时间:2023-10-11 10:06:02
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇国内信息安全认证,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
【媒体联络】吴楠:010-68130909-8002,.cn
【参会报名】张晶晶:010-68254718,.cn
【商务咨询】崔罡:010-68130909-6633,.cn
电子政务论坛10月在京召开
本报讯 由国家行政学院、国家发展和改革委员会、工业和信息化部联合主办的2010中国电子政务论坛暨第4届国际电子政务理论与实践交流会(ICEGOV2010)将于10月25日~28日在国家行政学院召开。今年的论坛将结合年度电子政务发展热点,探讨电子政务发展趋势;促进政企合作,推动我国电子政务健康发展。
中国将完善灾备标准体系
本报讯 7月16日,由中国信息安全测评中心主办的第5届“中国灾难恢复行业高层论坛”召开。本届论坛意在进一步贯彻落实国家对信息系统灾难恢复提出的要求和行业管理导引。论坛上,国内首部系统论述数据中心建设与管理的专著《数据中心建设与管理指南》对外。该书是万国数据发起并组织的,适合企事业单位的中高层管理人员和数据中心相关部门的技术人员阅读使用。
华为赛门铁克通过信息安全服务资质最高级别认证
本报讯 近日,记者获悉,华为赛门铁克一次性通过中国信息安全认证中心最高级别的两项信息安全认证:信息安全风险评估服务资质认证(一级)和信息安全应急处理服务资质(一级)。据了解,信息安全风险评估是从风险管理的角度,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,并提出有针对性的抵御威胁的防护对策和整改措施。信息安全应急处理服务是处置网络与信息安全事件时、为降低安全事件给客户造成的损失或影响、信息安全服务提供商所提供的现场或远程的一系列措施和行动。
首批信安风险评估服务单位出炉 浪潮获得一级资质认证
本报讯近日,中国信息安全认证中心在京召开信息安全风险评估服务资质认证证书颁证大会,向国家信息中心等18家从事风险评估的企事业单位颁发了一、二级资质认证证书,其中,浪潮集团凭借着在信息安全领域的深厚实力脱颖而出,获得了一级服务资质认证证书。据悉,这是我国首次在信息安全风险评估领域开展服务资质认证工作,信息安全风险评估服务资质认证证书的颁发表明,我国信息安全服务资质评价制度又取得了一项重要进展。
关键词 PKI;CA;RA;数字证书;信息安全;双因素认证;数字签名;加密
中图分类号:TM769 文献标识码:A 文章编号:1671-7597(2013)15-0119-02
随着国内外网络与信息技术飞速发展和广泛应用,发电企业信息化也在不断深入开展,信息安全形势更加严峻,网络与信息安全工作问题更加突出和重要。发电企业在保证发电安全生产的基础上,逐步通过信息化建设,梳理管理流程,加强内部管控,从而达到提升竞争力的作用。
信息安全是信息化建设的基础和前提,基于PKI技术的数字证书机制构建的应用层信息安全保障体系,已经作为信息安全基础设施,在政府、金融、电信等领域得到广泛应用。如何合理构建安全认证体系,既能满足信息安全管理要求,又能保证投资和信息安全管理可控在控,已经成为发电企业越来越关注的问题。
1 发电企业信息安全现状分析
在发电企业构建电子认证体系以保障业务安全的过程中,主要面临着如下需求和问题。
1)缺少完整的电子认证基础设施,企业内部多级管理体系和独立分支机构的不同信息系统使用的数字证书不统一。
2)自建的电子认证基础设施,有可能不具备相关运营资质,并且建设和运营维护成本较大,而只采购第三方认证机构颁发的数字证书,又不能完全满足企业内部信息化管理的需要。
3)重要核心信息系统未采用双因素认证、数字签名和数据加密等技术手段,无法保证数据保密性、完整性、抗抵赖性等信息安全要求。
为了很好的解决以上问题,结合发电企业信息化建设实际情况,提出以下几点建议。
1)针对发电企业内部多级管理体系和独立分支机构,建设统一的RA注册审核机构,与第三方认证机构PKI/CA基础设施配合,将完整的电子认证服务引入到现有信息系统中,既满足了安全体系完整性,又方便了内部安全认证服务管理。
2)针对不同的信息系统特性,制定双因素认证、数字签名和数据加密等安全认证策略和实施规范,RA系统设计上应方便的与业务系统进行对接和交互,避免成为“信息孤岛”,保证数据保密性、完整性、抗抵赖性等信息安全要求。
3)针对已经使用了数字证书等安全认证的信息系统,应考虑能够实现平滑过渡和无缝对接,防止出现安全体系设计重大变更和大规模系统改造等情况。
2 PKI/CA/RA简介
1)PKI为“公钥基础设施”,是一个用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
2)CA认证机构是采用PKI公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。它是PKI公钥基础设施的核心,主要完成生成/签发证书、生成/签发证书撤销列表(CRL:Certificate Revocation List)、证书和CRL到目录服务器、维护证书数据库和审计日志库等功能,即证书的颁发、证书的更新、证书的查询、证书的作废、证书的归档等功能。
3)RA注册审核机构:RA是数字证书的申请、审核和注册中心。从广义上讲,RA是CA的一个组成部分,主要负责数字证书的申请、审核和注册。
3 基于PKI/CA/RA的安全认证服务平台
3.1 平台架构
通过对发电企业安全现状和需求分析,根据证书签发、证书使用两种应用环境和职责不同,将RA系统划分为RA子系统、证书验证子系统两个子系统。
1)RA子系统:负责证书的申请、签发、更新、状态变更等证书业务功能。RA子系统结构由CA能力接入、系统管理、证书服务、用户自服务等功能模块组成。CA能力接入模块面向第三方CA系统,系统管理模块面向RA系统管理员,证书服务模块面向业务系统,用户自服务模块面向使用证书业务的用户(个人用户、企业用户)。
2)证书验证子系统:负责证书有效性验证、签名验签等证书应用功能,提供非对称密钥运算、摘要运算、签名验签运算、证书验证等证书应用服务。
3.2 数字证书设计
3.2.1 设计原则
RA系统签发的数字证书应具有以下特点。
1)数字证书符合X509v3国际通用标准,可以同发电企业目前的电子认证体系无缝对接,平滑过渡。
2)数字证书获得国家电子认证服务资质认可,受《电子签名法》保护,可以对外使用。
3)支持签发软/硬两种形式的数字证书。
软证书符合PKCS12标准,能方便的在手机、PDA等终端上使用。
硬证书保存在USBKEY等硬件存储介质上,安全可靠。
3.2.2 数字证书类型
按照数字证书的颁发对象不同,数字证书主要分为个人数字证书、机构数字证书和设备数字证书等。
1)个人数字证书,主要用于标识数字证书自然人所有人的身份,包含了个人的身份信息及其公钥,如用户姓名、证件号码、身份类型等。
2)机构数字证书,主要用于标识数字证书机构所有人的身份,包含机构的相关信息及其公钥,如:企业名称、组织机构代码等。
3)设备数字证书,用于在网络应用中标识网络设备的身份,主要包含了设备的相关信息及其公钥,可用于服务器或网络设备标识和验证设备身份。
3.2.3 证书使用范围
从使用范围上来说,企业数字证书分为内部证书、外部
证书。
1)内部证书限于企业内部人员、业务使用,承担行政责任,可以用于企业内部安全保障;企业重要人员的证书采用USBKEY存放,其他人员采用软件存储。
2)外部证书限于企业外部人员、业务使用,如电子商务平台的供应商。承担法律责任,在对外业务出现纠纷时,可以用于法律鉴定,采用USBKEY存放证书。
3.2.4 证书用途
根据数字证书的密钥用途,将证书分为以下两种。
1)签名证书:其私钥可用于对信息的签名。用户在使用私钥对信息签名时,应知晓并确认签名的内容。对于具有身份鉴别用途的证书,其私钥可用于对鉴别方提交的挑战信息签名;在可能的情况下,具有身份鉴别用途的证书及信任链上的证书(根证书除外)应提交给验证方。
2)加密证书:其私钥可用于对采用对应公钥加密的信息
解密。
根据国家密码管理局的相关要求以及发电企业对证书的使用需求,个人证书、企业证书都需要签发双证书(加密证书、签名证书)。
3.2.5 证书存储形态
根据数字证书的存储形态不同,可以将证书存储在以下介质中。
1)软证书:证书以软件形式存放,包括以文件形式或者将证书导入到IE存储;根据信息系统对证书的要求,可以将个人证书(大部分)以软件形态存放。
2)USBKEY证书:证书存储在USBKEY中;企业重要人员的证书采用USBKEY存放,企业外的个人证书、企业证书全部采用USBKEY存储,便于保管。
4 应用实践
目前对于发电企业来讲,PKI/CA/RA安全认证服务主要可应用于以下几个方面。
1)办公自动化系统电子印章管理,采用数字签名及证书对称加密、非对称加密等技术,防止电子文件被篡改、电子印章被非法利用。
2)企业资源计划(ERP)、燃料管理、办公自动化、资金管理、电子商务等重要信息系统的双因素认证,为IT审计提供依据,防止抵赖,进一步保证系统安全。
3)无线网络、VPN网络等网络接入认证管理。
5 结束语
PKI/CA/RA安全认证服务平台实现了统一、完整的电子认证基础设施,为发电企业提供数字证书申请、受理、审批、签发、更新、吊销、等业务功能,数字证书与企业资源计划(ERP)、电子印章、电子商务等信息系统集成,全面支持企业内部和对外电子商务应用,以及重要信息系统、设备的双因素认证。
实践证明,PKI/CA/RA安全认证服务平台在发电企业信息安全工作中,已发挥了不可替代的重要作用,可有效提高信息系统安全性和可靠性,下一步将加强核心业务信息系统中的重要操作、重要信息系统中敏感信息加密、移动办公等方面的研究和应用。
参考文献
[1]龙玉江,白雪,汪浩.PKI/CA技术在电力信息系统安全保障方面的应用研究[J].贵州电力技术,2009(1):40.
[2]刘欣.PKI/CA技术在电力信息系统中的应用研究[J].电力信息化,2009,7(10):30.
“我的信息安全吗?”相信所有对信息技术有所了解的人都会存在这个担忧。就我们所使用的IT设备而言,软硬件的安全性将直接影响信息的安全。是否有什么手段来认定软硬件的安全性呢?答案是肯定的,那就是对其进行安全认证。
多年来,嘉兴市辰翔信息科技有限公司致力于IT软硬件安全检测认证,凭借着国际一流的技术,为IT软硬件“盖”上了信息安全的“合格章”。
权威认证覆盖全球
据国家工信部的《2013年电子信息产业统计公报》显示,我国2013年电子信息产业销售收入总规模达到12.4万亿元,同比增长12.7%。在信息安全日益受重视的今天,这意味着巨大的安全认证市场。就全球而言,反病毒软件的检测认证市场销售规模在2亿人民币左右,而安全硬件提供商全球多达几万家,销售额至少在几百亿人民币。检测认证行业作为IT软硬件方案服务提供商的服务商,市场前景巨大。如此大的“蛋糕”,此前一直被AV-TEST、ISCA LABs、Virus Bulletin等几家巨头垄断。
为了打破国外检测机构对计算机安全软硬件检测垄断的局面,辰翔科技通过多年来的理论研究和实践应用研发了一系列符合计算机安全技术潮流发展的检测技术和认证标准,并在一些关键的技术环节大量应用了新的检测标准和检测技术,是大中华区唯一专业从事计算机安全软硬件测试认证的公司,也是公安部计算机病毒应急响应中心的合作伙伴和唯一具有公安机关病毒分析备案的公司。除了自行研发外,辰翔科技还通过与国内高等院校的合作,研究如何将病毒流行度指标应用在计算机安全检测之上,相关论文也已经在国际会议上发表。另外,其关于计算机安全软硬件检测的专用认证标志已经在欧盟、美国和大陆成功注册。
辰翔科技作为全球主要的安全软件检测认证服务提供商,客户基本已经涵盖主要的杀毒软件提供商。值得一提的是,在手机Android操作系统安全测试领域,公司已经基本实现垄断。除了手机端的安全认证外,辰翔科技还与美国微软总部合作研发Windows安全认证体系。目前辰翔科技在全球安全软件测试认证行业主要竞争对手有6个,目标客户覆盖率基本达到国外同行水平。未来,辰翔科技将以电源产品作为切入点,进一步开展通用IT硬件(如CPU、内存、音响制品、显示器等)与安全硬件(如嵌入式反病毒硬件,硬件防火墙,邮件过滤器等)的检测认证工作。
打造全方位“防御体系”
通过从计算机软件到硬件,再加上手机与网站的安全测评,辰翔科技打造了一个全方位的安全防御圈。
安全软件测试
通过测试安全软件的多层防御能力来判断安全软件的综合防御能力。关键技术在于多层实时检测技术,传统的安全软件检测比较单一、一般都只检测安全的一个参数值,比如病毒的查杀率,误报水平等,而辰翔科技对测评体系进行了升级,摆脱单一功能检测无法反映软件综合性能的缺失,目前已经基本运用到日常检测认证中来。
云安全检测认证
辰翔科技采集最新最全的病毒样本,运用高性能的爬虫系统,通过大量的新出现的病毒和常用软件来判断云安全软件对未知病毒的响应能力、白名单库的收集能力和误报水平、云安全技术的稳定性判断,在国内率先提出了云安全检测技术的思路和测试基本框架。
手机安全软件检测认证
通过手机操作系统模拟器或真机来模拟或者重现手机安全软件在各系统上的运行情况,包括对病毒的检测查杀能力、常用功能的比较和不同病毒对手机用户的危害。目前,辰翔科技建立了一套完整的病毒分析流程,可以为杀毒软件公司提供分析支持和软件配套服务。
软件安全性评估
通过代码和行为分析判断软件是否具有恶意行为,对验证无恶意行为的软件颁发认证标志。
非安全软件类软硬件检测认证
通过辅助软件对同类通用软件和硬件进行性能评估和检测认证,对达标产品相对应的认证标志。通用软硬件的测评和认证将由辰翔科技和中国计量学院、浙江质监局共同进行研发,远期将提供市场准入认证和产品改良服务。
网络挂马钓鱼分析系统的建立和网站认证
深信服AC产品获EAL3等级认证
本报讯 近日,深信服连续六年市场占有率第一的上网行为管理产品(AC),获得国家信息安全测评中心颁发
的信息安全产品EAL3等级认证,成为国内首个获得此项认证的上网行为管理产品。目前我国除SIM卡能够通过EAL4
增强级认证外,EAL3级认证成为网络产品最高等级的国家信息安全认证,代表国家对信息安全产品的最高认可。
东软医疗拟购飞利浦合资公司股权
本报讯 东软集团股份有限公司日前发表公告称,其与荷兰皇家飞利浦电子集团就合资运营的东软飞利浦医疗
设备系统有限责任公司达成了交易备忘录,东软全资子公司沈阳东软医疗系统有限公司及一家境外公司拟联合收购
飞利浦持有的合资公司全部股权,预计2013年年底前完成交易。
第四届中国智能运输大会5月召开
本报讯 第四届中国智能运输大会(ITSCC)暨“第二届深圳国际智能交通与卫星导航位置服务展览会”将于
2013年5月26~28日在深圳举行。ITSCC由交通运输部科技司指导,交通运输部公路科学研究院、深圳市交通运输委
员会 、中国卫星导航定位协会主办,国家ITS中心 、深圳市智能交通行业协会等单位承办。
中国惠普全程质量管控新规
本报讯 近日,中国惠普打印与信息产品集团(PPS集团)新质量和服务体系,主要内容是为中国区专门设
立全程质量管控委员会,以保证产品质量。在最新的质量和服务系统中,中国惠普PPS集团整合了原有的PC与打印
日前《数据中心服务能力成熟度评价要求》行业标准正式。该行业标准由招商银行数据中心和中国信息安全认证中心组织,中国惠普有限公司、万国数据服务有限公司和北京趋势引领信息咨询有限公司共同研究、编写。《数据中心服务能力成熟度评价要求》历时一年多,提出的数据中心服务能力成熟度模型从实现收益、控制风险和优化资源的基本诉求出发,确立了数据中心的目标以及实现这些目标所应具备的服务能力,并以此为基础建立数据中心成熟度评价对象模型,提出了适用于数据中心成熟度评价的具体评价方法和指标体系。
中国信息安全认证中心魏昊主任告诉本报记者:“在模型的建立过程我们参考了国际上比较成熟的成熟度评价模型和管理体系,具有先进性和前瞻性,同时也充分考虑了行标的广泛应用问题,可以应用到各种大型数据中心。”
魏昊主任还强调,《数据中心服务能力成熟度评价要求》在成熟度模型方面汲取了CMMI、COBIT等模型通行的基于过程评价的思路,采取了典型的5级分级;而在管理体系方面汲取了服务管理体系和信息安全管理体系的部分管理过程,但自己独立建立了对数据中心服务能力进行评价的成熟度评价模型,提出基于3个一级管理域、15个管理子域的42个管理过程为评价对象,7个评价要素、15个评价子要素和30个评价点的评价模型,特别是基于证据指数的加权平均计算过程成熟度、过程域成熟度和总体成熟度的方法完全是自主创新。
招商银行数据中心是《数据中心服务能力成熟度评价要求》的研究原型,也是该标准的首个试点单位。招商银行信息技术部数据中心总经理高旭磊谈及标准的产生过程时表示,现有的标准还不能覆盖数据中心管理的各个方面,在数据中心管理成熟度精细度方面也有不足,这些基本诉求再加上招商银行正在进行的二次转型服务的大背景,促使其开始考虑编写该标准。“我们目标是要把数据中心的管理从全面过程管理转换成全面质量管控,最终把数据中心管理工作进一步科学化,以提高管理效率。”他说。
信息安全是国家安全的基础和关键,在信息安全保障的三大要素(人员、技术、管理)中,管理要素的地位和作用越来越受到重视。面对越来越严重的安全威胁,不单在IT技术领域,各行业的企业组织都越来越意识到信息安全的重要性,但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题,因此这对当前高校的信息安全专业的人才培养也提出了更高的要求。
一、信息安全培训体系概况
信息安全培训作为高校信息安全专业教育的一种重要补充,主要用于解决学历教育和社会实践、社会认证培训的结合、信息安全人才培养不规范等问题。现有培训主要可分为四类。
第一,安全意识培训:其面向机构一般员工、非技术人员以及所有信息系统的用户,目的是提高整个组织普遍的安全意识和人员安全防护能力,使组织员工充分了解既定的安全策略,并能够切实执行。
第二,安全技能培训:其面向机构网络和系统管理员、安全专职人员、技术开发人员等,目的是让其掌握基本的安全攻防技术,提升其安全技术操作水平,培养解决安全问题和杜绝安全隐患的技能。
第三,安全管理培训:其面向组织的管理职能和信息系统、信息安全管理人员,目的是提升组织整体的信息安全管理水平和能力,帮助组织有效建立信息安全管理体系。
第四,认证资质培训:其针对特殊岗位所需的职能人员,包括审核部门、监管部门、信息保障部门等。通过提供国际信息安全相关认证考试的辅导培训,可以帮助人员顺利通过考试获得各类信息安全资质认证培训。
前三类认证主要依托专业的培训机构或安全设备厂商进行。第四类培训是当前培训的主体。
二、信息安全相关资质认证培训情况
资质认证类培训是针对资质认证特点和内容要求设计,依托专业机构进行的。一些认证的培训机构是由资质管理机构专门指定的。当前,信息安全相关资质认证主要分三类:
第一,国内以信息产业部,信息安全评测机构为代表的组织来管理实施的信息安全资格认证(或与国际组织联合颁发);这类的认证培训有:CISP培训、NCSE培训、CISM培训、INSPC培训、CIW认证培训等。
第二,由国外软件、网络产品厂商自己组织管理的产品专家认证(侧重于厂商产品、技术认证);相关的认证培训有:微软Microsoft认证培训、思科安全认证CCSP培训、趋势认证信息安全TCSE培训等。
第三,国际权威信息安全组织、研究部门或培训机构组来管理组织的国际化专业资格认证。相关的认证培训有:信息系统安全认证CISSP培训、信息安全管理体系主任审核员ISO 27001培训、国际注册信息系统审计师认证CISA培训、国际IT运营与服务管理资格认证ITIL培训等。
下面以CISP培训为例,分析其知识体系构建情况。
CISP即“注册信息安全专家”,是国家对信息安全人员资质的最高认可。其经由中国信息安全测评中心实施国家认证。CISP认证和培训赋予如下专业资质和能力:有关信息安全企业、咨询服务机构、测评认证机构、授权测评机构和企事业有关信息系统建设、运行和应用管理的技术部门和标准化部门必备的专业岗位人员。
在整个CISP的知识体系结构中,共包括信息安全保障概述、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规这五个知识类。 CISP知识体系以信息安全保障为主线,全面覆盖信息安全保障工作所需的基础、标准、法规、技术、管理和工程等领域。CISP培训知识体系结构共包含五个知识类,分别为:(1)信息安全保障概述:介绍了信息安全保障的框架、基本原理和实践,它是注册信息安全专业人员首先需要掌握的基础知识。(2)信息安全技术:主要包括密码技术、访问控制、审计监控等安全技术机制,网络、操作系统、数据库和应用软件等方面的基本安全原理和实践,以及信息安全攻防和软件安全开发相关的技术知识和实践。(3)信息安全管理:主要包括信息安全管理体系建设、信息安全风险管理、安全管理措施等相关的管理知识和实践。(4)信息安全工程:主要包括信息安全相关的工程的基本理论和实践方法。(5)信息安全标准法规:主要包括信息安全相关的标准、法律法规、政策和道德规范,是注册信息安全专业人员需要掌握的通用基础知识。
CISP的注册要求如下:
第一,教育与工作经历:硕士研究生以上,具有1年工作经历;或本科毕业,具有2年工作经历;或大专毕业,具有4年工作经历。
第二,专业工作经历:至少具备1年从事信息安全有关的工作经历。
第三,培训资格:在申请注册前,成功地完成了CNITSEC或其授权培训机构组织的注册信息安全专业人员培训课程相应资质所需的分类课程,并取得培训合格证书。
第四,通过由CNITSEC举行的注册信息安全专业人员考试。
三、信息安全专业培训体系构建的建议
1.构建完善的高校信息安全专业人才培训体系
传统的培训体系,比较侧重于知识和技能传授的过程控制,在对知识的共享、隐性知识的转换等方面,已经不能满足当前的要求,高校可以通过借鉴、学习CISP认证和培训体系结构和CISSP认证课程内容设置,从信安全岗位所需的基础、标准、法规、技术、管理和工程等领域来完善信息安 全专业人才培训体系。根据培训对象的不同将课程分为五种类型(层次):操作层面的基本安全意识培训;
技术层面的各项安全技能培训;管理层面的信息安全管理培训;专家级的资质认证培训。当然在培训体系里面信息安全技术方面的培训仍然是重点,为了加强网络基础设施等新兴重点网络安全技术领域的培训,可以参考思科安全认证CCSP培训的模式,对当前使用的防火墙、侵入检测、VPN、身份验证和安全管理等主流网络安全防护装备进行系统性的专题培训。
2.建立逐级培训的信息安全专业人才培训模式
当前信息安全技术的发展日新月异,信息化的网络攻防形式也发生着翻天覆地的变化,因此对于信息安全专业人员的培训,仅靠一两次培训是远远不够的,必须连续、有针对性的接受相应岗位和层次的逐级培训,才能保证知识、能力结构的不断优化和提高。在逐级培训过程中要明确不同职务、技术等级的不同要求,使得逐级培训过程级与级之间层次清晰又衔接有序。如果没有通过低级别的培训、认证,便不能参加后门高级别的培训。同时利用职业资格证、学历证书、执行证书等为牵引,通过多阶段培训、资格培训、升级培训使得知识结构、能力素质、岗位需求同步发展,取得相应的职业证书才能晋升上岗,否则不予任用。
3.通过合理的认证标准来动态更新和完善培训体系的目标任务
只有对培训成果进行合理判断,确定受训人员知识技能水平的提高幅度,才能了解培训项目是否达到原定的目标和要求,从而为进一步改进培训体系提供重要依据。通过对培训人员最终考评成绩的分析以及部队调研,培训学员信息反馈等方式,针对培训内容和教学组织形式听取意见,并及时调整,使得培训效果真正适应培训学员的实际需求,提高培训效果。这样才能在保持相对稳定的情况下对培训内容实施动态更新,不断完善。
动联产品拥有“计算机信息系统安全专用产品销售许可证”、“商用密码产品型号证书”、“信息系统安全产品认证”、“军用信息安全产品认证证书”、“产品信息安全认证证书”等资质。
动联产品主要应用领域有:为各种机构IT信息系统,如计算机主机、网络设备、操作系统、中间件、数据库、管理软件等提供登录保护,满足国家《信息安全等级保护条例》等政策性要求,为客户提供安全又方便的动态密码身份安全保护服务。
动联身份认证产品
动联动态密码身份认证软件是由动联自主研发的一种安全可靠、简单易用的身份认证软件。该软件基于动态密码技术,采用双因素认证机制,可以为网络设备、操作系统和其他信息系统登录提供高强度的身份认证保护,保障信息系统的安全。
动联动态密码身份认证软件支持多种动态密码认证技术,为用户的账号提供全面保护:通过动态密码来保护账号,可以有效防止盗号木马攻击;通过主机认证,可以有效防止网络钓鱼;通过签名动态密码,可以有效保护用户交易的真实性和安全性,防止中间人的攻击。
动联身份认证软件支持多种动态密码认证终端,并支持多种终端混合使用。支持终端的形式包括多种品牌的多个型号的硬件动码令、软件动码令、手机动码令、SIM动码令和短信动码令等。客户可以根据自己的实际需求和预算选择适合自己的认证终端。
动联身份认证软件具备极高的性能,只需采用一套动联身份认证软件就可以为企业主要信息资产提供全面的动态密码保护,保护的范围包括多个应用系统、VPN访问、大型数据库、网络设备、服务器和计算机终端。
动联提供全面的接口调用,包括Socket方式(可提供Jar包、动态链接库或Socket编程方式),支持WebServices和Radius协议。动联动态密码身份认证软件与应用系统的集成开发极为方便,在实际的应用案例中,往往1~3天内即可完成。
电子政务身份认证解决方案
动联结合电子政务的实际需求,采用动态密码认证机制来鉴别用户的身份合法性。只允许提供了动态密码的用户接入系统,最大程度地保证登录用户确实为授权的个体,大大降低了攻击和非法访问的风险。
完全兼容现有电子政务系统的基础认证体系,包括公务员内部办公认证、外部公众身份认证等。在认证过程中,不影响电子政务系统的原业务逻辑,与电子政务系统应用服务器之间的通信过程中采取双向身份认证的机制,能够保证整个认证过程不被绕过。
动联电子政务解决方案符合国家“信息安全等级保护条例”等政策性要求,从物理安全、网络安全、主机系统安全、应用安全等各方面提供了身份鉴别保护,帮助政府提高政务工作的效率,提升电子政务系统的安全等级。
通过安全认证
随着国航信息系统建设的飞速发展,在奥运安全保障工作中,安全不再只是空防安全和飞行安全,信息安全已成为奥运安保的重要环节,并纳入公司和信息管理部2008年重点工作之中。国航信息安全规划咨询项目就是在奥运安保和国航信息系统跨越式发展的大背景下立项建设的,它旨在为国航信息安全体系建设打下坚实的理论基础。
国航也是通过这个项目完成了未来3~5年信息安全建设的发展规划,建立了信息安全管理体系,于近日最终通过了ISO 27001信息安全管理体系认证,使国航成为国内首家通过此国际认证的航空企业,进一步提升了公司的综合竞争实力。
记者了解到,ISO 27001是国际信息安全领域的重要标准,它的前身源自英国标准协会(British Standards Institute,BSI)在1995年2月制定的信息安全管理标准 BS 7799,经修订后,于2005年10月15日作为国际标准ISOIEC 27001/2005。该标准基于风险评估的风险管理理念,可用于信息安全管理体系的建立和实施,保障信息安全,全面系统地持续改进安全管理。国航的信息安全管理体系已于2008年12月就通过了国际权威认证机构的现场审核,具备了获取ISO 27001信息安全管理体系国际认证的条件。
在国航发展战略中,信息安全占有非常重要的位置,几乎所有业务都与信息技术相关,特别是涉及到飞行安全、客户信任度的商务及财务方面信息等,都需要信息安全管理体系这张保护网的保障,在这种发展趋势下,国航以建立起成熟的、具备国际水平的信息安全保障体系,保障核心业务不中断、核心系统不被攻击、客户信息不泄露为信息安全愿景目标,
中国国际航空股份有限公司信息管理部总经理刘东说,国航有几百个系统每天运营着国航所有的正常航线、飞机维护、机组人员的管理、人员的编排,还有财务的收益管理,以及订座系统、离岗系统、网络收益系统。对于航空公司来讲,每个系统都不能失控,也不能出问题。
安全跷跷板
曾经主抓飞行安全如今管信息安全的中国国际航空股份有限公司副总裁贺利,在回顾国航在信息安全方面取得建设的一些建设成果时表示,“信息安全的体系是一个很复杂的体系,我们在业界经常叫“安全跷跷板”,这个跷跷板主要是在IT基础结构的基础上,包括三方面内容:一是技术平台,二是组织和人员,三是制度和流程,由这三方面一起通过我们来执行,去构成信息安全体系。”
国航信息管理部技术管理办公室高级经理李宗琦表示,如果没有信息安全管理体系这张保护网,应该说国航的飞行安全可能也无法得到保障。
第一要保证国航的核心业务不中断,第二要保证国航信息系统不被攻击,第三要保证重要客户的信息不被泄漏,通过这样的保障体系为国航的业务愿景的目标实现保驾护航。