一、背景需求
随着企业移动化转型,员工允许随时随地办公。弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。
另外传统周期性修改密码的方案不仅增加了员工/运维的工作量,而且无法从根本上实现对用户登录认证的保护。假设企业规定30天修改一次密码,那么对于30天内发生的账号密码泄漏事件,当前方案是无法解决的,因此企业有必要对重要应用系统实施多因子(MFA)认证解决方案。
二、解决方案
传统的双因子认证解决方案也就是我们常说的动态密码解决方案,多因子顾名思义丰富了认证因子的形式。
多因子认证解决方案由认证服务器和动态令牌组成。令牌形式因多因子呈现方式不同而有所区别。认证服务器部署于核心交换机,与账号源、应用系统对接,负责动态密码的派发、激活、绑定、授权、审计等操作。动态密码每隔30/60s变化一次,一次一密。用户认证时,除输入账号密码外,还需输入6位动态密码,从而保证每一个登录的唯一性。
1、多令牌形式:不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token,同时兼容RSA、Google 身份验证器等第三方动态令牌形式。更为关键的是,创新性的将
企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。同时开发指纹识别、人脸识别等多因子认证方案。
2、动态密码派发方式:支持批量派发、增量派发及自动派发令牌,通过与账号源绑定,运维人员在创建新账号的同时为用户派发动态令牌。企业微信/钉钉“扫一扫”可在应用内授权,即取即用更方便,不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。
3、令牌激活及绑定方式:用户在各应用商店下载手机令牌后,可通过邮件扫码或短信激活吗的方式激活,也可登录自服务平台自助激活。
4、持有国密证书:令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》,满足等保、护网行动对供应商的考核需求。
三、效果展示
通过将认证服务器与outlook对接,用户登录时,首先输入账号密
码,其次在动态密码弹框中输入6位动态密码进行验证。认证成功即可登录。
四、方案价值
1、多令牌形式,满足不同场景需求;
2、认证过程一次一密,提升账号密码认证安全;
3、全场景覆盖,满足数据中心基础设施(VPN、虚拟化、网络设备、堡垒机、服务器、云主机、数据库等)、网络层有线无线身份认证及应用层单点登录的安全认证需求。
4、灵活的派发方式,自动过滤已派发用户;
5、无需定期修改密码,节省运维劳动成本;
6、兼容AD、LADP等多种账号源;
7、与TACACS+协议分权而置,实现异构网络设备的统一安全认
证、命令行授权及审计;
8、消息预警及登录审计,审计用户的登录登出事件、访问设备、及成功与否,将危险或超时登录终端高警至管理员和直接责任人;
智能安全接入,从宁盾开始。宁盾成立以来专注于动态密码双因素认证市场,并以技术为导向,于2013年正式上线网络认证系统,形成一体化身份认证与访问管理解决方案。为了应对企业组织、应用的移动化及云发展趋势,宁盾不断创新身份与访问安全管理技术,形成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、统一身份管理与单点登录、网络设备AAA授权管理、大型商业WiFi 认证管理等多个产品线于一体的全场景解决方案。
一、背景需求 随着企业移动化转型,员工允许随时随地办公。弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。 另外传统周期性修改密码的方案不仅增加了员工/运维的工作量,而且无法从根本上实现对用户登录认证的保护。假设企业规定30天修改一次密码,那么对于30天内发生的账号密码泄漏事件,当前方案是无法解决的,因此企业有必要对重要应用系统实施多因子(MFA)认证解决方案。 二、解决方案 传统的双因子认证解决方案也就是我们常说的动态密码解决方案,多因子顾名思义丰富了认证因子的形式。 多因子认证解决方案由认证服务器和动态令牌组成。令牌形式因多因子呈现方式不同而有所区别。认证服务器部署于核心交换机,与账号源、应用系统对接,负责动态密码的派发、激活、绑定、授权、审计等操作。动态密码每隔30/60s变化一次,一次一密。用户认证时,除输入账号密码外,还需输入6位动态密码,从而保证每一个登录的唯一性。 1、多令牌形式:不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token,同时兼容RSA、Google 身份验证器等第三方动态令牌形式。更为关键的是,创新性的将
企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。同时开发指纹识别、人脸识别等多因子认证方案。 2、动态密码派发方式:支持批量派发、增量派发及自动派发令牌,通过与账号源绑定,运维人员在创建新账号的同时为用户派发动态令牌。企业微信/钉钉“扫一扫”可在应用内授权,即取即用更方便,不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。 3、令牌激活及绑定方式:用户在各应用商店下载手机令牌后,可通过邮件扫码或短信激活吗的方式激活,也可登录自服务平台自助激活。 4、持有国密证书:令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》,满足等保、护网行动对供应商的考核需求。 三、效果展示 通过将认证服务器与Office 365 对接,用户登录时,首先输入账号
国家信息安全产品认证 流程详解 V2.0 中国信息安全认证中心制 发布日期:二〇一〇年九月八日
目录 1集中受理 (1) 1.1集中受理认证流程图 (1) 1.2认证申请 (1) 1.2.1获取申请书 (1) 1.2.2递交申请书 (1) 1.2.3资料审查 (1) 1.3申请方送样 (2) 1.3.1实验室选择 (2) 1.3.2送样原则和数量 (2) 1.3.3型式试验及报告提交 (2) 1.4申请方缴费 (2) 1.5初始工厂检查 (2) 1.6颁发证书 (2) 1.6.1认证决定 (2) 1.6.2颁发证书 (2) 1.6.3证书的有效性 (2) 1.6.4变更与扩展申请 (2) 1.6.5证书的暂停、注销和撤消 (2) 1.7证后监督 (2) 1.7.1监督的频次 (2) 1.7.2监督的内容 (3) 1.7.3获证后监督结果的评价 (3) 2分段受理 (4)
1集中受理 1.1集中受理认证流程图 集中受理认证流程如下图所示: 图1:集中受理认证流程图 1.2认证申请 1.2.1获取申请书 1)从中国信息安全认证中心网站(https://www.doczj.com/doc/2c14182863.html,/)资料中心下载。 2)向中国信息安全认证中心索取。 1.2.2递交申请书 向中国信息安全认证中心提交认证申请书(包括申请书所要求的其他资料)纸质版1式2份,电子版1份。 含有密码技术的产品应向国家密码管理局指定检测实验室提交密码技术检测申请。 拟用于涉密信息系统的产品,按照国家有关保密规定和标准执行,不适用本申请指南。 1.2.3资料审查 中国信息安全认证中心在收到申请资料后对其进行审查,如果资料不符合要求,申请方
信息安全管理体系认证实施规则 ISCCC-ISMS-001:2016 中国信息安全认证中心
目录 1.适用范围 (2) 2.认证依据 (2) 3.术语和定义 (2) 3.1.信息收集 (2) 3.2.现场审核 (2) 4.认证类别 (2) 5.审核人员及审核组要求 (2) 6.认证信息公开 (2) 7.认证程序 (2) 7.1.初次认证 (2) 7.2.监督审核 (6) 7.3.再认证 (8) 7.4.管理体系结合审核 (8) 7.5.特殊审核 (9) 7.6.暂停、撤消认证或缩小认证范围 (9) 8.认证证书 (10) 8.1.证书内容 (10) 8.2.证书编号 (11) 8.3.对获证组织正确宣传认证结果的控制 (11) 9.对获证组织的信息通报要求及响应 (11) 10.附录A:审核时间 (11)
1.适用范围 本规则用于规范中国信息安全认证中心(简称中心)开展信息安全管理体系(ISMS)认证活动。 2.认证依据 以国家标准ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》为认证依据。 3.术语和定义 3.1.现场审核 中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。 4.认证类别 认证类型分为初次认证,监督审核和再认证。为满足认证的需要,中心可以实施特殊审核,特殊审核采取现场审核方式进行。 5.审核人员及审核组要求 认证审核人员必须取得其他管理体系认证注册资格,并得到中心的专业能力评价,以确定其能够胜任所安排的审核任务。 审核组应由能够胜任所安排的审核任务的审核员组成。必要时可以补充技术专家以增强审核组的技术能力。 具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作,可就受审核方或获证组织管理体系中技术充分性事宜为审核员提供建议,但技术专家不能作为审核员。 6.认证信息公开 中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息: 1)认证服务项目; 2)认证工作程序; 3)认证依据; 4)证书有效期; 5)认证收费标准。 7.认证程序 7.1.初次认证
信息安全技术及应用 ————————身份认证技术与应用 当今,信息安全越来越受到人们的重视。建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作 的人访问,所有未被授权的人无法访问到这些数据。这里说的是对“人”的权限的控制,即对操作者物理身份的权限控制。不论安全性要求多高的数据,它存在就必然要有相对应的授权人可以访问它,否则,保存一个任何人都无权访问的数据有什么意义?然而,如果没有有效的身份认证手段,这个有权访问者的身份就很容易被伪造,那么,不论投入再大的资金,建立再坚固安全防范体系都形同虚设。就好像我们建造了一座非常结实的保险库,安装了非常坚固的大门,却没有安装门锁一样。所以身份认证是整个信息安全体系的基础,是信息安全的第一道关隘。 1.身份认证技术简介 相信大家都还记得一个经典的漫画,一条狗在计算机面前一边打字,一边对另一条狗说:“在互联网上,没有人知道你是一个人还是一条狗!”这个漫画说明了在互联网上很难识别身份。 身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切
信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 如何通过技术手段保证用户的物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式判定,一是根据你所知道的信息来证明你的身份(你知道什么),假设某些信息只有某个人知道,比如暗号等,通过询问这个信息就可以确认这个人的身份;二是根据你所拥有的东西来证明你的身份(你有什么) ,假设某一个东西只有某个人有,比如印章等,通过出示这个东西也可以确认这个人的身份;三是直接根据你独一无二的身体特征来证明你的身份(你是谁),比如指纹、面貌等。 所谓“没有不透风的墙”,你所知道的信息有可能被泄露或者还有其他人知道,杨子荣就是掌握了“天王盖地虎,宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的,这个物品有可能丢失,也有可能被人盗取,从而伪造这个人的身份。只有人的身体特征才是独一无二,不可伪造的,然而这需要我们对这个特征具有可靠的识别能力。
国内外信息安全产品认证标准简介信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性,先进性和符合性的技术规范和技术依据。因此,世界各国越来越重视信息安全产品认证标准的制修订工作。 一、国外信息安全标准发展现状 l .CC标准的发展过程 CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准,用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范,包括欧洲ITSEC、美国TCSEC(桔皮书)、加拿大CTCPEC以及美国的联邦准则(Federal Criteria)等,由6个国家(美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰)共同提 出制定。CC标准的发展过程见附图。 国际上,很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年CCV2.1被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》,目前,最新版本ISO/IEC15408-2008采用了CCV3.1。 用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法,并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。 2. CC标准内容介绍 CC标准共分为三部分,主要内容包括信息技术安全性评估的一般模型和基本框架,以及安全功能要求和安全保证要求,目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。CC标准为不同国家或实验室的评估结果提供了可比性。 CC标准的第一部分为简介和一般模型,描述了信息安全相关的基本概念和模型,以及PP和ST的要求。PP是为一类产品或系统定义信息安全技术要求,包括功要求和保证要求。ST则定义了一个既定评估对象(TOE-TarEet of aluation)的IT
数字证书安全认证 解决解决方案方案 广东省数字证书认证中心 2008年
目 录 1 概述............................................................................................................3 2 需求............................................................................................................ 3 3 系统架构....................................................................................................5 4 主要产品及需求实现................................................................................6 4.14.1 客户端....................................................................................................6 4.24.2 服务器端................................................................................................6 4.34.3 安全需求的实现 (7) 5 设备配置清单 (8)
信息安全认证 中国信息安全认证中心是经中央编制委员会批准成立,由国务院信息化工作办公室、国家认证认可监督管理委员会等八部委授权,依据国家有关强制性产品认证、信息安全管理的法律法规,负责实施信息安全认证的专门机构。中国信息安全认证中心为国家质检总局直属事业单位。中心简称为信息认证中心。英文全称:China Information Security Certification Center;英文缩写:ISCCC 1.背景介绍 信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失: 直接损失:? 丢失订单,减少直接收入,损失生产率; 间接损失:? 恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉; ? 法律损失: 法律、法规的制裁,带来相关联的诉讼或追索等。 所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。 俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。 目前,在信息安全管理体系方面,英国标准BS7799已经成为世界上应用最广泛与典型的信息安全管理标准。BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,并且适用于大、中、小组织。1998年英国公布标准的第二部分BS 7799-2
27001信息安全认证多少钱,哪里可以快速申请下来经过ISO27001信息安全管理提认证的公司,一般来说都能够和贸易伙伴之间建立起一定的互相信任基础,而且随着组织间的电子交流以及信息安全管理的就可以看到信息安全管理明显的利益所在,从而为广大用户和服务提供商提供了一个基础的设备管理。也就是说,通过信息安全管理认证,能让企业和用户之间建立一个更加信任的桥梁和纽带,让彼此的信任值上升。那么有哪些公司可以办理27001认证呢? ISO27001认证一般要经过以下几个主要步骤: 1、ISO27001认证策划与准备 策划与准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研,以及人力资源的配置与管理。 2、ISO27001认证确定信息安全管理体系适用的范围 信息安全管理体系的范围就是需要重点进行管理的安全领域。组织需要根据自己的实际情况,可以在整个组织范围内、也可以在个别部门或领域内实施。在本阶段的工作,应
将组织划分成不同的信息安全控制领域,这样做易于组织对有不同需求的领域进行适当的信息安全管理。在定义适用范围时,应重点考虑组织的适用环境、适用人员、现有IT技术、现有信息资产等。 3、ISO27001认证现状调查与风险评估 依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行调研和评价,以及评估信息资产面临的威胁以及导致安全事件发生的可能性,并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响。 4、ISO27001认证建立信息安全管理框架 建立信息安全管理体系要规划和建立一个合理的信息安全管理框架,要从整体和全局的视角,从信息系统的所有层面进行整体安全建设,从信息系统本身出发,根据业务性质、组织特征、信息资产状况和技术条件,建立信息资产清单,进行风险分析、需求分析和选择安全控制,准备适用性声明等步骤,从而建立安全体系并提出安全解决方案。 5、ISO27001认证体系文件编写 建立并保持一个文件化的信息安全管理体系是ISO/IEC27001:2005标准的总体要求,编写信息安全管理体系文件是建立信息安全管理体系的基础工作,也是一个组织实现风险控制、评价和改进信息安全管理体系、实现持续改进不可少的依据。在信息安全管理体系建立的文件中应该包含有:安全方针文档、适用范围文档、风险评估文档、实施与控制文档、适用性声明文档。 6、ISO27001认证体系的运行与改进 信息安全管理体系文件编制完成以后,组织应按照文件的控制要求进行审核与批准并发布实施,至此,信息安全管理体系将进入运行阶段。在此期间,组织应加强运作力度,
要求有具体的问题,比如,信息系统安全(硬件,场地,软件,病毒,木马,),网络安全(网络入侵,服务器/客户端的连通性,vpn的安全问题),人员安全(身份识别,分权访 问,人员管理),电子商务安全(密钥,PKI),或者其它! 【为保护隐私,公司原名用XX代替。 内容涉及企业网络安全防护,入侵检测,VPN加密、数据安全、用户认证等企业信息安全案例,供参考】 XX企业信息安全综合解决方案设计 一.引言 随着全球信息化及宽带网络建设的飞速发展,具有跨区域远程办公及内部信息平台远程共享的企业越来越多,并且这种企业运营模式也逐渐成为现代企业的主流需求。企业总部和各地的分公司、办事处以及出差的员工需要实时地进行信息传输和资源共享等,企业之间的业务来往越来越多地依赖于网络。但是由于互联网的开放性和通信协议原始设计的局限性影响,所有信息采用明文传输,导致互联网的安全性问题日益严重,非法访问、网络攻击、信息窃取等频频发生,给公司的正常运行带来安全隐患,甚至造成不可估量的损失。因此必须利用信息安全技术来确保网络的安全问题,这就使得网络安全成了企业信息化建设中一个永恒的话题。 目前企业信息化的安全威胁主要来自以下几个方面:一是来自网络攻击的威胁,会造成我们的服务器或者工作站瘫痪。二是来自信息窃取的威胁,造成我们的商业机密泄漏,内部服务器被非法访问,破坏传输信息的完整性或者被直接假冒。三是来自公共网络中计算机病毒的威胁,造成服务器或者工作站被计算机病毒感染,而使系统崩溃或陷入瘫痪,甚至造成网络瘫痪。如前段时间在互联网上流行的“熊猫烧香”、“灰鸽子”等病毒就造成了这样的后果。那么如何构建一个全面的企业网络安全防护体系,以确保企业的信息网络和数据安全,避免由于安全事故给企业造成不必要的损失呢? 二.XX企业需求分析 该企业目前已建成覆盖整个企业的网络平台,网络设备以Cisco为主。在数据通信方面,以企业所在地为中心与数个城市通过1M帧中继专线实现点对点连接,其他城市和移动用户使用ADSL、CDMA登录互联网后通过VPN连接到企业内网,或者通过PSTN拨号连接。在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业Web网站,以及FHS自动加油系统接口、互联网接入、网上银行等数字化应用,对企业的日常办公和经营管理起到重要的支撑作用。 1. 外部网络的安全威胁 企业网络与外网有互连。基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有涉密信息。假如内部网络的一台电脑安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络。 如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。 2.内部局域网的安全威胁
BJCA电子证照应用安全解决方案 1 背景概述 随着互联网、移动互联网的发展,以电脑、网络、通讯为主的信息技术,正在深刻地影响着社会生活和政府运作的方式。为创新政务工作模式,提高行政效率和服务水平,政府正在普遍推行电子证照和全流程电子化登记管理改革,推进公众在线应用电子证照办理行政审批业务,推进各级行政机关开展全流程电子化、网络化应用等。 电子证照是遵循相关技术规范的数字形态的证照,是由计算机等电子设备形成、办理、传输和存储的证照信息记录。电子证照不仅仅是传统纸质证照的电子化形态,其自身电子数据的特性更要求采用可靠的技术措施保障其真实有效性,实现可信的电子证照发放与应用管理。 2 需求分析 2.1 确保电子证照数据的真实性、完整性 电子证照数据存储于业务应用系统之中,由于在计算机内部和网络传输过程中,各类数据均由基本的数据单元组成且容易被篡改和伪造,而现实世界中的各种鉴别手段不能有效的识别数据电文的真实性和完整性。因此,需要采取技术措施确保电子证照业务应用系统中证照数据来源的真实性、内容的完整性和传输的保密性: 真实性:明确电子证照文件发送方的真实身份、能有效鉴别电子证照数据来源的真实性,防止假冒身份进行电子证照数据伪造;
完整性:确保电子证照数据文件在发送方与接收方之间的传递过程中没有被偶然或蓄意地因修改、伪造等行为造成破坏。 2.2 确保电子证照法律有效性 电子证照作为数据电文,要使其具有法律有效性,必须符合《中华人民共和国电子签名法》的相关要求。在《电子签名法》中明确提出了数据电文符合法律法规规定的书面形式、原件形式和保存形式的要求以及可靠电子签名的要求,并在第十四条明确规定了“可靠的电子签名与手写签名或者盖章具有同等的法律效力”。 要确保电子证照数据的法律有效性,核心是电子签名的可靠性。按照《电子签名法》规定,依托合法电子认证服务机构(CA认证机构)所发放的数字签名证书,使用合法可靠的设备进行电子签名的操作,即可形成我国法律所认可的电子签名,与手写签名或盖章具有同等的法律效力。 3 方案设计 BJCA电子证照应用安全解决方案按上述思路进行设计,总体方案设计如下图所示:
内部编号:AN-QP-HT596 版本/ 修改状态:01 / 00 When Carrying Out Various Production T asks, We Should Constantly Improve Product Quality, Ensure Safe Production, Conduct Economic Accounting At The Same Time, And Win More Business Opportunities By Reducing Product Cost, So As T o Realize The Overall Management Of Safe Production. 编辑:__________________ 审核:__________________ 单位:__________________ 信息安全管理体系认证的基本知识通 用范本
信息安全管理体系认证的基本知识通用 范本 使用指引:本安全管理文件可用于贯彻执行各项生产任务时,不断提高产品质量,保证安全生产,同时进行经济核算,通过降低产品成本来赢得更多商业机会,最终实现对安全生产工作全面管理。资料下载后可以进行自定义修改,可按照所需进行删减和使用。 一、ISO27001认证的概况 ISO27001认证,即“信息安全管理体系”,是标准的IT类企业专项的认证。 ISO27001是在世界上公认解决信息安全的有效方法之一。由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。企业通过了ISO27001认证,即表示企业的信息安全管理已建立了一套科学有效的管理体系作为保障。
玩具安全认证方案(TSCP) 为进一步确保玩具产品的安全,美国玩具协会(Toy Industry Association, TIA)、美国国家标准学会(ANSI)联合提出了《玩具安全认证方案》(TSCP)。下面是该方案的主要内容。 1. 简介 2007年8月,作为ANSI成员的TIA,要求ANSI来协调公众(消费者和政府)与私人(制造商和零售商)之间的合作关系,并制定玩具安全合格评定方面的技术和政策指南文件,即《玩具安全认证方案》(Toy Safety Certification Program,简称TSCP)。该指南文件于2008年2月公布并于征集反馈意见,修订后的草案于2008年5月2日公布。 TSCP的目的是保证在美国市场上销售的玩具是安全的,符合被美国政府和美国市场所承认的各种安全标准。玩具进口商和国内生产商必须满足该程序的基本要求:(1) 对玩具产品设计的危害分析和风险评估;(2) 工厂过程控制审核;(3) 产品样品测试。这三条将会由经认可的认证机构进行检查,符合要求的产品可以在产品或包装上加贴玩具安全标志。 TIA将负责管理TSCP的运作。TSCP也将不止局限于美国,而会对全球所有有资质的机构进行认可来开展玩具的合格评定工作。 2. 范围 TSCP适用于所有ASTM F963所管辖的、在美国市场销售的玩具。 对于艺术材料,应符合LHAMA,即15 USC 1277与16 CFR 1500.14(b)(8)的要求。但是,对于那些主要具有玩耍价值的艺术材料,则应满足ASTM F963的要求,即适用于TSCP。 3. 管理 TSCP包含三个主要部分:危害分析和风险评估、定期的工厂过程控制审核、和产品测试。这三条将会由经认可的认证机构进行检查,符合要求的产品可以在产品或包装上加贴玩具安全标志。安全标志有助向消费者、零售商、政府机构等传达以下信息:(1) 玩具符合相关的美国法规和标准要求,对儿童不具有风险;(2) 产品已经过测试;(3) 制造商的生产控制能保证持续生产合格的产品。 安全标志将由获ANSI认可的认证机构直接发放,而TIA负责对该标志进行管理,防止其被冒用。第三方认证机构向申请者收取的费用中,除了检测费用之外,还包括整个TSCP 体系的运作费用。 4. 具体要求 (1) 危害分析和/或风险评估文件 要认证的产品必须进行危害分析和/或风险评估,该项工作可以由申请者自己进行,也可委托有资质的第三方机构进行。评估时要考虑的因素可参考ISO/IEC导则50和/或导则51、CPSC于2006年7月发布的《制造更安全消费品手册》、欧盟委员会发布的《非食品类消费品风险评估指南》等文件。有效的危害分析和/或风险评估工作能够帮助制造商和销售商识别产品所具有的危害,有效保护儿童的安全,并减少产品召回。 申请者应确保由具备适当背景和经验的人员来开展危害分析和/或风险评估工作,复杂和/或高风险的产品对人员的要求也应更高。评估应使用统计分析工具,并由一位公司高层进行指导,而不应完全交给产品设计者。 申请者应将每类产品的评估结果记录在案。设计、材料或结构等影响产品安全性的因素的变更,都将视为是不同类的产品。 (2) 过程控制审核
申请编号: 信息安全服务资质认证 申请书 申请组织(盖章): 申请日期: 中国网络安全审查技术与认证中心
填写说明 1、本申请书适用于向中国网络安全审查技术与认证中心申报信息安全服务资质认证。 2、三级申请组织需提交申请书和自评价表(自评价表应包括公共管理自评价表一份)。 3、一、二级申请组织需提交申请书和自评价表(自评价表应包括公共管理、对应服务类别的自评价表各一份)。 4、申请书应使用A4型纸打印装订,首页及申请组织声明处加盖组织公章,并使用黑色钢笔或签字笔在相应位置签名(法人)。 5、申请书中所要求提交的证明材料,自评价表及自评价证据以电子版方式提供,不接受纸版材料。
信息安全服务资质认证申请书 1.申请信息 1.1申请类型 初次认证 级别变更1.2 资本类型 A类(不具有外资背景)B类(具有外资背景) 1.2申请类别与级别 安全集成一级二级三级 应急处理一级二级三级 风险评估一级二级三级 安全运维一级二级三级 软件安全开发一级二级三级 灾难备份与恢复(资源服务类)一级二级三级 灾难备份与恢复(技术服务类)一级二级三级 网络安全审计一级二级三级 工业控制系统安全一级二级三级 (工业控制所属行业:能源交通通信水利城建其他)1.3保持的类别和级别(级别变更或增加类别时填写) 安全集成一级二级三级 应急处理一级二级三级 风险评估一级二级三级 安全运维一级二级三级 软件安全开发一级二级三级 灾难备份与恢复(资源服务类)一级二级三级 灾难备份与恢复(技术服务类)一级二级三级 网络安全审计一级二级三级 工业控制系统安全一级二级三级 (工业控制所属行业:能源交通通信水利城建其他)2.组织基本信息(所有申请类型和级别都需填写) 申请组织全称(中文):。 申请组织全称(英文):。
中英文日报导航站 https://www.doczj.com/doc/2c14182863.html, 网站安全认证解决方案 互联网技术的普及为人们的生活、工作带来了更多的便利,现在只要你有一台可以上网的电脑,那么足不出户,你只需要动一动鼠标就可以在家轻松实现网上购物、网上结汇帐务、网上股票交易等等原来需要耗费大量时间和精力并且要来回奔波才能完成的事情。 然而,我们在享受互联网技术给我们的生活和工作带来的便利的同时,是否想到在虚拟的网络世界中,我们在做每一次网上购物或是网上银行帐务查询时,我们如何保证我们所定的货物,使我们所需求的;我们汇出得钱款能够安全到达指定位置;我们的查询信息能够不被别人窃取。近年来,网上假冒网站进行欺诈的行为已经发生了多起,假冒交易或会员网站,骗取用户资料,假冒银行的网站,盗取用户帐户的事件;更由甚者,在发生自然灾难的时候,假冒慈善网站骗取钱财,可以说恶劣至极。 作为网站的提供方,出发点是为了方便用户,同时在展现自己企业风采的同时,降低与用户沟通的成本然而,假冒网站却给网站的提供者和使用者,都提出以下安全问题,需要认真对待解决: 网站的真实性:用户访问网站时需要确认网站的真实性,由于互联网的广泛性和开放 性,使得互联网上存在很多虚假的网站,如何让用户信任自己访问的网站。 信息的机密性:现在大量的网上应用需要用户向应用服务器提交一些隐私及机密信 息,同时应用服务器也可能向用户返回一些隐私及机密信息,如何确保这些信息的安 全。 针对网站普遍存在的安全隐患,北京天威诚信电子商务服务有限公司(iTruschina )与美国VeriSign 公司合作,提供基于PKI (Public Key Infrastructure ,公钥基础设施)技术的、易于实施的、完善的网站安全解决方案。天威诚信为客户提供网站安全证书服务,通过严格的鉴证流程,为网站发放数字证书,用户在访问网站时可以确认网站真实身份,在传递敏感数据时可以建立SSL 加密连接,保证访问安全: 浏览器 SSL Web 服务器 用户 服务器证书
河南CA信息安全解决方案河南省数字证书认证中心
一、身份鉴别 (一)、基本要求 1、应提供专用的登录控制模块对登录用户进行身份标识和鉴别; 2、应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动 退出等措施; 3、应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度 检查以及登录失败处理功能,并根据安全策略配置相关参数。 4、应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中 不存在重复用户身份标识,身份鉴别信息不易被冒用; 5、应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;(二)、实现方式 通过部署PKI/CA与应用系统相结合实现该项技术要求。 (三)、部署方式 详细部署方式参见应用安全支撑系统系统设计。 二、访问控制 (一)、基本要求 1、应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问; 2、应由授权主体配置访问控制策略,并严格限制默认用户的访问权限。 3、应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体 的访问; 4、访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的 操作; 5、应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形 成相互制约的关系。 6、应具有对重要信息资源设置敏感标记的功能; 7、应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;(二)、实现方式 通过部署PKI/CA与应用系统相结合实现该项技术要求。
(三)、部署方式 详细部署方式参见应用安全支撑系统系统设计。 三、通信完整性、保密性 (一)、基本要求 1、应采用约定通信会话方式的方法保证通信过程中数据的完整性。 2、应采用密码技术保证通信过程中数据的完整性。 3、在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证; 4、应对通信过程中的整个报文或会话过程进行加密。 (二)、实现方式 应通过应用数据加密实现对于数据的完整性和保密性安全。 四、抗抵赖 (一)、基本要求 1、应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能; 2、应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。 (二)、实现方式 抗抵赖功能最常见的实现方式是通过PKI、数字签名、数字水印和CA等技术实现。 (三)、部署方式 通过部署CA实现应用抗抵赖功能。 五、数据完整性 (一)、基本要求 1、应能够检测到重要用户数据在传输过程中完整性受到破坏。 2、应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏; 3、应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施; 4、应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;
编号:ISCCC-IR-001:2011 IT产品信息安全认证实施规则 通用规则 2011-07-01发布2011-07-01实施 中国信息安全认证中心发布
目录 1.适用范围 ... (1) 2.认证模式 ... (1) 3.认证的基本环节... (1) 3.1认证申请及受理 ... (1) 3.2文档审核 (1) 3.3型式试验委托及实施 ... (1) 3.4初始工厂检查(如适用) ... . (1) 3.5认证结果评价与批准 ... (1) 3.6获证后监督 ... .. (1) 4.认证实施 ... (1) 4.1认证流程 (1) 4.2认证申请及受理 ... (1) 4.3文档审核 (2) 4.4型式试验委托及实施 ... (3) 4.5初始工厂检查(如适用) ... .. (3) 4.6认证结果评价与批准 ... (4) 4.7获证后监督 ... .. (4) 5.认证时限 ... (5) 6.认证证书 ... (5) 6.1认证证书的保持 ... (5) 6.2认证证书的变更 ... (6) 6.3认证证书覆盖产品的扩展 ... . (6) 6.4认证证书的暂停、注销和撤销 ... . (6) 7认证标志的使用 ... . (6) 7.1认证标志的样式 ... (6) 7.2认证标志的使用 ... (7) 7.3加施方式 (7) 7.4标志位置 (7) 8收费 ... .. (7) 附件 1: ... (8) 附件 2: ... ........................................................................................................................................................................ (10)
网上交易安全认证解决方案 电子交易模式的应用和发展,产生了一些专门提供网上交易服务的平台运营商,运营商建设面向全国的、面向各行各业的网上交易平台,面人用户提供会员制的网上交易服务,包括:通过网上交易平台发布商品信息、供求信息;通过网上交易平台查询供求信息;通过网上交易平谈判;通过网上交易平台完成电子化合同的签署;通过网上交易平台完成商品的交易;等等。网上交易平台运营商的目标是为企业或个人放的、方便的、诚信的交易环境。然而,网上电子交易不可避免的涉及到许多保密信息如买家、卖家个人信息、交易信息、产品信息等,在翻天覆地的变化同时,也不可避免的带来了安全上的巨大隐患;由于网上电子交易是建立在Internet 和网络技术基础至上,由于Internet 的泛性和匿名性,给网上交易带来很多安全隐患.针对网上交易平台应用存在的诸多安全隐患,深圳市电子商务安全证书管理有限公司(深圳C 于PKI (Public Key Infrastructure ,公钥基础设施)技术的、易于实施的、完善的网上交易平台安全解决方案。利用经过国家权威部门认的、专业的深圳CA认证中心作为权威、可信、公正的第三方认证中心,为网上交易平台构建基于PKI/CA 技术的信任基础平台,提供身份网上交易平台运营商的会员通过深圳CA申请数字证书,证书都保存到USB Key 中;通过深圳CA为网上交易平台申请服务器证书,证明台的真实性;会员登陆网上交易平台时,通过数字证书来实现身份认证和访问控制;进行信息发布时,使用数字证书对发布的信息进行数字发布信息的真实性、完整性、可靠性和抗抵赖性;会员通过网上交易平台进行网上谈判、电子化交易合同签署时,使用数字证书对提交的谈易订单和交易合同等进行签名,保证交易信息的真实性、完整性、可靠性和抗抵赖性 证书与网上交易系统结合 证书,可以为网上交易系统实现身份认证,数据加密,数据签名等方面功能. 用户证书的有效性和合法性,来确认用户具有系统赋予的角色权限。通过交易系统的用户名密码结合证书的方式,甚至不需要用户名密码的陆系统,确定用户身份。平台服务器配置服务器证书,建立起SSL安全通道,用户或者客户端必要使用证书才能登录到系统。通过双向的认证登录者的真实身份。如下图:
信息安全管理体系认证审核员确认方案7第 2页 书复印件; ●审核经历(适用于高级审核员申请人)。 (3)申请人应按CCAA-201《认证人员注册、培训认可收费规则》缴纳相应费用。 3.评价 CCAA对认证机构的相关证明和文件进行审核,确认机构的申报资格; CCAA评价人员对申请人的申请资料进行评价,提出确认意见; CCAA注册部负责人审查评价过程和确认意见,作出确认决定; CCAA秘书长批准确认决定并签发确认文件。 五、确认结果 CCAA将向申报机构发送审核人员资格确认文件。 确认资格自确认文件批准之日起生效,有效期3年;出现以下情况时,有效期自动终止,确认资格即行失效: ●确认人员与申报机构解除聘用关系;
●确认人员违反法律法规、认证规范文件和审核员行为准则,经CCAA查实的; ●CCAA建立覆盖确认业务范围的审核员注册制度满3个月后。 附件2: CCAA认证人员确认申请表 姓名及拼音性别 出生日期年月日身份证号码 确认项目(适用时)确认级别 专业范围(适用时) CCAA注册证书号(适用时)注册日期年月日工作单位职称 聘用机构聘用方式专职兼职通讯地址邮政编码 联系人电话/ 传真 教育/培训经历 时间院校/培训机构专业/培训内容学历学位/证书编号 工作经历 从年/月到年/月工作单位(名称、地址、联系人、
电话、传真)部门及 职务 主要工作任务 (请详述) 专业工作经历 从年/月到年/月工作单位(名称、地址、联系人、 电话、传真)部门及 职务 主要工作任务 (请详述) 贴 照 片 处 个人声明 本人保证申请表中所填写内容及所附材料真实,承认CCAA 有权为了保证真实性和准确性而验证本人所有的声明(包括所提交的材料),并自愿遵守CCAA确认要求和行为准则。
信息安全体系认证是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。 它是组织机构单位按照信息安全管理体系相关标准的要求,制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。信息安全管理体系是按照ISO/IEC 27001标准《信息技术安全技术信息安全管理体系要求》的要求进行建立的,ISO/IEC 27001标准是由BS7799-2标准发展而来。 信息安全管理体系ISMS是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理
体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。 企业如果进行这个体系的认证,会具有这些好处:1..符合法律法规要求 证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。 2.维护企业的声誉、品牌和客户信任 证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。 3.履行信息安全管理责任 证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。 4.增强员工的意识、责任感和相关技能 证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少