国家标准《信息技术安全技术生物特征识别信息的保护要求》(征求意见稿)编制说明
一、任务来源
《信息技术安全技术生物特征识别信息的保护要求》是国家标准化管理委员会2018年下达的信息安全国家标准制定项目,国标计划号为:2018XXXX-T-469,
由北京赛西科技发展有限责任公司主要负责起草,中国电子技术标准化研究院、广州广电运通金融电子股份有限公司、浙江蚂蚁小微金融服务集团股份有限公司、联想(北京)有限公司、国民认证科技(北京)有限公司、格尔软件股份有限公司等单位共同参与了该标准的起草工作。
二、编制原则
随着互联网成为日常生活的一部分,生物特征识别技术包括基于行为和生理特征的个体自动识别特征已经成熟,这些生物特征信息包括指纹图像、语音、虹膜图像、面部图像等。生物特征识别技术的成本一直在下降,它们的可靠性一直在增加,现在用作身份鉴别机制是可行的。另一方面,生物特征识别信息与其他个人信息和共享的联系越来越多,生物特征识别信息使个人和组织带来了新的挑战,需要重点保障生物特征信息的安全,并遵守各种隐私要求。
本标准拟提出生物特征识别信息的安全保护要求,包括生物特征识别系统的威胁和对策,生物特征信息和身份主体之间安全绑定的安全要求,应用模型以及隐私保护要求等。因此本标准制定时遵循以下原则:
1)通用性
按照本标准实现的生物特征识别信息的安全技术要求,可实现基本技术规格一致,便于用户使用,有利于主管部门的测评、认证和管理。
2)实用性
根据我国国情、实际运用环境和国家有关政策编制本标准,使其在指导系统和产品研发、检测、使用和管理方面具有很强的实用性。
)安全性与隐私3.
在本标准中对生物特征识别信息从安全和隐私两方面都做了严格的规定,从而确保生物特征识别信息在不同的场景中应用的安全性。
4)符合性
符合国家有关法律法规和已有标准规范的相关要求。
三、主要工作过程
1、2018年4月,调研国内外生物特征识别信息的安全应用需求,调研市场上生物特征识别的各种模态具体应用方式以及相关标准、法律法规要求等。
2、2018年9月11日,北京赛西科技发展有限责任公司、中国电子技术标准化
研究院、广州广电运通金融电子股份有限公司、浙江蚂蚁小微金融服务集团股份有限公司、联想(北京)有限公司、国民认证科技(北京)有限公司、格尔软件股份有限公司等共同组成标准编制组,召开该标准编制启动工作会议。会上,对
标准编制的组织形式及任务分工进行了安排。
3、2018年3月至12月,标准编制组完成了国家标准《信息技术安全技术
生物特征识别信息的保护要求》(草案)。
4、2019年3月26日在北京召开生物特征识别信息保护标准项目组工作会议,讨论标准草案,并明确下阶段工作任务。
5、2019年4月16日,WG4工作组在北京组织召开了组内专家评审会。专家组听取了标准编制组的工作汇报,审阅了相关文档,质询了有关问题。编制组依据专家评审意见进行了修改,形成新一版标准草案。
6、2019年4月22日,TC260在宁波召开会议周。在WG4工作组会议上,参会专家听取了标准编制组的工作汇报,经过讨论,提出若干修改意见,并进行了投票表决,形成征求意见稿。会议之后,编制组依据修改意见进行了修改,形成标准征求意见稿。
四、标准的主要内容
本标准规定了生物特征识别信息的安全保护要求,包括生物特征识别系统的威胁和对策,生物特征信息和身份主体之间安全绑定的安全要求,应用模型以及隐私保护要求等。本标准适用于生物特征识别系统的设计、开发与集成。
生物特征身份鉴别引入了隐私和鉴别保障之间的潜在差异。一方面,生物.
特征理想上是一个不变的属性,与个人相关联而且不同。凭证与人员的这种绑定提供了强有力的认证保证。另一方面,这种强大的约束力也对生物识别系统的安全性提出了挑战,如非法处理生物特征数据等。通常的更改密码或发新令牌解决办法是不可用于生物识别认证,因为生物特征,无论是内在的生理特性或个人行为的特点,难以或不可能改变。可以注册另一个手指或眼睛,但是选择通常是有限的。因此,采取适当的对策来维护一个安全的生物识别系统和保障数据的隐私是至关重要的。生物特征信息可能被检索或分析,如数据主体的健康状况或推断医疗信息和种族背景等。生物特征信息可能被滥用于其他目的,并被数据收集者所滥用。
本标准主要框架如下:
前言
引言
1 范围
2 规范性引用文件
3 术语、定义和缩略语
3.1 术语和定义
3.2 缩略语
4 生物特征识别系统
4.1 生物识别系统介绍
4.2 生物识别系统操作流
4.3 生物特征标识与身份标识
4.4 生物特征识别系统与身份管理系统
4.5 个人信息与通用唯一标识符
4.6 社会属性
5 生物特征识别系统安全要求
5.1 生物特征识别系统信息安全保护要求
5.2 生物特征识别系统安全威胁与应对措施
5.3 生物特征识别信息的数据库记录安全
生物特征识别信息管理要求6
6.1 生物特征识别信息安全威胁
6.2 生物特征识别信息保护要求与指南
6.3 监管与政策要求
6.4 生物特征识别信息生命周期管理
6.5 生物特征识别系统所有者责任
7 生物特征识别系统应用模型与安全要求
7.1 生物特征识别系统应用模型
7.2 生物特征应用模型的安全要求
附录A(资料性附录)数据库身份与生物特征信息安全绑定与使用
附录B(资料性附录)生物特征识别系统安全加密算法
附录C(资料性附录)可更新生物特征参考标识的框架
附录D(资料性附录)可更新生物特征参考标识的技术示例
附录E(资料性附录)生物特征识别水印
五、与相关法律法规及国家有关规定、国内相关标准的关系生物识别关联信息与其他个人信息和共享的联系越来越多,生物识别信息本标准提出了生物特征识别系统中包含生物信息记录的使组织带来了新的挑战。安全性要求,以保证生物信息的安全,并遵守各种隐私条例。本标准规范统一的生物特征识别信息的安全保护要求,从而实现安全、便捷、统一的生物识别信息安全保护框架,提高安全性,促进产业健康发展。本标个人信息安全规范》在生物特征识别领《信息安全技术准是GB/T 35273-2017远程人脸《信息安全技术域的细化与补充,并提出具体的安全与隐私保护要求。分别针对远程人脸指纹识别系统技术要求》识别系统技术要求》《信息安全技术
本标准对生物特征识别系统提出了更为通用设别系统和指纹识别系统提出要求。层面的保护要求,覆盖了生理特征和行为特征。
重大分歧意见的处理经过和依据六、
详见标准意见汇总处理表。
国家标准作为强制性国家标准或推荐性国家标准的建议七、.
建议本标准作为推荐性国家标准发布实施。
八、贯彻国家标准的要求和措施建议(包括组织措施、技术措施、过渡办法等内容)
本标准主要用于通过标准化的形式来将生物特征识别信息的安全与隐私要求等进行规范,有助于促进和规范当前生物特征鉴别工作的推进和管理。
九、其他事项说明
本标准不涉及专利。
标准编制组月6年2019.
第一章 信息安全保障概述 ??信息安全保障背景 ?什么是信息? 事物运行的状态和状态变化的方式。 ?信息技术发展的各个阶段? ??电讯技术的发明 ??计算机技术发展 ??互联网的使用 ?信息技术的消极影响? 信息泛滥、信息污染、信息犯罪。 ?信息安全发展阶段? ??信息保密 ??计算机安全 ??信息安全保障 ?信息安全保障的含义? 运行系统的安全、系统信息的安全 ?信息安全的基本属性? 机密性、完整性、可用性、可控性、不可否认性 信息安全保障体系框架? 保障因素:技术、管理、工程、人员 安全特征:保密性、完整性、可用性
生命周期:规划组织、开发采购、实施交付、运行维护、废弃 ?????模型? 策略?核心?、防护、监测、响应 ?????信息保障的指导性文件? 核心要素:人员、技术?重点?、操作 ???????中 个技术框架焦点域? ??保护本地计算环境 ??保护区域边界 ??保护网络及基础设施 ??保护支持性基础设施 ??信息安全保障工作的内容? ??确定安全需要 ??设计实施安全方案 ??进行信息安全评测 ??实施信息安全监控和维护 ??信息安全评测的流程? 见课本???图 ?? 受理申请、静态评测、现场评测、风险分析 ??信息监控的流程? 见课本???图 ?? 受理申请、非现场准备、现场准备、现场监控、综合分析
????信息技术及其发展阶段 信息技术两个方面:生产:信息技术产业;应用:信息技术扩散 信息技术核心:微电子技术,通信技术,计算机技术,网络技术 第一阶段,电讯技术的发明;第二阶段,计算机技术的发展;第三阶段,互联网的使用 ????信息技术的影响 积极:社会发展,科技进步,人类生活 消极:信息泛滥,信息污染,信息犯罪 ??信息安全保障基础 ????信息安全发展阶段 通信保密阶段( ?世纪四十年代):机密性,密码学 计算机安全阶段( ?世纪六十和七十年代):机密性、访问控制与认证,公钥密码学( ????? ??●●???, ??),计算机安全标准化(安全评估标准) 信息安全保障阶段:信息安全保障体系(??), ???模型:保护(??????????)、检测(?????????)、响应??????????、恢复(???????),我国 ?????模型:保护、预警(???????)、监测、应急、恢复、反击(??◆???????????), ????? ????标准(有代表性的信息安全管理体系标准):信息安全管理实施细则、信息安全管理体系规范 ????信息安全的含义 一是运行系统的安全,二是系统信息的安全:口令鉴别、用户存取权限控制、数据存取权限方式控制、审计跟踪、数据加密等 信息安全的基本属性:完整性、机密性、可用性、可控制性、不可否认性 ????信息系统面临的安全风险 ????信息安全问题产生的根源:信息系统的复杂性,人为和环境的威胁 ????信息安全的地位和作用
信息安全保障措施 网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置经公安部认证的防火墙,并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。 5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。
8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。 工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。 4、所有信息都及时做备份。按照国家有关规定,网站将保存60天内系统运行日志和用户使用日志记录,短信服务系统将保存5个月以内的系统及用户收发短信记录。
识别技术就是特征比较技术商人博客 产品产品公司生意经批发直达求购信息资讯论坛商友 识别技术就是特征比较技术(2010/09/16 16:16)22:13 扫描文字,结果以图片格式(.bmp)存入电脑,。然后使用ORC识别系统进行转换,终极用WORD进行修正编纂。下面教你如何使用ORC: OCR是英文Optical Character Recognition的缩写,翻译成中文就是通过光学技术对文字进行识别的意思,是自动识别技术研究和利用领域中的一个重要方面。它是一种可能将文字自动识别录入到电脑中的软件技术,是与扫描仪配套的主要软件,属于非键盘输入范围,须要图像输入设备主要是扫描仪相配合。现在OCR主要是指文字识别软件,在1996年清华紫光开端搭配中文识别软件之前,市场上的扫描仪跟OCR软件始终是离开销售的,专业的OCR软件谠缧┦焙蚵舻帽壬枰腔挂蟆K孀派枰欠直媛实奶嵘琌 CR软件也在一直进级,扫描仪厂商当初已把专业的OCR软件搭配本人出产的扫描仪出卖。OCR技术的敏捷发展与扫描仪的普遍使用是密不可分的,近两年跟着扫描仪逐步遍及和OCR技术的日臻完美,OCR己成为绝大多数扫描仪用户的得力助手。 一、OCR技术的发展过程 自20世纪60年代初期涌现第一代OCR产品开始,经过30多年的不断发展改良,包括手写体的各种OCR技术的研究取得了令人瞩目标成果,人们对OCR 产品的功能要求也从本来的单纯重视识别率,发展到对全部OCR系统的识别速度、用户界面的友爱性、操作的简便性、产品的稳定性、适应性、牢靠性和易升级性、售前售后服务质量等各方面提出更高的要求。 IBM公司最早开发了OCR产品,1965年在纽约世界展览会上展出了IBM公司的OCR产品--IBMl287。当时的这款产品只能识别印刷体的数字、英文字母及部分符号,并且必须是指定的字体。20世纪60年代末,日破公司和富士通公
论网络与信息安全的重要性以及相关技术 的发展前景 信息技术应用研究计算机光盘软件与应用ComputerCDSoftwareandApplications2011 年第2 期论网络与信息安全的重要性以及相关技术的发展前景陆成长2,钟世红 (1.中国海洋大学,山东青岛266100;2.潍柴动力股份有限公司,山东潍坊261001) 摘要:随着科技的发展,互联网的普及,电子商务的扩展,信息化水平的大幅度提高, 网络与信息安全也越来越受 到重视.本文将立足现实,浅析网络与信息安全的重要性以及相关技术的发展前景. 关奠词:网络;信息;网络与信息安全;重要性;发展前景 中圈分类号:TP309文献标识码:A文章墙号:1007—9599(2011)02-0016—01 TheImportanceofNetwork&Information SecurityandRelatedTechnologyDevelopmentProspects LuChengzhang~.2, ZhongShihong= (1.ChinaOceanUniversity,Qingdao266100,China;2.WeichaiPowerCo.,Ltd.,Weifang26 1001,China) Abstract:Withtechnologydevelopment,popularityoftheImernet,e-commerceexpansion, substantialincreaseinthelevelof informationtechnology,networkandinf~mafionsecuritygetmoreandmoreattention.Thisa rticlebasedOnreality,discussthe importanceofnetworkandinformationsecurityandre~tedtechnologydevelopmentprospe cts. Keywords:Network;Infolmation;Networkandinformationsecurity;Importance;Develop mentprospects 网络与信息安全,除了特指互联网外,还包括固定电话,移动电话,传真机等通信网络
服务与质量保障措施
一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置防火墙(硬件防火墙正在采购中),做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好访问日志的留存。网站具有保存六月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。 5、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源,能定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成或管理,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司
生物特征识别技术的发展方向和市场前景 各种生物特征识别技术,虽然这些技术能很好地解决传统安全保护方式存在的隐患,提供了相对方便、快速、准确的身份识别方法,但与此同时,这些单一的技术也存在着各自的缺点。就拿指纹识别来说,人们会突然失去可用的指纹,如手指过湿、过干或出现手指暴皮等特征损伤时,或者手指有污物,指纹图像会变的破损或模糊,这样成功比对的可能性就会降低,识别率会大幅度下降。而且这类情况在现实中是比较常见的如在煤矿里等。其他识别技术也有各自不同的缺点。 因此,生物特征识别领域又出现了一种新的方向,即多种生物特征识别技术结合使用。在国外,德国知名的法兰富尔协会研发了一种多重模板识别系统,DCSAG公司采用这种方法开发了身份识别系统BioID,提出了全方位生物特征识别的观点。在我们国内,也有不少的研究机构开始研究基于多特 征的识别技术。比如近期清华大学研制的TH.ID多模生物特征(人脸、笔迹签字、虹膜)身份识别认证系统,就是融合了人脸、笔迹和虹膜三种特征,因此识别率也很高。以后的研究,也将走这样的路线,即:将手指静脉和指纹两种特征结合起来以提高识别率和系统的稳定性。 近几年来,全球的生物特征识别技术已从研究阶段转向应用阶段,对该技术的研究和应用正进行的如火如荼,前景十分广阔。利用生物识别技术,使我们的日常生活更为方便、安全。这种新方法将在信息社会中起到越来越重要的作用,成为将来的主要发展方向。可见,人体生物特征识别是~项发 展前景极好的高新技术。逐渐被一些机构和消费者采用,成为一种越来越受欢迎的安全保障措旋,使得这项技术有着巨大的市场潜力。. 2006年1月,国际生物特征组织IBG(International Biometrie Group)最新的《2006.2010年生物识别市场研究报告》中给出的数据,如图1.1~1.4所示。 预计,受大量的政府项目等推动,全球生物识别产值将从2006年的$2.1B(billion)增长至2010年的$5.7B(billion);2006年,指纹识别有望占到生物识别市场43.6%的份额,面部识别约占19%。亚洲和北美将有望成为全球最大的生物识别市场。各种生物识别应用系统的产值估计会占到整个生物识别市场(包括相关的设备生产、系统开发等)的产值的5%。 产业预测表明整个生物特征市场会继续增长。其中指纹识别市场仍然占据主导地位,如图1.3 和1.4所示。随着科技的进步,特别是那些具有更高的识别性能的生物特征识别技术的发展,相信这种状况会改变的。 可以预见在不久的将来,生物特征识别技术必将越来越广泛地应用于生活和工作各个领域。从过去的10年的市场情况来看,指纹、人脸和掌型识别技术应用最为广泛,指纹识别占据了更大的优势,看起来用手作为生物特征识别的手段更易为大众所接受。国内市场上主要的生物特征识别产品基本上都是基于指纹识别技术的产品,而且已经应用到了很多的方面。另外几种被看好的技术是静脉、语音以及虹膜识别技术。 几种典型的生物特征识别技术 (1)指纹识别 每个人(包括指纹在内)皮肤纹路在图案、断点和交叉点上各不相同,也就是说,是唯一的,并且终生不变。依靠这种唯一性和稳定性,我们就可以把一个人同他的指纹对应起来,通过比较他的指纹和预先保存的指纹进行比较,就可以验证他的真实身份。这就是指纹识别技术。作为生物特征识别的
未来信息安全技术发展四大趋势 可信化: 这个趋势是指从传统计算机安全理念过渡到以可信计算理念为核心的计算机安全。近年来计算机安全问题愈演愈烈,传统安全理念很非常难有所突破,人们试图利用可信计算的理念来解决计算机安全问题,其主要思想是在硬件平台上引入安全芯片,从而将一点(不多的意思)或几个计算平台变为“可信”的计算平台。目前还有很非常多问题需要研究跟探索,就像如基于TCP的访问控制、基于TCP的安全操作系统、基于TCP的安全中间件、基于TCP的安全应用等。 网络化: 由网络应用、普及引发的技术与应用模式的变革,正在进一步推动信息安全关键技术的创新开展,并诱发新技术与应用模式的发现。就像如安全中间件,安全管理与安全监控都是网络化开展的带来的必然的开展方向;网络病毒与垃圾信息防范都是网络化带来的一些安全性问题;网络可生存性;网络信任都是要继续研究的领域…… 标准化: 发达国家地区高度重视标准化的趋势,现在逐步渗透到发展中国家都应重视标准化问题。逐步体现专利标准化、标准专利化的观点。安全技术也要走向国际,也要走向应用。我国政府、产业界、学术界等必将更加高度重视信息安全标准的研究与制定工作的进一步深化与细化,就像如密码算法类标准(加密算法、签名算法、密码算法接口)、安全认证与授权类标准(PKI、PMI、生物认证)、安全评估类标准(安全评估准则、方法、规范)、系统与网络类安全标准(安全体系结构、安全操作系统、安全数据库、安全路由器、可信计算平台)、安全管理类标准(防信息泄漏、质量保证、机房设计)等。 集成化: 即从单一功能信息安全技术与产品,向多种功能融于某一个产品,或者是几个功能相结合的集成化产品,不再以单一的形式发现,否则产品太多了,也
现行国家信息安全技术标准 序号 标准号 Standard No. 中文标准名称 Standard Title in Chinese 英文标准名称 Standard Title in English 备注 Remark 1GB/T 33133.1-2016信息安全技术祖冲之序列密码算法第1部分:算法描述Information security technology—ZUC stream cipher algorithm— Part 1: Algorithm description 2GB/T 33134-2016信息安全技术公共域名服务系统安全要求Information security technology—Security requirement of public DNS service system 3GB/T 33131-2016信息安全技术基于IPSec的IP存储网络安全技术要求Information security technology—Specification for IP storage network security based on IPSec 4GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems 5GB/T 33132-2016信息安全技术信息安全风险处理实施指南Information security technology—Guide of implementation for information security risk treatment 6GB/T 32905-2016信息安全技术 SM3密码杂凑算法Information security techniques—SM3 crytographic hash algorithm 国标委计划[2006]81号 7GB/T 22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求Information security techniques—Security technical requirements for IC card chip with CPU 8GB/T 32907-2016信息安全技术 SM4分组密码算法Information security technology—SM4 block cipher algorthm 国标委计划[2006]81号 9GB/T 32918.1-2016信息安全技术 SM2椭圆曲线公钥密码算法第1部分:总则Information security technology—Public key cryptographic algorithm SM2 based on elliptic curves—Part 1: General 国标委计划 [2006]81号
信息安全技术发展现状及发展趋势 摘要:随着信息化建设步伐的加快,人们对信息安全的关注程度越来越高。,信息安全的内涵也在不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。信息安全涉及数学、物理、网络、通信和计算机诸多学科的知识。与其他学科相比,信息安全的研究更强调自主性和创新性。本文对信息安全技术发展现状和趋势问题作一粗浅分析。 关键词:密码学;信息安全;发展现状 引言 网络发展到今天,对于网络与信息系统的安全概念,尽管越来越被人们认识和重视,但仍还有许多问题还没有解决。这是因为在开放网络环境下,一些安全技术还不完善,许多评判指标还不统一,于是网络与信息安全领域的研究人员和技术人员需要为共同探讨和解决一些敏感而又现实的安全技术问题而努力。 目前,信息安全技术涉及的领域还包括黑客的攻防、网络安全管理、网络安全评估、网络犯罪取证等方面的技术。信息安全不仅关系到个人、企事业单位,还关系到国家安全。21世纪的战争,实际上很大程度上取决于我们在信息对抗方面的能力。 信息安全技术从理论到安全产品,主要以现代密码学的研究为核心,包括安全协议、安全体系结构、信息对抗、安全检测和评估等关键技术。以此为基础,还出现了一大批安全产品。下面就目前信息安全技术的现状及研究的热点问题作一些介绍。 现今信息安全问题面临着前所未有的挑战,常见的安全威胁有:第一,信息泄露。信息被泄露或透露给某个非授权的实体。第二,破坏信息的完整性。数据被非授权地进行增删、修改或破坏而受到损失。第三,拒绝服务。对信息或其他资源的合法访问无条件地阻止。第四,非法使用(非授权访问)。某一资源被某个非授权的人,或以非授权的方式使用。第五,窃听。用各种可能的合法或非法的的信息资源和敏感信息。第六,业务流分析。通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。第七,假冒。通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。第八,旁路控制。攻击者利用系统的安全缺陷或安全性上的脆弱之处获得
信息安全管理规范1 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责: 根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责: 负责公司与相关领导之间的联系,跟踪重大网络信息安全事
件的处理过程,并负责与政府相关应急部门联络,汇报情况。 3.1.2网络与信息安全工作管理组副组长职责: 负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责: 省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理 工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。 3.1.4信息安全技术管理职责: 各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求,牵头对各类网络和系统实施安全技术评估和工作;发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;协助制定网络与信息安全的应急预案,参与应急演练;针对重大安全事件,组织实施应急处理,并定期对各类安全事件进行技术分析。
科技文献检索期末论文 论文题目:信息安全技术综述 ——信息安全的发展 学院:计算机科学与信息技术 专业:信息安全 班级:信息101 学号:1008060174 姓名:沈小珊 分数: 2013年6月10日
摘要: 随着信息化建设步伐的加快,人们对信息安全的关注越来越高。信息安全技术的内涵也越来越广,从主机的安全技术发展到网络体系结构的安全,从单一层次的安全发展到多层次的立体安全。信息安全不仅关系到个人,企事业单位,还关系到国家安全。回顾信息安全技术的发展历史,必将给予我们启示和思考。 关键字: 信息安全技术应用发展历史安全危机 引言: 在这学期的课程中,蒋老师以形象生动的语言向我们讲述了“什么是信息安全”、“信息安全都包括那些内容”,并就一些“数字签名”“身份认证”、“主动攻击、被动攻击”等专业术语进行了解释。同时,自开学以来,自己也在备考计算机网络技术的等级考试,在备考当中也了解一些关于网络安全的知识,并阅读了一些关于网络安全发展的书籍,对信息安全技术的应用有了初步了解。 一、信息安全危机的出现 信息安全的概念的出现远远早于计算机的诞生,但计算机的出现,尤其是网络出现以后,信息安全变得更加复杂,更加“隐形”了【1】【19】【20】。现代信息安全区别于传统意义上的信息介质安全,一般指电子信息的安全【2】。 从1936年英国数学家A . M .Turing发明图灵机,到1942年世界上第一台电子计算机ABC研制成功,再到1945年现代计算机之父,冯·诺依曼第一次提出存储程序计算机的概念,以及后来的第一条跨越大西洋的电话电缆敷设完成。这些都为网络技术的发展奠定了基础。 20世纪80年代开始,互联网技术飞速发展,然而互联网威胁也随之而来。世界上公认的第一个在个人电脑上广泛流行的病毒于1986年初诞生,被命名为大脑(C-Brain)。编写该病毒的是一对巴基斯坦兄弟,两兄弟经营着一家电脑公司,以出售自己编制的电脑软件为生。由于当地盗版软件猖獗,为了防止软件被
生物特征识别技术的发展趋势 随着信息社会对个人身份认证与管理需求的不断增长,生物特征识别技术及其相关产品已经大量地进入到了社会生活的各个方面,为不断提高人类生活的品质做出了贡献。但是,生物特征识别技术在实际的应用过程中也出现了一些问题,同时,人们针对目前已经得到广泛应用的一些生物特征识别技术也提出了的质疑与挑战。例如,人体指纹可以比较容易地被复制与伪造,从而存在利用伪造的指纹副本对指纹识别系统进行欺骗的可能性。而且,通过一定的技术手段获取人体指纹进行伪造的难度并不大。2006年,美国的科普节目MythBusters利用一种模仿人体组织特性的凝胶材料制作了人体的指纹副本,然后利用这个伪造的指纹副本成功地通过了指纹识别系统的认证。在2009年,Duc Nguyen更是非常容易地利用一张真人大小的黑白图片通过了联想笔记本所用的人脸识别系统的用户登录认证。 为什么会出现这样的问题呢?首先需要从生物特征识别技术的原理谈起。生物特征(这里特指人体的生物特征)之所以能够作为个人身份鉴别与识别的有效手段,这是由其自身所具有的四个特点所决定的:普遍性、唯一性、稳定性和不可复制性。生物特征的普遍性与唯一性在多数情况下可以得到满足,而稳定性和不可复制性则因各种生物特征的自身特点而有所不同。而且,受限于传感器与生物特征识别算法的性能,生物识别系统在识别精度与防伪性能上将会有所下降。例如,在理论上,只要人体面部细节特征足够多,那么即使是双胞胎也可以进行区分。实际上,对于一个现实的生物识别系统而言,要做到这点几乎是不可能的。但是也没有必要太过悲观,人们可以通过采取多种生物特征相融合的识别方式,即多模态识别来提高系统的精度和保证系统防伪性。未来生物特征识别技术的发展趋势大致可分为三个方向:多模态、非接触和网络化。 多模态:采用多模态生物特征融合技术可以获得比单一生物特征识别系统更好的识别性能和可靠性,并增加伪造人体生物特征的难度与复杂性,提高系统的安全性。多模态生物特征识别技术是指综合利用来自同一生物特征的多种识别技术,或者来自不同生物特征的多种识别技术,对个人身份进行判断的生物特征识
职业类型: 信息安全咨询师,信息安全测评师,信息安全服务人员,信息安全运维人员,信息安全方案架构师,安全产品开发工程师,安全策略工程师、培训讲师、漏洞挖掘、攻防测试 咨询顾问一般需要以下技能: 熟悉各类安全标准--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800…… 相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO…… 咨询体系--企业经营管理,流程管理,人力资源管理,信息战略,法律法规 基本技能--沟通表达、文档、项目管理 技术体系--All above(不要因为我说了这句话趋之若鹜哦) 分类: 市场销售类:销售员、营销人员 顾问咨询类:售前工程师、咨询顾问 管理类:内控审计师、信息安全管理 技术实现类:开发工程师、渗透测试 开发管理类:项目经理、技术总监 实施维护类:实施工程师、维护工程师 甲方 乙方:有技术、产品、有解决方案,更关注行业、技术等,保障企业利益 X方:标准制定机构,处于中立地位的机构,监管机构等 四类主体岗位群: 管理、技术、销售、运维 管理类职业群:行业监管标准的执行,合规标准;管理实践;系统方法进行指导 技术类职业群:技术开发类职业群,技术运维类职业群(核心是对业务的需求和理解)开发:语言、工具、思路、需求理解 运维:系统分析、运维思想、操作技能、流程管理 营销类职业群:(通常在乙方,向人提供产品技术),在什么情景下使用什么技术解决什么问题。传播、方案、场景、市场。有技术基础,又有良好的表达能力。 销售类职业群:关系+价值 信息安全管理岗位职业锚 甲方:以服务自己为主 1、安全体系管理员 大型企业,体系化的。有时候配合乙方进行企业安全建设。 职责:安全规划、需要多少钱多少人、制定相关安全制度,提出相应安全要求。参照ISO27000级内控等。(还是比较难的) 督促实施,检查各项信息安全制度、体系文件和策略落实情况。(在企业内部地位还可以) 2、信息安全经理 大型企业,会设安全处,是处长级别。不仅了解企业内部动态,设置规章制度。而且要和监管机构、行业主管部门、上级进行沟通,了解他们对安全的要求。对沟通能力,全局观有要求。定期组织各个部门进行风险评估,针对问题制定相关措施。对技术也要有所了解。很多技术活都要去做。(实干型的在企业中承担重要职责的岗位) 3、CSO首席安全官 负责整个机构的安全运行状态,物理安全信息安全等。(在很多企业甚至是合伙人之一)互联网金融、银行等行业都非常重要,外企的信息安全官各个方面都要管。甚至业务安全、反欺诈和隐私保护等等,到犯罪的问题都要管。 涉及到公共安全等问题,已经进入公司的决策层。
信息安全等级保护标准规范 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 (一)工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业
第39卷第2期 上海师范大学学报(自然科学版)Vol.39,No.2 2010年4月 Journal of Shanghai Nor mal University(Natural Sciences)Ap r.,2010 基于实体模型的自动特征识别技术 蔡丽安,徐 颖,张友梅 (上海师范大学信息与机电工程学院,上海200234) 摘 要:提出一种基于特征实体模型的自动特征识别方法,该方法依据特征实体造型的特点,从零件的设计特征入手,通过遍历零件的造型特征,获取零件模型上所有特征的几何关系及对应的特征参数、约束,实现形状特征的自动识别,为CAD/CAPP的集成提供支持.应用实例验证该方法具有较强的适用性. 关键词:特征识别;实体模型;特征造型 中图分类号:TP391 文献标识码:A 文章编号:100025137(2010)022******* 0 引 言 目前,先进制造技术正向制造柔性化、集成化和智能化方向发展,CAD/CAPP/CAM的全信息集成是产品开发与过程设计实现并行化、集成化的基本支持工具,也是实现C I M S的前提条件.但因为CAD 系统通常采用二维造型、实体模型或设计特征表示零件,而CAPP系统所需要的却是零件的加工特征,这就需要在CAD与CAPP之间建立智能接口,将CAD系统设计时产生的设计特征转换为能供CAPP系统使用的加工特征,因此特征识别技术一直是CAD/CAPP/CAM领域的研究热点. 所谓特征识别就是从产品的实体模型出发自动识别出其中具有一定工程意义的几何形状,即特征,进而生成产品的特征模型方便后续的自动加工.特征识别的研究工作最早开始于1970年代的英国剑桥大学CAD中心,该中心的研究人员最早提出了基于边界表示的特征识别.此后,特征识别技术以及特征的概念受到了学术界以及工业界的普遍重视,研究工作广泛展开,取得了相当丰硕的研究成果.总结起来,可以将特征识别方法分为两大类,一类是边界匹配特征识别方法,包括规则法、图形法、痕迹法等;另一类是立体分解的特征识别方法,包括立体交替和分解法、单元体分解法等.这些特征识别方面大都从最底层的零件模型入手,从最基本的点、线、面开始识别,基于某种规则对拾取的点、线、面等几何特征要素进行组合匹配,构造特征几何实体、然后按预定义的特征对此特征实体进行比较、判定特征的类型,提取相应的特征参数.这对一些特征简单的模型是适用的,而对那些特征复杂,特别是有许多相交特征的零件,识别效率不是很理想[1,2]. 近年来,以特征设计(Design by feature)为基础的特征造型软件日益流行,它们所提供的特征造型方法为特征识别提供了新的思路[3].本文作者以特征造型为出发点,探讨基于特征实体模型的特征识别方法.该方法依据特征造型的特点,从单个造型特征入手进行特征识别,获取零件加工所需的几何形状信息和加工工艺信息. 收稿日期:2009212228 基金项目:上海师范大学一般科研基金项目(SK200868). 作者简介:蔡丽安(1971-),女,上海师范大学信息与机电工程学院讲师,主要研究方向:机械设计及理论.
信息安全技术发展现状及发展趋势 【1】摘要:信息时代已然到来,我们的生活越来越趋于信息化,人们利用网络的范围也越来越广。人们对信息安全的关注程度越来越高。信息安全的内涵也在不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻、防、测、控、管、评”等多方面的基础理论和实施技术。信息安全涉及数学、物理、网络、通信和计算机诸多学科的知识。掌握信息安全,谨防高科技犯罪。本文对信息安全技术发展现状和趋势问题作一粗浅分析。 【2】关键词:密码学;信息安全;发展现状 【3】正文 信息安全是指信息网络的硬件、软件及系统设备中的数据受到保护,不受偶然的或恶意的原因而遭到破坏、更改、泄露,系统中连续可靠正常的运行、信息服务不中断。 网络发展到现在,与我们的生活密切相关,“账户”“密码”“个人用户”······已成为必备的生活数据。在越来越普及的计算机生活中,我们在应用的同时也要预防黑客攻击,病毒入侵,人肉搜索······ 目前,信息安全技术涉及的领域还包括黑客的攻防、网络安全管理、网络安全评估、网络犯罪取证等方面的技术。信息安全关系到个人、企事业单位,国家安全。21世纪的战争,实际上很大程度上取决于我们在信息对抗方面的能力。 信息安全的目标是保证数据的保密性、完整性、可用性、真实性、不了否认性、可控制性、以及可追究性。而从信息安全技术发展到安全应用,是主要以密码学为主,包括安全协议、安全体系结构、信息对抗、安全检测和评估等关键技术。以此为基础,还出现了一大批安全产品。 常见的安全威胁有: 第一,信息泄露。信息被泄露或透露给某个非授权的实体。 第二,破坏信息的完整性。数据被非授权地进行增删、修改或破坏而受到损失。
生物特征识别技术概述(一) 【摘要】生物特征识别技术是利用人的生理特征或行为特征,来进行个人身份的鉴定。文章论述了现有的各种生物特征识别技术的原理、特征、应用的优缺点,介绍了生物特征识别技术的标准化工作和发展趋势。 【关键词】身份鉴别;生物特征识别;标准化 网络信息化时代的一大特征就是个人身份的数字化和隐性化。如何准确鉴定一个人的身份,保护信息安全是当今信息化时代必须解决的一个关键性社会问题。目前,我国的各种管理大部分使用证件、磁卡、IC卡和密码,这些手段无法避免伪造或遗失,密码也很容易被窃取或遗忘。这些都给管理者和使用者带来很大不方便。生物特征身份鉴别方法可以避免这些麻烦。因此,这一技术已成为身份鉴别领域的研究热点。 所谓生物特征识别技术就是,通过计算机与各种传感器和生物统计学原理等高科技手段密切结合,利用人体固有的生理特性和行为特征,来进行个人身份的鉴定。生理特征与生俱来,多为先天性的;行为特征则是习惯使然,多为后天性的。将生理和行为特征统称为生物特征。并非所有的生物特征都可用于个人的身份鉴别。身份鉴别可利用的生物特征必须满足以下几个条件:第一,普遍性:即必须每个人都具备这种特征。第二,唯一性:即任何两个人的特征是不一样的。第三,可测量性:即特征可测量。第四,稳定性:即特征在一段时间内不改变。当然,在应用过程中,还要考虑其他的实际因素,比如:识别精度、识别速度、对人体无伤害、被识别者的接受性等等。现在常用的生物特征有:人脸识别、虹膜识别、手形识别、指纹识别、掌纹识别、签名识别、声音识别等。下面将分别介绍各种生物特征识别技术:一、生物识别技术介绍 常用的生理特征有脸像、指纹、虹膜等;常用的行为特征有步态、签名等。声纹兼具生理和行为的特点,介于两者之间。 (一)基于生理特征的识别技术 1.指纹识别。指纹识别技术是通过取像设备读取指纹图像,然后用计算机识别软件分析指纹的全局特征和指纹的局部特征,特征点如嵴、谷、终点、分叉点和分歧点等,从指纹中抽取特征值,可以非常可靠地通过指纹来确认一个人的身份。 指纹识别的优点表现在:研究历史较长,技术相对成熟;指纹图像提取设备小巧;同类产品中,指纹识别的成本较低。其缺点表现在:指纹识别是物理接触式的,具有侵犯性;指纹易磨损,手指太干或太湿都不易提取图像。 2.虹膜识别。虹膜识别技术是利用虹膜终身不变性和差异性的特点来识别身份的,虹膜是一种在眼睛中瞳孔内的织物状的各色环状物,每个虹膜都包含一个独一无二的基于水晶体、细丝、斑点、凹点、皱纹和条纹等特征的结构。虹膜在眼睛的内部,用外科手术很难改变其结构;由于瞳孔随光线的强弱变化,想用伪造的虹膜代替活的虹膜是不可能的。目前世界上还没有发现虹膜特征重复的案例,就是同一个人的左右眼虹膜也有很大区别。除了白内障等原因外,即使是接受了角膜移植手术,虹膜也不会改变。虹膜识别技术与相应的算法结合后,可以到达十分优异的准确度,即使全人类的虹膜信息都录入到一个数据中,出现认假和拒假的可能性也相当小。 和常用的指纹识别相比,虹膜识别技术操作更简便,检验的精确度也更高。统计表明,到目前为止,虹膜识别的错误率是各种生物特征识别中最低的,并且具有很强的实用性,386以上计算机CCD摄像机即可满足对硬件的需求。 3.视网膜识别。人体的血管纹路也是具有独特性的,人的视网膜上面血管的图样可以利用光学方法透过人眼晶体来测定。用于生物识别的血管分布在神经视网膜周围,即视网膜四层细胞的最远处。如果视网膜不被损伤,从三岁起就会终身不变。同虹膜识别技术一样,视网膜扫描可能具有最可靠、最值得信赖的生物识别技术,但它运用起来的难度较大。视网膜识别