发布时间:2023-10-11 17:47:53
绪论:一篇引人入胜的国内信息安全认证,需要建立在充分的资料搜集和文献研究之上。搜杂志网为您汇编了三篇范文,供您参考和学习。
多年来,嘉兴市辰翔信息科技有限公司致力于IT软硬件安全检测认证,凭借着国际一流的技术,为IT软硬件“盖”上了信息安全的“合格章”。
权威认证覆盖全球
据国家工信部的《2013年电子信息产业统计公报》显示,我国2013年电子信息产业销售收入总规模达到12.4万亿元,同比增长12.7%。在信息安全日益受重视的今天,这意味着巨大的安全认证市场。就全球而言,反病毒软件的检测认证市场销售规模在2亿人民币左右,而安全硬件提供商全球多达几万家,销售额至少在几百亿人民币。检测认证行业作为IT软硬件方案服务提供商的服务商,市场前景巨大。如此大的“蛋糕”,此前一直被AV-TEST、ISCA LABs、Virus Bulletin等几家巨头垄断。
为了打破国外检测机构对计算机安全软硬件检测垄断的局面,辰翔科技通过多年来的理论研究和实践应用研发了一系列符合计算机安全技术潮流发展的检测技术和认证标准,并在一些关键的技术环节大量应用了新的检测标准和检测技术,是大中华区唯一专业从事计算机安全软硬件测试认证的公司,也是公安部计算机病毒应急响应中心的合作伙伴和唯一具有公安机关病毒分析备案的公司。除了自行研发外,辰翔科技还通过与国内高等院校的合作,研究如何将病毒流行度指标应用在计算机安全检测之上,相关论文也已经在国际会议上发表。另外,其关于计算机安全软硬件检测的专用认证标志已经在欧盟、美国和大陆成功注册。
辰翔科技作为全球主要的安全软件检测认证服务提供商,客户基本已经涵盖主要的杀毒软件提供商。值得一提的是,在手机Android操作系统安全测试领域,公司已经基本实现垄断。除了手机端的安全认证外,辰翔科技还与美国微软总部合作研发Windows安全认证体系。目前辰翔科技在全球安全软件测试认证行业主要竞争对手有6个,目标客户覆盖率基本达到国外同行水平。未来,辰翔科技将以电源产品作为切入点,进一步开展通用IT硬件(如CPU、内存、音响制品、显示器等)与安全硬件(如嵌入式反病毒硬件,硬件防火墙,邮件过滤器等)的检测认证工作。
打造全方位“防御体系”
通过从计算机软件到硬件,再加上手机与网站的安全测评,辰翔科技打造了一个全方位的安全防御圈。
安全软件测试
通过测试安全软件的多层防御能力来判断安全软件的综合防御能力。关键技术在于多层实时检测技术,传统的安全软件检测比较单一、一般都只检测安全的一个参数值,比如病毒的查杀率,误报水平等,而辰翔科技对测评体系进行了升级,摆脱单一功能检测无法反映软件综合性能的缺失,目前已经基本运用到日常检测认证中来。
云安全检测认证
辰翔科技采集最新最全的病毒样本,运用高性能的爬虫系统,通过大量的新出现的病毒和常用软件来判断云安全软件对未知病毒的响应能力、白名单库的收集能力和误报水平、云安全技术的稳定性判断,在国内率先提出了云安全检测技术的思路和测试基本框架。
手机安全软件检测认证
通过手机操作系统模拟器或真机来模拟或者重现手机安全软件在各系统上的运行情况,包括对病毒的检测查杀能力、常用功能的比较和不同病毒对手机用户的危害。目前,辰翔科技建立了一套完整的病毒分析流程,可以为杀毒软件公司提供分析支持和软件配套服务。
软件安全性评估
通过代码和行为分析判断软件是否具有恶意行为,对验证无恶意行为的软件颁发认证标志。
非安全软件类软硬件检测认证
通过辅助软件对同类通用软件和硬件进行性能评估和检测认证,对达标产品相对应的认证标志。通用软硬件的测评和认证将由辰翔科技和中国计量学院、浙江质监局共同进行研发,远期将提供市场准入认证和产品改良服务。
2009年,国家质量监督检验检疫总局、财政部、国家认证认可监督管理委员会联合公告,决定将对部分信息安全产品进行强制性认证的强制实施时间从2009年5月1日延至2010年5月1日。如今,强制实施时间已经过去了4个多月,数据备份和恢复产品的认证情况如何呢?记者查阅了中国信息安全认证中心公布的信息安全产品认证获证名单,目前已通过认证的数据备份和恢复产品只有两款――爱数备份软件V3.0、火星企业级跨平台数据备份软件V3.0。
国内厂商积极性更高
记者采访了几家国内外主要的数据备份与恢复软件厂商,发现国内厂商在3C认证方面比较积极,现已通过产
品认证的两个厂商都是国内厂商,包括上海爱数软件有限公司和火星高科(天津火星科技有限公司是火星高科在天津的产业基地)。国外厂商的行动相对较慢。记者目前了解的情况是,CommVault已经提交了相关资料,目前正在等待回复,准备进行实际的产品测试。
火星高科市场总监郭竞远介绍说:“早在2004~2005年,我公司曾参与政府部门组织的数据备份技术标准的制定工作。后来,此技术标准没有成为国家标准,而是被国家质量监督检验检疫总局采纳为部级标准,并用于对数据备份与恢复产品的3C认证。”
以前3C认证主要针对硬件产品,而数据备份与恢复产品主要是软件。为此,2008年,国家质量监督检验检疫总局曾就数据备份与恢复产品的认证广泛征求过意见,EMC、赛门铁克、火星高科等厂商都曾被邀请参与过讨论。
火星高科是较早申请数据备份与恢复产品认证的公司,其产品已在2009年获得了3C认证。根据《关于部分信息安全产品实施强制性认证的公告》规定,数据备份与恢复产品增加相应的安全功能是必须的。这里说的数据备份与恢复产品是指实现和管理信息系统数据备份和恢复过程的软件。数据备份软件的安全功能包括许多内容,人们经常用到的可能有以下几项:第一,在系统登录时进行安全保护,比如设置用户名和密码;第二,如果有人超长时间使用备份系统,系统要具备自动锁定功能;第三,建立完善的日志系统。火星高科曾经花费近半年的时间对现有的数据备份软件进行改进,以符合3C认证中关于信息安全的规定。
“我们在项目销售过程中得知数据备份产品要通过3C认证的消息。公司对各种相关的专业权威认证一直都比较重视,所以立即启动了3C认证项目。”上海爱数软件有限公司负责技术支持和资质认证业务的许女士介绍说,“通过申报材料、产品检测、工厂现场检验等一系列步骤,大约用了几个月的时间,公司当时的主打产品爱数备份软件V3.0顺利通过了3C认证。”
政府行业采购有变数
今年9月,财政部、工业和信息化部、国家质量监督检验检疫总局、国家认证认可监督管理委员会联合下发的关于信息安全产品实施政府采购的通知中说,各级国家机关、事业单位和团体组织(以下统称采购人)使用财政性资金采购信息安全产品的,应当采购经国家认证的信息安全产品。对采购人或其委托的采购机构未按要求采购的,有关部门要按照有关法律、法规和规章予以处理,财政部门视情况可以拒付采购资金。
2008年,《第一批信息安全产品强制性认证目录》公布时,并没有任何关于行业应用的限定。但是2009年,当相关机构宣布强制实施时间延至2010年5月1日时明确提出,信息安全产品强制认证只适用于政府采购。记者从中国信息安全认证中心获得的消息是,如果厂商的产品不涉及政府采购,而只是一般的商业用途,并不受强制认证的限制。对于国内数据备份厂商来说,政府采购是收入来源中非常重要的一部分。因此,国内厂商对3C认证的态度比较积极顺理成章。CommVault公司市场经理杨涛表示:“虽然目前在政府项目采购中,我们还没有遇到有关强制性认证的问题。不过,既然有这样的规定,我们会积极响应,不希望因此而影响日后可能进行的政府项目采购。”
虽然强制认证的实施已经有几个月的时间,但是记者采访了几位政府部门的采购负责人,他们均表示还没有看到相关的文件。备份软件厂商BakBone公司市场部的刘欣告诉记者:“2007年,我曾经听说过软件产品要经过认证的事情。后来,因为工作转换的原因,我也没再留意相关认证的事情。”
谈起创办众人科技的初衷,谈剑峰笑称是打游戏打出来的。
“国产化”动态密码第一人
1997年,作为核心创始人之一,谈剑峰创建了当时被称为中国网络安全界“黄埔军校”的民间网络安全技术组织“绿色兵团”。之后他创办过网站,到香港做过投行。2005年,网游“魔兽世界”登陆中国,谈剑峰也和朋友们组队竞技。然而,打游戏的过程中,他发现“账号+静态密码”的安全级别太低,“队员经常玩着玩着人就没了,一问才知道,号被盗了!”
受到国外动态密码技术的启发,谈剑峰决定创业。
像绝大多数的创业公司一样,众人科技初创之路很艰辛。谈剑峰和他的团队窝在一个民宅里没日没夜地开发技术,当产品初具模型之后,后续的资质问题却成了跨不过去的坎儿。
。“当时国内对信息安全的投入和重视都不够。”剑峰向《中国经济周刊》记者回忆道。
网络安全密码技术是个特殊的领域,国家有很高的准入门槛,当时众人科技的动态密码技术在国内尚属首家,产品要想进入市场,必须通过层层评审和检测,获得各个主管部门的许可。
谈剑峰带领着他的团队,跑了专家评审会、参加各项答辩,仅有关部门的技术测试,就做过297项。经过整整4年的努力,2010年,谈剑峰终于拿齐所有牌照。
“iKEY多因素动态密码身份认证系统”成为了中国第一代自主研发的动态密码技术和产品,并通过中国科学院科技查新中心评定, 属“填补国内空白”,达到“国际同类先进水平”。随后,众人科技又成功设计出国内第一款可应用于动态口令产品和挑战应答产品的超低功耗专用安全芯片。
“填补空白”意味着是新技术、新产品,也必然会遭遇市场的质疑,尤其是在重要的金融领域。谈客户时,谈剑峰被问到最多的一个问题就是:“你们有没有案例?”他当时的回答很无奈:“你们不给我们机会,我们就永远没有案例啊!”
但是,怀着对自主研发的核心技术的信心,谈剑峰选择了坚持。终于,他成功将动态密码技术和产品引入金融等各行业,实现了这一国产新技术从无到有,并最终广泛应用,带动了国产动态密码产业的整体发展。作为动态密码国产化的第一家企业,谈剑峰带领众人科技,牵头制定了该领域的国家标准和相关行业标准。“国家标准”荣获2014年“国家党政密码科学技术进步三等奖”,并成为国内身份认证领域首个被国际上采用的技术标准。
SOTP技术填补国内空白
此后,众人科技自主研发了基于云技术的统一身份认证平台、智慧城市公共区域安全网络系统等,均获得业内好评。其中,SOTP移动互联网创新密码技术更是创新地实现了密钥与算法的融合,再次填补了国内空白,并获得国际发明专利,实现了认证安全性与便捷性的平衡。
1994年,中国第一次全功能接入国际互联网,自此我国不断加快互联网建设的步伐。数据显示,当前中国网民已逾7亿,规模跃居世界第一。在网络快速发展的今天,网络身份管理体系正是网络空间安全的基石。
然而,网络身份管理体系面临着个人信息泄露、身份冒用、账号盗窃等一系列安全问题。据谈剑峰提供的安全检测平台的数据显示,2015年扫描的231.2万个各类网站中,存在安全漏洞的网站有101.5万个,占扫描总数的43.9%;存在高危安全漏洞的网站有30.8万个,占扫描总数的13%。
《中国网民权益保护调查报告(2016)》显示,2016年,有37%的网民因收到各类诈骗信息而遭受经济损失,近一年来全国网民因权益被侵犯造成的经济损失人均133元,总体经济损失高达915亿元。
谈剑峰介绍,在我国网络安全领域,一些重要网络安全产品和技术依然有赖于进口,由于技术不掌握,很难做到安全可控的管理。保障互联网安全,就必须突破核心技术这个难题。
