前言:中文期刊网精心挑选了国内信息安全认证范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
国内信息安全认证范文1
关键词 PKI;CA;RA;数字证书;信息安全;双因素认证;数字签名;加密
中图分类号:TM769 文献标识码:A 文章编号:1671-7597(2013)15-0119-02
随着国内外网络与信息技术飞速发展和广泛应用,发电企业信息化也在不断深入开展,信息安全形势更加严峻,网络与信息安全工作问题更加突出和重要。发电企业在保证发电安全生产的基础上,逐步通过信息化建设,梳理管理流程,加强内部管控,从而达到提升竞争力的作用。
信息安全是信息化建设的基础和前提,基于PKI技术的数字证书机制构建的应用层信息安全保障体系,已经作为信息安全基础设施,在政府、金融、电信等领域得到广泛应用。如何合理构建安全认证体系,既能满足信息安全管理要求,又能保证投资和信息安全管理可控在控,已经成为发电企业越来越关注的问题。
1 发电企业信息安全现状分析
在发电企业构建电子认证体系以保障业务安全的过程中,主要面临着如下需求和问题。
1)缺少完整的电子认证基础设施,企业内部多级管理体系和独立分支机构的不同信息系统使用的数字证书不统一。
2)自建的电子认证基础设施,有可能不具备相关运营资质,并且建设和运营维护成本较大,而只采购第三方认证机构颁发的数字证书,又不能完全满足企业内部信息化管理的需要。
3)重要核心信息系统未采用双因素认证、数字签名和数据加密等技术手段,无法保证数据保密性、完整性、抗抵赖性等信息安全要求。
为了很好的解决以上问题,结合发电企业信息化建设实际情况,提出以下几点建议。
1)针对发电企业内部多级管理体系和独立分支机构,建设统一的RA注册审核机构,与第三方认证机构PKI/CA基础设施配合,将完整的电子认证服务引入到现有信息系统中,既满足了安全体系完整性,又方便了内部安全认证服务管理。
2)针对不同的信息系统特性,制定双因素认证、数字签名和数据加密等安全认证策略和实施规范,RA系统设计上应方便的与业务系统进行对接和交互,避免成为“信息孤岛”,保证数据保密性、完整性、抗抵赖性等信息安全要求。
3)针对已经使用了数字证书等安全认证的信息系统,应考虑能够实现平滑过渡和无缝对接,防止出现安全体系设计重大变更和大规模系统改造等情况。
2 PKI/CA/RA简介
1)PKI为“公钥基础设施”,是一个用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
2)CA认证机构是采用PKI公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。它是PKI公钥基础设施的核心,主要完成生成/签发证书、生成/签发证书撤销列表(CRL:Certificate Revocation List)、证书和CRL到目录服务器、维护证书数据库和审计日志库等功能,即证书的颁发、证书的更新、证书的查询、证书的作废、证书的归档等功能。
3)RA注册审核机构:RA是数字证书的申请、审核和注册中心。从广义上讲,RA是CA的一个组成部分,主要负责数字证书的申请、审核和注册。
3 基于PKI/CA/RA的安全认证服务平台
3.1 平台架构
通过对发电企业安全现状和需求分析,根据证书签发、证书使用两种应用环境和职责不同,将RA系统划分为RA子系统、证书验证子系统两个子系统。
1)RA子系统:负责证书的申请、签发、更新、状态变更等证书业务功能。RA子系统结构由CA能力接入、系统管理、证书服务、用户自服务等功能模块组成。CA能力接入模块面向第三方CA系统,系统管理模块面向RA系统管理员,证书服务模块面向业务系统,用户自服务模块面向使用证书业务的用户(个人用户、企业用户)。
2)证书验证子系统:负责证书有效性验证、签名验签等证书应用功能,提供非对称密钥运算、摘要运算、签名验签运算、证书验证等证书应用服务。
3.2 数字证书设计
3.2.1 设计原则
RA系统签发的数字证书应具有以下特点。
1)数字证书符合X509v3国际通用标准,可以同发电企业目前的电子认证体系无缝对接,平滑过渡。
2)数字证书获得国家电子认证服务资质认可,受《电子签名法》保护,可以对外使用。
3)支持签发软/硬两种形式的数字证书。
软证书符合PKCS12标准,能方便的在手机、PDA等终端上使用。
硬证书保存在USBKEY等硬件存储介质上,安全可靠。
3.2.2 数字证书类型
按照数字证书的颁发对象不同,数字证书主要分为个人数字证书、机构数字证书和设备数字证书等。
1)个人数字证书,主要用于标识数字证书自然人所有人的身份,包含了个人的身份信息及其公钥,如用户姓名、证件号码、身份类型等。
2)机构数字证书,主要用于标识数字证书机构所有人的身份,包含机构的相关信息及其公钥,如:企业名称、组织机构代码等。
3)设备数字证书,用于在网络应用中标识网络设备的身份,主要包含了设备的相关信息及其公钥,可用于服务器或网络设备标识和验证设备身份。
3.2.3 证书使用范围
从使用范围上来说,企业数字证书分为内部证书、外部
证书。
1)内部证书限于企业内部人员、业务使用,承担行政责任,可以用于企业内部安全保障;企业重要人员的证书采用USBKEY存放,其他人员采用软件存储。
2)外部证书限于企业外部人员、业务使用,如电子商务平台的供应商。承担法律责任,在对外业务出现纠纷时,可以用于法律鉴定,采用USBKEY存放证书。
3.2.4 证书用途
根据数字证书的密钥用途,将证书分为以下两种。
1)签名证书:其私钥可用于对信息的签名。用户在使用私钥对信息签名时,应知晓并确认签名的内容。对于具有身份鉴别用途的证书,其私钥可用于对鉴别方提交的挑战信息签名;在可能的情况下,具有身份鉴别用途的证书及信任链上的证书(根证书除外)应提交给验证方。
2)加密证书:其私钥可用于对采用对应公钥加密的信息
解密。
根据国家密码管理局的相关要求以及发电企业对证书的使用需求,个人证书、企业证书都需要签发双证书(加密证书、签名证书)。
3.2.5 证书存储形态
根据数字证书的存储形态不同,可以将证书存储在以下介质中。
1)软证书:证书以软件形式存放,包括以文件形式或者将证书导入到IE存储;根据信息系统对证书的要求,可以将个人证书(大部分)以软件形态存放。
2)USBKEY证书:证书存储在USBKEY中;企业重要人员的证书采用USBKEY存放,企业外的个人证书、企业证书全部采用USBKEY存储,便于保管。
4 应用实践
目前对于发电企业来讲,PKI/CA/RA安全认证服务主要可应用于以下几个方面。
1)办公自动化系统电子印章管理,采用数字签名及证书对称加密、非对称加密等技术,防止电子文件被篡改、电子印章被非法利用。
2)企业资源计划(ERP)、燃料管理、办公自动化、资金管理、电子商务等重要信息系统的双因素认证,为IT审计提供依据,防止抵赖,进一步保证系统安全。
3)无线网络、VPN网络等网络接入认证管理。
5 结束语
PKI/CA/RA安全认证服务平台实现了统一、完整的电子认证基础设施,为发电企业提供数字证书申请、受理、审批、签发、更新、吊销、等业务功能,数字证书与企业资源计划(ERP)、电子印章、电子商务等信息系统集成,全面支持企业内部和对外电子商务应用,以及重要信息系统、设备的双因素认证。
实践证明,PKI/CA/RA安全认证服务平台在发电企业信息安全工作中,已发挥了不可替代的重要作用,可有效提高信息系统安全性和可靠性,下一步将加强核心业务信息系统中的重要操作、重要信息系统中敏感信息加密、移动办公等方面的研究和应用。
参考文献
[1]龙玉江,白雪,汪浩.PKI/CA技术在电力信息系统安全保障方面的应用研究[J].贵州电力技术,2009(1):40.
[2]刘欣.PKI/CA技术在电力信息系统中的应用研究[J].电力信息化,2009,7(10):30.
国内信息安全认证范文2
日前《数据中心服务能力成熟度评价要求》行业标准正式。该行业标准由招商银行数据中心和中国信息安全认证中心组织,中国惠普有限公司、万国数据服务有限公司和北京趋势引领信息咨询有限公司共同研究、编写。《数据中心服务能力成熟度评价要求》历时一年多,提出的数据中心服务能力成熟度模型从实现收益、控制风险和优化资源的基本诉求出发,确立了数据中心的目标以及实现这些目标所应具备的服务能力,并以此为基础建立数据中心成熟度评价对象模型,提出了适用于数据中心成熟度评价的具体评价方法和指标体系。
中国信息安全认证中心魏昊主任告诉本报记者:“在模型的建立过程我们参考了国际上比较成熟的成熟度评价模型和管理体系,具有先进性和前瞻性,同时也充分考虑了行标的广泛应用问题,可以应用到各种大型数据中心。”
魏昊主任还强调,《数据中心服务能力成熟度评价要求》在成熟度模型方面汲取了CMMI、COBIT等模型通行的基于过程评价的思路,采取了典型的5级分级;而在管理体系方面汲取了服务管理体系和信息安全管理体系的部分管理过程,但自己独立建立了对数据中心服务能力进行评价的成熟度评价模型,提出基于3个一级管理域、15个管理子域的42个管理过程为评价对象,7个评价要素、15个评价子要素和30个评价点的评价模型,特别是基于证据指数的加权平均计算过程成熟度、过程域成熟度和总体成熟度的方法完全是自主创新。
招商银行数据中心是《数据中心服务能力成熟度评价要求》的研究原型,也是该标准的首个试点单位。招商银行信息技术部数据中心总经理高旭磊谈及标准的产生过程时表示,现有的标准还不能覆盖数据中心管理的各个方面,在数据中心管理成熟度精细度方面也有不足,这些基本诉求再加上招商银行正在进行的二次转型服务的大背景,促使其开始考虑编写该标准。“我们目标是要把数据中心的管理从全面过程管理转换成全面质量管控,最终把数据中心管理工作进一步科学化,以提高管理效率。”他说。
国内信息安全认证范文3
通过安全认证
随着国航信息系统建设的飞速发展,在奥运安全保障工作中,安全不再只是空防安全和飞行安全,信息安全已成为奥运安保的重要环节,并纳入公司和信息管理部2008年重点工作之中。国航信息安全规划咨询项目就是在奥运安保和国航信息系统跨越式发展的大背景下立项建设的,它旨在为国航信息安全体系建设打下坚实的理论基础。
国航也是通过这个项目完成了未来3~5年信息安全建设的发展规划,建立了信息安全管理体系,于近日最终通过了ISO 27001信息安全管理体系认证,使国航成为国内首家通过此国际认证的航空企业,进一步提升了公司的综合竞争实力。
记者了解到,ISO 27001是国际信息安全领域的重要标准,它的前身源自英国标准协会(British Standards Institute,BSI)在1995年2月制定的信息安全管理标准 BS 7799,经修订后,于2005年10月15日作为国际标准ISOIEC 27001/2005。该标准基于风险评估的风险管理理念,可用于信息安全管理体系的建立和实施,保障信息安全,全面系统地持续改进安全管理。国航的信息安全管理体系已于2008年12月就通过了国际权威认证机构的现场审核,具备了获取ISO 27001信息安全管理体系国际认证的条件。
在国航发展战略中,信息安全占有非常重要的位置,几乎所有业务都与信息技术相关,特别是涉及到飞行安全、客户信任度的商务及财务方面信息等,都需要信息安全管理体系这张保护网的保障,在这种发展趋势下,国航以建立起成熟的、具备国际水平的信息安全保障体系,保障核心业务不中断、核心系统不被攻击、客户信息不泄露为信息安全愿景目标,
中国国际航空股份有限公司信息管理部总经理刘东说,国航有几百个系统每天运营着国航所有的正常航线、飞机维护、机组人员的管理、人员的编排,还有财务的收益管理,以及订座系统、离岗系统、网络收益系统。对于航空公司来讲,每个系统都不能失控,也不能出问题。
安全跷跷板
曾经主抓飞行安全如今管信息安全的中国国际航空股份有限公司副总裁贺利,在回顾国航在信息安全方面取得建设的一些建设成果时表示,“信息安全的体系是一个很复杂的体系,我们在业界经常叫“安全跷跷板”,这个跷跷板主要是在IT基础结构的基础上,包括三方面内容:一是技术平台,二是组织和人员,三是制度和流程,由这三方面一起通过我们来执行,去构成信息安全体系。”
国航信息管理部技术管理办公室高级经理李宗琦表示,如果没有信息安全管理体系这张保护网,应该说国航的飞行安全可能也无法得到保障。
第一要保证国航的核心业务不中断,第二要保证国航信息系统不被攻击,第三要保证重要客户的信息不被泄漏,通过这样的保障体系为国航的业务愿景的目标实现保驾护航。
国内信息安全认证范文4
2015年,Jeep切诺基Uconnect 车载系统漏洞就曾被曝出,攻击者通过漏洞能远程控制汽车娱乐系统、制动甚至油门等功能,对高速行驶中的汽车驾驶者而言,这是生死攸关的安全问题。该事件导致克莱斯勒不得不在美国召回140万辆汽车,并对其车载软件进行升级。
车联网信息安全隐患已非个案。国家层面也在积极推动、探索汽车行业与信息安全交叉领域的安全规范及标准建设。2016年11月正式出台的《中华人民共和国网络安全法》明确要求网络运营者(车厂、车联网运营者)应“采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性”。
这意味着国家层面已经意识、关注并不断推动车联网信息安全的防御体系建设,通过加合国世界车辆法规协调论坛(简称WP29),积极参与联合国汽车信息安全法律法规的起草、修订工作。作为中国受邀单位,东软集团也由网络安全事业部物联网研发中心主任陈静相作为代表,出席于今年3月1日在美国召开的ISO和SAE联合工作组第二次会议。
汽车安全防护意识抬头
目前,汽车行业ISO标准体系已明确汽车功能安全规范,但并未做强制性推行。2016年,WP29就着手拟定汽车信息安全相关草案,计划将其作为一个国际交通系统必须遵守的强制性法律法规推出。
“东软之所以能作为中方代表参与其中,是因为我们在汽车电子行业以及安全领域有了近20年的积累。在将安全与车联网相关联并量产的实际能力方面东软有一定优势。”东软集团副总裁兼网络安全事业部总经理杨纪文表示,他们是想通过自身的一些积累,在推动汽车安全领域无论是国内标准还是国际标准的过程中贡献力量。
WP29推国际交通系统强制性法规,这对国内企业触动极大,同时也将影响智能网联汽车、无人驾驶汽车未来的市场格局。作为中方代表参与WP29国际法规建设,尤其是联合国汽车信息安全标准建设的具体工作,陈静相也坦诚压力。
“一方面,国内车厂此前在汽车信息安全方面普遍没有太多涉猎和积累,而我们参与提案的内容对现有产业格局会产生影响,势必会有阻力,这是难点一;另一方面,在汽车信息安全技术维度,欧洲主导加密技术,美国更注重整个管理流程、周期上的安全规范,东软如何代表国内汽车行业群体,把握好技术的主导方向,同时也要考虑将区域市场中的一些技术需求反映到国际汽车组织中,这是难点二。”
由东软集团股份有限公司、公安部第三研究所、长安集团、中国电子科技集团公司第十五研究所、中国信息安全认证中心、中国软件测评中心、恩智浦(中国)、长安汽车股份有限公司、奇瑞汽车股份有限公司等共同组成的车载信息安全产业联盟(Automotive Cybersecurity Industry Alliance,缩写:ACIA)2016年正式在京成立,该联盟正式对外了《车载信息安全技术标准白皮书》。东软集团也同期了国内首款车载信息安全产品――东软S-Car整体解决方案。
而东软也一直积极与国内各个车厂进行沟通,希望借此打消国内汽车厂商对现阶段的测试部署是否符合未砉际标准的顾虑,并希望凭借自身的努力,在真正的汽车安全行业标准落地后,保证前期介入制定的各项标准能够切实为汽车厂商提供应用支撑、提升安全防护。
深耕车载信息安全
陈静相介绍说,车载信息安全分为终端安全和网络安全两部分,与传统安全有着巨大差异。“这是一条更艰难的道路。”陈静相表示,“车载信息安全系统对车辆的操作性、实时性要求非常高,其所涉及到的技术难度是从量变到质变的过程。”例如,车载信息系统在加入安全元素之后,在流量的传输上也将带来更大成本,同时,车载信息安全系统需要做双向认证,在车辆每次断网再连网时,需要再做一次安全部署。而车载实时操作系统内存非常有限,传统的算法在其上无法直接运行,这一切无疑都是一个巨大挑战。
而汽车行业对设备的性能也有着异常严苛的要求。陈静相举例说明,宝马汽车在测试一款即将在欧洲车型上装配的收音机部件时,甚至派出工程师坐着样车环绕欧洲开了好几圈,测试收音机在不同地区不同频段是否会出现细微吱吱声,并随时记录以便改进。
对此,东软选择的技术路线是由内而外,通过在汽车底层网络中构建、部署汽车智能信息安全系统的方式来提升整个车联网系统的安全防御能力。
陈静相将东软在汽车安全领域的“事业”形象地比喻为一个与苹果手机iOS系统紧密结合的安全模块,这个模块可以从底层真正解决用户的安全问题,其重要性不言而喻。
国内信息安全认证范文5
――获奖感言
2012年5月10日,一年一度的中国信息安全领域高端盛会――“第十三届中国信息安全大会”在北京隆重举行。北信源受邀参会并荣获“2012年度中国信息安全最具影响力企业奖”。
本次大会由中国电子信息产业发展研究院主办、中国计算机报承办,同时得到了中国计算机学会计算机安全专业委员会、公安部第一研究所、中国信息安全测评中心、中国信息安全认证中心和国家计算机病毒应急处理中心的大力支持。
作为业内最权威的信息安全盛会,中国信息安全大会已经陪伴中国信息安全产业走过了13个年头,鉴证了中国信息安全产业成长、成熟的过程,是中国规模最大的信息安全展览、交流平台之一。据了解,本次大会的主题为 “构建安全生态系统――新一代安全防护”,会上邀请业内权威专家、国内外知名企业的代表以及重点行业用户CIO,重点围绕全新IT环境给信息安全防护体系建设带来的挑战及应对策略进行了广泛而深入的探讨。
提起此次荣获“2012年度中国信息安全最具影响力企业奖”,北信源相关负责人表示:“十几年来,公司全体员工的共同努力成就了北信源今天的发展和进步,第二次摘取中国信息安全最具影响力企业大奖是对北信源团队的专业技能、团结协作、优质服务,以及产品品质保障的全面肯定。秉承‘信心之源’、‘信誉之源’、‘信息之源’的核心经营理念,北信源将不负众望,依靠领先的产品、技术与服务,本着一如既往的创新姿态,再接再厉,争取更大的技术突破和全面进步。”
在北信源看来,随着信息安全行业市场需求的日益强劲,未来的信息安全管理也更加呈现多元化多层次的需求及平台化的统一管理。十几年来,北信源长期致力于信息安全技术的研究与开发,从革命性推出首款桌面安全管理产品,开启“桌面安全管理”技术革新之先河,到第一个面向网络空间的终端安全管理体系―― VRV SpecSEC的推出,无不体现出北信源对于市场及用户需求的精准把握。
北信源认为,在复杂的网络应用环境中,要想更好地保证信息安全,其行之有效的手段之一就是做好终端和数据的安全防护工作。
国内信息安全认证范文6
安捷力先后获得到了包括长三角基金、分享创投和华创盛景等著名风险投资机构和投资家的青睐和投资。
安捷力的高管团队曾长期供职于IMS、百度、华为、世纪互联等国内外知名企业中高层管理岗位,有丰富成熟的创业和模式创新经验。安捷力的执行管理团队由国内外医药、互联网等行业具有资深行业背景的专业人士组成,专注于营销管理、数据统计和分析、平台运营、软件开发等多个领域。安捷力是一家高新技术企业,现有员工156人,其中68%拥有本科或以上学历。
安捷力的核心产品和业务主要包括:BDHub是中国领先的医药行业渠道“数据直连”网络,覆盖行业几乎所有的活跃经销商和分销商;数据工场是中国领先的医药渠道大数据处理平台,通过自动化、规模化的方式处理和识别数据;Saleslook是中国领先的医药大数据应用平台,通过专业分析算法和分析工具,帮助客户采用数据可视化方式实时了解业务和市场行情;店销通是中国领先的医药“+互联网”纯销业务平台,能够将产品直接销售到终端门店。
