第一篇:山东省网络与信息安全测评中心业务介绍
附件:山东省网络与信息安全测评中心简介
中国赛宝(山东)实验室/山东赛宝电子信息产品监督检测研究院(山东省电子产品监督检验所),始建于1973年,是我省电子信息领域唯一的法定专职电子信息产品监督检验机构。1994年成为信息产业部国家重点实验室的核心成员——“中国赛宝(山东)实验室”。1997年成为中国实验室国家认可委员会按IEC/ISO国际标准认可的校准/检测实验室,同年,成为中国国家进出口商品检验实验室认可委员会认可的国家级实验室。2000年成为国家质检总局、国家工商行政管理总局、国家信息产业部、国家公安部、最高人民法院等五部委授权的微机、视听、家电、频控产品消费争议仲裁实验室和公共安全技术防范以及司法鉴定机构。
近30年来,随着我国电子信息产业的飞速发展,我院(所)的组织管理、环境试验条件、网络环境条件、软件测评认证条件、信息安全测评认证条件、人员素质、仪器设备配置日趋完善,先后取得以下资质和授权:
中国信息安全产品测评认证中心山东测评中心办事处
山东省网络与信息安全测评中心
最高人民法院授权司法鉴定机构
国家公安部山东安全防范工程检测机构
信息产业部授权的山东省计算机信息系统集成资质认证中心
山东省信息产业厅授权的山东省信息系统工程监理评审中心
山东省建设厅智能建筑产品质量监督检验实验室
山东省劳动和社会保障厅计算机专业职业技能鉴定所
山东省电子信息产品例行试验中心
我所现有员工125人,各类专业技术人员110人,其中电子信息科学领域研究员、硕士生导师5名,高级工程师46人,政府各类技术专家库成员30余人。技术业务领域涉及信息网络工程检测、公共安全技术防范系统、技防产品、电子元部件、视听整机产品及视听工程、电教语音及多媒体教学设备、微机系统及应用产品、通讯类产品、电力自动化设备等30余类上千种产品,并涵盖信息化工程、智能化建筑、园区各个系统。
山东省网络与信息安全测评中心于2005年11月经山东省信息化工作领导小组办公室、山东省信息产业厅批准,授权山东省电子产品监督检验所组建,这是我省唯一一家从事网络与信息安全测评业务的职能机构,为山东信息化主管部门及各行业信息化主管部门及企、事业单位提供第三方安全技术服务。
山东省网络与信息安全测评中心依据中国信息安全产品测评认证中心《授权机构管理办法(试行)》和《授权测评机构专业技术能力指南》,建立了中心质量保证体系,形成质量体系相关文件,依据ISO/IEC 17025《测试和校准实验室能力要求的通用要求》建立完整的文件化质量体系和测评技术方法体系。
山东省网络与信息安全测评中心的信息安全测试评估业务通过了山东省质量技术监督局计量认证、中国实验室国家认可委员会(CNAL)的实验室认可。
山东省网络与信息安全测评中心负责对外开展山东省信息产业厅、山东省网络与信息安全协调小组办公室及中国信息安全产品测评认证中心授权的相关业务,主要范围为:
1.遵照国信办[2006]5号文件的要求,对网络与信息系统的设计、验收及运行维护
阶段进行安全性测评与信息系统安全风险评估;
2.山东省信息化工程验收评测;
3.对山东省信息化工作领导小组办公室、山东省网络与信息安全协调小组及其办公
室提供技术支撑和应急救援响应工作。
4.其他经中国信息安全产品测评认证中心批准的相关业务。
5.提供信息安全解决方案、咨询及服务。
第二篇:中国信息安全测评中心揭牌
深化安全技术测评,维护国家信息安全
来源:明朝万达 作者: 发布时间:2008-12-0
210月31日,中国信息安全测评中心揭牌仪式在北京中关村软件园隆重举行,正式拉开了中国信息安全测评中心启用新名称、履行新职能的重要一幕。
来自国家质检总局、工业和信息化部、国家发改委等近三十个中央国家机关相关部门的领导,和来自信息安全界的知名院士专家,以及信息安全产业界的代表百余人亲临现场表示祝贺。
信息安全测评认证是信息安全保障的基础性工作,特别是在当前我国信息技术与产业的核心竞争力还不强,关键技术、关键设备还受制于人的情况下,严格把住信息技术产品的市场准入关尤为重要。党中央、国务院对信息安全测评认证工作高度重视,早在1997年第一届国务院信息化工作领导小组就授权国家质检总局启动了信息安全产品测评认证体系建设工作。经过几年的筹建和试运行,2001年中央批准在国家质检总局设立了“中国信息安全产品测评认证中心”,负责我国的信息安全测评与认证工作。经过十年的发展,基本建立了对信息安全产品、信息系统安全性、信息安全服务资质和信息安全专业人员资质进行测评认证的能力;形成了较为完备的组织工作体系;对一千多个产品、系统和服务厂商实施了测评认证,对数千名信息安全专业人员进行了认证和国家注册;主持制定了二十多项体现我国特色的测评技术国家标准;为十多个中央和国家部委提供了安全技术测评服务,在保障国家信息安全方面发挥了重要作用。
2004年10月,中国信息安全产品测评认证中心根据国家质检总局等八部委联合下发的《关于建立国家信息安全认证认可体系的通知》中实行测评和认证职能分离的要求,将信息安全产品的认证工作移交给新成立的“中国信息安全认证中心”,并更名为“中国信息安全测评中心”,继续承担信息安全产品的测评工作,为认证工作提供科学、权威、客观、公正的技术依据;与此同时,增加对我国基础信息网络和重要信息系统进行风险评估的新职能。
根据中央领导“加快安全测评中心的建设”的重要指示精神,中国信息安全测评中心在国家质检总局、工业和信息化部、中编办、国家发改委、财政部、科技部等有关部门的大力支持下,先后落实了人员编制、办公条件、科研装备和运行经费,作为国家风险评估专控队伍,近年来承担了对我国基础信息网络和重要信息系统以及奥运
网络信息系统的风险评估与安全检查工作任务,发现了大量安全漏洞和网络失泄密隐患,提出了有效整改建议,及时堵塞了漏洞、消除了隐患,为确保北京奥运会的成功举办和维护国家信息安全发挥了重要作用。
在今天的揭牌仪式上,来自各方的领导在致辞中对乔迁新址、肩负新使命的中国信息安全测评中心寄予了殷切厚望。中国信息安全测评中心的负责人表示,将不负重托,按照中央领导指示要求,继续深化信息安全测评工作,组织科研攻坚,夯实业务基础,实现重点突破,为确保我国信息化建设的健康、和谐、可持续发展恪尽职守,再立新功。
第三篇:网络与信息安全
《网络与信息安全》复习资料
信息安全特征:完整性、保密性、可用性、不可否认性、可控性。保密学是研究信息系统安全保密的科学。
网络信息安全体系结构框架:安全控制单元、安全服务层面、协议层次。公钥密码:由两个密码组成,每个用户拥有一对选择密钥:加密密钥与解密密钥。公钥密码特点:(1)加密密钥和解密密钥在本质上是不同的,即使知道一个密钥,也不存在可以轻易地推导出另一个密钥的有效算法。(2)不需要增加分发密钥的额外信道。公布公钥空间,不影响公钥系统的保密性,因为保密的仅是解密密钥。公钥密码系统应具备两个条件:(1)加密和解密交换必须满足在计算上是容易的。(2)密码分析必须满足在计算机上是困难的。协议:两个或两个以上的主体为完成某一特定任务共同发起的某种协约或采取的一系列步骤。协议的特征:(1)至始至终有序进行。(2)协议成立至少要有两个主体。(3)协议执行要通过实体操作来实现。数字签名与手写签名的区别:(1)签名实体对象不同。(2)认证方式不同。(3)拷贝形式不同。
签名算法的三个条件:(1)签名者事后不能否认自己的签名。(2)任何其他人都不能伪造签名,接收者能验证签名。(3)当签名双方发生争执时,可由公正的第三方通过验证辨别真伪。
不可否认数字签名:没有签名者的合作,接收者就无法验证签名,某种程度上保护了签名者的利益,从而可防止复制或散布签名文件的滥用。
不可否认数字签名方案由三部分组成:数字签名算法、验证协议、否认协议。
散列函数:一种将任意长度的消息压缩为某一固定长度的消息摘要的函数。消息认证码:满足某种安全性质带有密钥功能的单向散列函数。身份证明分两大娄:身份证实、身份识别。信息隐藏:把一个有含义的信息隐藏在另一个载体信息中得到隐密载体的一种新型加密方式。
信息隐藏的两种主要技术:信息隐秘术、数字水印术。数字水印技术:指用信号处理的方法在数字化的多媒体数据中嵌入隐藏标识的技术。
三种数字水印:(1)稳健的不可见的水印。(2)不稳健的不可见的水印。(3)可见的水印。
数字水印三个特征:(1)稳健性。(2)不可感知性。(3)安全可靠性。
数字水印三个部分:(1)水印生成。(2)水印嵌入。(3)水印提取(检测)。
密钥管理的基本原则:(1)脱离密码设备的密钥数据应绝对保密。(2)密码设备内部的密钥数据绝对不外泄。(3)密钥使命完成,应彻底销毁、更换。常用密钥种类:(1)工作密钥。(2)会话密钥。(3)密钥加密密钥。(4)主机主密钥。
公开密钥分发:(1)广播式密钥分发。(2)目录式密钥分发。(3)公开密钥机构分发。(4)公开密钥证书分发。密钥保护方法:(1)终端密钥保护。(2)主机密钥保护。(3)密钥分级保护管理。
秘密共享方案:将一个密钥K分成n个共享密钥K1、K2……Kn,并秘密分配给n个对象保管。密钥托管技术:为用户提供更好的安全通信方式,同时允许授权者为了国家等安全利益,监听某些通信和解密有关密文。密钥托管加密体制由三部分组成:用户安全分量、密钥托管分量、数据恢复分量。密钥管理:指对于网络中信息加密所需要的各种密钥在产生、分配、注入、存储、传送及使用过程中的技术和管理体制。
保密通信的基本要求:保密性、实时性、可用性、可控性。密码保护技术:密码校验、数字签名、公证消息。通信保密技术:(1)语音保密通信(模拟置乱技术、数字加密技术)。(2)数据保密通信。(3)图像保密通信(模拟置乱、数字化图象信号加密)。网络通信加密的形式:(1)链路加密。(2)端-端加密。(3)混合加密。网络通信访问基本控制方式:(1)连接访问控制。(2)网络数据访问控制。(3)访问控制转发。(4)自主访问控制与强制访问控制。接入控制功能:(1)阻止非法用户进入系统。(2)允许合法用户进入系统。(3)使合法用户按其权限进行活动。接入控制策略:(1)最小权限策略。(2)最小泄漏策略。(3)多级安全策略。接入控制技术方法:(1)用户标识与认证。(2)身份认证特征(口令认证方式、协议验证身份)。
PGP的五种功能:认证性、机密性、压缩、Email兼容性、分段与重组。IP层安全功能:鉴别服务、机密性、密钥管理。
安全套接层SSL提供的安全服务:信息保密、信息完整性、相互认证。
PPDR-A模型五要素:安全策略、安全监测、安全反应、安全防御、安全对抗。操作系统安全访问控制:测试程序访问控制、操作系统的访问权限控制、保护机制的访问控制、用户认证访问控制。
安全操作系统设计四环节:安全模型、安全设计、安全确认、正确实施。安全网络平台种类:Windows NT、UNIX、Linux。(Linux兼容性好、源代码开放、安全透明)。
数据库安全条件:数据独立性、数据安全性、数据完整性、数据使用性、备份与恢复。
VPN(虚拟专用网)核心技术:隧道技术、密码技术、管理技术。
政务网的特点:信息公众化、信息机关化、信息存储量大、保密程度高、访问密级多样化。
政务网建设的三个安全域:(1)涉密域。(2)非涉密域。(3)公共服务域。
黑客攻击:指黑客利用系统漏洞和非常规手段,进行非授权的访问行为和非法运行系统或非法操作数据。
防黑客攻击几种防范技术:安全性设计保护、先进的认证技术、扫描检测审计技术。
常规网络扫描工具:SATAN扫描工具、Nessus安全扫描器、nmap扫描器、strobe扫描器。网络监听工具:NetXRay、Sniffit。防火墙:在网络安全边界控制中,用来阻止从外网想进入给定网络的非法访问对象的安全设备。包括网络级包过滤防火墙和应用级代理防火墙。
密罐:用来观察黑客如何入侵计算机网络系统的一个软件“陷阱”,通常称为诱骗系统。
计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒检测方法:比较法、搜索法、辨别法、分析法。
电子商务安全要求:可靠性、真实性、机密性、完整性、有效性、不可抵赖性、可控性。
电子商务安全服务:鉴别服务、访问控制服务、机密性服务、不可否认服务。电子商务基本密码协议:密钥安全协议、认证安全协议、认证的密钥安全协议。国际通用电子商务安全协议:SSL安全协议、SET安全协议、S-HTTP安全协议、STT安全协议。
电子商务实体要素:持卡人、发卡机构、商家、银行、支付网关、认证机构。
第四篇:中心网络与信息安全专项检查报告
***网络与信息安全专项检查
自查整改报告
集团公司:
为认真贯彻落实集团公司文件精神,中心按照要求,对开展信息网络安全情况进行了专项检查,现将检查情况作报告如下:
一、成立领导机构,加强责任落实
对于网络展信息安全专项检查工作,中心领导高度重视,成立了以中心副主任为组长的中心网络信息检查工作领导小组,严格落实了有关要求,认真逐项抓好落实。在设立机构的基础上建立健全了责任制,并落实专人负责此项工作。
二、认真开展安全自查,及时整改存在隐患
中心没有自建网络,现有46台终端通过联通的50兆光纤访问互联网,通过管理网客户端转换到专线访问集团公司的OA系统、财务管理系统。对于集团公司建立的互联网及管理网应用系统均是按照集团公司有关规定运行、执行。自查工作开始后我们一是对本单位信息系统的帐户、口令等进行了一次专门的清理检查,并及时将软件更新和升级,消除安全隐患。二是强化了网络安全管理工作,对所有接入中心管理网络的计算机设备进行了全面安全检查,对发现有操作系统存在漏洞、防毒软件配置不到位的计算机进行全面升级,确保网络安全。三是按照集团公司要求对原来各自终端的杀毒软件统一进行了更换,全部改用360天擎杀毒软件。四是严格禁止办公内网不经过管理网客户端转换与互联网相连,经检查未发现此种情况。五是对集团公司下发的VPN账户进行了清理,确保安全不泄密。六是对2014年以来集团公司配置的台式、笔记本电脑进行了在用状态检查,确保在用、在册。七是对在互联网上处理、存储、传递内部信息,利用电子邮件系统传递重要信息,在各种论坛、聊天室、博客等发布、谈论集团公司内部信息以及利用qq、微信等聊天工具传递、谈论不该谈论的信息等危害网络安全现象进行了检查、规范。八是针对网络管理结合中心实际制订了有关制度。九是坚决执行责任追究制度。为确保网络信息安全,中心提出了谁使用谁负责、谁运行谁负责的管理制度,对出现网络安全事故的坚决按照相关规定追究责任。
三、自查中发现的主要问题和面临的威胁分析
1、发现的主要问题和薄弱环节:没有专用防火墙和服务器;个别人通过互联网传递内部文件、信息。
2、面临的安全威胁与风险。存在着被黑客外挂和攻击的可能。
3、整体安全状况的基本判断。由于中心当前没有非常重要的数据、信息,目前的网络状况是基本安全的。
四、改进措施与整改效果
下一步我们要根据集团公司的要求和中心制定的网络管理制度对中心的网络加强管理、加强检查,及时消除安全隐患,确保网络安全正常运行。
五、关于加强集团公司网络与信息安全工作的意见和建议。希望集团公司多进行网络管理、网络安全等的专项培训学习。
2016年6月17日
第五篇:联通网络信息安全工作介绍
联通网络信息安全工作介绍
一、基本情况
在当前互联网新技术新业务广泛应用,深刻改变网络信息形成和传播机制的背景下,各种网络与信息安全问题日趋复杂,保障网络安全畅通、遏制网上有害信息传播等工作面临前所未有的巨大挑战。为切实营造良好网络环境,根据工信部、省委省政府、集团公司、省通信管理局的要求,结合萍乡联通实际具体情况成立了萍乡联通网络与信息安全领导小组,完善萍乡联通网络与信息安全工作机制和责任体系,落实网络与信息安全责任,实现对网络与信息安全风险点的评估、控制与应急处置全流程管理,不断提高公司网络与信息安全管理和保障水平,维护国家网络与信息安全和社会公共利益。
二、具体措施
1.网络安全防护检查,排查网络安全隐患和漏洞。对于检查中发现网络安全隐患和漏洞,各责任单位要当日前整改完毕并上报整改报告,确保网络稳定运行。
2.加强网络安全监测预警能力建设。各责任单位要进一步完善基础网络、重要业务系统和重要域名系统的网络安全监控手段,提高对黑客入侵、异常流量和域名安全事件的监测预警、应急控制和审计溯源能力。
3.做好重点用户网络安全保障支援。积极配合江西省网络与信息安全事件应急处置指挥部和省分通信网络安全保障小组工作,加强对重要政府网站、重点新闻网站、重要信息系统的互联网网络安全保
障,重点围绕网络攻击、网页篡改、网站挂马和域名安全等事件,做好监测预警、信息通报和应急支援。
4.开展互联网网络安全环境治理。运行维护部要及时受理省网络公司运行维护部通过电子运维工单系统下发的处置工单,做到在2个工作日内通知相关用户,安排技术人员协助用户查杀病毒,消除隐患。情况严重的,将现行断开网络连接,线下处置,在确保安全后再准予接入。
5.加强网络信息安全手段建设。运行维护部要提前对核心机房的交换警用接口、信令汇聚系统等特通设备进行自查,发现问题及时改进和完善。
6.落实互联网网站ICP及IP的备案管理工作。集团客户部要按照工信部电信管理局《关于开展整治虚假备案提高网站备案信息准确率专项行动的通知》,制定本地实施方案,确保互联网网站信息基础资料的准确完整性。
7.按照省公司《贯彻落实“扫黄打非〃净网2015”专项行动工作方案》(江西联通„2015‟204号)文件要求,对互联网和手机网络重点整治网络淫秽色情和低俗信息,净化网络文化环境,关闭严重违法违规网站、传播淫秽色情和低俗信息的微博客、社交网站和即时通信群组账号,清理整顿违法违规接入服务商,进一步加强网站备案、审批、接入管理,进一步建立健全防范和查处淫秽色情及低俗信息长效工作机制。
8.严格执行《江西联通高速互联网专线接入业务管理规定》(江
西联通„2010‟466号),确保互联网业务的健康发展,有效规避风险。对接入的互联网专线及累计使用带宽在100M(含)以上或客户自带IP地址的第二类(拥有互联网接入服务资质的ISP客户)、第三类(指无互联网接入服务资质的客户)客户的接入申请,必须以正式文件报省分公司审批,获得正式批复后方可签署正式协议并实施业务接入。必须与客户签订的大带宽接入业务协议,明确客户业务用途,禁止将所租用大带宽资源转租或提供给互联网骨干网经营单位、ISP等单位用于经营性活动,禁止利用联通互联网非法经营互联网产品、非法VOIP电话等。
三、存在问题
1.网络与信息安全人员不足,部分部门的网络与信息安全工作人员对网络与信息安全工作职责和要求不够了解,网络与信息安全工作不够专业;
2.省内建设的系统投资不足,相关系统建设速度缓慢,无法满足工信部考核的要求,目前尚不具备捕捉、发现及处置僵尸木马病毒和用户上网行为分析的能力;
四、意见和建议
1.公司内部应加大网络与信息安全工作重要性的宣传,这是作为电信运营企业的一项政治任务,关系到国家安全和每个人切身利益。
2.各相关部门应实行工作责任追究制度,希望网络与信息安全各项具体工作都能落实到人,只有上下同心、共同努力,才能把网络与信息安全工作做好。
3.进一步加大网络与信息安全教育培训工作。
4.敦促省分公司落实省内网络信息安全各系统建设投资预算,确保各项系统建设工作能够按质按量按进度落实到位。
点击咨询 