引言：易發(fā)表網(wǎng)憑借豐富的文秘實踐，為您精心挑選了九篇國內(nèi)信息安全認證范例。如需獲取更多原創(chuàng)內(nèi)容，可隨時聯(lián)系我們的客服老師。

第1篇

日前，我國專門從事數(shù)字證書認證系統(tǒng)開發(fā)的吉大正元信息技術(shù)股份有限公司與公安部舉行了“公安部信息安全認證管理系統(tǒng)（試點工程）”合同簽字儀式。吉大正元將承擔“公安部信息安全認證管理系統(tǒng)（試點工程）”的具體實施工作。

金盾工程(公安綜合信息網(wǎng)絡(luò)建設(shè)工程)是全國公安信息化工程，其實質(zhì)是利用現(xiàn)代化信息通信技術(shù)，增強公安機關(guān)快速反應(yīng)、協(xié)同作戰(zhàn)的能力；提高公安機關(guān)的工作效率和偵察破案水平，適應(yīng)新形式下社會治安的動態(tài)管理。目的是實現(xiàn)以全國犯罪信息中心（CCIC）為核心，以各項公安業(yè)務(wù)應(yīng)用為基礎(chǔ)的信息共享和綜合利用，為各項公安工作提供強有力的信息支持。預(yù)計到2004年，金盾工程將在全國范圍內(nèi)準備100％完成聯(lián)結(jié)公安部到各省、自治區(qū)、直轄市的一級網(wǎng)，以及聯(lián)結(jié)省到各地市的二級網(wǎng)的建設(shè)。而“公安部信息安全認證管理系統(tǒng)（試點工程）”作為“金盾工程”安全保障體系的關(guān)鍵，主要解決公安信息網(wǎng)潛在的安全問題，進而建立有效的公安信息安全管理系統(tǒng)運行機制。

吉大正元信息技術(shù)股份有限公司是中國最大的數(shù)字證書廠商之一，是國家密碼管理委員會辦公室認定的商用密碼產(chǎn)品生產(chǎn)、銷售定點單位。公司自主開發(fā)的“吉大正元數(shù)字證書認證系統(tǒng)”處于國際先進、國內(nèi)領(lǐng)先地位，通過了國家密碼管理委員會辦公室、中國國家信息安全測評認證中心和公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心的審查和檢測，并取得了銷售許可證，在2001年度被國家經(jīng)貿(mào)委評為國家級重點新產(chǎn)品。該系統(tǒng)是1999年10月國務(wù)院頒布《商用密碼管理條例》以來，我國第一個通過國家級鑒定的擁有自主知識產(chǎn)權(quán)的數(shù)字證書認證系統(tǒng)。

據(jù)了解，吉大正元已經(jīng)先后承擔建設(shè)了6個國家級CA中心、6個省市級CA中心和20多個企業(yè)級CA中心。其中，承建的福建省電子商務(wù)證書安全認證中心、電子商務(wù)密鑰管理中心是我國第一個通過國家級鑒定的區(qū)域性電子商務(wù)證書安全認證中心和電子商務(wù)密鑰管理中心。吉大正元數(shù)字證書認證系統(tǒng)已經(jīng)在銀行、證券、稅務(wù)、工商、郵政等行業(yè)得到廣泛應(yīng)用，市場占有率居于全國首位。

第2篇

關(guān)鍵詞 PKI；CA；RA；數(shù)字證書；信息安全；雙因素認證；數(shù)字簽名；加密

中圖分類號：TM769 文獻標識碼：A 文章編號：1671-7597（2013）15-0119-02

隨著國內(nèi)外網(wǎng)絡(luò)與信息技術(shù)飛速發(fā)展和廣泛應(yīng)用，發(fā)電企業(yè)信息化也在不斷深入開展，信息安全形勢更加嚴峻，網(wǎng)絡(luò)與信息安全工作問題更加突出和重要。發(fā)電企業(yè)在保證發(fā)電安全生產(chǎn)的基礎(chǔ)上，逐步通過信息化建設(shè)，梳理管理流程，加強內(nèi)部管控，從而達到提升競爭力的作用。

信息安全是信息化建設(shè)的基礎(chǔ)和前提，基于PKI技術(shù)的數(shù)字證書機制構(gòu)建的應(yīng)用層信息安全保障體系，已經(jīng)作為信息安全基礎(chǔ)設(shè)施，在政府、金融、電信等領(lǐng)域得到廣泛應(yīng)用。如何合理構(gòu)建安全認證體系，既能滿足信息安全管理要求，又能保證投資和信息安全管理可控在控，已經(jīng)成為發(fā)電企業(yè)越來越關(guān)注的問題。

1 發(fā)電企業(yè)信息安全現(xiàn)狀分析

在發(fā)電企業(yè)構(gòu)建電子認證體系以保障業(yè)務(wù)安全的過程中，主要面臨著如下需求和問題。

1）缺少完整的電子認證基礎(chǔ)設(shè)施，企業(yè)內(nèi)部多級管理體系和獨立分支機構(gòu)的不同信息系統(tǒng)使用的數(shù)字證書不統(tǒng)一。

2）自建的電子認證基礎(chǔ)設(shè)施，有可能不具備相關(guān)運營資質(zhì)，并且建設(shè)和運營維護成本較大，而只采購第三方認證機構(gòu)頒發(fā)的數(shù)字證書，又不能完全滿足企業(yè)內(nèi)部信息化管理的需要。

3）重要核心信息系統(tǒng)未采用雙因素認證、數(shù)字簽名和數(shù)據(jù)加密等技術(shù)手段，無法保證數(shù)據(jù)保密性、完整性、抗抵賴性等信息安全要求。

為了很好的解決以上問題，結(jié)合發(fā)電企業(yè)信息化建設(shè)實際情況，提出以下幾點建議。

1）針對發(fā)電企業(yè)內(nèi)部多級管理體系和獨立分支機構(gòu)，建設(shè)統(tǒng)一的RA注冊審核機構(gòu)，與第三方認證機構(gòu)PKI/CA基礎(chǔ)設(shè)施配合，將完整的電子認證服務(wù)引入到現(xiàn)有信息系統(tǒng)中，既滿足了安全體系完整性，又方便了內(nèi)部安全認證服務(wù)管理。

2）針對不同的信息系統(tǒng)特性，制定雙因素認證、數(shù)字簽名和數(shù)據(jù)加密等安全認證策略和實施規(guī)范，RA系統(tǒng)設(shè)計上應(yīng)方便的與業(yè)務(wù)系統(tǒng)進行對接和交互，避免成為“信息孤島”，保證數(shù)據(jù)保密性、完整性、抗抵賴性等信息安全要求。

3）針對已經(jīng)使用了數(shù)字證書等安全認證的信息系統(tǒng)，應(yīng)考慮能夠?qū)崿F(xiàn)平滑過渡和無縫對接，防止出現(xiàn)安全體系設(shè)計重大變更和大規(guī)模系統(tǒng)改造等情況。

2 PKI/CA/RA簡介

1）PKI為“公鑰基礎(chǔ)設(shè)施”，是一個用非對稱密碼算法原理和技術(shù)實現(xiàn)的、具有通用性的安全基礎(chǔ)設(shè)施。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機制、數(shù)字信封、雙重數(shù)字簽名等。

2）CA認證機構(gòu)是采用PKI公開密鑰基礎(chǔ)架構(gòu)技術(shù)，專門提供網(wǎng)絡(luò)身份認證服務(wù)，負責簽發(fā)和管理數(shù)字證書，且具有權(quán)威性和公正性的第三方信任機構(gòu)。它是PKI公鑰基礎(chǔ)設(shè)施的核心，主要完成生成/簽發(fā)證書、生成/簽發(fā)證書撤銷列表（CRL：Certificate Revocation List）、證書和CRL到目錄服務(wù)器、維護證書數(shù)據(jù)庫和審計日志庫等功能，即證書的頒發(fā)、證書的更新、證書的查詢、證書的作廢、證書的歸檔等功能。

3）RA注冊審核機構(gòu)：RA是數(shù)字證書的申請、審核和注冊中心。從廣義上講，RA是CA的一個組成部分，主要負責數(shù)字證書的申請、審核和注冊。

3 基于PKI/CA/RA的安全認證服務(wù)平臺

3.1 平臺架構(gòu)

通過對發(fā)電企業(yè)安全現(xiàn)狀和需求分析，根據(jù)證書簽發(fā)、證書使用兩種應(yīng)用環(huán)境和職責不同，將RA系統(tǒng)劃分為RA子系統(tǒng)、證書驗證子系統(tǒng)兩個子系統(tǒng)。

1）RA子系統(tǒng)：負責證書的申請、簽發(fā)、更新、狀態(tài)變更等證書業(yè)務(wù)功能。RA子系統(tǒng)結(jié)構(gòu)由CA能力接入、系統(tǒng)管理、證書服務(wù)、用戶自服務(wù)等功能模塊組成。CA能力接入模塊面向第三方CA系統(tǒng)，系統(tǒng)管理模塊面向RA系統(tǒng)管理員，證書服務(wù)模塊面向業(yè)務(wù)系統(tǒng)，用戶自服務(wù)模塊面向使用證書業(yè)務(wù)的用戶（個人用戶、企業(yè)用戶）。

2）證書驗證子系統(tǒng)：負責證書有效性驗證、簽名驗簽等證書應(yīng)用功能，提供非對稱密鑰運算、摘要運算、簽名驗簽運算、證書驗證等證書應(yīng)用服務(wù)。

3.2 數(shù)字證書設(shè)計

3.2.1 設(shè)計原則

RA系統(tǒng)簽發(fā)的數(shù)字證書應(yīng)具有以下特點。

1）數(shù)字證書符合X509v3國際通用標準，可以同發(fā)電企業(yè)目前的電子認證體系無縫對接，平滑過渡。

2）數(shù)字證書獲得國家電子認證服務(wù)資質(zhì)認可，受《電子簽名法》保護，可以對外使用。

3）支持簽發(fā)軟/硬兩種形式的數(shù)字證書。

軟證書符合PKCS12標準，能方便的在手機、PDA等終端上使用。

硬證書保存在USBKEY等硬件存儲介質(zhì)上，安全可靠。

3.2.2 數(shù)字證書類型

按照數(shù)字證書的頒發(fā)對象不同，數(shù)字證書主要分為個人數(shù)字證書、機構(gòu)數(shù)字證書和設(shè)備數(shù)字證書等。

1）個人數(shù)字證書，主要用于標識數(shù)字證書自然人所有人的身份，包含了個人的身份信息及其公鑰，如用戶姓名、證件號碼、身份類型等。

2）機構(gòu)數(shù)字證書，主要用于標識數(shù)字證書機構(gòu)所有人的身份，包含機構(gòu)的相關(guān)信息及其公鑰，如：企業(yè)名稱、組織機構(gòu)代碼等。

3）設(shè)備數(shù)字證書，用于在網(wǎng)絡(luò)應(yīng)用中標識網(wǎng)絡(luò)設(shè)備的身份，主要包含了設(shè)備的相關(guān)信息及其公鑰，可用于服務(wù)器或網(wǎng)絡(luò)設(shè)備標識和驗證設(shè)備身份。

3.2.3 證書使用范圍

從使用范圍上來說，企業(yè)數(shù)字證書分為內(nèi)部證書、外部

證書。

1）內(nèi)部證書限于企業(yè)內(nèi)部人員、業(yè)務(wù)使用，承擔行政責任，可以用于企業(yè)內(nèi)部安全保障；企業(yè)重要人員的證書采用USBKEY存放，其他人員采用軟件存儲。

2）外部證書限于企業(yè)外部人員、業(yè)務(wù)使用，如電子商務(wù)平臺的供應(yīng)商。承擔法律責任，在對外業(yè)務(wù)出現(xiàn)糾紛時，可以用于法律鑒定，采用USBKEY存放證書。

3.2.4 證書用途

根據(jù)數(shù)字證書的密鑰用途，將證書分為以下兩種。

1）簽名證書：其私鑰可用于對信息的簽名。用戶在使用私鑰對信息簽名時，應(yīng)知曉并確認簽名的內(nèi)容。對于具有身份鑒別用途的證書，其私鑰可用于對鑒別方提交的挑戰(zhàn)信息簽名；在可能的情況下，具有身份鑒別用途的證書及信任鏈上的證書（根證書除外）應(yīng)提交給驗證方。

2）加密證書：其私鑰可用于對采用對應(yīng)公鑰加密的信息

解密。

根據(jù)國家密碼管理局的相關(guān)要求以及發(fā)電企業(yè)對證書的使用需求，個人證書、企業(yè)證書都需要簽發(fā)雙證書（加密證書、簽名證書）。

3.2.5 證書存儲形態(tài)

根據(jù)數(shù)字證書的存儲形態(tài)不同，可以將證書存儲在以下介質(zhì)中。

1）軟證書：證書以軟件形式存放，包括以文件形式或者將證書導(dǎo)入到IE存儲；根據(jù)信息系統(tǒng)對證書的要求，可以將個人證書（大部分）以軟件形態(tài)存放。

2）USBKEY證書：證書存儲在USBKEY中；企業(yè)重要人員的證書采用USBKEY存放，企業(yè)外的個人證書、企業(yè)證書全部采用USBKEY存儲，便于保管。

4 應(yīng)用實踐

目前對于發(fā)電企業(yè)來講，PKI/CA/RA安全認證服務(wù)主要可應(yīng)用于以下幾個方面。

1）辦公自動化系統(tǒng)電子印章管理，采用數(shù)字簽名及證書對稱加密、非對稱加密等技術(shù)，防止電子文件被篡改、電子印章被非法利用。

2）企業(yè)資源計劃（ERP）、燃料管理、辦公自動化、資金管理、電子商務(wù)等重要信息系統(tǒng)的雙因素認證，為IT審計提供依據(jù)，防止抵賴，進一步保證系統(tǒng)安全。

3）無線網(wǎng)絡(luò)、VPN網(wǎng)絡(luò)等網(wǎng)絡(luò)接入認證管理。

5 結(jié)束語

PKI/CA/RA安全認證服務(wù)平臺實現(xiàn)了統(tǒng)一、完整的電子認證基礎(chǔ)設(shè)施，為發(fā)電企業(yè)提供數(shù)字證書申請、受理、審批、簽發(fā)、更新、吊銷、等業(yè)務(wù)功能，數(shù)字證書與企業(yè)資源計劃（ERP）、電子印章、電子商務(wù)等信息系統(tǒng)集成，全面支持企業(yè)內(nèi)部和對外電子商務(wù)應(yīng)用，以及重要信息系統(tǒng)、設(shè)備的雙因素認證。

實踐證明，PKI/CA/RA安全認證服務(wù)平臺在發(fā)電企業(yè)信息安全工作中，已發(fā)揮了不可替代的重要作用，可有效提高信息系統(tǒng)安全性和可靠性，下一步將加強核心業(yè)務(wù)信息系統(tǒng)中的重要操作、重要信息系統(tǒng)中敏感信息加密、移動辦公等方面的研究和應(yīng)用。

參考文獻

[1]龍玉江，白雪，汪浩.PKI/CA技術(shù)在電力信息系統(tǒng)安全保障方面的應(yīng)用研究[J].貴州電力技術(shù)，2009（1）：40.

[2]劉欣.PKI/CA技術(shù)在電力信息系統(tǒng)中的應(yīng)用研究[J].電力信息化，2009，7（10）：30.

第3篇

2008年,國家質(zhì)量監(jiān)督檢驗檢疫總局、國家認證認可監(jiān)督管理委員會聯(lián)合公告,決定對部分信息安全產(chǎn)品實施強制性認證,《第一批信息安全產(chǎn)品強制性認證目錄》也同時公布,數(shù)據(jù)備份與恢復(fù)產(chǎn)品位列其中。凡列入強制性認證目錄內(nèi)的信息安全產(chǎn)品,未獲得強制性產(chǎn)品認證證書和未加施中國強制性認證標志的,不得出廠、銷售、進口或在其他經(jīng)營活動中使用。

2009年,國家質(zhì)量監(jiān)督檢驗檢疫總局、財政部、國家認證認可監(jiān)督管理委員會聯(lián)合公告,決定將對部分信息安全產(chǎn)品進行強制性認證的強制實施時間從2009年5月1日延至2010年5月1日。如今,強制實施時間已經(jīng)過去了4個多月,數(shù)據(jù)備份和恢復(fù)產(chǎn)品的認證情況如何呢?記者查閱了中國信息安全認證中心公布的信息安全產(chǎn)品認證獲證名單,目前已通過認證的數(shù)據(jù)備份和恢復(fù)產(chǎn)品只有兩款――愛數(shù)備份軟件V3.0、火星企業(yè)級跨平臺數(shù)據(jù)備份軟件V3.0。

國內(nèi)廠商積極性更高

記者采訪了幾家國內(nèi)外主要的數(shù)據(jù)備份與恢復(fù)軟件廠商,發(fā)現(xiàn)國內(nèi)廠商在3C認證方面比較積極,現(xiàn)已通過產(chǎn)

品認證的兩個廠商都是國內(nèi)廠商,包括上海愛數(shù)軟件有限公司和火星高科(天津火星科技有限公司是火星高科在天津的產(chǎn)業(yè)基地)。國外廠商的行動相對較慢。記者目前了解的情況是,CommVault已經(jīng)提交了相關(guān)資料,目前正在等待回復(fù),準備進行實際的產(chǎn)品測試。

火星高科市場總監(jiān)郭競遠介紹說:“早在2004～2005年,我公司曾參與政府部門組織的數(shù)據(jù)備份技術(shù)標準的制定工作。后來,此技術(shù)標準沒有成為國家標準,而是被國家質(zhì)量監(jiān)督檢驗檢疫總局采納為部級標準,并用于對數(shù)據(jù)備份與恢復(fù)產(chǎn)品的3C認證。”

以前3C認證主要針對硬件產(chǎn)品,而數(shù)據(jù)備份與恢復(fù)產(chǎn)品主要是軟件。為此,2008年,國家質(zhì)量監(jiān)督檢驗檢疫總局曾就數(shù)據(jù)備份與恢復(fù)產(chǎn)品的認證廣泛征求過意見,EMC、賽門鐵克、火星高科等廠商都曾被邀請參與過討論。

火星高科是較早申請數(shù)據(jù)備份與恢復(fù)產(chǎn)品認證的公司,其產(chǎn)品已在2009年獲得了3C認證。根據(jù)《關(guān)于部分信息安全產(chǎn)品實施強制性認證的公告》規(guī)定,數(shù)據(jù)備份與恢復(fù)產(chǎn)品增加相應(yīng)的安全功能是必須的。這里說的數(shù)據(jù)備份與恢復(fù)產(chǎn)品是指實現(xiàn)和管理信息系統(tǒng)數(shù)據(jù)備份和恢復(fù)過程的軟件。數(shù)據(jù)備份軟件的安全功能包括許多內(nèi)容,人們經(jīng)常用到的可能有以下幾項:第一,在系統(tǒng)登錄時進行安全保護,比如設(shè)置用戶名和密碼;第二,如果有人超長時間使用備份系統(tǒng),系統(tǒng)要具備自動鎖定功能;第三,建立完善的日志系統(tǒng)。火星高科曾經(jīng)花費近半年的時間對現(xiàn)有的數(shù)據(jù)備份軟件進行改進,以符合3C認證中關(guān)于信息安全的規(guī)定。

“我們在項目銷售過程中得知數(shù)據(jù)備份產(chǎn)品要通過3C認證的消息。公司對各種相關(guān)的專業(yè)權(quán)威認證一直都比較重視,所以立即啟動了3C認證項目?！鄙虾蹟?shù)軟件有限公司負責技術(shù)支持和資質(zhì)認證業(yè)務(wù)的許女士介紹說,“通過申報材料、產(chǎn)品檢測、工廠現(xiàn)場檢驗等一系列步驟,大約用了幾個月的時間,公司當時的主打產(chǎn)品愛數(shù)備份軟件V3.0順利通過了3C認證?！?/p>

政府行業(yè)采購有變數(shù)

今年9月,財政部、工業(yè)和信息化部、國家質(zhì)量監(jiān)督檢驗檢疫總局、國家認證認可監(jiān)督管理委員會聯(lián)合下發(fā)的關(guān)于信息安全產(chǎn)品實施政府采購的通知中說,各級國家機關(guān)、事業(yè)單位和團體組織(以下統(tǒng)稱采購人)使用財政性資金采購信息安全產(chǎn)品的,應(yīng)當采購經(jīng)國家認證的信息安全產(chǎn)品。對采購人或其委托的采購機構(gòu)未按要求采購的,有關(guān)部門要按照有關(guān)法律、法規(guī)和規(guī)章予以處理,財政部門視情況可以拒付采購資金。

2008年,《第一批信息安全產(chǎn)品強制性認證目錄》公布時,并沒有任何關(guān)于行業(yè)應(yīng)用的限定。但是2009年,當相關(guān)機構(gòu)宣布強制實施時間延至2010年5月1日時明確提出,信息安全產(chǎn)品強制認證只適用于政府采購。記者從中國信息安全認證中心獲得的消息是,如果廠商的產(chǎn)品不涉及政府采購,而只是一般的商業(yè)用途,并不受強制認證的限制。對于國內(nèi)數(shù)據(jù)備份廠商來說,政府采購是收入來源中非常重要的一部分。因此,國內(nèi)廠商對3C認證的態(tài)度比較積極順理成章。CommVault公司市場經(jīng)理楊濤表示:“雖然目前在政府項目采購中,我們還沒有遇到有關(guān)強制性認證的問題。不過,既然有這樣的規(guī)定,我們會積極響應(yīng),不希望因此而影響日后可能進行的政府項目采購?！?/p>

雖然強制認證的實施已經(jīng)有幾個月的時間,但是記者采訪了幾位政府部門的采購負責人,他們均表示還沒有看到相關(guān)的文件。備份軟件廠商BakBone公司市場部的劉欣告訴記者:“2007年,我曾經(jīng)聽說過軟件產(chǎn)品要經(jīng)過認證的事情。后來,因為工作轉(zhuǎn)換的原因,我也沒再留意相關(guān)認證的事情。”

有法可依 執(zhí)法必嚴

第4篇

十幾年來，勤勞智慧的藍盾人憑借高度民族使命感和責任感，自主研發(fā)出十個系列、近50個型號的產(chǎn)品，多項產(chǎn)品通過公安、保密、軍隊等權(quán)威主管部門的檢測認證。

藍盾擁有AAA級企業(yè)信用等級，在經(jīng)營活動中始終堅持“誠信服務(wù)”，追求細致卓越，高效服務(wù)客戶，以客戶需求為導(dǎo)向，在發(fā)展過程中逐步形成了涵蓋安全產(chǎn)品研發(fā)及銷售、安全集成及安全服務(wù)的完整業(yè)務(wù)體系，形成了強大的綜合服務(wù)能力。藍盾已成為一家安全產(chǎn)品、安全服務(wù)、安全集成多業(yè)務(wù)齊頭并進的綜合性信息安全企業(yè)。

藍盾建立了以廣州營銷總部為中心，以北京、上海、重慶為支點，輻射全國的營銷和技術(shù)服務(wù)體系。作為華南地區(qū)信息安全第一品牌，藍盾目前已擁有覆蓋全國，涉及政府、電信、金融、軍隊、能源、交通、教育、流通、郵政、制造等行業(yè)的近千余家客戶。藍盾雄厚的實力和一流的服務(wù)為公司贏得了廣大客戶的高度贊譽。

1.安全產(chǎn)品

藍盾擁有包括安全網(wǎng)關(guān)、安全審計、應(yīng)用安全在內(nèi)的三大類、十大系列、50多個品種的安全產(chǎn)品線，可基本滿足客戶在網(wǎng)絡(luò)邊界安全、安全審計與合規(guī)、應(yīng)用安全等方面的信息安全需求。

2.安全集成

作為主營業(yè)務(wù)之一，藍盾安全集成業(yè)務(wù)包括自有的和第三方的信息系統(tǒng)安全產(chǎn)品銷售、基礎(chǔ)信息系統(tǒng)建設(shè)、應(yīng)用信息系統(tǒng)開發(fā)、信息系統(tǒng)運維服務(wù)、信息系統(tǒng)安全運營等。藍盾已為政府、教育、金融、電力、醫(yī)療等行業(yè)的多家客戶提供了信息安全系統(tǒng)整體解決方案。

有別于傳統(tǒng)的系統(tǒng)集成業(yè)務(wù)，藍盾安全集成業(yè)務(wù)以公司自有信息安全產(chǎn)品和業(yè)務(wù)整合為基礎(chǔ)，以信息系統(tǒng)安全運營服務(wù)平臺為基礎(chǔ)結(jié)構(gòu)，建立了覆蓋產(chǎn)品研發(fā)、方案設(shè)計、銷售和集成、工程實施、管網(wǎng)建設(shè)和運營服務(wù)的一整套信息系統(tǒng)安全運營業(yè)務(wù)支持體系，成功實現(xiàn)了從傳統(tǒng)信息系統(tǒng)集成業(yè)務(wù)到以信息安全產(chǎn)品為基礎(chǔ)、提供信息系統(tǒng)安全運營整體服務(wù)的戰(zhàn)略跨越，從而確立了公司整體解決方案在信息安全市場中的領(lǐng)先地位。

3.安全服務(wù)

藍盾提供的安全服務(wù)主要包括安全咨詢與評估、專業(yè)化安全檢測與防護、安全認證培訓(xùn)服務(wù)、安全運營及管理、安全技術(shù)支持等。經(jīng)過多年積累，藍盾已為上百家客戶提供了專業(yè)化的服務(wù)，構(gòu)建了覆蓋不同行業(yè)客戶及客戶不同發(fā)展階段的信息安全服務(wù)體系。

信息安全產(chǎn)品的研發(fā)、生產(chǎn)和銷售是藍盾業(yè)務(wù)體系的基礎(chǔ)。它對信息安全集成及信息安全服務(wù)的發(fā)展起著至關(guān)重要的作用。安全產(chǎn)品業(yè)務(wù)能夠有效促進公司安全集成與安全服務(wù)業(yè)務(wù)的實現(xiàn)和業(yè)務(wù)量的提升。安全集成與安全服務(wù)業(yè)務(wù)同時還會促進安全產(chǎn)品技術(shù)和應(yīng)用水平的提升。隨著技術(shù)實力和安全產(chǎn)品競爭力的提高，藍盾提供整體解決方案的能力也在逐漸增強。在安全集成業(yè)務(wù)收入快速增長的同時，藍盾自有安全產(chǎn)品的銷售額也在快速增加。

技術(shù)創(chuàng)新 締造優(yōu)勢

藍盾始終以自主創(chuàng)新為發(fā)展原動力，以領(lǐng)先的技術(shù)研發(fā)搶占市場。經(jīng)過多年的探索和積累，藍盾已掌握了信息安全領(lǐng)域內(nèi)的主要核心技術(shù)，并擁有該領(lǐng)域內(nèi)近百項軟件著作權(quán)。藍盾目前掌握的主要技術(shù)處于國內(nèi)領(lǐng)先地位，其中藍盾DDoS防御網(wǎng)關(guān)采用的零積累智能識別技術(shù)達到了國際先進水平。

憑借領(lǐng)先的技術(shù)實力，藍盾先后實施了包括公安部科技攻關(guān)項目在內(nèi)的多項國家級、部級、省市區(qū)級的重點信息安全科研項目，并在公安部等部委制定服務(wù)器安全類產(chǎn)品和安全審計類產(chǎn)品行業(yè)技術(shù)標準的過程種發(fā)揮了重要作用。

此外，藍盾還成功地為北京奧運會和殘奧會提供了信息安全產(chǎn)品和服務(wù)，并因此獲得了北京奧組委頒發(fā)的榮譽獎?wù)隆?/p>

專業(yè)資質(zhì) 彰顯實力

安全行業(yè)是國家強制性保護的行業(yè)，獲得資質(zhì)或許可的多少是衡量信息安全企業(yè)競爭實力的重要標準。

藍盾具有技術(shù)優(yōu)勢及綜合服務(wù)能力，已擁有商用密碼產(chǎn)品銷售許可證、軍隊網(wǎng)絡(luò)采購信息資格認證、信息系統(tǒng)產(chǎn)品檢測證書、軍用信息安全產(chǎn)品認證證書、產(chǎn)品銷售許可證、中國信息安全認證中心產(chǎn)品認證證書、廣州市自主創(chuàng)新產(chǎn)品證書，并取得了計算機信息系統(tǒng)安全服務(wù)一級資質(zhì)證書、計算機信息系統(tǒng)集成一級資質(zhì)證書、計算機信息系統(tǒng)集成乙級證書、信息安全應(yīng)急處理服務(wù)資質(zhì)、信息安全風險評估服務(wù)資質(zhì)等業(yè)務(wù)資質(zhì)，還獲得了包括信息安全產(chǎn)品、信息安全集成及信息安全服務(wù)在內(nèi)的所有業(yè)務(wù)類別的較高級別資質(zhì)和許可，是業(yè)內(nèi)獲得資質(zhì)和許可最全的企業(yè)之一。

綜合服務(wù) 鑄就品牌

藍盾的各業(yè)務(wù)模塊能相互促進，共同發(fā)展，從而形成了較強的綜合服務(wù)能力。

藍盾的信息安全產(chǎn)品可滿足客戶在網(wǎng)絡(luò)邊界安全、安全審計與合規(guī)、應(yīng)用安全等方面的信息安全需求，并能為客戶設(shè)計和實施信息安全方面的整體解決方案，滿足客戶系統(tǒng)化、個性化的安全需求。

此外，藍盾還可以為客戶提供安全咨詢與評估、安全檢測與防護、安全認證培訓(xùn)服務(wù)等專業(yè)化的安全服務(wù)。藍盾完整的業(yè)務(wù)體系及豐富的產(chǎn)品種類可滿足不同行業(yè)客戶的信息安全需求，增強公司的綜合競爭力。

藍盾建立了輻射全國的營銷和技術(shù)服務(wù)體系，這為公司掌握信息安全領(lǐng)域的最新市場動態(tài)、及時響應(yīng)客戶需求提供了重要保證。

客戶穩(wěn)定 促進增長

信息安全行業(yè)的特殊性決定了下游客戶對信息安全提供商存在一定的依賴性。隨著社會各界對信息安全要求的逐步提高，下游客戶在信息安全系統(tǒng)建設(shè)和升級的過程中會對安全產(chǎn)品、安全集成及安全服務(wù)產(chǎn)生交叉消費和重復(fù)消費。

因此，下游用戶對信息安全領(lǐng)域的投入是持續(xù)性的。藍盾現(xiàn)有的客戶資源既是穩(wěn)定的業(yè)務(wù)來源，也是宣傳品牌、擴大影響力的最好載體，這有利于新市場及新客戶的開拓，也為公司的持續(xù)盈利提供了重要保障。

精英匯聚 引領(lǐng)成功

第5篇

日前《數(shù)據(jù)中心服務(wù)能力成熟度評價要求》行業(yè)標準正式。該行業(yè)標準由招商銀行數(shù)據(jù)中心和中國信息安全認證中心組織，中國惠普有限公司、萬國數(shù)據(jù)服務(wù)有限公司和北京趨勢引領(lǐng)信息咨詢有限公司共同研究、編寫。《數(shù)據(jù)中心服務(wù)能力成熟度評價要求》歷時一年多，提出的數(shù)據(jù)中心服務(wù)能力成熟度模型從實現(xiàn)收益、控制風險和優(yōu)化資源的基本訴求出發(fā)，確立了數(shù)據(jù)中心的目標以及實現(xiàn)這些目標所應(yīng)具備的服務(wù)能力，并以此為基礎(chǔ)建立數(shù)據(jù)中心成熟度評價對象模型，提出了適用于數(shù)據(jù)中心成熟度評價的具體評價方法和指標體系。

中國信息安全認證中心魏昊主任告訴本報記者：“在模型的建立過程我們參考了國際上比較成熟的成熟度評價模型和管理體系，具有先進性和前瞻性，同時也充分考慮了行標的廣泛應(yīng)用問題，可以應(yīng)用到各種大型數(shù)據(jù)中心?！?/p>

魏昊主任還強調(diào)，《數(shù)據(jù)中心服務(wù)能力成熟度評價要求》在成熟度模型方面汲取了CMMI、COBIT等模型通行的基于過程評價的思路，采取了典型的5級分級；而在管理體系方面汲取了服務(wù)管理體系和信息安全管理體系的部分管理過程，但自己獨立建立了對數(shù)據(jù)中心服務(wù)能力進行評價的成熟度評價模型，提出基于3個一級管理域、15個管理子域的42個管理過程為評價對象，7個評價要素、15個評價子要素和30個評價點的評價模型，特別是基于證據(jù)指數(shù)的加權(quán)平均計算過程成熟度、過程域成熟度和總體成熟度的方法完全是自主創(chuàng)新。

招商銀行數(shù)據(jù)中心是《數(shù)據(jù)中心服務(wù)能力成熟度評價要求》的研究原型，也是該標準的首個試點單位。招商銀行信息技術(shù)部數(shù)據(jù)中心總經(jīng)理高旭磊談及標準的產(chǎn)生過程時表示，現(xiàn)有的標準還不能覆蓋數(shù)據(jù)中心管理的各個方面，在數(shù)據(jù)中心管理成熟度精細度方面也有不足，這些基本訴求再加上招商銀行正在進行的二次轉(zhuǎn)型服務(wù)的大背景，促使其開始考慮編寫該標準?！拔覀兡繕耸且褦?shù)據(jù)中心的管理從全面過程管理轉(zhuǎn)換成全面質(zhì)量管控，最終把數(shù)據(jù)中心管理工作進一步科學化，以提高管理效率。”他說。

第6篇

關(guān)鍵詞：火電廠；控制系統(tǒng)；信息安全；策略

1我國工業(yè)控制系統(tǒng)信息安全發(fā)展態(tài)勢

從2011年底起，國家各部委了一系列關(guān)于工業(yè)控制系統(tǒng)信息安全的文件，把工控信息安全列為“事關(guān)經(jīng)濟發(fā)展、社會穩(wěn)定和國家安全”的重要戰(zhàn)略，受到國家層面的高度重視。在國家層面的推動下，工控信息安全工作轟轟烈烈展開，大批行政指令以及標準應(yīng)運而生；在行政和市場雙重動力的推動下，安全信息產(chǎn)業(yè)如雨后春筍般發(fā)展，工控信息安全產(chǎn)業(yè)聯(lián)盟迅速壯大。這種形勢下，我國電力、石化、鋼鐵等各大行業(yè)的集團和公司面臨著如何迅速研究工控信息安全這個新課題，學習這一系列文件精神和標準，加強工控信息安全管理，研究采取恰當?shù)男畔踩夹g(shù)措施等，積極穩(wěn)妥地把工控信息安全工作踏踏實實地開展起來這一系列緊迫任務(wù)。但是，當前面臨的困難是，從事信息安全產(chǎn)業(yè)的公司大多不太熟悉特點各異的各行業(yè)工控系統(tǒng)，有時還不免把工控系統(tǒng)視作一個互聯(lián)網(wǎng)信息系統(tǒng)去思考和防護,而從事工控系統(tǒng)應(yīng)用行業(yè)的人們大多還來不及了解信息安全技術(shù)，主導(dǎo)制定本行業(yè)的相關(guān)標準和本行業(yè)控制系統(tǒng)信息安全的工作策略，并推動兩支力量的緊密配合。這正是當前面臨的困境和作者力圖要與同仁們一起學習和探討的問題。

2從工控系統(tǒng)特點出發(fā)正確制定信息安全發(fā)展策略

火電廠控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)相比，相對來說，與外部完全開放的互聯(lián)網(wǎng)聯(lián)系極少，分布地域有限，接觸人員較少，而對實時性、穩(wěn)定性和可靠性卻要求極高。這正是我們制定火電廠控制系統(tǒng)信息安全工作策略的基本出發(fā)點。為了形象起見，我們以人類抵抗疾病為例。人要不生病，一方面要自身強壯，不斷提高肌體的免疫系統(tǒng)和自修復(fù)能力；另一方面，要盡可能營造一個良好的外部環(huán)境（不要忽冷忽熱，空氣中污染物少，無彌漫的病菌和病毒）。人類積累了豐富的經(jīng)驗，根據(jù)實際情況采取非常適當?shù)谋Ｗo措施。例如，對于一般人來說，他們改變環(huán)境的可行性較差。因此，確保自身強壯以及發(fā)現(xiàn)病兆及時吃藥修復(fù)等是其保護自己的主要手段。但是，對于新生兒，因為自身免疫系統(tǒng)還比較脆弱，短時間也不可能馬上提高。剛出生時醫(yī)生也有條件將其暫時置于無菌恒溫保護箱中哺養(yǎng)，以隔絕惡劣的環(huán)境。信息安全與人類抵抗病十分相似。對于一般互聯(lián)網(wǎng)信息系統(tǒng)，分布地域極廣，接觸人員多而雜，因此信息安全策略重點，除了在適當?shù)攸c采取一些防火墻等隔離措施外，主要依靠提高自身健壯性，以及查殺病毒等措施防御信息安全。對于工控系統(tǒng)，特別是火電廠控制系統(tǒng)，它與外部互聯(lián)網(wǎng)聯(lián)系較少，分布地域有限，接觸人員較少。因此，對火電廠應(yīng)該首先把重點放在為控制系統(tǒng)營造一個良好環(huán)境上。也就是說，盡可能與充斥病毒和惡意攻擊的源泉隔離，包括從互聯(lián)網(wǎng)進來的外部入侵，以及企業(yè)內(nèi)外人員從內(nèi)部的直接感染和入侵。前者可采取電力行業(yè)中證明行之有效的硬件網(wǎng)絡(luò)單向傳輸裝置（單向物理隔離裝置）等技術(shù)手段；后者則主要通過加強目前電廠內(nèi)比較忽視和薄弱的信息安全管理措施?；痣姀S控制系統(tǒng)采取這種信息安全策略可以達到事半功倍的效果。從當前國內(nèi)外出現(xiàn)的不少工控系統(tǒng)遭受惡意攻擊和植入病毒導(dǎo)致的嚴重事故來看，幾乎大多數(shù)是沒有或者隔離措施非常薄弱經(jīng)互聯(lián)網(wǎng)端侵入，或者通過企業(yè)內(nèi)外人員從內(nèi)部直接植入病毒導(dǎo)致。當然，我們不能忽視提高控制系統(tǒng)自身健壯性的各種努力和措施，以便萬一惡意攻擊和病毒侵入的情況下仍能萬無一失確保安全。但是，開展這方面工作，特別是在已經(jīng)投運的控制系統(tǒng)上進行這方面工作要特別慎重，這不僅因為這些工作代價較高，而且在當前信息安全產(chǎn)業(yè)中不少公司還不太熟悉相關(guān)行業(yè)工控系統(tǒng)特點，有些產(chǎn)品在工控系統(tǒng)中應(yīng)用尚不成熟，而火電廠控制系統(tǒng)廠家對自身產(chǎn)品信息安全狀態(tài)研究剛剛開始，或者由于種種原因沒有介入和積極配合的情況下風險較高。這不是聳人聽聞，實踐已經(jīng)發(fā)生，有的電廠為此已經(jīng)付出了DCS停擺，機組誤跳的事故代價。

3火電廠控制系統(tǒng)供應(yīng)側(cè)和應(yīng)用側(cè)兩個信息安全戰(zhàn)場的不同策略及相互協(xié)調(diào)

火電廠控制系統(tǒng)，主要是DCS，不僅是保證功能安全的基礎(chǔ)，也是提高自身健壯性，確保信息安全的關(guān)鍵，它包括供應(yīng)側(cè)和應(yīng)用側(cè)兩個信息安全戰(zhàn)場。在DCS供應(yīng)側(cè)提高自身健壯性，并通過驗收測收，確保系統(tǒng)信息安全有許多明顯的優(yōu)點。它可以非常協(xié)調(diào)地融入信息安全策略，可以離線進行危險性較大的滲透性測試，發(fā)現(xiàn)的漏洞對應(yīng)用其控制系統(tǒng)的電廠具有一定的通用性等。此外，DCS供應(yīng)側(cè)在提高信息安全方面積累的經(jīng)驗和措施，培養(yǎng)起來的隊伍，也將有助于現(xiàn)有電廠DCS的測試評估，以及安全加固等直接升級服務(wù)或配合服務(wù)。與信息安全產(chǎn)業(yè)的公司提供服務(wù)擴大了公司的市場不同，DCS供應(yīng)側(cè)提高其信息安全水平增加了DCS成本。因此，為了推動DCS供應(yīng)側(cè)提高信息安全水平，除了目前已經(jīng)在發(fā)揮作用的行政手段外，我們還必須加強市場手段的動力。為此，當前我們電力行業(yè)應(yīng)盡快從信息安全角度著手制定DCS準入標準，制定火電廠DCS信息安全技術(shù)標準和驗收測試標準，以及招標用典型技術(shù)規(guī)范書等?；痣姀SDCS應(yīng)用側(cè)，是當前最緊迫面臨現(xiàn)實信息安全風險，而且范圍極廣的戰(zhàn)場，必須迅速有步驟地點面結(jié)合提高信息安全，降低風險。具體意見如下：

3.1應(yīng)迅速全面開展下列三方面工作

（1）全面核查DCS與SIS及互聯(lián)網(wǎng)間是否真正貫徹落實了發(fā)改委2014年14號令和國家能源局2015年36號文附件中關(guān)于配置單向物理隔離的規(guī)定，沒有加裝必須盡快配置，已配置的要檢查是否符合要求。（2）迅速按照《工業(yè)控制系統(tǒng)信息安全防護指南》加強內(nèi)部安全管理，杜絕內(nèi)部和外部人員非法接近操作、介入或在現(xiàn)場總線及其它接入系統(tǒng)上偷掛攻擊設(shè)備等，并適度開展一些風險較小的安全測評項目。上述兩項工作，在已投運系統(tǒng)上實施難度較低，實施風險相對較低，但是卻能起到抵御當前大部分潛在病毒侵襲和惡意攻擊的風險。（3）通過試點，逐步開展對已運DCS進行較為深入的安全測評，適度增加信息安全技術(shù)措施，待取得經(jīng)驗后，再組織力量全面推廣，把我國火電廠控制系統(tǒng)信息安全提高到一個新的水平。為了提高這項工作的總體效益，建議針對國內(nèi)火電廠應(yīng)用的各種型號的DCS品牌出發(fā)，各大電力集團互相協(xié)調(diào)，統(tǒng)籌規(guī)劃，選擇十個左右試點電廠，由應(yīng)用單位上級領(lǐng)導(dǎo)組織，國家級或重點的測評機構(gòu)、實驗室技術(shù)指導(dǎo)，相關(guān)DCS供應(yīng)商、優(yōu)秀信息安全產(chǎn)品生產(chǎn)商以及電廠負責DCS的工程師一起成立試點小組。這樣不僅可以融合DCS廠家的經(jīng)驗，包括他們已經(jīng)開展的信息安全測評和信息安全加強措施，減少不必要的某些現(xiàn)場直接工作帶來的較大風險。也有利于當前復(fù)合人才缺乏的情況下，確保工控系統(tǒng)技術(shù)和工控系統(tǒng)信息安全技術(shù)無縫融合，防止發(fā)生故障而影響安全生產(chǎn)（目前已經(jīng)有電廠在測試和加入安全措施導(dǎo)致DCS故障而停機的事件）。

4DCS信息安全若干具體問題的建議

4.1關(guān)于控制大區(qū)和管理大區(qū)隔離的問題

根據(jù)國家發(fā)改委2014年14號令頒發(fā)的《電力監(jiān)控系統(tǒng)安全防護規(guī)定》，以及國家能源局36號文附件《電力監(jiān)控系統(tǒng)安全防護總體方案》的要求：（1）生產(chǎn)拉制大區(qū)和管理信息大區(qū)之間通信應(yīng)當部署專用橫向單向安全隔離裝置，是橫向防護的關(guān)鍵設(shè)備。（2）生產(chǎn)控制大區(qū)內(nèi)的控制區(qū)與非控制區(qū)之間應(yīng)當采取具有訪問功能的設(shè)施，實現(xiàn)邏輯隔離。2016年修訂的電力行業(yè)標準《火電廠廠級監(jiān)控信息系統(tǒng)技術(shù)條件》（DL/T 924-2016）對隔離問題做了新的補充規(guī)定：（1）當MIS網(wǎng)絡(luò)不與互聯(lián)網(wǎng)連接時，宜采用SIS與MIS共用同一網(wǎng)絡(luò)，在生產(chǎn)控制系統(tǒng)與SIS之間安裝硬件的網(wǎng)絡(luò)單向傳輸裝置（單向物理隔離裝置）。（2）當MIS網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接時，宜采用SIS網(wǎng)絡(luò)獨立于MIS網(wǎng)絡(luò)，并加裝硬件的網(wǎng)絡(luò)單向傳輸裝置（單向物理隔離裝置），而在生產(chǎn)控制系統(tǒng)與SIS之間安裝硬件防火墻隔離。根椐當前嚴峻的網(wǎng)絡(luò)安全形勢，應(yīng)當重新思考單向物理隔離裝置這個行之有效的關(guān)鍵安全措施的設(shè)置點問題。建議無論是剛才提到的哪一種情況，單向物理隔離裝置均應(yīng)設(shè)置在生產(chǎn)控制系統(tǒng)（DCS）與SIS之間，理由是：（1）生產(chǎn)控制系統(tǒng)（DCS）對電廠人身設(shè)備危害和社會影響極大，而且危險事件瞬間爆發(fā)。因此，一定要把防控惡意操作、網(wǎng)絡(luò)攻擊和傳播病毒的區(qū)域限制在盡可能小的范圍內(nèi)，這樣可以最大限度提高電廠控制系統(tǒng)應(yīng)對網(wǎng)絡(luò)危害的能力。（2）SIS是全廠性的，涉及人員相對廣泛，跟每臺機組均有聯(lián)系。因此，一旦隔離屏障被攻破，故障將是全廠性的，事故危害面相對較大。

4.2DCS信息安全認證和測試驗收問題

火電廠在推廣應(yīng)用DCS的30年歷史中，從一開始就適時提出了供編制招標技術(shù)規(guī)范書參考的典型技術(shù)規(guī)范書，進而逐步形成了標準， 明確規(guī)定了功能規(guī)范、性能指標以及驗收測試等一系列要求。隨后又根據(jù)發(fā)展適時增加了對電磁兼容性和功能安全等級認證的要求。當前，為確保得到信息安全的DCS產(chǎn)品，歷史經(jīng)驗可以借鑒。筆者認為，宜首先對控制系統(tǒng)供應(yīng)側(cè)開展阿基里斯認證（Achilles Communications Certification，簡稱ACC）作為當前提高DCS信息安全的突破口。眾所周知，ACC已得到全球前十大自動化公司中八個公司的確認，并對其產(chǎn)品進行認證；工業(yè)領(lǐng)域眾多全球企業(yè)巨頭，均已對其產(chǎn)品供應(yīng)商提供的產(chǎn)品強制要求必須通過ACC認證。目前，ACC事實上已成為國際上公認的行業(yè)標準。國內(nèi)參與石化和電廠市場競爭的不少外國主流DCS均已通過了ACC一級認證。至于國產(chǎn)主流DCS廠家，他們大多也看到了ACC認證是進入國際市場的門檻，也嗅到了國內(nèi)市場未來的傾向，都在積極為達到ACC一級認證而努力（緊迫性程度明顯與行業(yè)客戶對ACC認證緊迫性要求有關(guān)）。此外，我國也已建立了進行測試認證的合格機構(gòu)，具備了國內(nèi)就地認證的條件。根據(jù)調(diào)查判斷，如果我們電力行業(yè)側(cè)開始編制技術(shù)規(guī)范書將ACC一級認證納入要求，相信在行政推動和市場促進雙重動力下，國產(chǎn)主流DCS在一年多時間內(nèi)通過ACC一級認證是可以做到的。除ACC認證外，如前所述，當前還急需編制招標用火電廠信息安全技術(shù)規(guī)范和驗收測試標準，使用戶在采購時對其信息安全的保障有據(jù)可依。從源頭抓起，取得經(jīng)驗，必將有利于在運DCS信息安全工作，少走彎路。

5結(jié)語

第7篇

以下是當前影響傳統(tǒng)安全領(lǐng)域的五大因素：

1．技術(shù)融合。企業(yè)安全服務(wù)如視頻監(jiān)控、訪問控制及欺詐檢測與數(shù)據(jù)庫的關(guān)系越來越密切，并且通過網(wǎng)絡(luò)來提供。換句話說，信息安全與物理安全的關(guān)系比以往更加緊密。

2．廠商融合。不久前，信息安全廠商只保護網(wǎng)絡(luò)，物理安全廠商只保護場地，兩者毫不交叉。而如今，越來越多的安全公司涉足這兩個領(lǐng)域，以及與風險相關(guān)的其他領(lǐng)域：裝甲車公司Brink's開始提供托管網(wǎng)絡(luò)安全服務(wù)；昔日的大型機供應(yīng)商優(yōu)利系統(tǒng)公司現(xiàn)在提供有關(guān)供應(yīng)鏈安全的咨詢業(yè)務(wù)；軟件業(yè)巨擘冠群正與智能卡廠商合作，共同開發(fā)名為PhysBits的網(wǎng)絡(luò)和大樓訪問標準；歷來是物理安全服務(wù)提供商的Kroll現(xiàn)在擁有了數(shù)字取證部門Ontrack Data Recovery。

Savvis的CSO兼全球安全解決方案副總裁Bill Hancock指出，廠商融合是一種最簡單的融合。不過，Hancock預(yù)計廠商會繼續(xù)把這些不同的產(chǎn)品線合并到更加緊密集成的產(chǎn)品當中。

3．協(xié)會融合。安全領(lǐng)域是由行業(yè)協(xié)會推動的領(lǐng)域，但多年來，許多協(xié)會很少承認對方的存在。這種情況在2004年和2005年出現(xiàn)了重大變化，尤其是信息系統(tǒng)安全認證專業(yè)人員（CISSP）的者（ISC）2（屬于信息安全領(lǐng)域）、認證保護專業(yè)人員（CPP）的認證方ASIS International（來自企業(yè)安全領(lǐng)域）和信息系統(tǒng)審計與控制協(xié)會（ISACA）宣布要團結(jié)一致。Williams等觀察人士預(yù)計，這些協(xié)會將在近期開展更具體的合作。

第8篇

通過安全認證

隨著國航信息系統(tǒng)建設(shè)的飛速發(fā)展,在奧運安全保障工作中,安全不再只是空防安全和飛行安全,信息安全已成為奧運安保的重要環(huán)節(jié),并納入公司和信息管理部2008年重點工作之中。國航信息安全規(guī)劃咨詢項目就是在奧運安保和國航信息系統(tǒng)跨越式發(fā)展的大背景下立項建設(shè)的,它旨在為國航信息安全體系建設(shè)打下堅實的理論基礎(chǔ)。

國航也是通過這個項目完成了未來3~5年信息安全建設(shè)的發(fā)展規(guī)劃,建立了信息安全管理體系,于近日最終通過了ISO 27001信息安全管理體系認證,使國航成為國內(nèi)首家通過此國際認證的航空企業(yè),進一步提升了公司的綜合競爭實力。

記者了解到,ISO 27001是國際信息安全領(lǐng)域的重要標準,它的前身源自英國標準協(xié)會(British Standards Institute,BSI)在1995年2月制定的信息安全管理標準 BS 7799,經(jīng)修訂后,于2005年10月15日作為國際標準ISOIEC 27001/2005。該標準基于風險評估的風險管理理念,可用于信息安全管理體系的建立和實施,保障信息安全,全面系統(tǒng)地持續(xù)改進安全管理。國航的信息安全管理體系已于2008年12月就通過了國際權(quán)威認證機構(gòu)的現(xiàn)場審核,具備了獲取ISO 27001信息安全管理體系國際認證的條件。

在國航發(fā)展戰(zhàn)略中,信息安全占有非常重要的位置,幾乎所有業(yè)務(wù)都與信息技術(shù)相關(guān),特別是涉及到飛行安全、客戶信任度的商務(wù)及財務(wù)方面信息等,都需要信息安全管理體系這張保護網(wǎng)的保障,在這種發(fā)展趨勢下,國航以建立起成熟的、具備國際水平的信息安全保障體系,保障核心業(yè)務(wù)不中斷、核心系統(tǒng)不被攻擊、客戶信息不泄露為信息安全愿景目標,

中國國際航空股份有限公司信息管理部總經(jīng)理劉東說,國航有幾百個系統(tǒng)每天運營著國航所有的正常航線、飛機維護、機組人員的管理、人員的編排,還有財務(wù)的收益管理,以及訂座系統(tǒng)、離崗系統(tǒng)、網(wǎng)絡(luò)收益系統(tǒng)。對于航空公司來講,每個系統(tǒng)都不能失控,也不能出問題。

安全蹺蹺板

曾經(jīng)主抓飛行安全如今管信息安全的中國國際航空股份有限公司副總裁賀利,在回顧國航在信息安全方面取得建設(shè)的一些建設(shè)成果時表示,“信息安全的體系是一個很復(fù)雜的體系,我們在業(yè)界經(jīng)常叫“安全蹺蹺板”,這個蹺蹺板主要是在IT基礎(chǔ)結(jié)構(gòu)的基礎(chǔ)上,包括三方面內(nèi)容:一是技術(shù)平臺,二是組織和人員,三是制度和流程,由這三方面一起通過我們來執(zhí)行,去構(gòu)成信息安全體系?！?/p>

國航信息管理部技術(shù)管理辦公室高級經(jīng)理李宗琦表示,如果沒有信息安全管理體系這張保護網(wǎng),應(yīng)該說國航的飛行安全可能也無法得到保障。

第一要保證國航的核心業(yè)務(wù)不中斷,第二要保證國航信息系統(tǒng)不被攻擊,第三要保證重要客戶的信息不被泄漏,通過這樣的保障體系為國航的業(yè)務(wù)愿景的目標實現(xiàn)保駕護航。

第9篇

成為知名品牌

能士已經(jīng)成為我國信息安全領(lǐng)域的知名品牌。

深圳能士公司秉承“惟精惟一，唯士為能”的企業(yè)精神，不斷開拓進取，現(xiàn)已在信息安全及以信息安全為支撐的應(yīng)用領(lǐng)域居領(lǐng)先地位。

深圳能士公司在身份認證、加密存儲、人臉識別等技術(shù)領(lǐng)域具有很強的技術(shù)實力，處于世界先進、國內(nèi)領(lǐng)先水平，在互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算等方面具有多項技術(shù)創(chuàng)新。

深圳能士公司下屬的深圳市能信安物聯(lián)網(wǎng)技術(shù)有限公司注冊資本為800萬元。它是由深圳能士公司投資的專注于物聯(lián)網(wǎng)和云計算技術(shù)開發(fā)及運營的專業(yè)技術(shù)公司。能信安物聯(lián)網(wǎng)技術(shù)公司擁有專業(yè)的物聯(lián)網(wǎng)技術(shù)研發(fā)中心。

該研發(fā)中心設(shè)有硬件部、軟件部、測試部、生產(chǎn)部等多個部門，同時建立了一整套的研發(fā)、生產(chǎn)、產(chǎn)品檢測流程。能信安物聯(lián)網(wǎng)技術(shù)公司擁有加密智能卡、加密ZIGBEE卡、活體指紋強身份認證、人臉識別等技術(shù)，在智能交通、安防等領(lǐng)域的應(yīng)用處于領(lǐng)先地位。

能信安物聯(lián)網(wǎng)技術(shù)公司自主開發(fā)的《能信安駕駛?cè)伺嘤?xùn)質(zhì)量監(jiān)管及計時計程管理系統(tǒng)》在國內(nèi)相關(guān)領(lǐng)域具有多項創(chuàng)新，已成為國內(nèi)較先進、全面、科學的行業(yè)應(yīng)用解決方案。

獲得多個資質(zhì)

深圳市能士信息安全有限公司作為信息技術(shù)領(lǐng)域優(yōu)秀的專業(yè)技術(shù)公司，已獲得如下資質(zhì)：

? 國家保密局頒發(fā)的《涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)證書》

? 國家保密局系統(tǒng)保密技術(shù)防護研發(fā)生產(chǎn)指定單位

?工業(yè)和信息化部頒發(fā)的《計算機信息系統(tǒng)集成資質(zhì)證書》

? 中國信息安全認證中心頒發(fā)的《ISCCC信息安全應(yīng)急響應(yīng)服務(wù)資質(zhì)證書》

? 中國信息安全測評中心頒發(fā)的《信息安全服務(wù)資質(zhì)證書》

? 廣東省公安廳頒發(fā)的《廣東省計算機信息系統(tǒng)安全服務(wù)資質(zhì)證》

? 廣東省公安廳和深圳市公安局指定的等級保護技術(shù)支持單位

? 國家密碼管理局商用密碼生產(chǎn)定點單位

? 國家密碼管理局商用密碼銷售許可單位

? ISO9001∶2008質(zhì)量管理體系認證證書

? 深圳市《高新技術(shù)企業(yè)認定證書》

? 深圳市“軟件企業(yè)資質(zhì)”

在新形勢下，深圳能士公司致力于為客戶提供建立在可靠、安全保障平臺基礎(chǔ)上的系統(tǒng)集成服務(wù)。深圳能士公司擁有一支高素質(zhì)、長期從事信息系統(tǒng)集成工程的技術(shù)團隊，以及完善的設(shè)計、施工、管理、維護服務(wù)體系，為客戶提供優(yōu)質(zhì)工程及完善服務(wù)保障，相關(guān)工程曾多次獲得省部級主管部門“試點工程”或“樣板工程”榮譽稱號。公司已發(fā)展成為大規(guī)模的企業(yè)級信息系統(tǒng)集成完整解決方案提供商。

深圳能士公司從2008年即開始著手研究網(wǎng)絡(luò)綜合布線的安全問題，致力于塑料光纖在我國系統(tǒng)部署中的應(yīng)用研究，并形成全面的系統(tǒng)塑料光纖綜合布線解決方案。這是因為塑料光纖傳輸頻帶很寬，通信容量大，對人體影響小，隨著社會信息化應(yīng)用的不斷發(fā)展，可以滿足光纖到桌面的技術(shù)需求。據(jù)悉，深圳能士公司的民用信息系統(tǒng)塑料光纖綜合布線的整體解決方案在技術(shù)方面在國內(nèi)處于領(lǐng)先水平。

深圳能士公司下屬的深圳能信安物聯(lián)網(wǎng)技術(shù)公司致力于應(yīng)用引導(dǎo)和技術(shù)研發(fā)的互動式發(fā)展，帶動物聯(lián)網(wǎng)的產(chǎn)業(yè)發(fā)展。深圳能信安物聯(lián)網(wǎng)技術(shù)公司在物聯(lián)網(wǎng)和云計算領(lǐng)域的專業(yè)信息安全方面有領(lǐng)先的技術(shù)優(yōu)勢，在業(yè)界享有較高的聲譽，并且基于安全識別核心技術(shù)、物聯(lián)網(wǎng)、云計算等多個領(lǐng)域開發(fā)了多款自主知識產(chǎn)權(quán)軟硬件產(chǎn)品。

深圳能士公司具有非常穩(wěn)定的技術(shù)隊伍。鑒于國家對集成單位的嚴格管理規(guī)定和信息安全行業(yè)的特殊性，公司按照國家相關(guān)規(guī)定制定了嚴格的人事管理制度，為核心技術(shù)人員（人員）提供深造機會和期權(quán)激勵機制，保證了技術(shù)人員的穩(wěn)定性。公司管理嚴格，技術(shù)人員政治上可靠，業(yè)務(wù)上過硬。公司成立了專門的保密領(lǐng)導(dǎo)小組，制定了人員保密管理制度、技術(shù)保密管理制度等，從而進一步保證公司所提供的安全產(chǎn)品和安全服務(wù)的可靠性、安全性和保密性，從而保護國家秘密和客戶利益。

深圳能士公司表示，未來公司將再接再厲，鞏固行業(yè)領(lǐng)軍企業(yè)的地位，為用戶提供更多更好的安全產(chǎn)品和服務(wù)產(chǎn)品。