发布时间:2023-10-11 17:47:53
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇国内信息安全认证范例,将为您的写作提供有力的支持和灵感!
(1)在国家政策支持引导下,结合我同工控领域信息安全问题和现状,分析工控系统信息安全保障体系建设需求,建立具有针对性的工控信息安全标准体系整体框架。
(2)开展重点标准的研制规划,逐步丰富和完善覆盖工控应用领域和产品生命周期的信息安全标准体系。
(3)积极跟踪和参与闰际相关标准规范制定,实现与国际认证机构的互认,体现我国工业安全意志。
(4)加快推动我同相关标准规范的制定,建立完善的标准体系。
(5)加速人才队伍培养,依据标准建设丁.控信息安全检测认证能力。
2大力发展自主可控检测认证工具集
我国工业控制系统信息安全领域长期受到核心技术限制、缺乏专业检测认证工具等诸多因素影响,导致我国重要基础设施面临着严重的安全威胁,因此,突破工控信息安全领域的技术壁垒,研发0主可控的检测认证工具集并与国际接轨势在必行。在检测认证工具集方面,闰际上是以ISASecure认证作为工业控制系统领域专业的安全认证标准,它是基于IEC62443标准系列发展安全认证流程的联盟。ISASecure认证包含嵌入式设备安全认证�EDSA)�系统安全认证�SSA)和安全开发生命周期认证�SDLA)三个项目。目前,_际上已经获得ISASecure认证认可的CRT测试工具有芬兰Codenomi⑶n的Defensics�日本FFRI的RavenforICS以及加拿大Wurldtech的Achilles,而国内并没有成熟的检测认证工具产品。发展我国自主可控的检测认证工具集将有助于改变我国工控信息安全领域缺乏核心技术的现状,提高我同工控系统检测发现和探查能力,从而提升我国工控信息安全水平。检测认证工具集的研发应以“自主可控,安全可靠”作为技术指导思想,从前瞻性研究人手,研究国际先进的安全技术,研究工控领域安全协议栈,建立典型工控模型库、工控信息漏洞库,对工业生产控制系统内部的上位机�PLC)�服务器、网络等资产信息、应ffl软件、服务、开放端口、防火墙、数据库审计等内容进行检测扫描,提供漏洞检测与发现、漏洞风险评估、可视化和漏洞修复建议等功能。通过自主可控检测认证工具集的研发,为我闽工控企业彻底解决生产控制系统内部的信息安全隐患,保证工业生产的安全生产、安全管理。
3快速推进工业控制系统信息安全培训
安全培训为培养高素质工业控制系统信息安全相关人才、提升相关从业人员的专业技术及管理能力提供规范化、科学化的知识体系。我_工业控制系统信息安全培训现状面临着培训主体混杂、未形成规范、培训内容指导性不强、培训基准不够完善以及以传统信息安全为参照物等问题,作为工业控制系统信息安全体系中不可或缺的一环,安全培训也处于亟待重视与完善的位置。
(1)以“标准”建设“培训基准”:随着工业控制系统信息安全领域国家标准和行业标准体系的不断完善和发展,需要积极主导、参与各类相关标准的研究、编制、监督等工作,建设可供工控安全领域合理、高效、安全发展的文件环境,进而推动工控信息安全培训基准的建设。
(2)以检测与认证带动安全培训:在自主可控检测认证工具集的基础上,结合工控领域安全评估服务,建设中立性的检测、认证环境,提供国家级的权威检测认证服务,同时为培训业务的开展提供更有指导性、实效性的基础条件。以标准建设和自主可控检测认证工具为基础,从操作层面、技术层面、认证培训以及职业教育层面建设工业控制系统信息安全培训体系,提升图3自主可控检测认证工具集研发模型我国工控信息安全领域人员实践操作技术能力和安全技能,加速人才队伍培养。
4全面提供工业控制系统信息安全服务
为提升工控领域信息安全整体服务水平,在不断健全国家相关标准和发展自主可控安全技术体系的基础上,建设工业控制系统安全模拟仿真实验平台服务支撑环境,为行业用户提供定制化的安全评估、安全咨询、安全防护等服务。
(1)安全评估:研究制定安全评估的流程和方法,建设完备的安全评估体系;针对在役系统进行风险评估,提出整改、防护方案和建议,为相关企、事业单位提供安全评估服务,规范工控系统的安全建设。最终拥有完备的安全评估方法论,为工业控制领域各行业提供专业的安全评估服务;同时建立国内工业控制系统信息安全评估体系。
(2)安全咨询:研究制定安全咨询的流程和方法,建设完备的安全咨询体系;针对产品研发、系统设计,融入信息安全技术,整体提升新建工控系统的安全性。最终拥有完整的安全咨询体系,为各类工业控制领域提供专业的安全咨询服务,逐步建立安全的工业控制系统模型库。
(3)安全防护:研发工控领域自主可控的专用信息安全防护产品;全方位、多层次地针对工业控制系统提出信息安全防护解决方案;最终实现工控领域安全防护产品全面国产化;逐步完善自主可控的安全防护解决方案体系。
【参会报名】张晶晶:010-68254718,.cn
【商务咨询】崔罡:010-68130909-6633,.cn
电子政务论坛10月在京召开
本报讯 由国家行政学院、国家发展和改革委员会、工业和信息化部联合主办的2010中国电子政务论坛暨第4届国际电子政务理论与实践交流会(ICEGOV2010)将于10月25日~28日在国家行政学院召开。今年的论坛将结合年度电子政务发展热点,探讨电子政务发展趋势;促进政企合作,推动我国电子政务健康发展。
中国将完善灾备标准体系
本报讯 7月16日,由中国信息安全测评中心主办的第5届“中国灾难恢复行业高层论坛”召开。本届论坛意在进一步贯彻落实国家对信息系统灾难恢复提出的要求和行业管理导引。论坛上,国内首部系统论述数据中心建设与管理的专著《数据中心建设与管理指南》对外。该书是万国数据发起并组织的,适合企事业单位的中高层管理人员和数据中心相关部门的技术人员阅读使用。
华为赛门铁克通过信息安全服务资质最高级别认证
本报讯 近日,记者获悉,华为赛门铁克一次性通过中国信息安全认证中心最高级别的两项信息安全认证:信息安全风险评估服务资质认证(一级)和信息安全应急处理服务资质(一级)。据了解,信息安全风险评估是从风险管理的角度,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,并提出有针对性的抵御威胁的防护对策和整改措施。信息安全应急处理服务是处置网络与信息安全事件时、为降低安全事件给客户造成的损失或影响、信息安全服务提供商所提供的现场或远程的一系列措施和行动。
首批信安风险评估服务单位出炉 浪潮获得一级资质认证
2009年,国家质量监督检验检疫总局、财政部、国家认证认可监督管理委员会联合公告,决定将对部分信息安全产品进行强制性认证的强制实施时间从2009年5月1日延至2010年5月1日。如今,强制实施时间已经过去了4个多月,数据备份和恢复产品的认证情况如何呢?记者查阅了中国信息安全认证中心公布的信息安全产品认证获证名单,目前已通过认证的数据备份和恢复产品只有两款――爱数备份软件V3.0、火星企业级跨平台数据备份软件V3.0。
国内厂商积极性更高
记者采访了几家国内外主要的数据备份与恢复软件厂商,发现国内厂商在3C认证方面比较积极,现已通过产
品认证的两个厂商都是国内厂商,包括上海爱数软件有限公司和火星高科(天津火星科技有限公司是火星高科在天津的产业基地)。国外厂商的行动相对较慢。记者目前了解的情况是,CommVault已经提交了相关资料,目前正在等待回复,准备进行实际的产品测试。
火星高科市场总监郭竞远介绍说:“早在2004~2005年,我公司曾参与政府部门组织的数据备份技术标准的制定工作。后来,此技术标准没有成为国家标准,而是被国家质量监督检验检疫总局采纳为部级标准,并用于对数据备份与恢复产品的3C认证。”
以前3C认证主要针对硬件产品,而数据备份与恢复产品主要是软件。为此,2008年,国家质量监督检验检疫总局曾就数据备份与恢复产品的认证广泛征求过意见,EMC、赛门铁克、火星高科等厂商都曾被邀请参与过讨论。
火星高科是较早申请数据备份与恢复产品认证的公司,其产品已在2009年获得了3C认证。根据《关于部分信息安全产品实施强制性认证的公告》规定,数据备份与恢复产品增加相应的安全功能是必须的。这里说的数据备份与恢复产品是指实现和管理信息系统数据备份和恢复过程的软件。数据备份软件的安全功能包括许多内容,人们经常用到的可能有以下几项:第一,在系统登录时进行安全保护,比如设置用户名和密码;第二,如果有人超长时间使用备份系统,系统要具备自动锁定功能;第三,建立完善的日志系统。火星高科曾经花费近半年的时间对现有的数据备份软件进行改进,以符合3C认证中关于信息安全的规定。
“我们在项目销售过程中得知数据备份产品要通过3C认证的消息。公司对各种相关的专业权威认证一直都比较重视,所以立即启动了3C认证项目。”上海爱数软件有限公司负责技术支持和资质认证业务的许女士介绍说,“通过申报材料、产品检测、工厂现场检验等一系列步骤,大约用了几个月的时间,公司当时的主打产品爱数备份软件V3.0顺利通过了3C认证。”
政府行业采购有变数
今年9月,财政部、工业和信息化部、国家质量监督检验检疫总局、国家认证认可监督管理委员会联合下发的关于信息安全产品实施政府采购的通知中说,各级国家机关、事业单位和团体组织(以下统称采购人)使用财政性资金采购信息安全产品的,应当采购经国家认证的信息安全产品。对采购人或其委托的采购机构未按要求采购的,有关部门要按照有关法律、法规和规章予以处理,财政部门视情况可以拒付采购资金。
2008年,《第一批信息安全产品强制性认证目录》公布时,并没有任何关于行业应用的限定。但是2009年,当相关机构宣布强制实施时间延至2010年5月1日时明确提出,信息安全产品强制认证只适用于政府采购。记者从中国信息安全认证中心获得的消息是,如果厂商的产品不涉及政府采购,而只是一般的商业用途,并不受强制认证的限制。对于国内数据备份厂商来说,政府采购是收入来源中非常重要的一部分。因此,国内厂商对3C认证的态度比较积极顺理成章。CommVault公司市场经理杨涛表示:“虽然目前在政府项目采购中,我们还没有遇到有关强制性认证的问题。不过,既然有这样的规定,我们会积极响应,不希望因此而影响日后可能进行的政府项目采购。”
虽然强制认证的实施已经有几个月的时间,但是记者采访了几位政府部门的采购负责人,他们均表示还没有看到相关的文件。备份软件厂商BakBone公司市场部的刘欣告诉记者:“2007年,我曾经听说过软件产品要经过认证的事情。后来,因为工作转换的原因,我也没再留意相关认证的事情。”
信息安全领域的专家指出:只要采取了数字证书这种有效的安全保障措施,并且养成良好的操作习惯,网上银行就可以放心使用。
那么谁来颁发这种数字证书?CFCA(中国金融认证中心)就是这样一家由中国人民银行与国家信息安全管理机构批准成立的国家级权威的安全认证机构,无论是在网上银行、网上税务、还是网上招投标、网上采购、网上拍卖,每张CFCA的数字证书都保证着用户在互联网上成千上万,甚至上亿的资金交易安全。2006年8月11日下午,“2006互联网应用高峰论坛暨CFCA百万证书创新应用颁奖典礼”在京举行,同时首次对外公布:已经颁发的CFCA证书顺利突破百万。
引爆数字革命
谈到CFCA数字认证,就不能不说起“我国首部真正意义的信息化法律”(《电子签名法》)。从一定意义上说,《电子签名法》也拉开了信息数字化时代的立法序幕。当前,网络信任体系是国家信息安全保障体系的重要组成部分,其主要包括三个层面的内容:电子认证、授权管理和责任认定。对于后两个内容,目前各国都还在探索,而电子认证则已经应用得比较成熟。我国也于2004年8月颁布,并于去年4月1日正式实施了《电子签名法》。
信息安全界专家分析,电子认证的推广不仅是让网络交易具备了安全措施,更重要的是使得网络交易的法律责任得到认定,从而为网络商务行为提供了信心。从某种意义上而言,只要电子认证、授权管理和责任认定的问题解决了,网络信任体系也可以顺利搭建。
互联网的创新坐标
本报讯 近日,深信服连续六年市场占有率第一的上网行为管理产品(AC),获得国家信息安全测评中心颁发
的信息安全产品EAL3等级认证,成为国内首个获得此项认证的上网行为管理产品。目前我国除SIM卡能够通过EAL4
增强级认证外,EAL3级认证成为网络产品最高等级的国家信息安全认证,代表国家对信息安全产品的最高认可。
东软医疗拟购飞利浦合资公司股权
本报讯 东软集团股份有限公司日前发表公告称,其与荷兰皇家飞利浦电子集团就合资运营的东软飞利浦医疗
设备系统有限责任公司达成了交易备忘录,东软全资子公司沈阳东软医疗系统有限公司及一家境外公司拟联合收购
飞利浦持有的合资公司全部股权,预计2013年年底前完成交易。
第四届中国智能运输大会5月召开
本报讯 第四届中国智能运输大会(ITSCC)暨“第二届深圳国际智能交通与卫星导航位置服务展览会”将于
2013年5月26~28日在深圳举行。ITSCC由交通运输部科技司指导,交通运输部公路科学研究院、深圳市交通运输委
员会 、中国卫星导航定位协会主办,国家ITS中心 、深圳市智能交通行业协会等单位承办。
中国惠普全程质量管控新规
本报讯 近日,中国惠普打印与信息产品集团(PPS集团)新质量和服务体系,主要内容是为中国区专门设
1我国工业控制系统信息安全发展态势
从2011年底起,国家各部委了一系列关于工业控制系统信息安全的文件,把工控信息安全列为“事关经济发展、社会稳定和国家安全”的重要战略,受到国家层面的高度重视。在国家层面的推动下,工控信息安全工作轰轰烈烈展开,大批行政指令以及标准应运而生;在行政和市场双重动力的推动下,安全信息产业如雨后春笋般发展,工控信息安全产业联盟迅速壮大。这种形势下,我国电力、石化、钢铁等各大行业的集团和公司面临着如何迅速研究工控信息安全这个新课题,学习这一系列文件精神和标准,加强工控信息安全管理,研究采取恰当的信息安全技术措施等,积极稳妥地把工控信息安全工作踏踏实实地开展起来这一系列紧迫任务。但是,当前面临的困难是,从事信息安全产业的公司大多不太熟悉特点各异的各行业工控系统,有时还不免把工控系统视作一个互联网信息系统去思考和防护,而从事工控系统应用行业的人们大多还来不及了解信息安全技术,主导制定本行业的相关标准和本行业控制系统信息安全的工作策略,并推动两支力量的紧密配合。这正是当前面临的困境和作者力图要与同仁们一起学习和探讨的问题。
2从工控系统特点出发正确制定信息安全发展策略
火电厂控制系统与传统信息系统相比,相对来说,与外部完全开放的互联网联系极少,分布地域有限,接触人员较少,而对实时性、稳定性和可靠性却要求极高。这正是我们制定火电厂控制系统信息安全工作策略的基本出发点。为了形象起见,我们以人类抵抗疾病为例。人要不生病,一方面要自身强壮,不断提高肌体的免疫系统和自修复能力;另一方面,要尽可能营造一个良好的外部环境(不要忽冷忽热,空气中污染物少,无弥漫的病菌和病毒)。人类积累了丰富的经验,根据实际情况采取非常适当的保护措施。例如,对于一般人来说,他们改变环境的可行性较差。因此,确保自身强壮以及发现病兆及时吃药修复等是其保护自己的主要手段。但是,对于新生儿,因为自身免疫系统还比较脆弱,短时间也不可能马上提高。刚出生时医生也有条件将其暂时置于无菌恒温保护箱中哺养,以隔绝恶劣的环境。信息安全与人类抵抗病十分相似。对于一般互联网信息系统,分布地域极广,接触人员多而杂,因此信息安全策略重点,除了在适当地点采取一些防火墙等隔离措施外,主要依靠提高自身健壮性,以及查杀病毒等措施防御信息安全。对于工控系统,特别是火电厂控制系统,它与外部互联网联系较少,分布地域有限,接触人员较少。因此,对火电厂应该首先把重点放在为控制系统营造一个良好环境上。也就是说,尽可能与充斥病毒和恶意攻击的源泉隔离,包括从互联网进来的外部入侵,以及企业内外人员从内部的直接感染和入侵。前者可采取电力行业中证明行之有效的硬件网络单向传输装置(单向物理隔离装置)等技术手段;后者则主要通过加强目前电厂内比较忽视和薄弱的信息安全管理措施。火电厂控制系统采取这种信息安全策略可以达到事半功倍的效果。从当前国内外出现的不少工控系统遭受恶意攻击和植入病毒导致的严重事故来看,几乎大多数是没有或者隔离措施非常薄弱经互联网端侵入,或者通过企业内外人员从内部直接植入病毒导致。当然,我们不能忽视提高控制系统自身健壮性的各种努力和措施,以便万一恶意攻击和病毒侵入的情况下仍能万无一失确保安全。但是,开展这方面工作,特别是在已经投运的控制系统上进行这方面工作要特别慎重,这不仅因为这些工作代价较高,而且在当前信息安全产业中不少公司还不太熟悉相关行业工控系统特点,有些产品在工控系统中应用尚不成熟,而火电厂控制系统厂家对自身产品信息安全状态研究刚刚开始,或者由于种种原因没有介入和积极配合的情况下风险较高。这不是耸人听闻,实践已经发生,有的电厂为此已经付出了DCS停摆,机组误跳的事故代价。
3火电厂控制系统供应侧和应用侧两个信息安全战场的不同策略及相互协调
火电厂控制系统,主要是DCS,不仅是保证功能安全的基础,也是提高自身健壮性,确保信息安全的关键,它包括供应侧和应用侧两个信息安全战场。在DCS供应侧提高自身健壮性,并通过验收测收,确保系统信息安全有许多明显的优点。它可以非常协调地融入信息安全策略,可以离线进行危险性较大的渗透性测试,发现的漏洞对应用其控制系统的电厂具有一定的通用性等。此外,DCS供应侧在提高信息安全方面积累的经验和措施,培养起来的队伍,也将有助于现有电厂DCS的测试评估,以及安全加固等直接升级服务或配合服务。与信息安全产业的公司提供服务扩大了公司的市场不同,DCS供应侧提高其信息安全水平增加了DCS成本。因此,为了推动DCS供应侧提高信息安全水平,除了目前已经在发挥作用的行政手段外,我们还必须加强市场手段的动力。为此,当前我们电力行业应尽快从信息安全角度着手制定DCS准入标准,制定火电厂DCS信息安全技术标准和验收测试标准,以及招标用典型技术规范书等。火电厂DCS应用侧,是当前最紧迫面临现实信息安全风险,而且范围极广的战场,必须迅速有步骤地点面结合提高信息安全,降低风险。具体意见如下:
3.1应迅速全面开展下列三方面工作
(1)全面核查DCS与SIS及互联网间是否真正贯彻落实了发改委2014年14号令和国家能源局2015年36号文附件中关于配置单向物理隔离的规定,没有加装必须尽快配置,已配置的要检查是否符合要求。(2)迅速按照《工业控制系统信息安全防护指南》加强内部安全管理,杜绝内部和外部人员非法接近操作、介入或在现场总线及其它接入系统上偷挂攻击设备等,并适度开展一些风险较小的安全测评项目。上述两项工作,在已投运系统上实施难度较低,实施风险相对较低,但是却能起到抵御当前大部分潜在病毒侵袭和恶意攻击的风险。(3)通过试点,逐步开展对已运DCS进行较为深入的安全测评,适度增加信息安全技术措施,待取得经验后,再组织力量全面推广,把我国火电厂控制系统信息安全提高到一个新的水平。为了提高这项工作的总体效益,建议针对国内火电厂应用的各种型号的DCS品牌出发,各大电力集团互相协调,统筹规划,选择十个左右试点电厂,由应用单位上级领导组织,国家级或重点的测评机构、实验室技术指导,相关DCS供应商、优秀信息安全产品生产商以及电厂负责DCS的工程师一起成立试点小组。这样不仅可以融合DCS厂家的经验,包括他们已经开展的信息安全测评和信息安全加强措施,减少不必要的某些现场直接工作带来的较大风险。也有利于当前复合人才缺乏的情况下,确保工控系统技术和工控系统信息安全技术无缝融合,防止发生故障而影响安全生产(目前已经有电厂在测试和加入安全措施导致DCS故障而停机的事件)。
4DCS信息安全若干具体问题的建议
4.1关于控制大区和管理大区隔离的问题
根据国家发改委2014年14号令颁发的《电力监控系统安全防护规定》,以及国家能源局36号文附件《电力监控系统安全防护总体方案》的要求:(1)生产拉制大区和管理信息大区之间通信应当部署专用横向单向安全隔离装置,是横向防护的关键设备。(2)生产控制大区内的控制区与非控制区之间应当采取具有访问功能的设施,实现逻辑隔离。2016年修订的电力行业标准《火电厂厂级监控信息系统技术条件》(DL/T 924-2016)对隔离问题做了新的补充规定:(1)当MIS网络不与互联网连接时,宜采用SIS与MIS共用同一网络,在生产控制系统与SIS之间安装硬件的网络单向传输装置(单向物理隔离装置)。(2)当MIS网络与互联网连接时,宜采用SIS网络独立于MIS网络,并加装硬件的网络单向传输装置(单向物理隔离装置),而在生产控制系统与SIS之间安装硬件防火墙隔离。根椐当前严峻的网络安全形势,应当重新思考单向物理隔离装置这个行之有效的关键安全措施的设置点问题。建议无论是刚才提到的哪一种情况,单向物理隔离装置均应设置在生产控制系统(DCS)与SIS之间,理由是:(1)生产控制系统(DCS)对电厂人身设备危害和社会影响极大,而且危险事件瞬间爆发。因此,一定要把防控恶意操作、网络攻击和传播病毒的区域限制在尽可能小的范围内,这样可以最大限度提高电厂控制系统应对网络危害的能力。(2)SIS是全厂性的,涉及人员相对广泛,跟每台机组均有联系。因此,一旦隔离屏障被攻破,故障将是全厂性的,事故危害面相对较大。
4.2DCS信息安全认证和测试验收问题
火电厂在推广应用DCS的30年历史中,从一开始就适时提出了供编制招标技术规范书参考的典型技术规范书,进而逐步形成了标准, 明确规定了功能规范、性能指标以及验收测试等一系列要求。随后又根据发展适时增加了对电磁兼容性和功能安全等级认证的要求。当前,为确保得到信息安全的DCS产品,历史经验可以借鉴。笔者认为,宜首先对控制系统供应侧开展阿基里斯认证(Achilles Communications Certification,简称ACC)作为当前提高DCS信息安全的突破口。众所周知,ACC已得到全球前十大自动化公司中八个公司的确认,并对其产品进行认证;工业领域众多全球企业巨头,均已对其产品供应商提供的产品强制要求必须通过ACC认证。目前,ACC事实上已成为国际上公认的行业标准。国内参与石化和电厂市场竞争的不少外国主流DCS均已通过了ACC一级认证。至于国产主流DCS厂家,他们大多也看到了ACC认证是进入国际市场的门槛,也嗅到了国内市场未来的倾向,都在积极为达到ACC一级认证而努力(紧迫性程度明显与行业客户对ACC认证紧迫性要求有关)。此外,我国也已建立了进行测试认证的合格机构,具备了国内就地认证的条件。根据调查判断,如果我们电力行业侧开始编制技术规范书将ACC一级认证纳入要求,相信在行政推动和市场促进双重动力下,国产主流DCS在一年多时间内通过ACC一级认证是可以做到的。除ACC认证外,如前所述,当前还急需编制招标用火电厂信息安全技术规范和验收测试标准,使用户在采购时对其信息安全的保障有据可依。从源头抓起,取得经验,必将有利于在运DCS信息安全工作,少走弯路。
一、CA概述
CA是CeritficateAuthoirty的缩写,通常翻译成认证权威或者认证中心,是负责发放和管理数字证书的权威机构,并承担电子商务公钥体系中公钥的合法性检验的责任。
CA认证系统是一个大的网络环境,从功能上基本可以划分为CA、RA和WP。核心系统和CA放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都应有严格的规定,并且系统设计为离线网络。CA的功能是在收到来自RA的证书请求时颁发证书。一般的个人证书发放过程都是自动进行,无须人工干预。
二、对外经济贸易大学CA认证体系的规划和建设
(一)背景
对外经济贸易大学是教育部直属的全国重点大学,国家“211工程”首批重点建设高校,大学校园网始建于1997年,经历了建设、调整和完善的阶段。截止目前为止校内所有建筑物全部光纤接入到网络与教育技术中心,网络设备400余台,信息点数近17000个,实现了所有办公楼及宿舍楼的上网需求。各部门相关业务系统也在逐渐完善,信息系统在日常工作中的使用频率在迅速提升,与此同时,学校全面实施信息化校园(一期)建设,搭建了统一数据库平台、建立统一身份认证系统并建立了统一信息平台门户,基本实现各系统的信息共享。对外经济贸易大学的校园网建设成已基本形成了运行比较稳定、速度比较快捷、应用比较广泛、相对安全可靠的网络,为全校的教学和科研活动提供了坚实的保障。
然而,单纯的用户名/口令身份认证方式已经不足以保证用户登陆系统的身份安全性,在学校信息化建设相对稳定成熟的基础上,我们考虑在校园网中建立一套完整的CA数字证书认证系统,通CA认证,把用户的公钥和用户的其他标识信息捆绑在一起,其中包括用户名个人信息以及电子邮件地址等,以实现在网络上验证用户的真实身份。在开放网络上实现密钥的自动管理,保证网上数据的安全传输。并制定有针对性的相关运维策略,按照学校实际情况,颁发给校园内用户标识个人身份的数字证书,使用户利用数字证书登录业务系统,替代原有的用户名/口令登录方式。真正做到既简便了用户的登陆操作,又进一步提升了业务系统的安全性。
(二)建设原则
结合学校各业务系统自身应用的现实情况,在相关国际标准的指导下,对外经贸大学CA认证系统建设项目的总体设计和实施都将依据国家有关信息安全政策法规,根据项目的实际需要和高校信息化建设的实际情况,依靠科学技术,依靠科学管理的思想进行设计;将长远规划和当前建设相结合,安全可行和方便适用相结合。因此,项目的研究和实施遵循以下原则:符合国家有关规定的原则、坚持继承、发展、创新的原则、坚持以人为本、方便适用的原则、需求、风险、成本折衷原则、坚持统一标准、规范建设的原则、技术与管理相结合原则和保护已有投资、易于扩展的原则。
(三)建设内容
考虑CA身份认证系统在国内建设的相关情况以及结合对外经贸大学各业务系统的应用现实情况,对外经贸大学CA认证系统建设项目的建设内容如下:
1.制订标准规范
制定符合对外经贸大学自身特色的标准规范,指导对外经贸CA安全认证体系的建设、推广、使用,保证系统的高效管理和使用,保证系统之问的互联互通。
2.建设对外经贸大学的CA安全认证体系
所建立的CA认证系统面向全校8000余名在校学生及1500名教职员工提供全面证书安全认证服务,认证系统将具备万张级别的数字证书签发管理能力,使整个校园信息化体系得到进一步完善,从安全性方面保证数字化校园网络的高效、可靠运行,为对外经贸大学涉及的多套教学及办公业务系统提供完善的数字证书服务。
3.数字证书与业务系统的结合
①与公文系统的结合
建设一套电子签章平台,来管理发放相关人员的电子印章,可以实现在OA审批流转系统中对审批电子文档的盖章确认,包括对签章人的身份确认,对审批文档的防篡改,以及盖章行为的不可抵赖。由于具备了真实性、完整性及可追溯性的安全机制,极大的推动了信息化系统中无纸化办公的可靠性。
②与其他业务系统的结合
另外一种情况是业务系统不是流转公文,而是流转各种业务数据,比如合同、申报数据、审批表格等应用系统。由于业务系统情况千差万别,不能用一个盖章、签字软件与其结合,因此需要具体业务具体分析,学校将对于签章、签名系统提供二次开发接口,系统调用这些接口,实现电子签章、电子签名的应用。
4.其他拓展功能建设
作为安全基础设施的CA认证系统,在建成后其颁发的数字证书不仅使用于对系统的安全登录,同时还包括一系列拓展功能。包括身份认证、数字签名/验签、数据加/解密、安全传输、应用支撑、安全审计等等。随着校园网整个信息化系统的功能完善,信息安全体系建设的跟进就显得尤为必要。
动联产品主要应用领域有:为各种机构IT信息系统,如计算机主机、网络设备、操作系统、中间件、数据库、管理软件等提供登录保护,满足国家《信息安全等级保护条例》等政策性要求,为客户提供安全又方便的动态密码身份安全保护服务。
动联身份认证产品
动联动态密码身份认证软件是由动联自主研发的一种安全可靠、简单易用的身份认证软件。该软件基于动态密码技术,采用双因素认证机制,可以为网络设备、操作系统和其他信息系统登录提供高强度的身份认证保护,保障信息系统的安全。
动联动态密码身份认证软件支持多种动态密码认证技术,为用户的账号提供全面保护:通过动态密码来保护账号,可以有效防止盗号木马攻击;通过主机认证,可以有效防止网络钓鱼;通过签名动态密码,可以有效保护用户交易的真实性和安全性,防止中间人的攻击。
动联身份认证软件支持多种动态密码认证终端,并支持多种终端混合使用。支持终端的形式包括多种品牌的多个型号的硬件动码令、软件动码令、手机动码令、SIM动码令和短信动码令等。客户可以根据自己的实际需求和预算选择适合自己的认证终端。
动联身份认证软件具备极高的性能,只需采用一套动联身份认证软件就可以为企业主要信息资产提供全面的动态密码保护,保护的范围包括多个应用系统、VPN访问、大型数据库、网络设备、服务器和计算机终端。
动联提供全面的接口调用,包括Socket方式(可提供Jar包、动态链接库或Socket编程方式),支持WebServices和Radius协议。动联动态密码身份认证软件与应用系统的集成开发极为方便,在实际的应用案例中,往往1~3天内即可完成。
电子政务身份认证解决方案
动联结合电子政务的实际需求,采用动态密码认证机制来鉴别用户的身份合法性。只允许提供了动态密码的用户接入系统,最大程度地保证登录用户确实为授权的个体,大大降低了攻击和非法访问的风险。
完全兼容现有电子政务系统的基础认证体系,包括公务员内部办公认证、外部公众身份认证等。在认证过程中,不影响电子政务系统的原业务逻辑,与电子政务系统应用服务器之间的通信过程中采取双向身份认证的机制,能够保证整个认证过程不被绕过。
能士已经成为我国信息安全领域的知名品牌。
深圳能士公司秉承“惟精惟一,唯士为能”的企业精神,不断开拓进取,现已在信息安全及以信息安全为支撑的应用领域居领先地位。
深圳能士公司在身份认证、加密存储、人脸识别等技术领域具有很强的技术实力,处于世界先进、国内领先水平,在互联网、物联网、云计算等方面具有多项技术创新。
深圳能士公司下属的深圳市能信安物联网技术有限公司注册资本为800万元。它是由深圳能士公司投资的专注于物联网和云计算技术开发及运营的专业技术公司。能信安物联网技术公司拥有专业的物联网技术研发中心。
该研发中心设有硬件部、软件部、测试部、生产部等多个部门,同时建立了一整套的研发、生产、产品检测流程。能信安物联网技术公司拥有加密智能卡、加密ZIGBEE卡、活体指纹强身份认证、人脸识别等技术,在智能交通、安防等领域的应用处于领先地位。
能信安物联网技术公司自主开发的《能信安驾驶人培训质量监管及计时计程管理系统》在国内相关领域具有多项创新,已成为国内较先进、全面、科学的行业应用解决方案。
获得多个资质
深圳市能士信息安全有限公司作为信息技术领域优秀的专业技术公司,已获得如下资质:
・ 国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》
・ 国家保密局系统保密技术防护研发生产指定单位
・工业和信息化部颁发的《计算机信息系统集成资质证书》
・ 中国信息安全认证中心颁发的《ISCCC信息安全应急响应服务资质证书》
・ 中国信息安全测评中心颁发的《信息安全服务资质证书》
・ 广东省公安厅颁发的《广东省计算机信息系统安全服务资质证》
・ 广东省公安厅和深圳市公安局指定的等级保护技术支持单位
・ 国家密码管理局商用密码生产定点单位
・ 国家密码管理局商用密码销售许可单位
・ ISO9001∶2008质量管理体系认证证书
・ 深圳市《高新技术企业认定证书》
・ 深圳市“软件企业资质”
在新形势下,深圳能士公司致力于为客户提供建立在可靠、安全保障平台基础上的系统集成服务。深圳能士公司拥有一支高素质、长期从事信息系统集成工程的技术团队,以及完善的设计、施工、管理、维护服务体系,为客户提供优质工程及完善服务保障,相关工程曾多次获得省部级主管部门“试点工程”或“样板工程”荣誉称号。公司已发展成为大规模的企业级信息系统集成完整解决方案提供商。
深圳能士公司从2008年即开始着手研究网络综合布线的安全问题,致力于塑料光纤在我国系统部署中的应用研究,并形成全面的系统塑料光纤综合布线解决方案。这是因为塑料光纤传输频带很宽,通信容量大,对人体影响小,随着社会信息化应用的不断发展,可以满足光纤到桌面的技术需求。据悉,深圳能士公司的民用信息系统塑料光纤综合布线的整体解决方案在技术方面在国内处于领先水平。
深圳能士公司下属的深圳能信安物联网技术公司致力于应用引导和技术研发的互动式发展,带动物联网的产业发展。深圳能信安物联网技术公司在物联网和云计算领域的专业信息安全方面有领先的技术优势,在业界享有较高的声誉,并且基于安全识别核心技术、物联网、云计算等多个领域开发了多款自主知识产权软硬件产品。
深圳能士公司具有非常稳定的技术队伍。鉴于国家对集成单位的严格管理规定和信息安全行业的特殊性,公司按照国家相关规定制定了严格的人事管理制度,为核心技术人员(人员)提供深造机会和期权激励机制,保证了技术人员的稳定性。公司管理严格,技术人员政治上可靠,业务上过硬。公司成立了专门的保密领导小组,制定了人员保密管理制度、技术保密管理制度等,从而进一步保证公司所提供的安全产品和安全服务的可靠性、安全性和保密性,从而保护国家秘密和客户利益。
【中图分类号】P228.4 【文献标识码】A 【文章编号】1672-5158(2012)09-0421-01
随着GNSS连续运行基准站系统CORS的应用和推广,近年国内CORS基准站的建设逐渐兴起。CORS系统的建立和应用,可以获取区域内某类空间的位置、时间信息及其相关的动态变化。通过建设若干永久性连续运行的GPS基准站,提供国际通用的基准站站点坐标和GPS测量数据,以满足各类不同行业用户精确定位,快速和实时定位、导航的需求,满足城市规划、国土测绘、地籍管理、城乡建设、智能电网、环境监测、防灾减灾、交通监控,等多种现代化信息化管理的社会需求,特别在智能电网建设中起到了举足轻重的作用。
为保障电网基础数据质量,企业通常采取建立CORS基站网、统一的测量基准、精确的国家2000坐标体系架构、差分手段等一系列的保障措施,CORS系统是卫星定位技术、计算机网络技术、数字通讯技术等高新科技多方位、深度结晶的产物,电力企业作为关乎国计民生的基础行业,企业内部各业务数据已基本在网络流转,企业在享受着信息系统所带来巨大经济效益的同时,也面临着高风险。一旦出现信息泄密或篡改数据的情况,将为国家造成难以估量的损失。
1、CORS系统构成
CORS系统包括3个部分:控制中心,固定站和用户部分。
1.1 控制中心(Control center)
整个系统的核心。它既是通讯控制中心,也是数据处理中心。用于接收各基准站数据,进行数据处理,形成多基准站差分定位用户数据,组成一定格式的数据文件,分发给用户。数据处理中心是CORS的核心单元,也是高精度实时动态定位得以实现的关键所在。中心24小时连续不断地根据各基准站所采集的实时观测数据在区域内进行整体建模解算,并通过现有的数据通信网络和无线数据播发网,向各类需要测量和导航的用户以国际通用格式提供码相位/载波相位差分改正信息,以便实时解算出流动站的精确点位。通过通讯线(光缆,ISDN,电话线)与所有的固定参考站通讯;通过无线网络(GSM,CDMA,GPRS……)与移动用户通讯。
1.2 基准站网
基准站网是由某一范围内均匀分布的固定参考站组成。负责采集GPS卫星观测数据并输送至数据处理中心,同时提供系统完好性监测服务。
1.3 数据通讯部分
CORS的数据通讯包括固定参考站到控制中心的通讯及控制中心到用户的通讯。参考站到控制中心的通讯网络负责将参考站的数据实时地传输给控制中心;控制中心和用户问的通讯网络负责将网络校正数据送给用户。一般来说,网络RTK系统有两种工作方式:单向方式和双向方式。在单向方式下,只是用户从控制中心获得校正数据,而所有用户得到的数据应该是一致的,如主辅站技术MAX;在双向方式下,用户还需将自己的粗略位置(单点定位方式产生)报告给控制中心,由控制中心有针对性地产生校正数据并传给特定的用户,每个用户得到的数据则可能不同,如虚拟参考站VRS技术。
1.4 用户部分
包括用户信息接收系统、网络型RTK定位系统、事后和快速精密定位系统以及自主式导航系统和监控定位系统等。
2、GORS数据通讯网络构建
CORS系统的通讯分两个层面,一个是基准站到数据处理中心的通讯,另一个就是数据处理中心到移动站的通讯。
2.1 从固定参考站到控制中心通讯专线的建立
基准站到数据处理中心的通讯,因为数据量较大,距离远,而且传输速度和传输的稳定性要求比较高,需要考虑的是可靠性、实时性、通信速率、可扩充性(能按需要扩充基准站))等要求,一般都是有线方式,最好是专线。由系统建设单位自行敷设通讯线路并组网成本太高周期太长,难以实施。可根据当地的电信运营商提供的不同公网接入方式,由电信运营商采用IP虚拟专网等技术组成专网,采用HDSL、DDN、FR、SDH、数字电路设置专线来实现基站到数据中心的数据传输通讯。根据目前国内的实际情况,各大电信运营商都能提供稳定合格的公用互联网接入和专用数据传输线路及方式。作为CORS建设单位可根据CORS系统组网的方式、规模来选择不同的通讯数据传输构建方式。不仅可靠性、安全性高而且成本低。
2.2 数据处理中心到移动站通讯的建立
数据中心首先必须接入公用互联网,并且必须取得固定公用互联网IP地址,才能供客户访问并获取改正数据。
目前各移动站设备制造商基本上都是采用移动通讯网络的无线连接方式,也叫分组交换方式通俗地说就是上网,用户的GSM模块开通了GPRS或者CDMA的上网功能,在用户端相关通讯设置中按数据处理中心给出固定的一个IP地址、Port端口号,用户名和密码,就像登陆网站的一样。用户登录了网站,选择页面,就可以实时的得到改正数据,而其通讯的协议是国际标准的NTRIP协议。
3、基于数字证书安全认证平台的实现
基于数字证书安全认证平台的实现是主要通过在服务器端搭建安全支撑平台和客户端搭建客户端安全应用平台,企业的各种应用接入安全认证平台后,通过客户端和服务器端的交互认证,来实现企业应用安全的控制。
对于电力企业来说,安全认证平台是构建智能电网信息安全接入体系的核心基础安全防护设施,USAP依托电网原有的防火墙、IDS等物理安全基础设施、PKI/PMI等信息安全基础设施等,基于统一安全策略和统一安全管理的思想进行系统架构设计,有效、安全地承载各种电力业务应用,对外统一提供“安全通道、身份认证、安全接入、访问控制、数据交换、集中监管”等核心功能。
4、基于数字证书安全认证平台的00R$基站数据通讯和组网
目前,随着智能电网的构建,公安部、国家保密局、国家密码管理局、电监会等国家有关部门对电网企业信息安全工作要求也不断提高,基于数字证书安全认证平台的CORS基站数据通讯和组网,不仅能满足CORS基站高速、有效运行,更能有效确保企业信息内容的机密性、完整性、可用性。
4.1 前置机安全加固
前置机上安装USAP承建商开发的安全接入终端和安全专控软件,终端先将数据发送到安全接入平台交换机,再由内部交换机强制转发给前置机,终端发送出的数据经过安全接入终端软件的商密算法加密,再转发到安全接入平台服务区。
前置机设置防火墙,限制前置机出口IP地址和端口,并且在安全接入平台内部三层交换机上加入特定路由,强制终端访问特定的内网服务器,而不能访问其他内网业务服务器,保证了内网业务服务器的安全;
前置机数据流进入安全接入平台内部三层交换机,通过USAP的安全接入区、接入服务区进行安全认证接入并进行安全服务访问,通过内网业务提供的安全应用接口进行安全数据访问。
4.2 用户终端加固
作为权威、公正的第三方电子认证服务机构,BJCA自成立以来一直致力于开展可信服务,营造网络诚信环境。公司努力构建以客户为中心的网络信任服务体系,全心全意为政府信息化建设、企业经营环境优化、民生信息化建设和网络经济发展服务。公司通过一系列应用安全产品和信息安全解决方案,扩大数字证书的应用领域。经过10年来的艰苦创业,BJCA已经发展成为电子认证服务行业的领跑者。
遵照《中华人民共和国电子签名法》的要求和相关管理规定,BJCA推出了政务通、信天行等系列品牌数字证书服务。公司坚持“以服务求生存,用创新谋发展”的企业发展观,确立以用户价值为核心的服务意识,在全国率先开展了以客户需求为导向的新型电子认证服务体系建设。BJCA按照“可信规范运营,随需应变服务”的服务宗旨,通过日渐丰富的电子认证服务内容、创新的服务模式、完善的服务流程、品牌化的服务形象、稳步提升的服务能力,满足客户不断变化的需求,引领了电子认证服务行业的发展方向。
在过去的10年中,BJCA凭借北京市加快信息化建设步伐的良好契机,以北京为基地迅速向全国市场拓展,通过覆盖全面、运营高效的数字证书服务网络,提供包括数字证书申请、审核、制作、颁发、存档、查询、废止等全过程的服务,同时还向大规模行业客户和地区提供认证服务系统(如CA、RA和受理点)建设的服务。
BJCA凭借在数字认证服务行业长期积的丰富经验和强大的技术研发实力,基于数字证书、电子签名等相关核心技术,针对网络信任体系的关键环节,面向市场推出一系列自主研发的支撑数字证书应用的软硬件产品,如Web信息安全系统、统一认证管理系统、电子签章系统、签名服务器、时间戳、实名接入网关等,形成应用安全解决方案。这些产品很好地将数字证书简便、无缝地集成到各类应用系统中去,满足了客户对身份认证、授权管理和责任认定等方面的需求,极大提升了客户核心业务网络环境的安全信任指数。
随着整个社会信息化应用程度的不断提高,各个行业和业务领域都有其自身鲜明的特点,结合不同行业和业务对电子认证的个性化需求,BJCA在CA运营基础服务和自主研发的安全产品支撑下,为客户提供量身定制的服务,针对网上办公、网上审批、网上招标采购、网上办税、网上发票、网上银行、网上保险、网络教育、网上娱乐等多种行业和业务,设计出一批信息安全解决方案,成为国内提供此类案例数量最多,涵盖范围最广的电子认证服务商。
BJCA正在通过以客户为中心的新型电子认证服务体系、自主知识产权的应用软件产品和专业定制的安全解决方案,为电子政务、电子商务、企业信息化发展等领域的客户构建安全、可靠的信任环境。
以数字认证服务为基础业务不断发展壮大的BJCA,将视角集中在信息安全服务领域。作为专业的信息安全服务商,BJCA于2004年荣获北京市信息安全服务能力一级证书,于2006年获得涉及国家秘密的计算机信息系统集成资质,于2009年获得国家信息安全服务安全工程类一级证书,并于2011年获得国家信息安全应急处理服务三级资质和国家信息安全风险评估服务一级资质。
以客户为中心
BJCA拥有国内一流的信息安全专家和专业的信息安全服务队伍。这些专家紧跟信息安全领域发展趋势,熟悉各种信息安全政策、标准、指南和要求,遵循“分域防护、深层防御;分级保护、动态防范”的原则,能够根据客户信息系统生命周期的不同阶段(系统规划、方案设计、系统集成、运行维护)的相应需求,利用科学的手段和方法,有效开展安全需求分析、安全风险评估;协助客户确定安全等级,制定安全策略,设计安全方案;组织实施安全建设或改造;协助客户制定安全管理制度;提供安全维护和应急响应服务;保障方便获取全方位、专业性、持续性和个性化的安全技术支持与服务。
2008年,BJCA成功建设了奥运多语言服务信息系统安全体系、北京奥组委中级网站安全保障系统、北京市资源共相交换平台安全保障体系,并为国家发改委“金宏”工程和农业部行政审批综合办公系统提供安全认证服务,还为中国投资担保有限公司、北京银行、西南证券、民族证券、中航信诺民航保险在线、中国招标投标网、国美电器等机构的系统提供安全服务。
值得一提的是,在奥运筹办和召开期间,BJCA充分发挥自身优势,为涉及奥运成功举办和城市正常运行、社会稳定的重要信息系统提供安全保障服务,为平安奥运做出了应有的贡献,受到了北京市奥运会残奥会运行指挥部、北京市奥组委、北京市国资委、北京市信息办等单位的表彰。
作为以技术为先导的现代服务企业和行业方向的引导者,BJCA肩负起社会赋予的责任和使命,不仅参与行业规划,还承担行业标准制定和国家课题研究攻关。
作为一种新的经济模式,电子商务以高效、便捷、方便的优势和全新的网站经营理念、经营手段、经营环境吸引着广大用户,为世界经济赋予了无限的发展空间。随着电子商务应用范围的日益扩大,针对电子商务的各种犯罪活动也日益猖獗。国内外调查显示52.26%的用户最关心的是网上交易的安全可靠性,超过6O%的人由于担心电子商务的安全问题而不愿进行网上购物。加强电子商务实施过程当中的安全管理已经成为促进电子商务高速发展的重要因素。
1.电子商务网站信息安全存在的问题
电子商务的前提是信息的安全性保障,信息安全的含义主要是信息的完整性、可用性、保密险和可靠性。因此电子商务活动中的信安全问题主要体现在以两个方面。
1.1 网站信息安全方面
1.1.1 安全协议问题
目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
1.1.2 防病毒问题
互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
1.1.3 服务器的安全问题
装有大量与电子商务有关的软件和商户信息的系统服务器是电子商务的核心,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果会非常严重。
1.1.4 计算机电脑病毒
计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。随着互联网的发展,病毒利用互联网,传播速度大大加快,它侵入网络,破坏资源,成为了电子商务中计算机网络的严重安全威胁。随着计算机技术的不断发展,计算机病毒的破坏性也随之增强,电子商务环境也将收到严重威胁。
1.2 电子商务交易方面
1.2.1 身份的不确定问题
由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。
1.2.2 交易的抵赖问题
电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
1.2.3 交易的修改问题
交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
1.2.4 窃取信息
在电子商务中主要表现为交易信息的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。
2.原因分析
电子商务信息安全已经引起很多网站的重视,但大多数网站往往侧重于加强技术措施,如购买先进的防火墙软件,采用更高级的加密方法等,很多网站认为:员工泄密的安全事故只是偶然现象,很少从人员管理的角度来探讨出现这些事故的根本原因。“重技术、轻管理”是当前很多电子商务网站的通病。由于管理手段不到位,很多先进的安全技术无法发挥应有的效能。之所以出现上述问题,主要有以下原因:首先大多数网站将电子商务网站作为一项纯粹的技术工程来实施,网站内部缺乏系统的安全管理策略,只是被动的使用一些技术措施来进行防御,因此电子商务过程当中一旦出现突发性事件,往往造成很大的经济损失。现实中没有一个网络系统是完美无缺的,不安全因素随时存在。因此,安全管理措施必须渗透到系统的每一个环节和网站组织的一个层面,只有构建一个人与技术相结合的安全管理管理高层对人员管理在信息安全中的地位认识不体系,才能确保整个电子商务系统得安全。网站没有从整体上、有计划地考虑信息安全问题。网站各部门、各下属机构都存在“各自为政的局面,缺少统一规划、设计和管理信息安全强调的是整体上的信息安全性,而不仅是某一个部门或公司的信息安全。而各部门、各公司又确实存在个体差异,对于不同业务领域来说,信息安全具有不同的涵义和特征,信息安全保障体系的战略性必须涵盖各部门和各公司的信息安全保障体系的相关内容。
缺少信息安全管理配套的人力、物力和财力。人才是信息安全保障工作的关键。信息安全保障工作的专业性、技术性很强,没有一批业务能力强,且具有信息网络知识、信息安全技术、法律知识和管理能力的复合型人才和专门人才,就不可能做好信息安全保障工作。应该从信息安全建设和管理对信息安全人才的实际需求出发,加快信息安全人才的培养。网站对员工的信息安全教育不够。员工的信息安全意识薄弱,9O%的安全事故是由于人为疏忽所造成。如有些网站不限制内部人员使用各种高科技信息载体,如U盘、移动硬盘以及笔记本等移动办公设备。
3.电子商务网站信息安全的技术对策
3.1 应用数字签名
数字签名是用来保证信息传输过程当中信息的完整和提供信息发送者身份的认证,应用数字签名可在电子商务中安全,方便地实现在线支付,而数据传输的安全性、完整性,身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。
3.2 配置防火墙
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流,提供接人控制和审查跟踪,是一种访问控制机制。在逻辑,防火墙是一个分离器、限制器,能有效监控内部网和Internet之间的任何活动,保证内部网络的安全。
3.3 应用加密技术
密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两。相应地,对数据加密的技术分为对称加密和非讨称力日密两类。根据电子商务系统的特点,全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说,应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。
3.4 访问控制技术
这种技术主要采用防火墙,最初是针对Internet网络不安全因素所采取的一种保护措施。是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。利用防火墙广泛的安全政策控制信息流,可以达到访问控制、授权认证、安全检查、加密、集中管理、报警和监督记录等功能。目前使用较多的是包过滤技术防火墙和采用技术的防火墙。两种防火墙的结合,双重保证了系统的安全性。
3.5 安全认证协议
安全认证协议包括安全电子商务交易协议和安全套接层协议。安全电子交易协议,是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
参考文献
[1]周均.电子商务信息安全的政策法律研究[J].科技文献信息管理,2004(4):57.
“国货”认定缺乏标准。《政府采购法》第十条明确规定,政府采购应当采购本国货物、工程和服务。其中“国货”的界定依照国务院规定执行,但目前相关法规仍处于起草修改阶段。国务院法制办于2010年1月11日公布的《政府采购法实施条例(征求意见稿)》中,对“本国货物”的规定是“在中国境内生产,且国内生产成本超过一定比例的最终产品”,仅通过产品成本组成界定,未涉及技术要求。2010年5月21日,财政部、商务部、国家发改委、海关总署联合起草了《政府采购本国产品管理办法(征求意见稿)》,延续了《政府采购法实施条例(征求意见稿)》的内容,并明确规定“本办法所称本国产品是指在中国关境内生产,且国内生产成本比例超过50%的最终产品”。从已出台的法律法规来看,我国最基本的国货标准还没有形成,对国货的界定还处于无法可依的阶段。
强制性要求执行力度不够。由于信息安全产品和服务在国家经济社会中具有特殊重要性,我国对信息安全产品政府采购进行了相关规定。2009年国家质检总局印发了《关于调整信息安全产品强制性认证实施要求的公告》,要求8类13种信息安全产品进入政府采购前必须实行强制性认证。2010年财政部等多个部委联合了《关于信息安全产品实施政府采购的通知》,要求供应商必须具备中国信息安全认证中心按国家标准认证颁发的有效认证证书。但据了解,在有些实际招标文件中并未要求产品获得信息安全强制性认证资格。造成上述问题的原因,一是管理不完善,二是缺乏可操作的执行标准,同时也缺少权威的信息安全产品和服务采购要求和采购目录。
国家基础网络和重要信息系统的信息安全产品和服务采购没有制度支持。
我国《政府采购法》只适用于国家机关、事业单位和人民团体,对国有企业不适用。而采购大户——基础网络和重要信息系统运营单位主要为国有企业或国有金融机构,其采购行为不受政府采购法律的约束,无需购买国货和强制认证。这就导致事关国家安全和国计民生的基础网络和重要信息系统在采购信息安全产品和服务时,主要由企业自行决定,大量采购国外或外资控股企业提供的产品和服务,安全隐患十分突出。
国外保护国家信息安全实例
2006年3月,美国国务院经招标确定采购联想集团价值约1300万美元的1.6万多台计算机设备。美中经济安全调查委员会以“使用联想计算机会对美国国家安全产生灾难性后果”为由,提出强烈反对,并将意见提交至国会。最后美国政府调整了原来的采购计划,在联想与美国国土安全部签订的安全协定上又多加了限制条件,要求联想在参与美国的政府采购时,不得以任何形式索取、接受、维护、鉴别有关美国政府定购电脑产品的用户信息,同时还宣布将会修改政府采购流程。联想必须通过美国政府认可的本地第三方公司向美国政府部门提品及售后服务,同时必须无条件接受美国安全部门对其信息系统使用情况的检查。
IBM的台式计算机曾一直是日本防卫厅采购目录的“注册厂商”,也曾经是日本防卫厅重要的计算机设备提供者。但在IBM的台式计算机部门被联想收购后,日本防卫厅在2006年4月以防止“中国制造”的台式计算机“渗透”而造成泄密为理由,拒绝接受联想生产的IBM品牌台式计算机,从此联想无缘日本防卫厅电脑采购招标。
政策建议
政府部门加大对国产信息类产品的采购执行力度。要在不违背WTO的前提下进行政策设计,明确“本国货物”的认定标准及量化指标,建立信息安全标准化体系和政府信息类产品采购指南;强制要求各部门在本国货物能够满足应用需求时,必须采购本国货物并优先采购目录内的产品;因技术原因确需采购非本国货物时,必须按照有关规定报相关部门审批,同时该产品也必须通过国家的信息安全检测认证,并以此为对价,要求国外厂商开放涉及信息安全的关键技术。