国内信息安全认证范文篇1
关键词:信息安全;策略;加密;防火墙
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)36-2911-02
TheDiscussionofInformationSecurityStrategyandPreventionTechnology
JIANGHao
(DepartmentofInformationScienceandTechnology,JiujiangUniversity,Jiujiang332005,China)
Abstract:Withtherapiddevelopmentofnetworktechnologyanddeepapplication,theinformationsecurityisincreasinglyemerged,whichmoreandmoreareconcerned.Intheagewhichinformationnetworkisuniversalgeneral,theinformationsecurityandinformationindustryarecloselyrelated.Thispaperanalyzesthecurrentstateofinformationsecurity,summarizesthecurrentstrategyofinformationsecurity,commentsthesefactorsuchasdataencrypt,invasivecheck,firewalltechnologyetc,anddiscusseshowtomakeahigherlevelofinformationsecurity.
Keywords:informationsecurity;strategy;encrypt;firewall
1引言
迅速发展的Internet给人们的生活、工作带来了巨大的改变,网络应用的推广与深入使信息安全技术得到了空前的发展。在网络给人们带来巨大的便利的同时,也带来了许多不容忽视的问题,它为网络信息系统中的不法分子提供了更加广阔的平台,使得犯罪活动更加隐蔽、空间更加宽广、手段更加高明,给社会的安定与稳定带来了不良影响。它的安全问题及其对经济发展,国家安全和稳定的影响,正日益突出显现出来,受到了越来越多人的关注。
全球信息化进程的不断加速,国内外信息产业领域对信息安全的关注与日俱增,尤其在信息网络化如此普及的年代,信息安全与信息产业息息相关。如果一个国家不能保证网络信息在采集、存储、传输和认证等方面的安全,就不可能获得信息化的效率和效益,其社会经济生活也难以健康有序地进行,国家安全更无法保障。因此,网络与信息安全保护已成为迫切需要解决的问题。
2信息安全现状及分析
报告显示,截至今年第一季度,我国互联网上网人数达到1.44亿,而黑客网站高达20多万个,即便每台计算机的使用率不到10%,每天有关安全的攻击次数也大得惊人[1]。国家计算机网络信息安全管理中心有关人士指出,网络与信息安全已成为我国互联网健康发展必须面对的严重问题。计算机犯罪对全球造成了前所未有的新威胁,我国自1986年深圳发生第一起计算机犯罪案件以来,计算机犯罪呈直线上升趋势,犯罪手段也日趋技术化、多样化,犯罪领域也不断扩展,许多传统犯罪形式在互联网上都能找到影子,而且其危害性已远远超过传统犯罪。
在网络日益普及的情况下,信息安全问题已经成为了必须解决的系统性问题,需要成系统、成体系地加以解决。在国家层面上,国信办2005年2号文,即《国家信息安全战略报告》提到了信息化建设怎么样去建立长效机制的问题。2006年5月,经过政治局常委讨论通过的《2006-2023年国家信息化发展战略》,将建设国家信息安全保障体系再次作为非常重要的战略提出来,文件中再次强调了安全保障体系建设的相关内容。
在此大环境下,在企业方面,很多企业的领导对安全问题重视,管理层也比较严格,防病毒、防火墙、入侵检测等常规的系统安全和防范机制也都采用了,但是深层隐患还是比较多、内控机制还是比较脆弱、高危漏洞还是在大量存在。在许多单位的计算机网络中,对信息安全域的划分和有效的控制还需要进一步探索,有的企业安全域划分很不合理,从而造成控制的机制不够科学;有的企业对自身系统的风险自评估能力很弱,灾难恢复的机制也并不到位。当前企业信息化发展很快,我们必须设法防范其中的一些隐患,因为它们不爆发则已,一旦爆发的话,就会影响到企业的生存和发展。
众多的不安全因素,都有可能给网络信息系统带来巨大的威胁,造成数据和信息的泄密和丢失,甚至是网络系统的瘫痪。信息安全威胁涉及到许多方面,目前信息安全所面临的主要潜在威胁有以下几个方面:信息泄密、信息篡改、传输非法信息流、网络资源的错误使用和非法使用网络资源[2]。
3信息安全策略及防范技术
3.1安全策略
网络所带来的诸多不安全因素,使得网络使用者不得不采取相应的对策来对重要的信息内容进行安全保护。为了堵塞安全漏洞和提供安全的通信服务,必须运用一定的策略来对网络进行安全建设,这已为广大网络开发商和网络用户所共识[3]。现今信息安全策略主要有以下几种:
1)身份验证和访问控制
身份验证和访问控制策略,包括决定什么权限的用户能够访问什么安全级别的信息,以及作出这一判断的一组规则和应用于该规则的验证机制[4]。通常的验证机制有:口令、令牌/智能卡(通常具有微处理器),或者生物特征(如:指纹,虹膜等)。另外,公共密钥基础设施(PKI)也能够充当身份验证的角色。PKI以数字证书和数字签名技术为基础。因而能够确定信息发送者的身份,至少能够确认信息在传输的过程中是否被篡改。
2)安全传输
网络安全协议和标准(如:SSL,SET,IPSEC等)是保证信息安全传输的一个重要手段。这些协议和标准使得通过网络传输的数据更加难以非法解析,从而使攻击者难以对截获的消息作有效的分析[5]。另外,作为传统的安全技术,数据加密在安全传输中也有着举足轻重地位,利用上述协议实现的数据传输通常是以加密的形式进行的。数据加密技术最有效的方式就是使通过网络传输的数据对于攻击者来说是不可读的。加密算法通常分为两类:对称密钥算法和非对称密钥算法。所谓对称密钥算法就是加密解密都使用相同的密钥,非对称密钥算法就是加密解密使用不同的密钥。非常著名的PGP公钥加密以及RSA加密方法都是非对称加密算法。
3)网络入侵检测和保护
虚拟专用网(VPN),防火墙(Firewall)和入侵检测系统(TDS)也是最常用的网络安全措施。VPN允许在不同地方的用户通过公共网络设施共享安全的网络连接:防火墙是内网和外网的隔离带,它能够检测私有网络的出入数据。防火墙能够阻止入侵者进入内网,同时也能修改从内网发送的数据;TDS通常包括两个部分:监视和报告工具,它能够发现潜在的入侵者及其使用的入侵手段。这些信息又可以用作修补系统漏洞,增强网络安全的参考。
4)内容过滤和隐私保护
杀毒软件是普遍使用和广为人知的内容过滤类型软件。这种类型的软件能够扫描每一封电子邮件及所带的附件。因为这些邮件或附件中可能带有恶意的脚本或程序,并用以接管计算机中正常运行的软件从而达到窃取数据或破坏计算机的目的。一些软件还能够检查邮件中的字符信息,并删除其中可疑的字符串和图片信息,甚至整个邮件。还有其它一些类型的内容过滤软件,例如垃圾邮件过滤器。这类软件能够过滤某些可疑邮件,并把他们转发或退还给邮件发送者。许多公司、教育机构或者家庭都安装了URL过滤器,用以禁止网页浏览器访问一些被认为不安全或者不适合的网站。
3.2身份认证技术
身份认证在网络安全中占据十分重要的位置。身份认证是安全系统中的第一道防线,如图1所示,用户在访问安全系统之前,首先经过身份认证系统识别身份,然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安全管理员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为,同时入侵检测系统实时或非实时地是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统提供的“信息”,即用户的身份。可见身份认证技术是安全系统中的基础设施,是最基本的安全服务,其它的安全服务都依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。
3.3数据加密技术
加密是实现信息存储和传输保密性的一种重要手段。信息加密的方法有对称密钥加密和非对称密钥加密,两种方法各有所长,可以结合使用,互补长短。对称密钥加密,加密解密速度快、算法易实现、安全性好,缺点是密钥长度短、密码空间小、“穷举”方式进攻的代价小。非对称密钥加密,容易实现密钥管理,便于数字签名,缺点是算法较复杂,加密解密花费时间长。加密技术中的另一重要的问题是密钥管理,主要考虑密钥设置协议、密钥分配、密钥保护、密钥产生及进入等方面的问题。
3.4防火墙技术
众所周知,防火墙是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与互联网络之间,或者与其它网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙的安全技术包括包过滤技术、网络地址转换――NAT(NetworkAddressTranslator)技术等。
图1安全系统逻辑结构
3.5入侵检测技术
入侵检测系统(IntrusionDetectionSystem简称IDS)是从多种计算机系统及网络系统中收集信息,再通过这此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
4结束语
信息安全是一项长期性的复杂的系统工程,不是单一的产品和技术可以完全解决的。这是因为信息安全包含多个层面,既有层次上的划分,也有防范目标上的差别。信息系统的安全单靠某一个设备、某一项技术是不能彻底解决的,因此需要系统性地解决问题,需要通过贯穿整个信息安全系统生命周期的安全服务来解决信息系统的安全问题。要提升信息安全的水平,制定适当完备的信息安全策略是前提,高水平的信息安全技术是保证。
参考文献:
[1]刘晓华.网络信息安全及其防范技术探讨[J].科技广场,2007(5):98-100.
[2]周国强,陆炜,曾庆凯.信息安全评估模型的研究与实现[J].计算机应用与软件,2007,24(11):5-8.
[3]李雪梅,王健敏.工业系统信息安全管理体系的构建[J].微计算机信息,2007(3):63-64.
国内信息安全认证范文篇2
国际上,网络与信息技术不断演进,以云计算、大数据、移动互联网为主导的新技术在推动产业发展的同时,也带来了更多新的挑战,信息安全更成为各国相互搏弈的重要阵地。
成长于信息安全身份认证领域的众人科技,在国内外大环境的激发下,正努力打造成为中国信息安全领域的标杆企业。
回顾历史,众人科技走过一段风雨兼程的路。
2007年9月,众人科技成立。主要从事拥有完全自主知识产权的iKEY身份认证系统及系列产品的研发、生产和销售。
众人科技创业之初,创始人谈剑峰就满怀激情与希望,励志在中国信息安全行业打下一片江山:研发有完全自主知识产权的身份认证技术和产品,与当时充斥中国市场的国外信息安全身份认证产品抗衡,保护国家信息安全。确定了产品方向,众人科技在这个当时国内尚处于空白的细分领域开始了艰难的探索。
众人科技从成立伊始就确立了自主研发、设计、生产的国产化道路,以完全的自主可控作为追求,目的就是为国家和大众的信息安全把好核心的那一道“门”,由此而带来的是漫长且枯燥的技术攻关和资格认证过程。
整整4年时间,众人科技团队全身心投入技术研发、打磨产品,并通过了国家相关机构、专家对动态密码技术的论证、检测、认定,在2009年初,众人科技率先拿到了国家密码主管部门颁发的动态口令类产品资质企业许可证,其研发的iKEY身份认证产品被中国科学院科技查新中心评定为“填补国内空白,国际先进水平”。
经过不断拼搏、奋斗,众人科技越过了一道一道的坎――资金、人员、资质、技术。终于,众人科技拥有了从密码专用安全芯片、终端产品到后台系统的全产业链自主知识产权,并自主设计了国内领先的具有世界领先水平的密码令牌全自动柔性生产线;还作为组长单位参与制定了国家密码行业标准GM/T0021-2012《动态口令密码应用技术规范》,作为国家密码主管部门密码检测标准制密项目组组长单位,组织编写“动态口令密码检测”的相关规范;同时参与制定动态口令产品行业标准、身份认证技术相关标准。
2011年,众人科技更是被工业和信息化主管部门从百家企业中遴选为基于安全可控软硬件产品云计算解决方案供应商;2014年,众人科技成为了上海市“专精特新”企业及推进“新技术、新产业、新模式、新业态”的“四新”企业;值中国互联网接入20周年之际,众人科技更荣获了“中国互联网20周年?技术创新贡献殊荣”,成为“SHCERT网络安全应急服务支撑单位”及上海市信息安全服务推荐单位。
在飞速发展的七年时间里,众人科技成为了中国中小企业协会副会长单位、中国互联网金融工作委员会副主任委员单位、中国软件行业协会网游信息安全工作委员会主任单位、中国信息协会常务理事、上海现代服务业联合会会员、上海市计算机行业协会副会长单位、上海市信息服务业行业协会副会长单位、上海市信息安全行业协会副会长单位等。
也正是在这七年里,移动互联网以及互联网金融迅速崛起。来自银行的数据显示,目前建设银行和工商银行的手机银行客户总数已经超过1亿户,交行、农行、中行的客户数也超过了5000万户。其中,部分银行的手机端客户数量目前已然接近了其传统电脑端网银客户的数量。中国互联网络信息中心的报告显示,2014年6月我国手机网民规模已达5.27亿,中国手机端网民规模首次超过了PC端,这为银行手机端的金融服务奠定了良好的市场基础,也为各银行转向手机端带来了足够大的动力。
在互联网金融行业大环境的影响下,众人科技自主研发了一系列适于金融业发展的动态密码产品。
在竞争激烈的互联网环境里,众人科技深知创新和产品质量决定一切。
iKEY身份认证系统是由众人科技自主研发的基于时间同步技术的多因素认证系统,是一种安全便捷、稳定可靠的身份认证系统。其强大的用户认证机制替代了传统的基本口令安全机制,消除了因口令欺诈而导致的损失,防止恶意入侵者对资源的破坏,解决了因口令泄密导致的入侵问题,有效提高了身份认证的安全性和便捷性。其硬件产品线包括isKEY动态密码令牌系列。isCARD动态密码智能卡系列、isMemory动态密码SD卡系列及手机令牌等,均采用国家密码主管单位指定的国密算法。
众人科技在此基础上进一步开发的智慧城市公共区域安全网络系统,以动态密码的核心技术为基础,用云计算搭建统一身份认证云平台,快速、有效地解决了公共区域网络的安全认证问题。其通过各类认证技术和安全机制的结合,可提高公共区域网络的身份认证的安全性,最终提高用户使用的便捷性和满意度。同时以其强大的用户认证机制以及安全监管功能,有助于规范国家公共网络管理系统,在大数据时代为国家信息安全保驾护航。
作为一家飞速发展的信息安全企业,众人科技在金融领域有着丰富的服务经验与优良的解决方案,在金融行业以外领域,也正在逐渐建立自己的品牌口碑。众人科技以动态密码技术为核心,总结多年发展经验,以市场为导向,逐步研发了如网络的4A审计系统、基于IBC标识密码的加密邮件系统、针对APT攻击的多维度网络威胁预警系统等多结构、多类型的产品,拓宽了国内信息安全产业市场,在国家智慧城市建设等领域走得更远。
随着移动互联网、大数据的迅速崛起,移动支付迅猛发展。尤其在金融领域,电子银行,手机支付的发展超出了人们的想象。
国内信息安全认证范文篇3
2008年,国家质量监督检验检疫总局、国家认证认可监督管理委员会联合公告,决定对部分信息安全产品实施强制性认证,《第一批信息安全产品强制性认证目录》也同时公布,数据备份与恢复产品位列其中。凡列入强制性认证目录内的信息安全产品,未获得强制性产品认证证书和未加施中国强制性认证标志的,不得出厂、销售、进口或在其他经营活动中使用。
2009年,国家质量监督检验检疫总局、财政部、国家认证认可监督管理委员会联合公告,决定将对部分信息安全产品进行强制性认证的强制实施时间从2009年5月1日延至2010年5月1日。如今,强制实施时间已经过去了4个多月,数据备份和恢复产品的认证情况如何呢?记者查阅了中国信息安全认证中心公布的信息安全产品认证获证名单,目前已通过认证的数据备份和恢复产品只有两款――爱数备份软件V3.0、火星企业级跨平台数据备份软件V3.0。
国内厂商积极性更高
记者采访了几家国内外主要的数据备份与恢复软件厂商,发现国内厂商在3C认证方面比较积极,现已通过产
品认证的两个厂商都是国内厂商,包括上海爱数软件有限公司和火星高科(天津火星科技有限公司是火星高科在天津的产业基地)。国外厂商的行动相对较慢。记者目前了解的情况是,CommVault已经提交了相关资料,目前正在等待回复,准备进行实际的产品测试。
火星高科市场总监郭竞远介绍说:“早在2004~2005年,我公司曾参与政府部门组织的数据备份技术标准的制定工作。后来,此技术标准没有成为国家标准,而是被国家质量监督检验检疫总局采纳为部级标准,并用于对数据备份与恢复产品的3C认证。”
以前3C认证主要针对硬件产品,而数据备份与恢复产品主要是软件。为此,2008年,国家质量监督检验检疫总局曾就数据备份与恢复产品的认证广泛征求过意见,EMC、赛门铁克、火星高科等厂商都曾被邀请参与过讨论。
火星高科是较早申请数据备份与恢复产品认证的公司,其产品已在2009年获得了3C认证。根据《关于部分信息安全产品实施强制性认证的公告》规定,数据备份与恢复产品增加相应的安全功能是必须的。这里说的数据备份与恢复产品是指实现和管理信息系统数据备份和恢复过程的软件。数据备份软件的安全功能包括许多内容,人们经常用到的可能有以下几项:第一,在系统登录时进行安全保护,比如设置用户名和密码;第二,如果有人超长时间使用备份系统,系统要具备自动锁定功能;第三,建立完善的日志系统。火星高科曾经花费近半年的时间对现有的数据备份软件进行改进,以符合3C认证中关于信息安全的规定。
“我们在项目销售过程中得知数据备份产品要通过3C认证的消息。公司对各种相关的专业权威认证一直都比较重视,所以立即启动了3C认证项目。”上海爱数软件有限公司负责技术支持和资质认证业务的许女士介绍说,“通过申报材料、产品检测、工厂现场检验等一系列步骤,大约用了几个月的时间,公司当时的主打产品爱数备份软件V3.0顺利通过了3C认证。”
政府行业采购有变数
今年9月,财政部、工业和信息化部、国家质量监督检验检疫总局、国家认证认可监督管理委员会联合下发的关于信息安全产品实施政府采购的通知中说,各级国家机关、事业单位和团体组织(以下统称采购人)使用财政性资金采购信息安全产品的,应当采购经国家认证的信息安全产品。对采购人或其委托的采购机构未按要求采购的,有关部门要按照有关法律、法规和规章予以处理,财政部门视情况可以拒付采购资金。
2008年,《第一批信息安全产品强制性认证目录》公布时,并没有任何关于行业应用的限定。但是2009年,当相关机构宣布强制实施时间延至2010年5月1日时明确提出,信息安全产品强制认证只适用于政府采购。记者从中国信息安全认证中心获得的消息是,如果厂商的产品不涉及政府采购,而只是一般的商业用途,并不受强制认证的限制。对于国内数据备份厂商来说,政府采购是收入来源中非常重要的一部分。因此,国内厂商对3C认证的态度比较积极顺理成章。CommVault公司市场经理杨涛表示:“虽然目前在政府项目采购中,我们还没有遇到有关强制性认证的问题。不过,既然有这样的规定,我们会积极响应,不希望因此而影响日后可能进行的政府项目采购。”
虽然强制认证的实施已经有几个月的时间,但是记者采访了几位政府部门的采购负责人,他们均表示还没有看到相关的文件。备份软件厂商BakBone公司市场部的刘欣告诉记者:“2007年,我曾经听说过软件产品要经过认证的事情。后来,因为工作转换的原因,我也没再留意相关认证的事情。”
有法可依执法必严
【国内信息安全认证(收集3篇) 】相关文章:
下雪日记[精选](整理5篇) 2024-07-13
[精选]开学日记(整理5篇) 2024-07-04
精选小学四年级数学日记(整理2篇) 2024-07-04
开学第一天日记精选(整理9篇) 2024-07-04
[精选]暑假旅游日记20(整理12篇) 2024-07-03
万圣节日记精选1(整理9篇) 2024-07-02
初二的日记精选1(整理9篇) 2024-07-01
嘘轻点儿作文(整理15篇) 2024-07-26
国内信息安全认证(收集3篇) 2024-07-26
描写观察草莓日记500字(整理9篇) 2024-07-26