当前位置: 首页 精选范文 国内信息安全认证范文

国内信息安全认证精选(十四篇)

发布时间:2023-10-09 18:02:12

序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇国内信息安全认证,期待它们能激发您的灵感。

国内信息安全认证

篇1

IT业是知识更新十分快的行业,对吃技术饭的IT人士来说,不断强化技能,及时掌握最新科技,才能不被淘汰出局。从目前的情况看,参加IT认证是提升专业能力最有效的途径之一。

国际注册信息安全专家(CISSP)认证

主办机构:国际信息系统安全认证联盟(ISC)。

适用人群:针对电信业、银行证券业、系统集成与服务供应商、电子商务和电子政务及企业的信息系统安全专业人员。

报考条件:具备4年工作经验或本科毕业3年者;如经验不够者,通过考试后需工作时间满4年,才能申请CISSP资质。

考试内容:共250道全英文单选题,内容覆盖信息安全公共知识体系的10个专业范畴,着重考核考生的实际专业能力和经验。

CIW网络安全专家认证

主办机构:国际Webmaster协会(IWA)、互联网专家协会(AIP)、国际互联网证书机构(ICII)。

适用人群:适合于已熟练掌握互联网管理技能并希望有效提高网络安全技能的专业人士,如网络服务器管理员、防火墙管理员、系统管理员、应用开发人员及IT安全管理人员。

报考条件:已参加CIW基础培训,或有MCSE、CCNA基础证书者。

考试内容:涉及网络安全与防火墙,Windows和Linux/Unix系统安全,安全审核、攻击与威胁分析等内容,考试时间为90分钟,共60题,以选择题为主。

安全工程师(CCSE)认证

主办机构:Check Point公司,是全球网络安全领域的主流厂商,产品的市场占有率高达68%。

适用人群:从事VPN-1/Firewall-1基本安装及配置的系统管理员、安全管理员及网络工程师。

报考条件:报考者需掌握Windows NT或UNIX的操作知识,熟悉TCP/IP协议原理,并具有一定的TCP/IP与Internet知识和实际经验。

考试内容:共安排两次考试,分别为CCSA认证考和CCSE认证考,均为英文试题,内容涉及配置Internet防火墙、网络拓扑结构、TCP/IP协议、DNS和DHCP等。

哪些证书门槛较高

CISSP

在信息安全认证考试中,CISSP的考试难度最大。CISSP采用全英文试题,需要考生具有扎实的英语基础和丰富的专业英语词汇。此外,考试时间较长,为6个小时,对考生的体力和耐力是一大考验。

CIW

CIW的考试难度和思科考试差不多,难度偏高,而且都偏重实践经验。对考生来说,要想通过考试,多做实验非常重要。

CCSE

总体来看,CCSE考试不太难,但需要考生熟悉Check Point的操作系统,并需要有一定的实践经验。

“十大热门认证”

信息化安全占据三席

2004北美地区十大最热门认证排行榜,仅关于信息化安全的认证就占据了其中三席:第一名:微软MCSE:Security,第三名:美国计算机协会Security+认证,第七名:CISSP(Certified Information System Security Professional,信息系统安全认证专业人员)。可见,在北美地区安全类认证受到追捧。

第一名:MCSE:Security

2003年6月微软该项认证时,大家都很看好这个由企业的专门的安全认证。它属于升级考试,只需要在MCSE课程中多选2门安全升级课程,就可以得到MCSE:security。通过此认证,可以掌握微软平台的系统与安全知识,得到MCSE的title,开始网络安全的职业生涯。基于每年众多的MCSE认证应考者,2004年,MCSE:Security的大热想必是肯定的。

不过也有人觉得这项认证的含金量不高,对于应考者的资质要求也太低,与其他安全认证相比,企业在选择安全人员的时候,很少会选择只有一年经验的候选人即便是拥有MCSE: Security的title。

不过对于网络安全知识的渴望,仍旧激发了大量网友的热情,相比CISSP,MCSE: Security可以给你更多的实际的基础知识。

第三名:美国计算机协会Security+认证

Security+是由全美计算机协会CompTIA颁发的证书,类似国内信息产业部的NCSE,也正是由于这个原因,所以在美国很多人都选择这项带有官方标准的安全认证,但是Security+的知识涵盖面很广,不是普通的入门考试,需要有一定的网络知识,CCNA或者MCSE的基础准备。

第七名:CISSP

安全认证持续走红,CISSP作为权威的安全认证,入选这个排行实至名归。由于是非厂商跨平台的第三方认证,所以使得CISSP在企业市场越加受到欢迎。当然比起其他安全认证CISSP的要求也是最高的,一定程度上影响了人气排名,否则这个认证的热门程度也至少前五。

特别提醒

信息安全职业行情看涨,导致专业认证需求水涨船高,越来越多的人想通过认证跻身热门人才行列。参加信息安全认证,需注意以下两点:

篇2

工业控制系统安全防护体系建设离不开相关安全标准体系的支持,国外一些发达国家在工业控制系统信息安全防护领域的标准研究工作幵展较早,进展较快。同际上已建立一些工控系统信息安全方面的国际及国家技术组织标准,包括1SA-99(即1EC62443)、NERCCIP�NIST:SP800_82、WIBM-2784�IEC62351等等。近年来,随着我国信息安全等级保护政策的推进和实施力度不断加大,_家对工业控制系统信息安全重视程度不断加大,国家重要行业的工控系统信息安全防护建设也取得了长足的进步,研制并逐渐部署了相应的工业控制系统的标准体系,初步建立起了我国等级保护标准体系框架和信息安全标准体系框架,我国近年来工业控制系统信息安全标准建设内容。但从总体上讲,我国工控信息安全防护的标准体系建设仍明显滞后于工业控制系统的建设,同时在防护意识、防护策略、防护机制、法规标准等方面都存在不少问题。因此,建立覆盖工控应用领域、覆盖工控产品生命周期以及覆盖工控系统业务层次的工控信息安全标准体系迫在眉睫,需要从五方面人手:

(1)在国家政策支持引导下,结合我同工控领域信息安全问题和现状,分析工控系统信息安全保障体系建设需求,建立具有针对性的工控信息安全标准体系整体框架。

(2)开展重点标准的研制规划,逐步丰富和完善覆盖工控应用领域和产品生命周期的信息安全标准体系。

(3)积极跟踪和参与闰际相关标准规范制定,实现与国际认证机构的互认,体现我国工业安全意志。

(4)加快推动我同相关标准规范的制定,建立完善的标准体系。

(5)加速人才队伍培养,依据标准建设丁.控信息安全检测认证能力。

2大力发展自主可控检测认证工具集

我国工业控制系统信息安全领域长期受到核心技术限制、缺乏专业检测认证工具等诸多因素影响,导致我国重要基础设施面临着严重的安全威胁,因此,突破工控信息安全领域的技术壁垒,研发0主可控的检测认证工具集并与国际接轨势在必行。在检测认证工具集方面,闰际上是以ISASecure认证作为工业控制系统领域专业的安全认证标准,它是基于IEC62443标准系列发展安全认证流程的联盟。ISASecure认证包含嵌入式设备安全认证�EDSA)�系统安全认证�SSA)和安全开发生命周期认证�SDLA)三个项目。目前,_际上已经获得ISASecure认证认可的CRT测试工具有芬兰Codenomi⑶n的Defensics�日本FFRI的RavenforICS以及加拿大Wurldtech的Achilles,而国内并没有成熟的检测认证工具产品。发展我国自主可控的检测认证工具集将有助于改变我国工控信息安全领域缺乏核心技术的现状,提高我同工控系统检测发现和探查能力,从而提升我国工控信息安全水平。检测认证工具集的研发应以“自主可控,安全可靠”作为技术指导思想,从前瞻性研究人手,研究国际先进的安全技术,研究工控领域安全协议栈,建立典型工控模型库、工控信息漏洞库,对工业生产控制系统内部的上位机�PLC)�服务器、网络等资产信息、应ffl软件、服务、开放端口、防火墙、数据库审计等内容进行检测扫描,提供漏洞检测与发现、漏洞风险评估、可视化和漏洞修复建议等功能。通过自主可控检测认证工具集的研发,为我闽工控企业彻底解决生产控制系统内部的信息安全隐患,保证工业生产的安全生产、安全管理。

3快速推进工业控制系统信息安全培训

安全培训为培养高素质工业控制系统信息安全相关人才、提升相关从业人员的专业技术及管理能力提供规范化、科学化的知识体系。我_工业控制系统信息安全培训现状面临着培训主体混杂、未形成规范、培训内容指导性不强、培训基准不够完善以及以传统信息安全为参照物等问题,作为工业控制系统信息安全体系中不可或缺的一环,安全培训也处于亟待重视与完善的位置。

(1)以“标准”建设“培训基准”:随着工业控制系统信息安全领域国家标准和行业标准体系的不断完善和发展,需要积极主导、参与各类相关标准的研究、编制、监督等工作,建设可供工控安全领域合理、高效、安全发展的文件环境,进而推动工控信息安全培训基准的建设。

(2)以检测与认证带动安全培训:在自主可控检测认证工具集的基础上,结合工控领域安全评估服务,建设中立性的检测、认证环境,提供国家级的权威检测认证服务,同时为培训业务的开展提供更有指导性、实效性的基础条件。以标准建设和自主可控检测认证工具为基础,从操作层面、技术层面、认证培训以及职业教育层面建设工业控制系统信息安全培训体系,提升图3自主可控检测认证工具集研发模型我国工控信息安全领域人员实践操作技术能力和安全技能,加速人才队伍培养。

4全面提供工业控制系统信息安全服务

为提升工控领域信息安全整体服务水平,在不断健全国家相关标准和发展自主可控安全技术体系的基础上,建设工业控制系统安全模拟仿真实验平台服务支撑环境,为行业用户提供定制化的安全评估、安全咨询、安全防护等服务。

(1)安全评估:研究制定安全评估的流程和方法,建设完备的安全评估体系;针对在役系统进行风险评估,提出整改、防护方案和建议,为相关企、事业单位提供安全评估服务,规范工控系统的安全建设。最终拥有完备的安全评估方法论,为工业控制领域各行业提供专业的安全评估服务;同时建立国内工业控制系统信息安全评估体系。

(2)安全咨询:研究制定安全咨询的流程和方法,建设完备的安全咨询体系;针对产品研发、系统设计,融入信息安全技术,整体提升新建工控系统的安全性。最终拥有完整的安全咨询体系,为各类工业控制领域提供专业的安全咨询服务,逐步建立安全的工业控制系统模型库。

(3)安全防护:研发工控领域自主可控的专用信息安全防护产品;全方位、多层次地针对工业控制系统提出信息安全防护解决方案;最终实现工控领域安全防护产品全面国产化;逐步完善自主可控的安全防护解决方案体系。

5总结

篇3

“我的信息安全吗?”相信所有对信息技术有所了解的人都会存在这个担忧。就我们所使用的IT设备而言,软硬件的安全性将直接影响信息的安全。是否有什么手段来认定软硬件的安全性呢?答案是肯定的,那就是对其进行安全认证。

多年来,嘉兴市辰翔信息科技有限公司致力于IT软硬件安全检测认证,凭借着国际一流的技术,为IT软硬件“盖”上了信息安全的“合格章”。

权威认证覆盖全球

据国家工信部的《2013年电子信息产业统计公报》显示,我国2013年电子信息产业销售收入总规模达到12.4万亿元,同比增长12.7%。在信息安全日益受重视的今天,这意味着巨大的安全认证市场。就全球而言,反病毒软件的检测认证市场销售规模在2亿人民币左右,而安全硬件提供商全球多达几万家,销售额至少在几百亿人民币。检测认证行业作为IT软硬件方案服务提供商的服务商,市场前景巨大。如此大的“蛋糕”,此前一直被AV-TEST、ISCA LABs、Virus Bulletin等几家巨头垄断。

为了打破国外检测机构对计算机安全软硬件检测垄断的局面,辰翔科技通过多年来的理论研究和实践应用研发了一系列符合计算机安全技术潮流发展的检测技术和认证标准,并在一些关键的技术环节大量应用了新的检测标准和检测技术,是大中华区唯一专业从事计算机安全软硬件测试认证的公司,也是公安部计算机病毒应急响应中心的合作伙伴和唯一具有公安机关病毒分析备案的公司。除了自行研发外,辰翔科技还通过与国内高等院校的合作,研究如何将病毒流行度指标应用在计算机安全检测之上,相关论文也已经在国际会议上发表。另外,其关于计算机安全软硬件检测的专用认证标志已经在欧盟、美国和大陆成功注册。

辰翔科技作为全球主要的安全软件检测认证服务提供商,客户基本已经涵盖主要的杀毒软件提供商。值得一提的是,在手机Android操作系统安全测试领域,公司已经基本实现垄断。除了手机端的安全认证外,辰翔科技还与美国微软总部合作研发Windows安全认证体系。目前辰翔科技在全球安全软件测试认证行业主要竞争对手有6个,目标客户覆盖率基本达到国外同行水平。未来,辰翔科技将以电源产品作为切入点,进一步开展通用IT硬件(如CPU、内存、音响制品、显示器等)与安全硬件(如嵌入式反病毒硬件,硬件防火墙,邮件过滤器等)的检测认证工作。

打造全方位“防御体系”

通过从计算机软件到硬件,再加上手机与网站的安全测评,辰翔科技打造了一个全方位的安全防御圈。

安全软件测试

通过测试安全软件的多层防御能力来判断安全软件的综合防御能力。关键技术在于多层实时检测技术,传统的安全软件检测比较单一、一般都只检测安全的一个参数值,比如病毒的查杀率,误报水平等,而辰翔科技对测评体系进行了升级,摆脱单一功能检测无法反映软件综合性能的缺失,目前已经基本运用到日常检测认证中来。

云安全检测认证

辰翔科技采集最新最全的病毒样本,运用高性能的爬虫系统,通过大量的新出现的病毒和常用软件来判断云安全软件对未知病毒的响应能力、白名单库的收集能力和误报水平、云安全技术的稳定性判断,在国内率先提出了云安全检测技术的思路和测试基本框架。

手机安全软件检测认证

通过手机操作系统模拟器或真机来模拟或者重现手机安全软件在各系统上的运行情况,包括对病毒的检测查杀能力、常用功能的比较和不同病毒对手机用户的危害。目前,辰翔科技建立了一套完整的病毒分析流程,可以为杀毒软件公司提供分析支持和软件配套服务。

软件安全性评估

通过代码和行为分析判断软件是否具有恶意行为,对验证无恶意行为的软件颁发认证标志。

非安全软件类软硬件检测认证

通过辅助软件对同类通用软件和硬件进行性能评估和检测认证,对达标产品相对应的认证标志。通用软硬件的测评和认证将由辰翔科技和中国计量学院、浙江质监局共同进行研发,远期将提供市场准入认证和产品改良服务。

网络挂马钓鱼分析系统的建立和网站认证

篇4

关键词 电子商务;信息安全;技术

中图分类号:TP309 文献标识码:A 文章编号:1671-7597(2013)12-0036-02

1 电子商务的信息安全现状

电子商务是网络化的新型经济活动,已经成为我国战略性新兴产业与现代流通方式的重要组成部分。根据数据显示,我国通过手机上网以及网络用户已经突破了7亿和3亿大关,这么多的网络用户就为电子商务的发展奠定了基础。我国电子商务市场整体交易量近年来持续增大,2011年中国网民在线购物交易额达到7849.3亿元,比2010年增长了66%。,有效地促进了消费增长。预测2015年电子商务交易额将达12万亿元。随着网络深入到生活的方方面面,电子商务领域也接连出现信息安全事故,电商网络安全问题越来越受到用户的高度关注。日前,知名网商1号店爆出个人用户信息被泄露,京东商城也出现大量“恶意订单”,在消费者中引发不安和争议。在10月30日晚上10点半左右,在京东商城的充值平台上出现网络异常,当时该平台上的积分换话费活动出现系统BUG(漏洞),用户点击后就自动进行充值,整个过程并没有进行相应的扣分。而且没有充值成功的积分被双倍的返还,自动打入消费者账户,消费者发现这个漏洞,纷纷上网参与活动,一次充值仅仅10秒左右就可以完成,一直持续到晚上将近12点,京东才发现异常,并修复了好了该漏洞,这次事件为众多从事电子商务业务的企业敲响了警钟,网络完全问题无处不在,一旦发生将是不可挽回的损失。

2 电子商务对信息安全存在的问题

所谓电子商务基于电子信息网络,特别是互联网,为企业、机构和个人提品或服务交易及相关的电子认证、在线支付、物流配送等服务的业务活动。目前我国企业在电子商务信息安全方面的问题主要存在以下几点。

1)企业对信息安全的重要性有所认识,但对面临的信息安全威胁和存在的隐患仍存在侥幸心理,很多从事电子商务的企业对注册会员的资料欠缺有效的保密措施,很多信息资料采用是明文保存,这就很容易被黑客侵入获得相关客户的资料,公司内部不法人员也可以轻而易举的获得客户资料,为了牟利将其泄漏。这些问题看似技术层面的原因,其实深究起来,还是企业信息安全管理上的漏洞。在很多中小购物网站中,有的第三方支付平台未依法落实相关的日至留存措施,有的甚至在明知他人实施网络犯罪的情况下,仍为其提供支付服务,并从中提成获利,有的电子商务运营商并未落实网络交易异常、信用异常和非法交易的监控措施,导致销售违禁品、网上销赃等违法犯罪活动难以发现。

2)法律层面缺失。对于个人信息安全和网络信息安全事故,由于相关法律的缺失,截至目前,依然很难给予法律层面上的定性。尽管媒体上多次报道一些网站出现用户资料泄密事件,但从处理结果来看,企业仅仅道歉了事,并没有承担法律上的责任。这是由于目前我国在这方面的法律缺位,导致网络信息的侵权成本过低,同时消费者要维权也缺乏法律支持,而且维权成本太高,这就使得很多企业并没有动力去真正的加强用户信息保密工作。

3)网民安全意识薄弱,强化互联网企业和网民的法律意识,提升违法成本,才是应对网络安全事故的根本之策。就像京东商城那个案例,很多网民利用系统BUG,实现了给自己手机充值,或者给Q币充值的目的,这种行为其实已经符合盗窃行为的本质,但很多消费者并没有从思想上认识到这是一种盗窃,认为这是在网络的虚拟空间里就不能算作犯罪行为。随着新的传统企业进入电子商务领域及电子商务向农村纵深发展,这种意识和行为还有加重的趋势。可见,加强消费者对网络信息安全的认识,树立起消费者守法的网络行为十分必要。

3 电子商务的信息安全技术

3.1 加强安全认证

电子商务安全认证系统是保证电子商务安全的基础设施,目前,在电子商务领域,安全认证是较为通行的一种做法。电子商务安全认证是以数字证书应用为核心的密码,它以PKI技术为基础,对网络信息进行加密,有数字加密和签名加密两种方式。电子商务交易双方都是利用网络进行交易行为,交易双方互相有个信任问题,如何在不见面的情形下对双方身份进行确认是个难点,所以就需要一个参与方对双方身份进行确认并相关证书,网络交易双方都可以通过加密证书对双方的身份进行认证,保证网络信息不被篡改和窃取。同时数字证书也可以起到对集中审计、产品授权等相关业务活动进行全程跟踪管理的作用。例如新浪曾经推出国内首个安全认证企业邮箱,传统的邮件加密只限于客户端的加密,而对于邮件的传递无法监控,新浪这种加密的企业邮箱采用电子安全认证技术,基于浏览器的邮件加密,通过公钥加密与私钥解密技术结合,实现电子邮件最大的安全性。拥有这种企业邮箱的用户,可以保证在邮件的传递过程中进行发件方和接受方的身份确认,并且可以对邮件进行电子签名,保证信息的不可抵赖性。同时还支持国际漫游业务,当用户离开出差外地,使用别人的PC,打开自己的企业邮箱,输入电子认证证书密码,即可从服务器上获得128位的加密密钥,打开电子邮件,当用户阅读完邮件,关闭浏览器,其加密密钥自动销毁,在机器上不留任何备份,保证了邮件安全。

3.2 完善电子商务网站

电子商务交易双方的信任度成为评价电子商务秩序状况的重要指标,这就需要一个完善的电子商务网站。建立一个电子商务网站并不是很容易的,服务器的选择至关重要。特别是在建站的前期,服务器最重要的就是需要拥有更好的安全性和更高的性能,能够最大限度的保证消费者网络交易行为的安全性。对于电子商务企业而言,在网站建设与管理中,为了保证消费者能够短时间内挑选出适合自己的商品,就不可避免的要实现网站的搜索功能,这就对网站服务器的性能和结构提出了要求。首先选择服务器的结构。对于电子商务企业而言,服务器是要托管到电信或者网通机房,这是要付出一定费用的。服务器体积越大相应的托管费用就越高,所以企业应该根据企业实际情况,选择性价比高的机架式服务器,常见的1U或2U机架式服务器都可以符合企业经营需要。其次,在服务器性能方面,可以选择四核处理器、2GB内存以及读取性能更好的SAS硬盘,如果企业规模较小或者资金有限,可以考虑性能相对较低的SATA硬盘,并通过组建RIAD磁盘阵列来提升硬盘的读取性能和安全性。

3.3 加强信息安全的规划和沟通

没有合作的文化是做不成大团队的,电子商务信息与安全管理需要这样的合力来推行。电子商务企业信息安全发展到现代,在软硬件以及信息安全技术、方法上差别不大,关键是信息安全理念的差异。有的电子商务企业缺乏先进信息安全管理理念,企业高层对信息安全管理的意见相左,各部分之间沟通不畅、缺少合力或者缺乏对信息安全建设的长远规划和指导,这些因素都会导致企业信息安全建设的失败。因此,对于电子商务企业而言,企业信息化建设需要形成合力,需要企业高层对信息安全建设的投入、长远规划等意见统一,需要企业IT与业务部门沟通顺畅,建立信息化规划时,要按步骤、分阶段来规划。当然每个企业实际情况不同,信息安全建设的速度、规模都不尽相同,企业要根据自己的实际需要,根据企业的资金实力、发展规模以及企业发展阶段等因素做好信息安全建设的规划。同时,企业要建立统一的日常运营需要建立的管理流程,除了采取用较优秀的熟悉公司业务的人员做项目经理外,最好的办法就是建立一种长期的沟通机制,每个部门除了知道本部门的活动计划之外,还要知道其他部门的重大活动,这样才可以加强相互之间的配合。还有就是电子商务主要在网络上展开,由于网络传播速度很快,因此应该对流程的每一步都应该进行怎样的测试和审核,避免有意和无意的疏忽造成重大事故。在出现问题时采取何种措施,对这些问题采取什么样的风险描述。保证做到系统能够快速恢复、人员能够快速进入工作岗位。

总之,电子商务作为计算机应用技术与现代经济贸易活动结合的产物,已经越来越多的应用到企业中,电子商务涉及面广、主体众多,存在巨大的信息安全隐患,加强电子商务网络安全很重要。企业作为电子商务运营的主体,要切实加强对电子商务信息安全的重视程度,采用各种技术和方法来保证网络交易的安全性。

参考文献

[1]徐学军.我国发展电子商务的主要瓶颈及对策[J].科技管理研究,2004(2).

[2]汪成.企业电子商务存在的问题及对策[J].科技情报开发与经济,2005(2).

[3]周学广,刘艺.信息安全学第1版[M].北京:机械工业出版社,2003.

[4]毛剑.保护隐私的数字产品网上交易方案[J].电子学报,2005(6).

[5]王圣洁.电子商务安全问题浅述[J].计算机与数字工程,2004(6).

[6]武心莹.电子商务的安全性及其实现[J].江西财经大学学报,2004(4).

篇5

对于网上银行,可能每一个人都不会陌生,但究竟有多少人了解它的安全系数?根据“CFCA 2005网上银行调查”结果显示:在国内网银中的2000多万用户中,懂得如何使用第三方数字证书来保护自己资金安全的用户尚不到三分之一,这也是木马病毒、假银行网站、假购物网站和假冒银行短信等案件频发的症结所在。

信息安全领域的专家指出:只要采取了数字证书这种有效的安全保障措施,并且养成良好的操作习惯,网上银行就可以放心使用。

那么谁来颁发这种数字证书?CFCA(中国金融认证中心)就是这样一家由中国人民银行与国家信息安全管理机构批准成立的国家级权威的安全认证机构,无论是在网上银行、网上税务、还是网上招投标、网上采购、网上拍卖,每张CFCA的数字证书都保证着用户在互联网上成千上万,甚至上亿的资金交易安全。2006年8月11日下午,“2006互联网应用高峰论坛暨CFCA百万证书创新应用颁奖典礼”在京举行,同时首次对外公布:已经颁发的CFCA证书顺利突破百万。

引爆数字革命

谈到CFCA数字认证,就不能不说起“我国首部真正意义的信息化法律”(《电子签名法》)。从一定意义上说,《电子签名法》也拉开了信息数字化时代的立法序幕。当前,网络信任体系是国家信息安全保障体系的重要组成部分,其主要包括三个层面的内容:电子认证、授权管理和责任认定。对于后两个内容,目前各国都还在探索,而电子认证则已经应用得比较成熟。我国也于2004年8月颁布,并于去年4月1日正式实施了《电子签名法》。

信息安全界专家分析,电子认证的推广不仅是让网络交易具备了安全措施,更重要的是使得网络交易的法律责任得到认定,从而为网络商务行为提供了信心。从某种意义上而言,只要电子认证、授权管理和责任认定的问题解决了,网络信任体系也可以顺利搭建。

互联网的创新坐标

CFCA作为国家金融信息安全的基础设施,证书发放突破百万无疑具有里程碑意义:一百万张证书,意味着一套遍布全国的先进、成熟的证书发放体系――几十个证书申请审批机构和数千个证书受理网点;意味着上百万个用户的安全应用;意味着数十万亿资金的安全交易;意味着几千万亿次用户的放心使用。这标志着我国互联网安全应用达到了一个新的历史阶段、同时也是一个新的起点。

篇6

信息安全是国家安全的基础和关键,在信息安全保障的三大要素(人员、技术、管理)中,管理要素的地位和作用越来越受到重视。面对越来越严重的安全威胁,不单在IT技术领域,各行业的企业组织都越来越意识到信息安全的重要性,但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题,因此这对当前高校的信息安全专业的人才培养也提出了更高的要求。

 

一、信息安全培训体系概况

 

信息安全培训作为高校信息安全专业教育的一种重要补充,主要用于解决学历教育和社会实践、社会认证培训的结合、信息安全人才培养不规范等问题。现有培训主要可分为四类。

 

第一,安全意识培训:其面向机构一般员工、非技术人员以及所有信息系统的用户,目的是提高整个组织普遍的安全意识和人员安全防护能力,使组织员工充分了解既定的安全策略,并能够切实执行。

 

第二,安全技能培训:其面向机构网络和系统管理员、安全专职人员、技术开发人员等,目的是让其掌握基本的安全攻防技术,提升其安全技术操作水平,培养解决安全问题和杜绝安全隐患的技能。

 

第三,安全管理培训:其面向组织的管理职能和信息系统、信息安全管理人员,目的是提升组织整体的信息安全管理水平和能力,帮助组织有效建立信息安全管理体系。

 

第四,认证资质培训:其针对特殊岗位所需的职能人员,包括审核部门、监管部门、信息保障部门等。通过提供国际信息安全相关认证考试的辅导培训,可以帮助人员顺利通过考试获得各类信息安全资质认证培训。

 

前三类认证主要依托专业的培训机构或安全设备厂商进行。第四类培训是当前培训的主体。

二、信息安全相关资质认证培训情况

 

资质认证类培训是针对资质认证特点和内容要求设计,依托专业机构进行的。一些认证的培训机构是由资质管理机构专门指定的。当前,信息安全相关资质认证主要分三类:

 

第一,国内以信息产业部,信息安全评测机构为代表的组织来管理实施的信息安全资格认证(或与国际组织联合颁发);这类的认证培训有:CISP培训、NCSE培训、CISM培训、INSPC培训、CIW认证培训等。

 

第二,由国外软件、网络产品厂商自己组织管理的产品专家认证(侧重于厂商产品、技术认证);相关的认证培训有:微软Microsoft认证培训、思科安全认证CCSP培训、趋势认证信息安全TCSE培训等。

 

第三,国际权威信息安全组织、研究部门或培训机构组来管理组织的国际化专业资格认证。相关的认证培训有:信息系统安全认证CISSP培训、信息安全管理体系主任审核员ISO 27001培训、国际注册信息系统审计师认证CISA培训、国际IT运营与服务管理资格认证ITIL培训等。

 

下面以CISP培训为例,分析其知识体系构建情况。

 

CISP即“注册信息安全专家”,是国家对信息安全人员资质的最高认可。其经由中国信息安全测评中心实施国家认证。CISP认证和培训赋予如下专业资质和能力:有关信息安全企业、咨询服务机构、测评认证机构、授权测评机构和企事业有关信息系统建设、运行和应用管理的技术部门和标准化部门必备的专业岗位人员。

 

在整个CISP的知识体系结构中,共包括信息安全保障概述、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规这五个知识类。 CISP知识体系以信息安全保障为主线,全面覆盖信息安全保障工作所需的基础、标准、法规、技术、管理和工程等领域。CISP培训知识体系结构共包含五个知识类,分别为:(1)信息安全保障概述:介绍了信息安全保障的框架、基本原理和实践,它是注册信息安全专业人员首先需要掌握的基础知识。(2)信息安全技术:主要包括密码技术、访问控制、审计监控等安全技术机制,网络、操作系统、数据库和应用软件等方面的基本安全原理和实践,以及信息安全攻防和软件安全开发相关的技术知识和实践。(3)信息安全管理:主要包括信息安全管理体系建设、信息安全风险管理、安全管理措施等相关的管理知识和实践。(4)信息安全工程:主要包括信息安全相关的工程的基本理论和实践方法。(5)信息安全标准法规:主要包括信息安全相关的标准、法律法规、政策和道德规范,是注册信息安全专业人员需要掌握的通用基础知识。

 

CISP的注册要求如下:

 

第一,教育与工作经历:硕士研究生以上,具有1年工作经历;或本科毕业,具有2年工作经历;或大专毕业,具有4年工作经历。

 

第二,专业工作经历:至少具备1年从事信息安全有关的工作经历。

 

第三,培训资格:在申请注册前,成功地完成了CNITSEC或其授权培训机构组织的注册信息安全专业人员培训课程相应资质所需的分类课程,并取得培训合格证书。

 

第四,通过由CNITSEC举行的注册信息安全专业人员考试。

 

三、信息安全专业培训体系构建的建议

 

1.构建完善的高校信息安全专业人才培训体系

 

传统的培训体系,比较侧重于知识和技能传授的过程控制,在对知识的共享、隐性知识的转换等方面,已经不能满足当前的要求,高校可以通过借鉴、学习CISP认证和培训体系结构和CISSP认证课程内容设置,从信安全岗位所需的基础、标准、法规、技术、管理和工程等领域来完善信息安 全专业人才培训体系。根据培训对象的不同将课程分为五种类型(层次):操作层面的基本安全意识培训;

 

技术层面的各项安全技能培训;管理层面的信息安全管理培训;专家级的资质认证培训。当然在培训体系里面信息安全技术方面的培训仍然是重点,为了加强网络基础设施等新兴重点网络安全技术领域的培训,可以参考思科安全认证CCSP培训的模式,对当前使用的防火墙、侵入检测、VPN、身份验证和安全管理等主流网络安全防护装备进行系统性的专题培训。

 

2.建立逐级培训的信息安全专业人才培训模式

 

当前信息安全技术的发展日新月异,信息化的网络攻防形式也发生着翻天覆地的变化,因此对于信息安全专业人员的培训,仅靠一两次培训是远远不够的,必须连续、有针对性的接受相应岗位和层次的逐级培训,才能保证知识、能力结构的不断优化和提高。在逐级培训过程中要明确不同职务、技术等级的不同要求,使得逐级培训过程级与级之间层次清晰又衔接有序。如果没有通过低级别的培训、认证,便不能参加后门高级别的培训。同时利用职业资格证、学历证书、执行证书等为牵引,通过多阶段培训、资格培训、升级培训使得知识结构、能力素质、岗位需求同步发展,取得相应的职业证书才能晋升上岗,否则不予任用。

 

3.通过合理的认证标准来动态更新和完善培训体系的目标任务

 

只有对培训成果进行合理判断,确定受训人员知识技能水平的提高幅度,才能了解培训项目是否达到原定的目标和要求,从而为进一步改进培训体系提供重要依据。通过对培训人员最终考评成绩的分析以及部队调研,培训学员信息反馈等方式,针对培训内容和教学组织形式听取意见,并及时调整,使得培训效果真正适应培训学员的实际需求,提高培训效果。这样才能在保持相对稳定的情况下对培训内容实施动态更新,不断完善。

篇7

现场工作人员详细地向记者介绍了公司的情况:上海众人网络安全技术有限公司是专业从事网络信息安全技术研发和产品生产的高新技术企业,是国家密码管理局正式批准的商用密码产品生产定点单位和销售许可单位,已通过ISO9001质量管理体系和ISO27001信息安全管理体系认证。公司成立于2007年,主要技术和产品包括拥有完全自主知识产权的动态密码身份认证系统、基于云的统一身份认证平台、智慧城市公共区域安全网络系统、可应用于移动互联网的SOTP创新安全认证技术等,已广泛应用于政府、军事、金融、电信等涉及国家和民众网络信息安全的重要领域。

随着互联网和移动互联网的快速发展,网络安全已成为一个关乎社会信息、金融安全的重要课题。银行卡被盗刷、第三方支付安全漏洞等网络安全问题频繁发生,越来越威胁到大众的隐私权益和财产安全,被推向全民热议的高峰。现场工作人员坦言,其实网络信息安全都是属于幕后的工作,绝大多数人并不了解信息安全企业在做什么,这也是企业选择参加南博会的重要原因之一,希望借此让更多民众了解信息安全行业,呼吁民众增强网络信息安全的意识,防范可能存在的安全隐患。“从网络信息安全行业角度而言,盈利已经不是众人的终极目标,我们更看重的是对国家信息安全、对整个民族的使命感和责任感。因此,众人科技始终坚持‘自主研发、自主设计、自主生产’的‘国产化’发展战略,不断进行科技储备,致力于研发制造出更多有技术含量的安全产品。自主可控的技术和产品被更多人认可和使用,并能走出国门走向世界是众人科技的目标和追求”。

目前,众人科技已发展成为行业的标杆企业,是国内信息安全关键细分领域――身份认证领域的领航企业,申报国家专利过百项,核心技术填补了国内空白,已达到国际同类产品先进水平,是国产信息安全标准制定的积极参与者和推动者。

这些成绩的取得绝非偶然,首先,众人科技具备专业的多元化的研发团队。众人科技拥有的技术研发人员和技术支持人员的占比超过公司总人数的50%,80%以上的人员学历都在大学本科以上。众人科技拥有多个领域的专业化技术研发团队,其中研发团队的核心工作人员都是多年从事该领域、具有丰富实战工作经验的软件设计、研发、测试人员。

其次,公司拥有完全的自主知识产权。众人科技已申报国家专利过百项,包括发明专利、实用新型专利、外观设计专利和商标专利。并且,目前众人科技已具备与多个行业的合作基础和丰富经验,针对不同行业应用和场景的解决方案,包括政企、金融、电信、电商、第三方支付以及学校、医院、铁路等。随着电子银行、移动支付的发展需求,众人科技还建立了与金融行业的长期合作,现已与中国工商银行、中国建设银行、中国民生银行等多家大型银行开展了深入的合作,为网银业务提供了多样化、个性化的系统解决方案,在支付领域积累了十分丰富的经验。众人科技与电信等运营商也有成功合作的项目,在方案制作、工程部署、运行维护方面奠定了扎实的技术和实施能力。同时,众人科技还积极参与政府项目的建设,并严格按照政策要求研究开发相应的技术和产品,获得了政府包括军队的高度认可。

篇8

论文关键词:CA认证体系;信息安全;数字证书;公钥

一、CA概述

CA是CeritficateAuthoirty的缩写,通常翻译成认证权威或者认证中心,是负责发放和管理数字证书的权威机构,并承担电子商务公钥体系中公钥的合法性检验的责任。

CA认证系统是一个大的网络环境,从功能上基本可以划分为CA、RA和WP。核心系统和CA放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都应有严格的规定,并且系统设计为离线网络。CA的功能是在收到来自RA的证书请求时颁发证书。一般的个人证书发放过程都是自动进行,无须人工干预。

二、对外经济贸易大学CA认证体系的规划和建设

(一)背景

对外经济贸易大学是教育部直属的全国重点大学,国家“211工程”首批重点建设高校,大学校园网始建于1997年,经历了建设、调整和完善的阶段。截止目前为止校内所有建筑物全部光纤接入到网络与教育技术中心,网络设备400余台,信息点数近17000个,实现了所有办公楼及宿舍楼的上网需求。各部门相关业务系统也在逐渐完善,信息系统在日常工作中的使用频率在迅速提升,与此同时,学校全面实施信息化校园(一期)建设,搭建了统一数据库平台、建立统一身份认证系统并建立了统一信息平台门户,基本实现各系统的信息共享。对外经济贸易大学的校园网建设成已基本形成了运行比较稳定、速度比较快捷、应用比较广泛、相对安全可靠的网络,为全校的教学和科研活动提供了坚实的保障。

然而,单纯的用户名/口令身份认证方式已经不足以保证用户登陆系统的身份安全性,在学校信息化建设相对稳定成熟的基础上,我们考虑在校园网中建立一套完整的CA数字证书认证系统,通CA认证,把用户的公钥和用户的其他标识信息捆绑在一起,其中包括用户名个人信息以及电子邮件地址等,以实现在网络上验证用户的真实身份。在开放网络上实现密钥的自动管理,保证网上数据的安全传输。并制定有针对性的相关运维策略,按照学校实际情况,颁发给校园内用户标识个人身份的数字证书,使用户利用数字证书登录业务系统,替代原有的用户名/口令登录方式。真正做到既简便了用户的登陆操作,又进一步提升了业务系统的安全性。

(二)建设原则

结合学校各业务系统自身应用的现实情况,在相关国际标准的指导下,对外经贸大学CA认证系统建设项目的总体设计和实施都将依据国家有关信息安全政策法规,根据项目的实际需要和高校信息化建设的实际情况,依靠科学技术,依靠科学管理的思想进行设计;将长远规划和当前建设相结合,安全可行和方便适用相结合。因此,项目的研究和实施遵循以下原则:符合国家有关规定的原则、坚持继承、发展、创新的原则、坚持以人为本、方便适用的原则、需求、风险、成本折衷原则、坚持统一标准、规范建设的原则、技术与管理相结合原则和保护已有投资、易于扩展的原则。

(三)建设内容

考虑CA身份认证系统在国内建设的相关情况以及结合对外经贸大学各业务系统的应用现实情况,对外经贸大学CA认证系统建设项目的建设内容如下:

1.制订标准规范

制定符合对外经贸大学自身特色的标准规范,指导对外经贸CA安全认证体系的建设、推广、使用,保证系统的高效管理和使用,保证系统之问的互联互通。

2.建设对外经贸大学的CA安全认证体系

所建立的CA认证系统面向全校8000余名在校学生及1500名教职员工提供全面证书安全认证服务,认证系统将具备万张级别的数字证书签发管理能力,使整个校园信息化体系得到进一步完善,从安全性方面保证数字化校园网络的高效、可靠运行,为对外经贸大学涉及的多套教学及办公业务系统提供完善的数字证书服务。

3.数字证书与业务系统的结合

①与公文系统的结合

建设一套电子签章平台,来管理发放相关人员的电子印章,可以实现在OA审批流转系统中对审批电子文档的盖章确认,包括对签章人的身份确认,对审批文档的防篡改,以及盖章行为的不可抵赖。由于具备了真实性、完整性及可追溯性的安全机制,极大的推动了信息化系统中无纸化办公的可靠性。

②与其他业务系统的结合

另外一种情况是业务系统不是流转公文,而是流转各种业务数据,比如合同、申报数据、审批表格等应用系统。由于业务系统情况千差万别,不能用一个盖章、签字软件与其结合,因此需要具体业务具体分析,学校将对于签章、签名系统提供二次开发接口,系统调用这些接口,实现电子签章、电子签名的应用。

4.其他拓展功能建设

作为安全基础设施的CA认证系统,在建成后其颁发的数字证书不仅使用于对系统的安全登录,同时还包括一系列拓展功能。包括身份认证、数字签名/验签、数据加/解密、安全传输、应用支撑、安全审计等等。随着校园网整个信息化系统的功能完善,信息安全体系建设的跟进就显得尤为必要。

三、结论

篇9

国际上,网络与信息技术不断演进,以云计算、大数据、移动互联网为主导的新技术在推动产业发展的同时,也带来了更多新的挑战,信息安全更成为各国相互搏弈的重要阵地。

成长于信息安全身份认证领域的众人科技,在国内外大环境的激发下,正努力打造成为中国信息安全领域的标杆企业。

回顾历史,众人科技走过一段风雨兼程的路。

2007年9月,众人科技成立。主要从事拥有完全自主知识产权的iKEY身份认证系统及系列产品的研发、生产和销售。

众人科技创业之初,创始人谈剑峰就满怀激情与希望,励志在中国信息安全行业打下一片江山:研发有完全自主知识产权的身份认证技术和产品,与当时充斥中国市场的国外信息安全身份认证产品抗衡,保护国家信息安全。确定了产品方向,众人科技在这个当时国内尚处于空白的细分领域开始了艰难的探索。

众人科技从成立伊始就确立了自主研发、设计、生产的国产化道路,以完全的自主可控作为追求,目的就是为国家和大众的信息安全把好核心的那一道“门”,由此而带来的是漫长且枯燥的技术攻关和资格认证过程。

整整4年时间,众人科技团队全身心投入技术研发、打磨产品,并通过了国家相关机构、专家对动态密码技术的论证、检测、认定,在2009年初,众人科技率先拿到了国家密码主管部门颁发的动态口令类产品资质企业许可证,其研发的iKEY身份认证产品被中国科学院科技查新中心评定为“填补国内空白,国际先进水平”。

经过不断拼搏、奋斗,众人科技越过了一道一道的坎――资金、人员、资质、技术。终于,众人科技拥有了从密码专用安全芯片、终端产品到后台系统的全产业链自主知识产权,并自主设计了国内领先的具有世界领先水平的密码令牌全自动柔性生产线;还作为组长单位参与制定了国家密码行业标准GM/T 0021-2012《动态口令密码应用技术规范》,作为国家密码主管部门密码检测标准制密项目组组长单位,组织编写“动态口令密码检测”的相关规范;同时参与制定动态口令产品行业标准、身份认证技术相关标准。

2011年,众人科技更是被工业和信息化主管部门从百家企业中遴选为基于安全可控软硬件产品云计算解决方案供应商;2014年,众人科技成为了上海市“专精特新”企业及推进“新技术、新产业、新模式、新业态”的“四新”企业;值中国互联网接入20周年之际,众人科技更荣获了“中国互联网20周年・技术创新贡献殊荣”,成为“SHCERT网络安全应急服务支撑单位”及上海市信息安全服务推荐单位。

在飞速发展的七年时间里,众人科技成为了中国中小企业协会副会长单位、中国互联网金融工作委员会副主任委员单位、中国软件行业协会网游信息安全工作委员会主任单位、中国信息协会常务理事、上海现代服务业联合会会员、上海市计算机行业协会副会长单位、上海市信息服务业行业协会副会长单位、上海市信息安全行业协会副会长单位等。

也正是在这七年里,移动互联网以及互联网金融迅速崛起。来自银行的数据显示,目前建设银行和工商银行的手机银行客户总数已经超过1亿户,交行、农行、中行的客户数也超过了5000万户。其中,部分银行的手机端客户数量目前已然接近了其传统电脑端网银客户的数量。中国互联网络信息中心的报告显示,2014年6月我国手机网民规模已达5.27亿,中国手机端网民规模首次超过了PC端,这为银行手机端的金融服务奠定了良好的市场基础,也为各银行转向手机端带来了足够大的动力。

在互联网金融行业大环境的影响下,众人科技自主研发了一系列适于金融业发展的动态密码产品。

在竞争激烈的互联网环境里,众人科技深知创新和产品质量决定一切。

iKEY身份认证系统是由众人科技自主研发的基于时间同步技术的多因素认证系统,是一种安全便捷、稳定可靠的身份认证系统。其强大的用户认证机制替代了传统的基本口令安全机制,消除了因口令欺诈而导致的损失,防止恶意入侵者对资源的破坏,解决了因口令泄密导致的入侵问题,有效提高了身份认证的安全性和便捷性。其硬件产品线包括isKEY动态密码令牌系列。isCARD动态密码智能卡系列、isMemory 动态密码SD卡系列及手机令牌等,均采用国家密码主管单位指定的国密算法。

众人科技在此基础上进一步开发的智慧城市公共区域安全网络系统,以动态密码的核心技术为基础,用云计算搭建统一身份认证云平台,快速、有效地解决了公共区域网络的安全认证问题。其通过各类认证技术和安全机制的结合,可提高公共区域网络的身份认证的安全性,最终提高用户使用的便捷性和满意度。同时以其强大的用户认证机制以及安全监管功能,有助于规范国家公共网络管理系统,在大数据时代为国家信息安全保驾护航。

作为一家飞速发展的信息安全企业,众人科技在金融领域有着丰富的服务经验与优良的解决方案,在金融行业以外领域,也正在逐渐建立自己的品牌口碑。众人科技以动态密码技术为核心,总结多年发展经验,以市场为导向,逐步研发了如网络的4A审计系统、基于IBC标识密码的加密邮件系统、针对APT攻击的多维度网络威胁预警系统等多结构、多类型的产品,拓宽了国内信息安全产业市场,在国家智慧城市建设等领域走得更远。

随着移动互联网、大数据的迅速崛起,移动支付迅猛发展。尤其在金融领域,电子银行,手机支付的发展超出了人们的想象。

篇10

据了解,作为一年一度的信息安全产业老牌的年度盛会,“中国信息安全大会”已经连续举办了15年, 在信息安全领域拥有极高的影响力。大会旨在推动中国信息安全产业的发展,讨论并应对行业发展中所面对的全新挑战。

十几年来,大会始终是中国规模最大的信息安全展览、交流平台之一。本届大会的主题是“信息安全无处不在”,包括政府、金融、教育、医疗等各个重点行业的CIO代表,以及国内外知名的信息安全专家、厂商代表共聚一堂,就信息安全产业发展和技术创新等话题进行了深入的探讨。

目前,信息技术已经深入企业和个人生活的各个方面,信息安全的问题也随之紧密地围绕在每个人的身边。与此同时,随着移动互联网、物联网、大数据等新技术的普及和应用深化,信息安全也不再局限于传统的安全范畴,泛安全的生态逐渐形成。

正如本届大会主题“信息安全无处不在”所表达的,信息安全的重要性在支付各个环节已经不容忽视。支付业务的产生主要是应对和解决电子商务交易过程中资金流和信息流的问题。在这方面,PayEase已积累了15年的运营和管理经验,特别是在风险控制、保障资金安全方面有突出优势,享有“中国安全支付专家”的美誉。

PayEase是中国最早通过国际ISO27001企业安全管理体系认证的平台,获有中国电子商务评价机构颁发的“红盾”最高诚信标识和“中国商业网站100强”的称号,并连续多年荣获 “中国电子支付行业最佳客户信任”奖,是中国迄今为止唯一一家连续多年享有此殊荣的独立第三方支付平台。

在跨境电子商务领域,PayEase于2008年通过VISA全球范围PCI DSS银行卡数据安全认证,并连续多年获“VISA网络收单业务最佳风险防控安全合作”奖。在反欺诈系统管理方面,PayEase于2009年成为了中国大陆首家使用CyberSource Decision Manager管理跨境交易的支付服务提供商(PSP)。而在2013年,PayEase把国内业务纳入CyberSource的服务范围内,有效防范了交易中的欺诈行为,为用户提供更为方便和安全的支付环境。

PayEase相关人员表示:“用户在支付过程中最关心的是安全,而这对于第三方支付平台来说显得更加重要。随着电子商务的快速发展,信用卡等网络诈骗的行为层出不穷,用户因此最看重一个支付平台的安全性、稳定性和信誉度。”

篇11

【关键词】GNSS;CORS;固定参考站;数据处理中心;安全认证平台

【中图分类号】P228.4 【文献标识码】A 【文章编号】1672-5158(2012)09-0421-01

随着GNSS连续运行基准站系统CORS的应用和推广,近年国内CORS基准站的建设逐渐兴起。CORS系统的建立和应用,可以获取区域内某类空间的位置、时间信息及其相关的动态变化。通过建设若干永久性连续运行的GPS基准站,提供国际通用的基准站站点坐标和GPS测量数据,以满足各类不同行业用户精确定位,快速和实时定位、导航的需求,满足城市规划、国土测绘、地籍管理、城乡建设、智能电网、环境监测、防灾减灾、交通监控,等多种现代化信息化管理的社会需求,特别在智能电网建设中起到了举足轻重的作用。

为保障电网基础数据质量,企业通常采取建立CORS基站网、统一的测量基准、精确的国家2000坐标体系架构、差分手段等一系列的保障措施,CORS系统是卫星定位技术、计算机网络技术、数字通讯技术等高新科技多方位、深度结晶的产物,电力企业作为关乎国计民生的基础行业,企业内部各业务数据已基本在网络流转,企业在享受着信息系统所带来巨大经济效益的同时,也面临着高风险。一旦出现信息泄密或篡改数据的情况,将为国家造成难以估量的损失。

1、CORS系统构成

CORS系统包括3个部分:控制中心,固定站和用户部分。

1.1 控制中心(Control center)

整个系统的核心。它既是通讯控制中心,也是数据处理中心。用于接收各基准站数据,进行数据处理,形成多基准站差分定位用户数据,组成一定格式的数据文件,分发给用户。数据处理中心是CORS的核心单元,也是高精度实时动态定位得以实现的关键所在。中心24小时连续不断地根据各基准站所采集的实时观测数据在区域内进行整体建模解算,并通过现有的数据通信网络和无线数据播发网,向各类需要测量和导航的用户以国际通用格式提供码相位/载波相位差分改正信息,以便实时解算出流动站的精确点位。通过通讯线(光缆,ISDN,电话线)与所有的固定参考站通讯;通过无线网络(GSM,CDMA,GPRS……)与移动用户通讯。

1.2 基准站网

基准站网是由某一范围内均匀分布的固定参考站组成。负责采集GPS卫星观测数据并输送至数据处理中心,同时提供系统完好性监测服务。

1.3 数据通讯部分

CORS的数据通讯包括固定参考站到控制中心的通讯及控制中心到用户的通讯。参考站到控制中心的通讯网络负责将参考站的数据实时地传输给控制中心;控制中心和用户问的通讯网络负责将网络校正数据送给用户。一般来说,网络RTK系统有两种工作方式:单向方式和双向方式。在单向方式下,只是用户从控制中心获得校正数据,而所有用户得到的数据应该是一致的,如主辅站技术MAX;在双向方式下,用户还需将自己的粗略位置(单点定位方式产生)报告给控制中心,由控制中心有针对性地产生校正数据并传给特定的用户,每个用户得到的数据则可能不同,如虚拟参考站VRS技术。

1.4 用户部分

包括用户信息接收系统、网络型RTK定位系统、事后和快速精密定位系统以及自主式导航系统和监控定位系统等。

2、GORS数据通讯网络构建

CORS系统的通讯分两个层面,一个是基准站到数据处理中心的通讯,另一个就是数据处理中心到移动站的通讯。

2.1 从固定参考站到控制中心通讯专线的建立

基准站到数据处理中心的通讯,因为数据量较大,距离远,而且传输速度和传输的稳定性要求比较高,需要考虑的是可靠性、实时性、通信速率、可扩充性(能按需要扩充基准站))等要求,一般都是有线方式,最好是专线。由系统建设单位自行敷设通讯线路并组网成本太高周期太长,难以实施。可根据当地的电信运营商提供的不同公网接入方式,由电信运营商采用IP虚拟专网等技术组成专网,采用HDSL、DDN、FR、SDH、数字电路设置专线来实现基站到数据中心的数据传输通讯。根据目前国内的实际情况,各大电信运营商都能提供稳定合格的公用互联网接入和专用数据传输线路及方式。作为CORS建设单位可根据CORS系统组网的方式、规模来选择不同的通讯数据传输构建方式。不仅可靠性、安全性高而且成本低。

2.2 数据处理中心到移动站通讯的建立

数据中心首先必须接入公用互联网,并且必须取得固定公用互联网IP地址,才能供客户访问并获取改正数据。

目前各移动站设备制造商基本上都是采用移动通讯网络的无线连接方式,也叫分组交换方式通俗地说就是上网,用户的GSM模块开通了GPRS或者CDMA的上网功能,在用户端相关通讯设置中按数据处理中心给出固定的一个IP地址、Port端口号,用户名和密码,就像登陆网站的一样。用户登录了网站,选择页面,就可以实时的得到改正数据,而其通讯的协议是国际标准的NTRIP协议。

3、基于数字证书安全认证平台的实现

基于数字证书安全认证平台的实现是主要通过在服务器端搭建安全支撑平台和客户端搭建客户端安全应用平台,企业的各种应用接入安全认证平台后,通过客户端和服务器端的交互认证,来实现企业应用安全的控制。

对于电力企业来说,安全认证平台是构建智能电网信息安全接入体系的核心基础安全防护设施,USAP依托电网原有的防火墙、IDS等物理安全基础设施、PKI/PMI等信息安全基础设施等,基于统一安全策略和统一安全管理的思想进行系统架构设计,有效、安全地承载各种电力业务应用,对外统一提供“安全通道、身份认证、安全接入、访问控制、数据交换、集中监管”等核心功能。

4、基于数字证书安全认证平台的00R$基站数据通讯和组网

目前,随着智能电网的构建,公安部、国家保密局、国家密码管理局、电监会等国家有关部门对电网企业信息安全工作要求也不断提高,基于数字证书安全认证平台的CORS基站数据通讯和组网,不仅能满足CORS基站高速、有效运行,更能有效确保企业信息内容的机密性、完整性、可用性。

4.1 前置机安全加固

前置机上安装USAP承建商开发的安全接入终端和安全专控软件,终端先将数据发送到安全接入平台交换机,再由内部交换机强制转发给前置机,终端发送出的数据经过安全接入终端软件的商密算法加密,再转发到安全接入平台服务区。

前置机设置防火墙,限制前置机出口IP地址和端口,并且在安全接入平台内部三层交换机上加入特定路由,强制终端访问特定的内网服务器,而不能访问其他内网业务服务器,保证了内网业务服务器的安全;

前置机数据流进入安全接入平台内部三层交换机,通过USAP的安全接入区、接入服务区进行安全认证接入并进行安全服务访问,通过内网业务提供的安全应用接口进行安全数据访问。

4.2 用户终端加固

安全终端主要通过终端安全专控软件(终端安全模块、安全连接软件模块、安全加固软件模块等)和安全硬件、系统整体定制等实现安全终端整体防护框架,主要功能包括移动终端完整性检验、基于角色及各种组合方式的强身份认证、终端安全加固、业务应用安全控制、综合访问控制、安全管理、数据安全存储和安全访问等等。

篇12

数据灾难备份必不可少

从美国“9·11”事件、日本大地震,到花旗银行丢失390万客户信息的“数据门事件”,到汶川地震,再到雅安地震……面对难以抗拒的严重事件和自然灾害,数据安全问题需要我们认真对待和仔细考量。在信息和数据主宰的时代,偶发性的天灾人祸很可能对金融、电力、交通、医疗、通信等重要组织机构赖以生存与运转的信息系统造成毁灭性打击,其业务连续性管理也会因此受到损害。对此,中科同向提醒用户:给数据信息上“保险”应成为企业的重中之重,信息化时代数据的灾难备份必不可少。

美国的“9·11”事件后,Gartner Group的相关资料显示,40%的公司在经历大灾难后再也不能恢复运行,很快倒闭了;另外33%的公司在两年内也紧接着倒闭;只有少量的公司因为实施了容灾备份系统,在大灾后仍能立即恢复工作,和大部分公司丢失了数据后一蹶不振的情况形成了鲜明的对比。

明尼苏达大学的一项研究显示,金融企业由于灾难而导致突然停止运营后,两天之内所受损失为日营业额的50%,若两个星期之内无法恢复信息系统,75%的公司将陷入业务停顿状态,其中43%的公司甚至再也无法开业。以上数据表明,面对灾难带来的不可预知的毁灭,建立预防性的数据灾难备份系统具有非常重要的价值。

专业的解决方案

目前,不少企业已经投入巨资建设灾难恢复系统,以确保业务稳定、连续地发展。对于另外一些还未实施容灾数据备份的企业,中科同向建议不要再持观望态度,应立即实施备份容灾系统。

中科同向在数据备份容灾方面有多年实施经验和多领域的成功案例。针对不同类型的灾害,中科同向已经成功实施了洪水治理应急恢复系统、人防应急系统等。在容灾方面,中科同向尤其有优势:不仅适应异构的存储设备,同时也能适应异构的服务器平台。这样的远程容灾建设方案可以支持更加广泛的应用类型,不但可以保障用户当前投资建设的系统得到充分利用,同时也对容灾系统未来的适应性提供了保障。

中科同向本着取之于社会、服务于社会的宗旨,实践“同一个方向,同一个梦想”的企业价值。中科同向相信,坚定不移的努力一定能让自主研发的国内数据备份容灾产品走向世界。

关于中科同向

篇13

 

1 问题的提出

 

随着Internet网络技术飞速发展及普及,电子商务(Electronic Commerce,简称EC)已经逐渐成为人们进行商务活动的新模式,越来越多的人通过Internet进行商务活动。电子商务是利用网络技术、计算机技术和通信技术,实现数字化、电子化,商务化,网络化的整个商务过程,它与传统商业活动相比,最大的一个特征就是基于B/S方式下,交易双方在不见面的情况下完成商品贸易活动。

 

2 国内电子商务安全研究现状

 

2.1 我国电子商务安全研究现状

 

国务院在1996年了《中华人民共和国计算机信息网络国际联网管理暂行规定》,公安部在1997年了《计算机信息网络国际联网安全保护管理办法》,2000年由国家信息化推进工作办公室牵头起草的《关于发展我国电子商务的若干意见》上报国家最高决策层进行审议。网络信息安全问题不但得到了政府、企业的高度重视,同时国内的大专院校、研究所和有实力的大公司也纷纷进入网络信息安全问题的研究领域。

 

2.2 电子商务信息安全隐患

 

电子商务的信息存储安全隐患主要包括:(1)内部隐患。主要是网内用户未经许可随意增加、删除、修改或无意或故意地非授权调用电子商务信息。(2)外部隐患。主要是因为软件问题造成外部人员非法闯入内网,造成电子商务信息被增加、删除、修改或调用。

 

电子商务交易双方的信息安全隐患主要是:(1)商家的信息安全隐患。不法分子冒充合法用户修改商务信息内容,致使电子商务活动中断,造成商家无法从事正常的业务活动。(2)用户的信息安全隐患。不法分子窃用拦截合法用户身份信息,以合法的用户进行电子商务活动,使用户蒙受损失。

 

2.3 电子商务信息安全管理

 

在电子商务活动中,有些信息属于商业秘密,如果失窃,将带来不可估量的损失,因此需有一个能不中断地提供服务及可靠稳定的电子商务平台,任何系统的中断,如软硬件错误,病毒,网络故障等都可能导致电子商务系统不能正常工作,所以电子商务信息的安全管理问题就成了电子商务顺利推进的保障。随着电子商务的深入应用,攻击网络技术和手段不断改进,这就对电子商务信息系统的安全性提出了更高的要求,必须保证外网用户不能对系统构成威胁,所以人们对这些基本技术进行了反复改进以适应更高的安全需求。

 

3 电子商务信息安全技术

 

在电子商务交易过程中,采取适当的安全技术措施能够有效的降低电子商务交易过程中的风险,满足电子商务对于安全性的要求。下面对常用的电子商务信息安全技术措施进行研究。

 

3.1 防火墙技术

 

目前的防火墙分可为两大类,一类是简单的包过滤技术,它是在网络层对数据包实施有选择的通过。依据系统内事先制定好的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址等因素来确定是否允许数据包通过。另一类是应用网管和服务器,其显著的优点是能提供小颗度的存取控制,可针对特别的数据过滤协议和网络应用服务,并且能够对数据包分析并形成相关的报告。通过防火墙技术,可以过滤掉不安全的服务,提高网络安全和减少网络中主机的风险。但防火墙是一种被动安全技术,不能阻止来自内部网络的攻击。唯一的解决办法就是,在每台计算机上都装反病毒软件。

 

3.2 病毒防范技术

 

计算机病毒实际上就是在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒绕过系统或违反授权入侵成功后,在系统中植入木马等病毒程序,为以后攻击系统、窃取信息做好准备。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和监测,工作站上对网络目录及文件设置访问权限等。

 

现在较流行的反病毒技术基于病毒的特征码扫描法、文件实时监控技术并辅以指令虚拟技术。扫描病毒:分析出病毒的特征病毒码并集中存放于病毒代码库文件中,在扫描时将扫描对象与特征代码库比较,如有吻合则判断为染上病毒。该技术实现简单有效,安全彻底。监控病毒:通过利用操作系统底层接口技术,对系统中的指定类型的文件进行实时的行为监控,一旦有病毒传染或发作时就及时报警。从而实现了对病毒的实时、永久、自动监控。删除病毒:在删除时采用虚拟技术对变种的病毒进行处理或编写出相应的程序,将病毒移除计算机内存。

 

3.3 认证技术

 

安全认证技术主要有:(1)数字摘要技术,也称安全HASH编码法。用于对所要传输的数据进行运算生成信息摘要,它并不是一种加密机制,但能产生信息的数字"指纹",目的是为了确保数据没有被篡改,从而保证数据的完整性和有效性。(2)数字签名技术,又称电子签章、公钥数字签名。是一种类似写在纸上的普通的物理签名,就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种变换或数据允许数据单元的接收者用以确认完整性和数据单元的来源并保护数据,防止被人伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。主要功能是保证信息传输的完整性、发送者的身份认证、防止交易中发生抵赖。(3)数字证书技术,又称为数字凭证。负责用电子手段来证实用户的身份和对网络资源访问的权限。(4)身份认证实际。是计算机系统通过审查用户身份证明的过程,提供确认和判别用户身份的机制,确定用户是否具有对系统资源操作和访问权限。本质是确认用户身份,用户必须能够证明其身份标识合法性。身份认证技术是访问控制、安全审计、入侵检测等安企机制的基础,在电子商务信息安全理论与技术中占有至关重要的位。目身份认证技术主要有基于口令的认证技术、基于密码学的认证技术、基于智能卡的认证技术以及基于生物学特征的认证技术等。

 

3.4 安全协议技术

 

电子商务安全问题的核心是电子交易的安全性,为了彻底解决电子商务的安全机制,人们开发了各种用于加强电子商务安全的协议。当前广泛应用的电子商务安全协议主要有SET协议(Secure Electronic Transaction,安全电子交易)和SSL协议(Secure Sockets Layer,安全套接层),二者都采用了RSA算法加密。

 

总之,电子商务信息的安全问题是一项复杂的系统工程,随着电子商务的发展,通过各种网络的交易手段也会更加多样化,安全问题也会变得更加突出。它不仅涉及到动态传输信息及静态存储信息的安全问题,还需要保证电子商务信息安全,加快电子商务的发展。加强电子商务信息安全技术研究有着重要意义,需要我们根据具体的电子商务信息安全需求,不断的加强电子商务信息安全管理。

篇14

我国信息产品和服务的采购制度不完善

“国货”认定缺乏标准。《政府采购法》第十条明确规定,政府采购应当采购本国货物、工程和服务。其中“国货”的界定依照国务院规定执行,但目前相关法规仍处于起草修改阶段。国务院法制办于2010年1月11日公布的《政府采购法实施条例(征求意见稿)》中,对“本国货物”的规定是“在中国境内生产,且国内生产成本超过一定比例的最终产品”,仅通过产品成本组成界定,未涉及技术要求。2010年5月21日,财政部、商务部、国家发改委、海关总署联合起草了《政府采购本国产品管理办法(征求意见稿)》,延续了《政府采购法实施条例(征求意见稿)》的内容,并明确规定“本办法所称本国产品是指在中国关境内生产,且国内生产成本比例超过50%的最终产品”。从已出台的法律法规来看,我国最基本的国货标准还没有形成,对国货的界定还处于无法可依的阶段。

强制性要求执行力度不够。由于信息安全产品和服务在国家经济社会中具有特殊重要性,我国对信息安全产品政府采购进行了相关规定。2009年国家质检总局印发了《关于调整信息安全产品强制性认证实施要求的公告》,要求8类13种信息安全产品进入政府采购前必须实行强制性认证。2010年财政部等多个部委联合了《关于信息安全产品实施政府采购的通知》,要求供应商必须具备中国信息安全认证中心按国家标准认证颁发的有效认证证书。但据了解,在有些实际招标文件中并未要求产品获得信息安全强制性认证资格。造成上述问题的原因,一是管理不完善,二是缺乏可操作的执行标准,同时也缺少权威的信息安全产品和服务采购要求和采购目录。

国家基础网络和重要信息系统的信息安全产品和服务采购没有制度支持。

我国《政府采购法》只适用于国家机关、事业单位和人民团体,对国有企业不适用。而采购大户——基础网络和重要信息系统运营单位主要为国有企业或国有金融机构,其采购行为不受政府采购法律的约束,无需购买国货和强制认证。这就导致事关国家安全和国计民生的基础网络和重要信息系统在采购信息安全产品和服务时,主要由企业自行决定,大量采购国外或外资控股企业提供的产品和服务,安全隐患十分突出。

国外保护国家信息安全实例

2006年3月,美国国务院经招标确定采购联想集团价值约1300万美元的1.6万多台计算机设备。美中经济安全调查委员会以“使用联想计算机会对美国国家安全产生灾难性后果”为由,提出强烈反对,并将意见提交至国会。最后美国政府调整了原来的采购计划,在联想与美国国土安全部签订的安全协定上又多加了限制条件,要求联想在参与美国的政府采购时,不得以任何形式索取、接受、维护、鉴别有关美国政府定购电脑产品的用户信息,同时还宣布将会修改政府采购流程。联想必须通过美国政府认可的本地第三方公司向美国政府部门提品及售后服务,同时必须无条件接受美国安全部门对其信息系统使用情况的检查。

IBM的台式计算机曾一直是日本防卫厅采购目录的“注册厂商”,也曾经是日本防卫厅重要的计算机设备提供者。但在IBM的台式计算机部门被联想收购后,日本防卫厅在2006年4月以防止“中国制造”的台式计算机“渗透”而造成泄密为理由,拒绝接受联想生产的IBM品牌台式计算机,从此联想无缘日本防卫厅电脑采购招标。

政策建议

政府部门加大对国产信息类产品的采购执行力度。要在不违背WTO的前提下进行政策设计,明确“本国货物”的认定标准及量化指标,建立信息安全标准化体系和政府信息类产品采购指南;强制要求各部门在本国货物能够满足应用需求时,必须采购本国货物并优先采购目录内的产品;因技术原因确需采购非本国货物时,必须按照有关规定报相关部门审批,同时该产品也必须通过国家的信息安全检测认证,并以此为对价,要求国外厂商开放涉及信息安全的关键技术。

针对特殊行业的企业采购设立专门制度规范。对于涉及国计民生、国家安全和社会稳定的行业,如石油、电力、军工和金融等,其信息产品采购行为不能与一般的企业采购等同,应借鉴政府采购法律有关规定和程序要求,设立专门制度,加强对特殊行业企业采购的管理。