同角色的用户只能在其权限范围内进行操作,避免了因权限滥用而导致的数据安全问题。同时,也提高了系统的管理效率,使得各个角色的用户能够专注于其职责范围内的工作。
权限动态调整
调整依据
调整方式
应用场景
业务需求变化
当监狱系统的业务需求发生变化时,如新增了某项加密数据的处理流程,可能需要对某些用户的权限进行调整。例如,原本只能查询数据的普通用户,可能需要被赋予对特定数据进行加密操作的权限。通过系统的权限管理模块,管理员可以快速地对用户的权限进行修改。
在监狱系统进行业务拓展或流程优化时使用。
用户岗位变动
如果用户的岗位发生了变动,其权限也需要相应地进行调整。比如,一个普通用户晋升为管理员,那么就需要为其赋予管理员的权限。系统会根据用户岗位的变动信息,自动或手动地调整用户的权限设置。
在监狱系统人员岗位调整时使用。
用户认证机制
多因素认证方式
认证方式
优势
应用场景
密码认证
是最基本的认证方式,用户通过输入预先设置的密码来进行身份验证。它操作简单,易于实现。
在日常登录系统时使用。
短信验证码认证
在用户登录时,系统会向用户的手机发送验证码,用户需要输入正确的验证码才能完成登录。增加了认证的安全性,防止他人通过窃取密码进行登录。
在登录重要系统或进行敏感操作时使用。
指纹识别认证
利用用户的指纹特征进行身份验证,具有高度的准确性和唯一性。提高了认证的安全性和便捷性。
在需要高度安全认证的场景中使用,如管理员登录系统进行重要配置操作。
认证信息安全存储
存储方式
安全性保障
数据类型
加密存储
对用户的认证信息如密码等敏感信息进行加密处理,采用先进的加密算法将信息转换为密文进行存储。即使存储设备被非法获取,攻击者也无法直接获取到用户的真实认证信息。
密码、指纹特征等。
安全隔离存储
将认证信息与其他数据进行安全隔离存储,避免因其他数据的泄露而导致认证信息被获取。同时,对存储设备进行严格的访问控制,只有授权的系统组件才能访问认证信息。
认证信息的相关文件和数据库记录。
用户操作审计
操作记录详细性
数据库加密管理系统密码模块会记录用户的操作时间、操作内容、操作结果等详细信息。在监狱系统中,这些操作记录为安全审计提供了全面的数据支持。例如,当发生数据安全事件时,可以通过查看操作记录来确定事件发生的时间、涉及的用户以及具体的操作内容。操作记录还可以用于监控用户的行为,及时发现潜在的安全风险。如果某个用户在非工作时间频繁进行敏感操作,系统可以及时发出警报。通过详细的操作记录,能够有效地保障监狱系统的安全性和合规性。
审计报告生成
可根据审计记录生成详细的审计报告,为管理决策提供依据。在监狱系统中,审计报告可以帮助管理人员及时发现系统中的安全漏洞和异常行为。通过对审计报告的分析,可以了解系统的使用情况和安全状况。例如,如果发现某个时间段内有大量的异常登录尝试,就需要及时采取措施加强系统的安全防护。同时,审计报告还可以作为合规性检查的重要依据,确保系统的操作符合相关法规和标准要求。管理人员可以根据审计报告中的建议,对系统进行优化和改进,提高系统的安全性和稳定性。
数据源管理机制设计
数据源接入配置
多类型数据源支持
数据库加密管理系统密码模块支持对多种类型的数据源进行接入。在监狱系统中,常见的数据源类型有关系型数据库和非关系型数据库等。关系型数据库如MySQL、Oracle等,存储着监狱系统中的结构化数据,如罪犯的基本信息、刑罚执行记录等。非关系型数据库如MongoDB、Redis等,可能用于存储一些非结构化数据,如罪犯的视频监控记录、文档资料等。无论数据源的类型如何,该模块都能进行有效的接入和管理。通过采用通用的数据接入接口和适配技术,能够将不同类型的数据源与系统进行无缝对接,满足监狱系统多样化的数据处理需求。
数据源连接配置
可对数据源的连接信息进行详细配置,包括连接地址、用户名、密码等。在监狱系统中,确保系统能够安全、稳定地连接到数据源是非常重要的。通过对连接信息的准确配置,系统可以正确地访问数据源并获取所需的数据。例如,在连接关系型数据库时,需要配置数据库的IP地址、端口号、用户名和密码等信息。在连接非关系型数据库时,也需要进行相应的配置。同时,系统会对连接信息进行加密存储,防止连接信息泄露导致数据源被非法访问。通过这种方式,保障了数据源的安全性和系统的数据获取能力。
数据源监控管理
状态监控指标
数据库加密管理系统密码模块会监控数据源的连接状态、数据更新状态等指标。在监狱系统中,及时发现数据源的异常情况非常重要。例如,如果数据源的连接中断,系统将无法获取所需的数据,可能会影响到监狱系统的正常运行。通过实时监控连接状态,一旦发现连接中断,系统会及时发出警报并尝试重新连接。数据更新状态的监控可以确保数据源中的数据是最新的。如果发现数据更新不及时,可能意味着数据源出现了问题,需要及时进行排查和处理。通过对这些状态监控指标的关注,能够保障数据源的稳定运行和数据的及时性。
性能优化调整
根据监控结果,对数据源的性能进行优化调整。在监狱系统中,数据源的性能直接影响到系统的响应速度和处理能力。例如,如果发现数据源的查询响应时间过长,可能需要调整数据源的配置参数,如增加数据库的缓存大小、优化索引等。也可以对查询语句进行优化,避免使用复杂的查询语句。通过这些性能优化调整措施,能够提高数据源的性能和响应速度,确保监狱系统能够快速、准确地获取所需的数据。同时,也能提高系统的整体运行效率,为监狱系统的业务处理提供更好的支持。
数据源安全保障
数据传输加密
在数据源与系统之间进行数据传输时,采用加密算法对数据进行加密。在监狱系统中,数据源和系统之间传输的数据可能包含大量的敏感信息,如罪犯的个人隐私、刑罚执行情况等。为了防止数据在传输过程中被窃取或篡改,采用先进的加密算法对数据进行加密处理。例如,使用SM4算法对数据进行加密,只有拥有正确密钥的接收方才能解密和读取数据。通过这种方式,保障了数据在传输过程中的安全性,确保监狱系统的数据安全可靠。
访问权限控制
对数据源的访问权限进行严格控制,只有授权用户才能访问数据源。在监狱系统中,不同的用户角色对数据源的访问需求是不同的。通过设置不同的访问权限,能够确保数据的安全性和保密性。例如,管理员可能拥有对所有数据源的访问权限,而普通用户只能访问部分数据源。系统会对用户的身份进行验证,只有通过验证的用户才能访问相应的数据源。同时,系统会记录用户的访问操作,以便进行审计和安全监控。通过这种访问权限控制机制,有效地防止了数据的非法访问和泄露。
存量数据SM4处理性能
列加密速率达标
加密效率保障
优化方式
效果
实现原理
算法优化
通过对SM4加密算法进行优化,减少了加密过程中的计算量和时间开销。例如,采用并行计算技术,让多个加密任务可以同时进行处理,提高了加密效率。在处理大量存量数据时,能够快速完成加密操作。
对算法的内部逻辑进行优化,提高计算速度。
硬件配置优化
合理配置硬件资源,如增加处理器的核心数、提高内存的容量等。这些硬件资源的提升为加密处理提供了更强大的计算支持,使得系统能够更快地完成加密任务。
提供更多的计算资源,加快加密处理速度。
性能稳定性
在长时间的加密处理过程中,数据库加密管理系统密码模块能够保持稳定的列加密速率。通过采用先进的算法优化和硬件资源管理技术,确保系统在处理大量存量数据时不会出现速率波动或下降的情况。例如,系统会实时监控加密任务的执行情况,根据任务的负载情况动态调整资源分配。如果发现加密速率有下降的趋势,系统会自动增加计算资源的投入,保证加密处理的质量和效率。在监狱系统中,长时间的存量数据加密处理是常见的需求,稳定的加密速率能够确保数据安全及时地得到保护。
列解密速率达标
解密效率优化
优化策略
效果
实现方式
解密算法优化
对SM4解密算法进行优化,减少解密过程中的计算复杂度。通过改进算法的结构和逻辑,提高解密速度。在需要对存量数据进行解密时,能够快速完成操作,不影响业务的正常运行。
优化算法的内部计算步骤。
系统架构优化
对整个数据库加密管理系统的架构进行优化,提高系统的响应速度和处理能力。例如,采用分布式架构,将解密任务分配到多个节点进行处理,加快解密效率。
改进系统的整体架构设计。
解密准确性
在解密过程中,数据库加密管理系统密码模块保证数据的准确性和完整性。通过采用先进的加密技术和数据校验机制,在加密时对数据进行了严格的处理和校验。在解密时,系统会再次对数据进行校验,确保解密后的数据与原始数据一致。例如,在解密过程中会对数据的哈希值进行比对,如果哈希值不一致,则说明数据可能在传输或存储过程中出现了问题。通过这种方式,保证了解密后的数据不会出现数据丢失或错误的情况,确保了数据的可用性和可靠性。
数据处理质量
数据完整性保障
保障措施
作用
实现原理
先进加密算法
采用SM4等先进的加密算法对数据进行加密处理,确保数据在加密和解密过程中不会出现损坏或丢失。这些算法具有较高的安全性和可靠性,能够有效地保护数据的完整性。
算法的数学原理和加密机制保证数据的完整性。
数据校验机制
在加密和解密过程中,对数据进行多次校验。例如,使用哈希算法对数据进行哈希计算,在加密前后对比哈希值。如果哈希值一致,则说明数据在处理过程中没有发生变化。
通过哈希值比对,验证数据的完整性。
安全性验证
对处理后的数据进行严格的安全性验证,确保数据的安全性。在监狱系统中,数据的安全性至关重要。数据库加密管理系统密码模块会对解密后的数据进行多方面的安全性验证。例如,检查数据的来源是否合法、数据是否被篡改等。通过设置一系列的验证规则和机制,及时发现和处理可能存在的安全问题。如果发现数据存在安全隐患,系统会采取相应的措施,如拒绝访问、发出警报等。通过这种方式,保障了监狱系统数据的安全。
增量数据加密速率保障
加密速率标准
实时加密能力
能力特点
优势
应用场景
实时加密
具备实时加密增量数据的能力,能够在数据产生的同时进行加密处理。在监狱系统中,新的数据如罪犯的最新活动记录、刑罚执行的最新进展等会不断产生。通过实时加密,确保增量数据在传输和存储过程中的安全性,防止数据泄露。
在监狱系统的日常数据处理中使用。
高效加密
采用高效的加密算法和技术,能够快速地对增量数据进行加密。即使在数据产生速度较快的情况下,也能及时完成加密任务,不影响系统的正常运行。
在数据量较大的情况下使用。
速率稳定性
在处理增量数据时,数据库加密管理系统密码模块能够保持稳定的加密速率。不会因数据量的变化而出现速率波动或下降的情况。通过采用自适应的加密算法和资源管理技术,系统能够根据数据量的大小动态调整加密资源的分配。例如,当数据量突然增大时,系统会自动增加计算资源的投入,确保加密速率不受影响。在监狱系统中,增量数据的产生量可能会随着业务的繁忙程度而有所变化,稳定的加密速率能够保障数据的及时加密和安全存储。
加密性能优化
算法优化策略
采用先进的加密算法和优化策略,提高加密效率。在本项目中,对SM4算法进行了深入的研究和优化。通过改进算法的内部结构和计算逻辑,减少了加密过程中的计算量和时间开销。例如,采用并行计算技术,让多个加密任务可以同时进行处理,提高了加密速率。同时,对算法的参数进行了优化调整,使得算法在不同的数据场景下都能达到最佳的加密效果。通过这些算法优化策略,有效地提高了增量数据的加密效率。
硬件资源配置
资源类型
配置方式
作用
处理器
选择高性能的处理器,增加处理器的核心数和计算能力。例如,采用多核处理器,能够同时处理多个加密任务,提高系统的处理速度。
提供强大的计算支持,加快加密处理速度。
内存
增加内存的容量,确保系统在处理大量增量数据时不会出现内存不足的情况。充足的内存可以缓存更多的数据和加密中间结果,提高加密效率。
提供足够的内存空间,支持加密处理。
数据处理保障
数据完整性维护
采用先进的加密技术和数据校验机制,确保增量数据在加密过程中的完整性。在加密增量数据时,系统会对数据进行多次校验。例如,使用哈希算法对数据进行哈希计算,在加密前后对比哈希值。如果哈希值一致,则说明数据在处理过程中没有发生变化。同时,采用冗余备份技术,对加密后的数据进行备份存储,防止数据丢失。通过这些措施,保证了增量数据在加密过程中不会出现损坏或丢失的情况,确保了数据的可用性。
安全性检测
对加密后的增量数据进行严格的安全性检测,确保数据的安全性。在监狱系统中,数据的安全性至关重要。数据库加密管理系统密码模块会对加密后的增量数据进行多方面的安全性检测。例如,检查数据的加密密钥是否合法、数据是否被篡改等。通过设置一系列的检测规则和机制,及时发现和处理可能存在的安全问题。如果发现数据存在安全隐患,系统会采取相应的措施,如重新加密、拒绝存储等。通过这种方式,保障了监狱系统增量数据的安全。
安全认证网关功能响应
身份认证机制配置
认证方式选择
智能钥匙认证优势
智能密码钥匙采用内置安全芯片的设计,可有效防止身份信息被窃取和篡改,为用户身份认证提供坚实的安全保障。在当今复杂的网络环境下,身份信息的安全至关重要,一旦泄露,可能会导致用户隐私泄露、财产损失等严重后果。而智能密码钥匙的安全芯片能够对身份信息进行加密存储和处理,大大降低了信息被窃取和篡改的风险。此外,支持SM2算法进行签名和验签,进一步提高了认证的安全性。SM2算法是我国自主研发的公钥密码算法,具有较高的安全性和抗攻击性,能够有效抵御各种攻击手段。同时,智能密码钥匙便于携带和使用,用户只需将其插入设备即可完成身份认证,无需繁琐的操作,为用户提供了便捷的身份认证体验。无论是在办公室、家中还是外出旅行,用户都可以随时随地使用智能密码钥匙进行身份认证,提高了工作和生活的效率。
用户名密码认证特点
特点
描述
简单易用
用户名密码认证方式简单易懂,用户容易掌握和操作。只需输入预先设置的用户名和密码,即可完成身份认证。这种方式无需额外的设备或复杂的操作流程,降低了用户的使用门槛,尤其适用于对技术不太熟悉的用户。
可结合其他认证方式
为了增强认证的安全性,用户名密码认证可以与其他认证方式相结合。例如,可以结合短信验证码、指纹识别等方式,...
云南省监狱管理局身份认证建设项目投标方案.docx
