国内信息安全认证精选(九篇)
第1篇:国内信息安全认证范文
【 关键词 】 互联网;信息安全;账号密码;身份认证
Security Investigation on the Internet Users’ Accounts and Passwords
Xie Jin 1 Liu Fan-bao 2 Xie Tao 2
(1.The First High School of Changsha HunanChangsha 410005;
2. School of Computer Science, National University of Defense Technology HunanChangsha 410073)
【 Abstract 】 Being directed against the basic problem of information security, i.e. the security of the Internet users’ accounts and their corresponding passwords, an investigation on the security level of inland network identity authentication has been carried on for 3 years. The investigation focuses on testing the security mechanisms applied in the registration (create a new account) and sign-in procedures of some dominant inland Internet Email service providers, and testing the security mechanisms applied in the registration and sign-in procedures of some dominant inland Internet E-Business service providers. To make comparisons on the security mechanism with overseas Internet Email service providers, similar tests have also been carried out on the three dominant Internet Email service providers, namely Hotmail, Gmail and Yahoo!Mail. Research results show that, China’s current information security can be leveled as very severe, so that some emergent measures must be taken to hold up the network security as soon as possible, and the first and foremost remedy is not to send a user’s username\password over the circuit “in the clear” any more.
【 Keywords 】 internet;information security; account password; identity authentication
1 引言
与历史上改变人类生活方式的重大技术革命一样,网络技术已经成为一把名副其实的双刃剑。从模拟信号到数字信号、从有线连接到无线连接、从静止通讯到移动通讯、从单计算机应用到多计算机互联、从人-人互联到人-物与物-物互联,网络技术发展到今天,已经无处不在、不可或缺。但由于因特网的基础协议(TCP/IP)未考虑信息安全因素,使得在网络信息技术飞速发展的今天,安全问题也异常突出。网络账号密码泄密、网络阻塞、网站瘫痪、邮件伪造、黑客入侵、网络欺诈、假冒网站等信息安全问题,已经严重威胁电子金融、电子商务、电子政务、网络媒体、网络社交等互联网络服务的安全与信任问题。
愈演愈烈的“密码危机”已经演变成为对网络技术的信任危机。近年来,互联网用户信息泄露与入侵事件层出不穷,事件日益严重。例如,索尼上亿用户信息泄露,韩国SK通讯公司七成韩国人资料遭泄露,日本爱普生公司泄露3500万用户信息,美国银行与美国花旗银行信用卡信息遭泄露,华盛顿邮报百万用户信息遭泄露…… 近年来,我国也发生了史上最为严重的用户信息泄露事件。2011年12月,CSDN上600万用户资料被公开,知名团购网站美团网的用户账号密码信息也被宣告泄露,天涯社区、开心网、7K7K、猫扑等多个社区和游戏网站的用户数据相继外泄,网上公开暴露的网络账号密码超过1亿个。2013年3月,著名云笔记服务提供商Evernote 5000万用户身份密码遭黑客泄漏。 2014年12月,中国铁路客户服务中心12306用户数据在互联网遭到大量泄漏,包括用户账号、明文密码、身份证以及邮箱等。如何确保互联网上个人、组织、服务和设备之间的虚拟服务具有与现实服务同等的可靠度与诚信度,已成为网络安全行业在信息安全理论、技术、工程与管理上迫在眉睫、义不容辞的责任与使命。
身份认证是网络信息安全的基本保障。网络服务器通过身份认证与访问控制方式对合法注册用户进行授权与管理。用户首先通过注册(账号与密码)成为网络服务器的合法用户,只有通过身份认证的用户才能访问/使用(阅读、修改、下载等)网络服务器相应角色的资源。身份认证与访问控制是网络信息安全的基本技术和基本研究内容。网络信息安全涉及计算机操作系统、互联网络安全协议与密码算法的安全性,其中网络安全协议以密码算法为基础,采用网络协议的形式实现两个以上网络实体之间的远程身份认证、密钥协商以及确保消息的不可抵赖性。安全协议的安全性不仅取决于密码算法自身的安全性,同时也取决于协议形式的安全性。身份认证协议常用攻击方法包括网络监听、重放攻击、中间人攻击、在线攻击、离线攻击等等,一个不安全的身份认证协议可以被黑客利用进行网络攻击。因此,身份认证协议的安全性是确保网络身份认证安全的技术基础。
2 电子邮件系统与商业网站账号安全
我们首先对每个电子邮箱的三种登录方式分别进行了用户账号密码的传输方式测试,包括POP3登录方式、IMAP登录方式以及Web登录方式。然后,对每个电子邮箱注册服务过程中用户注册信息的传输方式进行测试。
2.1 电子邮箱POP3客户端登录安全方式调查
我们在2011年8月的调查结果表明,采用POP3客户端登录方式的所有国内电子邮件服务提供方默认使用明文密码进行用户身份认证,而且其中46%的境内邮件服务提供方(28家中的13家)仅支持明文密码认证。我们在2012年8月的调查结果表明,采用POP3客户端登录方式的所有境内电子邮件服务提供方仍然默认使用明文密码进行用户身份认证,而且其中39%的境内邮件服务提供方(28家中的11家)仅支持明文密码认证。一年期间,中国移动的139mail新增HTTPS支持,Tommail新增Login支持。此点说明,已经有境内电子邮件服务提供方开始认识到用户登录身份认证安全的重要性。调查统计结果如图1(a)所示。
2.2 电子邮箱IMAP客户端登录安全方式调查
我们在2012年8月的调查结果表明,25%的境内邮件服务提供方(28家中的7家)不支持IMAP客户端登录。在支持IMAP客户端登录的境内电子邮件服务提供方中,所有提供方默认使用明文密码进行用户身份认证,其中33%的提供方(21家中的7家)仅支持明文密码认证。调查统计结果如图1(b)所示。
2.3 电子邮箱Web页面注册与登录安全方式调查
我们在2012年8月的调查结果表明,除亿邮(eyou.mail)关闭了注册功能外,所有境内邮件服务提供方在用户注册过程中均将注册信息(包括账号与密码)以明文方式传输至注册服务器。在已调查的28个境内知名邮件服务提供方中有19个(比例为67.9%)为收费邮件服务(每月收取服务费用从五元至上百元不等),有9个(比例为32.1%)提供免费电子邮件服务。调查结果表明,境内邮件服务商信息安全意识不强,对用户私密信息缺乏足够安全保护。令人震惊的是,19家收费电子邮件系统中竟有16家(比例为84.2%)默认使用明文密码进行登录认证,仅有3家提供非明文密码的登录认证方式,而且其中一家仅仅采用极其简单的线性掩码变换方式对登录密码进行保护,另外两家则采用安全的HTTPS方式对登录过程中的密码传输进行加密保护。由此可见,境内电子邮件系统安全性十分脆弱。在9家免费电子邮件系统中,仅有搜狐旗下的4家提供安全的HTTPS对登录过程的密码传输进行加密保护,另外三个使用用户明文密码进行登录认证,剩余两家使用单向挑战响应认证方式对用户账号密码进行有限保护。根据轻量级(非公开密钥密码系统)动态身份认证方式中认证服务器数据库账号密码必须与用户登录密码一致的原理,可以推定其中使用单向挑战响应认证方式的两家邮件服务商均采用明文密码数据库,因此容易遭受因认证数据库泄密导致的集中泄密风险。调查统计结果如图2所示。
2.4 国外电子邮箱系统安全性调查
作为安全性比较分析,我们对境外三大电子邮箱服务器Hotmail、Gmail和Yahoo!Mail的安全身份认证方式进行了同样的测试工作,结果发现这些邮箱的注册与登录过程全部以安全HTTPS协议方式对用户账号密码信息进行加密传输,基本上没有明文账号密码传输认证方式选项。
境内电子邮件服务提供方仅采用最低安全级别的明文密码传输方式进行身份认证,而境外电子邮件服务方一般提供安全级别很高的口令密码加密传输保护方式。因此,境内电子邮件系统极易受到境内外黑客或者情报部门攻击,并利用用户个人私密信息进行商业牟利或政治与军事渗透活动。重视账号和内容安全的国内电子邮件用户因而转投境外电子邮件提供方。由于我们无法控制国外邮件服务器,而境外情报部门却能轻易控制并利用境内的电子邮箱信息,致使我国在网络信息安全技术领域处于不对称的弱势地位。此外,我国现有网络服务器等网络核心设备一般采用国外主机与操作系统,由网络设备制造方预设的硬件后门和软件后门所导致的安全风险也不容小觑。
2.5 商业网站账号安全性调查
名目繁多的境内互联网商业网站为用户提供购物、旅游、聊天、交友等系列服务,极大便利了广大用户的生活。这些网站数据库中留下了用户的各种私密信息(爱好、消费内容和习惯、交往人群等),如果这些用户信息发生集中泄露事件,用户就毫无隐私可言。2011年12月期间我国系列网站账号数据库集中泄露事件表明,境内商业网站的账号与密码的安全性令人质疑。
2012年8月我们集中调查了30家知名商业网站的账号密码安全性。受调查的商业网站涵盖生活、招聘、交友、团购、购物、旅游和视频等方面,在一定程度上代表了当前服务性商业网站的主流应用。我们主要通过监控用户注册过程和用户登录过程,检查网站是否提供必要的安全技术对用户的账号密码进行保护。其中29家商业网站在用户提交注册信息(包含账号密码)的过程中均未提供任何安全保护,包括知名购物网站淘宝网,用户设定的账号和密码通过明文方式经过不安全的互联网传送至网站服务器。京东商城使用HTTPS对注册和登录过程进行保护。
26家商业网站(比例86.7%)对用户的登录认证过程未提供任何安全保护,仅仅采用明文密码认证方式,包括知名团购网站拉手网和美团网以及三大招聘网站,如图3所示。仅有淘宝和京东商城提供了安全的HTTPS对用户登录认证过程的密码传输进行加密保护,另有三家网站(58同城、开心网和新浪微博)采用单向挑战响应认证方式对用户在登录认证过程中的密码传输进行了有限的保护。根据动态身份认证方式中认证服务器数据库账号密码必须与用户登录密码一致的原理,可以推定其中使用单向挑战响应认证方式的三家商业网站服务商采用明文密码数据库,因此容易遭受因认证数据库泄密导致的集中泄密风险。调查统计结果如图3所示。2014年8月,我们再一次对此30家知名商业网站的账号密码安全性进行复查,发现58同城网、CSDN论坛网、美团购物网、大公点评网以及去哪儿旅游网等几家商业或社交网站的注册与登录信息传输已经采用HTTPS安全协议进行了加密封装,其它网站仍然没有进行必要的安全升级。
3 调查结论与建议
3.1 调查结论
(1)境内互联网服务提供方用户的身份注册与登录认证过程普遍默认采用静态身份认证方式。虽然认证数据库用户的账号密码存储方式不明,但用户的账号密码却几乎全部采用明文密码传输方式。因此,容易遭受网络监听泄密风险。这是导致近几年国内外商业数据库账号密码泄密的主要技术原因。
(2)绝大部分境内互联网服务提供方的用户注册信息(账号与密码)传输仅仅提供唯一的明文传输方式,近半数境内互联网服务提供方用户登录身份认证的账号密码传输仅仅提供唯一的明文传输方式。因此,非常容易遭受网络监听泄密风险。这是导致近几年国内外商业数据库账号密码泄密的主要技术原因。
(3)境外互联网几大专业电子邮箱服务器Hotmail、Gmail和Yahoo!Mail均采用SSL\TLS协议对口令实施加密传输动态认证,防止账号口令密码网络明文传输泄密风险;认证服务器数据库则采用账号口令散列值加密方式,预防数据库内部集中泄密风险。
(4)为了确保网络身份认证数据库安全与认证过程中认证信息传输的安全性,无论是国际互联网还是包括军网在内的各种内部专网,必须采用SSL\TLS协议将网络身份认证过程加密封装,在口令密码散列值加密存储方式下实现非对称密码体制下的动态身份认证。
(5)密码算法、安全协议与网络工程以及操作系统各专业研究领域必须紧密合作,才能保证一项互联网应用工程中的信息安全。我国互联网普遍存在用户账号密码明文传输的不安全静态认证方式,根本原因在于互联网应用工程设计人员网络安全意识不强,对网络安全协议缺少研究,对常规网络攻击方法与行为缺乏了解,对潜在的网络攻击新理论与新技术更缺少关心。
根据轻量级动态身份认证的一致性原理可以推定,采用轻量级动态身份认证方式的认证数据库一般采用用户账号密码的明文存储方式。根据一致性原理同时可以推定,安全的认证数据库一般采用用户账号密码的单向散列值影子文件加密保护,而采用SSL/TLS安全协议将静态认证的明文密码传输转换成重量级动态认证的加密传输方式。这样,网络身份认证才能既可防止认证数据库的内部集中泄密风险,又能防止外部网络监听的重放攻击。
3.2 应急建议
(1)尽快对我国互联网开展一次用户身份认证方式的普查工作,检查认证数据库用户的账号密码存储方式与身份认证中账号密码的网络传输方式。
(2)尽快对我国各行业内部专用互联网(内部信息专网、政府办公专网、金融专网、邮电专网、铁路专网等等)开展一次用户身份认证方式的普查工作,检查认证数据库用户的账号密码存储方式与身份认证中账号密码的网络传输方式。
(3)采用SSL\TLS协议对我国互联网用户身份认证过程实现加密封装,确保身份认证过程的动态性。
(4)加强网络信息安全意识,建立互联网攻防新技术专业实验室,为复杂信息化环境下的军事斗争加紧培养既精通密码算法与安全协议的分析方法又通晓操作系统与网络工程技术的复合型高级专门技术人才。
参考文献
[1] 谢涛,陈火旺,康立山. 幻方身份双向认证与密约传输一体化方法.中国知识产权局,发明专利号:331608,2007年6月.
[2] 谢涛. 一种用于身份真伪鉴别的幻方签名方法.中国知识产权局,发明专利号:695757,2010年11月.
[3] Freier A, Karlton P, Kocher P. The Secure Sockets Layer (SSL)Protocol Version 3.0. RFC 6101 (Historic). August 2011. http:///rfc/rfc6101.txt.
[4] Dierks T, Rescorla E. The Transport Layer Security (TLS) Protocol Version 1.2. RFC 5246 (Proposed Standard). August 2008. Updated by RFCs 5746, 5878, 6176, http:///rfc/rfc5246.txt.
[5] Rescorla E. HTTP Over TLS. RFC 2818 (Informational). May 2000. Updated by RFC 5785, http:///rfc/rfc2818.txt.
[6] Fielding R, Gettys J, Mogul J, et al. Hypertext Transfer Protocol-HTTP/1.1. RFC 2616 (Draft Standard). June 1999. Updated by RFCs 2817, 5785, 6266, http:///rfc/rfc2616.txt.
[7] Crispin M. INTERNET MESSAGE ACCESS PROTOCOL - VER- SION 4rev1. RFC 3501 (Proposed Standard). March 2003. Updated by RFCs 4466, 4469, 4551, 5032, 5182, 5738, 6186, http:///rfc/rfc3501.txt.
基金项目:
本文工作得到国家自然科学基金项目NSF.61070228与 NSF.61472476的连续资助以及国防科技大学XXX实验室的大力支持。
作者简介:
谢瑾(1997-),女,湖南长沙人, 湖南省长沙市第一中学信息技术组成员;主要研究方向和关注领域:互联网应用创意、文学创作、数学游戏。
第2篇:国内信息安全认证范文
1.1完整性
在进行交易的时候,各个交易方的经营策略能够影响到自身的信息完整性,因此保持信息完整性对各个交易方都非常重要。在对信息进行处理的过程中,要预防随意生成或者修改信息,还要防止数据丢失,从而保证信息的完整性,这也是进行交易的基础。
1.2机密性
现代社会网络发达,想要保证信息的机密性,没有那么容易。但是企业的商业机密决定着企业的命运,所以要保证企业信息不被篡改、破坏、窃取。如何在网络传递信息的过程中保证信息的机密性是必须解决的问题。
1.3有效性
目前多数企业都使用电子形式传递信息,信息是否有效关系着企业的经济利益,也是企业交易的前提条件。所以在信息传递过程中要保证硬件,网络的安全。预防并且控制这些因素带来的威胁,保证信息的有效性。
2电子信息安全技术
2.1防火墙技术
网络给人们带来很大的方便,同时也有网络黑客以及病毒等威胁了网络的安全,网络受到威胁的同时,电子信息的安全也受到了严重的威胁。最初解决这种网络不安全因素的措施就是使用防火墙,在个人电脑中,防火墙可以组织非黑客的入侵以及电脑信息的篡改。
2.2加密技术
加密技术能够加强数据传送的安全性,主要分为对称以及非对称加密两种技术。对称加密技术主要是通过序列密码或者是分组机密来完成,主要的组成成分有:明文、密钥、加密算法、解密算法。非对称加密需要2个密码,分别是公开密钥和私有密钥,这两个密钥必要配对使用,公开密钥的作用是加密,私用密钥的作用是解密,反过来,用私用密钥加密,只能用相应的公开密钥才能解密。加密技术能够保证传送的电子信息不被窃取,在发送电子信息的时候,发件人用加密密钥发送信息,一旦在传输过程中被窃取,只能得到密文,而密文是无法理解的,只有使用解密密钥解读密文,才能得到正确的信息。
2.3认证技术
认证技术两种形式分别为消息认证和身份认证,消息认证能够确保信息的完整性,通过消息认证可以确认信息的真假,还能够确认信息是否被修改;身份认证是用来鉴别用户身份的,分为2个步骤:识别和验证,在访问一些非公开的资源时,是必须要通过身份认证的,例如访问二级建造师的考试成绩时,必须同时输入用户名和密码,才能查到自己的成绩,没有参加考试的人是不能够查到的。
3提高电子信息安全性的策略
电子信息的安全关系到每个人的利益,真正安全的网络信息产品能够保证个人、企业和国家的安全,下面是提高电子信息安全的策略。
3.1提高电子信息安全认识
网络已经渗透到社会各个领域,在未来的经济和军事对抗中,由于网络的崩溃而导致的失败是很有可能的,所以我们要认识到电子信息安全的重要性,把信息资源共享与信息安全联系到一起,树立维护电子信息安全能够促进发展的理念。
3.2构建电子信息安全管理体制
安全技术很重要,与此同时,还应该有一套完善的安全管理体制,最开始所建立的信息安全体制能够制约一个信息系统的安全,一旦安全管理体制出现问题,那么根据这个体制来选择的安全技术就不能正常运行,信息的安全性不能有效的保证,所以完善的管理体制是保证电子信息安全的基础。
3.3培养电子信息安全专业人才
目前我国需要大量的信息安全人才来保护电子信息安全,高水平的教育环境能够培养高素质的人才,因此需要加大科研教育的投入,多培养专业技术人才。在培养信息安全人才的时候,要加强与国际的交流,掌握先进的安全技术以及防范手段。还要加强对内部人员的培训,提升内部人员的素质,只有在高素质的队伍中才能保证工作人员能力的提高。
3.4定期对安全防护软件系统进行评估、改进
随着企业的发展,企业的信息化应用和信息技术也不断发展,人们对信息安全问题的认识是随着技术的发展而不断提高的,在电子信息安全问题不断被发现的同时,解决信息安全问题的安全防护软件系统也应该不断的改进,定期对系统进行评估。
3.5强化网络技术创新
第3篇:国内信息安全认证范文
关键词:电子政务 网络信任体系 单点登录 跨域认证 访问控制
引言
随着中国电子政务建设的不断深入,新问题、新困难接踵而来。电子政务领域中的网络要做到“安全、可信、可控、可管、有中心”,就必须加强以密码技术为基础的信息保护和网络信任体系建设。
在我国电子政务网络信任体系的建设中,各级党政部门按照国家的统一规划和相关要求,初步构建了网络信任体系,为办公人员颁发了数字证书,实现基于密码技术的身份认证、授权管理和责任认定。但是由于各部门办公网络独立建设,各级部门数据资源在互联互通和数据共享时存在跨网络域的情况,如何基于网络信任服务体系,实现跨网络、跨区域、跨部门数据资源的互联互通和共享访问控制,已经成为亟需解决的问题。
因此,解决中国电子政务领域的跨域单点登录访问控制,已经成为电子政务信任体系建设向纵深发展的关键所在。本文重点探讨跨域单点登录管理平台的支撑因素、核心组成、关键技术、应用场景等,为中国电子政务信任体系建设所面临的关键问题提出了切实可行的解决方法。
一、跨域单点登录管理平台在电子政务中的地位和作用
电子政务网络不同于互联网。互联网没有中心、没有管理、开放而安全性较低。电子政务网络的建设是为政府办公所服务,需要有一个“有中心、有管理、安全、可信、可控”的网络基础环境。
跨域单点登录管理平台就是在统一管理中心的控制与调度下,对于整体网络中的各个局域网进行统一管理,在网络信任体系的基础上,建立一个安全可信的互联互通机制。
电子政务发展至今,基于密码技术的网络信任体系建设已经覆盖许多领域。在同一个信任体系下的局域网中可以实现基于数字证书的单点登录。但是在不同的网络域之间的数据访问控制和单点登录就难以实现。究其原因,主要是各自独立建设的应用系统没有统一的管理机制,各个不同的网络没有统一的认证机制。因此,这种状况一方面阻碍了电子政务网络信任服务体系的发展,另一方面也阻碍了电子政务业务应用和数据资源的互联互通和数据共享。
跨域单点登录管理平台在网络信任体系的发展过程中起到了承上启下的作用。该管理平台解决了目前所存在的跨域访问控制的问题,为电子政务信任体系向纵深发展提供了技术支撑,为基于网络信任体系的数据资源的大规模互联互通和共享访问奠定了基础。
二、电子政务网络信任体系对跨域单点登录管理平台的支撑
跨域单点登录管理平台的建立需要网络信任体系对其提供支撑,统一的信任服务、统一的用户管理、统一的资源授权是必不可少的重要支撑。
⒈统一信任服务
统一信任服务是跨域单点登录管理平台的必要支撑。统一信任服务为电子政务网络中的所有用户提供数字证书的服务,全网内的用户使用数字证书作为网内的唯一身份标识。
⒉统一用户管理
统一用户管理为全网内所有的用户提供了统一用户服务,将用户按照部门级别以及不同的角色进行管理。跨域单点登录管理平台通过统一的用户管理对全网内所有的用户进行管理。有了统一用户管理,跨域单点登录管理平台才能将数字证书与全网用户进行对应,从而解决跨域单点登录时的身份认证问题。
⒊统一资源授权
统一资源授权对全网内所有的应用系统进行管理,将不同部门所建设的不同应用系统进行统筹。每个用户在网内所对应的权限不同,统一资源授权将对应用户权限进行管理,为每个用户在全网内分配不同的访问权限。有了统一资源授权,跨域单点登录管理平台便可以在身份认证后,为不同用户进行附权。
三、跨域单点登录管理平台的核心组成
跨域单点登录管理平台的核心组成包括全域安全认证管理中心和跨域单点登录安全认证系统。
⒈全域安全认证管理中心
如图1所示,全域安全认证管理中心对全网内所有的跨域单点登录安全认证系统进行统一的管理。全域安全认证管理中心负责调度跨域单点登录安全认证系统,是整个跨域单点登录安全认证系统的核心。
全域安全认证管理中心主要实现如下功能:
⑴以跨域单点登录安全认证系统为节点,实现网络拓扑管理
在政府某个专有网络中,一般都由多个相对独立的局域网组成,总体网络结构比较复杂。在此基础上实现跨域单点登录,就需要一个全域安全认证管理中心和多个跨域单点登录安全认证系统来实现。单点登录安全认证系统可以在网络边界处,也可以在应用系统前,甚至在一个局域网中有多个单点登录安全认证系统,所以全域的安全认证管理就非常重要。
通过全域安全认证管理中心,将全域中的所有单点登录安全认证系统管理起来。管理以网络拓扑为基础,直观地对复杂网络进行管理,实现远程配置、数据同步。
⑵以全域安全认证管理中心为核心,实现跨域认证管理
全域安全认证管理中心是整个跨域单点登录管理平台的核心。单点登录安全认证系统是节点认证设备。在用户认证过程中,需要全域安全认证管理中心对用户的信息进行在线验证。单点登录安全认证系统对外域用户的访问请求,将由全域安全认证管理中心统一管理。
⑶以组织结构为基础,实现统一用户管理
全域安全认证管理中心将全域用户进行统一管理。以部门、单位为组织基础,并定义人员角色,将跨域应用访问权限与人员、部门或者角色相关联。通过一个组织架构管理全网用户,并将用户的访问权限同步到每个跨域单点登录安全认证系。
⑷以资源信息目录为基础,实现统一授权
全域安全认证管理中心将全网所有的信息资源、应用系统进行统一管理。为了实现对于用户的统一授权,必须建立资源信息目录,将各个局域网内的信息资源进行统一管理。
⒉跨域单点登录安全认证系统
跨域单点登录安全认证系是跨域单点登录管理平台的节点设备。该设备可以部署在网络边界处,以实现网络域的跨域访问控制(如图2所示)。
该设备也可以部署在应用系统前,以实现跨域的单点登录(如图3所示)
跨域单点登录安全认证系统主要实现如下功能:
⑴以数字证书为基础,实现强身份认证
跨域单点登录安全认证系统的首要作用,就是对用户的访问请求进行身份认证。在统一信任服务的支撑下,全域用户使用数字证书作为全网内用户身份的唯一标识。通过数字证书,使用签名验签的方式进行强身份认证。在实现跨域单点登录,提高办公效率的同时,保证基础安全性。
⑵以断路式部署为要求,实现网络防攻击
跨域单点登录安全认证系统作为节点设备,可以部署在网络边界,也可以部署在应用系统前。无论部署在何处,跨域单点登录安全认证系统若进行断路式部署,都需要起到安全防护的作用,保护跨域单点登录安全认证系统后的网络资源或者应用资源,以实现网络防攻击。
⑶以应用整合为前提,实现单点登录
跨域单点登录安全认证系统部署在应用系统前,就需要对所保护的应用系统进行整合。无论本域用户还是外域用户,只要进过全域安全认证管理中心进行授权,就能对应用系统实现单点登录。
三、跨域单点登录管理平台的关键技术
跨域单点登录管理平台实现跨域的单点登录与访问控制,需要突破双向访问控制、单点登录、身份认证信息跨域传递等关键技术。
⒈双向访问控制技术
一般的安全防御设备或者安全认证设备对用户的认证,尤其是基于数字证书的身份认证都是单向的。随着电子政务信任体系建设的深入,一个网络对外域用户的进入进行身份认证、访问控制都是必不可少的,但是对于域内用户出域的访问控制的需求也越来越迫切。一般的单向访问控制设备不能满足这个要求,若部署两台设备分别做进出管理,则对网络结构进行大量调整,同时增加投资成本。因此,双向访问控制技术是解决跨域单点登录的关键技术之一。
跨域单点登录安全认证系统部署在网络边界时,通过一台设备实现双向访问控制,解决网络中安全接入与安全访问的问题,较单向访问控制设备更具普遍性与实用性。
⒉跨域单点登录技术
一般的单点登录技术已经较为成熟,能够解决网内用户的单点登录需求。而跨域的单点登录技术,需要在全网内实现,有很高的技术壁垒。
跨域单点登录管理平台实现的跨域单点登录技术,需要由全域安全认证管理中心进行统一调度,由跨域单点登录安全认证系统整合单个域内的应用资源。通过全域安全认证管理中心与一个或者多个跨域单点登录安全认证系统实现跨域单点登录。每个用户使用数字证书作为全域内唯一身份标识,由全域安全认证管理中心对用户在全域内所有的访问权限进行管理,当用户使用任何一个跨域单点登录安全认证系统进行身份认证后,就能够实现全域内的单点登录。
⒊身份认证信息跨域传递技术
为了实现跨域单点登录,身份认证信息跨域传递技术是必不可少的。全网内只有一个全域安全认证管理中心,而同时存在多个跨域单点登录安全认证系统。当用户需要访问非本域内的应用资源时,用户与该应用资源之间可能有多个跨域单点登录安全认证系统,若用户每经过一个单点登录安全认证系统就需要做一次身份认证,则整个系统的效率就非常低,同时在使用层面考量,不易被用户所接受。
单点登录安全认证系统在对用户完成身份认证后,将自动分析用户数据的目的地址,若目的地址将经过另一个单点登录安全认证系统时,则该单点登录安全认证系统将把用户身份认证的信息自动传递到下一个单点登录安全认证系统中,而下一个单点登录安全认证系统将直接认为用户可信,不再对用户进行身份认证。以下依次类推。所以,只要有了身份认证信息跨域传递技术,无论用户与被访问的应用资源之间有多少个单点登录安全认证系统,用户只需做一次身份认证,在保证安全性的同时提高了访问效率,从而实现了“一次认证、全域通行”。
四、跨域单点登录管理平台在电子政务中的应用
跨域单点登录管理平台在电子政务中的应用场景将是多种多样的。图4展示了其典型应用方式。
如图4所示,局域网1的网络边界处部署了跨域单点登录安全认证系统1;局域网2的网络边界处部署了跨域单点登录安全认证系统2;局域网2的应用系统前部署了跨域单点登录安全认证系统3;网络核心处部署了全域安全认证管理中心。
跨域单点登录安全认证系统1实现双向访问控制,保护局域网1的所有网络资源;跨域单点登录安全认证系统2实现双向访问控制,保护局域网2的所有网络资源;跨域单点登录安全认证系统3实现应用整合,保护局域网2的所有应用资源。
⑴跨域单点登录
以局域网1用户访问局域网2中的应用资源为例。
①身份认证:用户使用数字证书在跨域单点登录安全认证系统1上进行基于数字证书的强身份认证。
②身份认证信息传递:用户经过认证后,跨域单点登录安全认证系统1自动将用户的身份认证信息传递到跨域单点登录安全认证系统2,跨域单点登录安全认证系统2再将身份认证信息传递到跨域单点登录安全认证系统3。
③单点登录:此时用户便可在一次认证后,穿越各个跨域单点登录安全认证系统,直接访问局域网2中的应用资源1以及应用资源2,不需再次进行身份认证,实现跨域单点登录。
④局域网2中的用户访问局域网1中的应用资源类似。
⑵本域单点登录
以局域网2用户访问局域网2中的应用资源为例。
①身份认证:用户使用数字证书在直接跨域单点登录安全认证系统3上进行基于数字证书的强身份认证。
②单点登录:此时用户便可在一次认证后,便可直接访问局域网2中的应用资源1以及应用资源2,不需再次进行身份认证,实现本域单点登录。本域单点登录过程中与其他跨域单点登录安全认证系无关。
五、结语
跨域单点登录管理平台以网络信任体系为基础,将电子政务中的实际需求与理论研究成果相结合。在多种成熟技术的基础上,进行集成创新,在双向访问控制技术、跨域单点登录技术、身份认证信息跨域传递技术等多个关键技术保障下,突破了电子政务信任体系发展的部分瓶颈,实现了不同网络域中数据资源的互联互通和共享访问。跨域单点登录管理平台是电子政务发展的重要成果,为我国电子政务信任体系向纵深发展奠定了基础。
参考文献:
陈彦学.信息安全理论与实务[M]. 北京:中国铁道出版社,2001:350
任金强,罗红斌,李素明. 国家电子政务外网信任体系建设初探[J]. 信息网络安全,2007(8):56
邹立刊,张伟,孙海杰. 我国电子政务中的信息安全[J]. 网络安全技术与应用,2007(7):46
作者简介:
第4篇:国内信息安全认证范文
――获奖感言
上海银基信息安全技术有限公司(以下简称银基安全)创立于2002年,是一家提供整体信息安全解决方案的咨询与技术服务、以技术实施为主的高科技企业,为中国广大的行业用户提供符合国际标准(如ISO27001、ISO15408、PCI-DSS、SOX-404、SSE-CMM等)的网络、应用、数据信息安全整体解决方案咨询服务和技术服务,并向客户提供全面安全解决方案中所需的各项安全工具,提供安全解决方案管理所需的管理决策平台、安全咨询、安全教育培训以及提供卓越的售后服务。
银基安全的主要成员是由中科院反黑小组的成员和国际知名安全公司的高级安全咨询顾问和高级技术专家人员组成。银基安全在金融企业、电力企业、电信运营商、ISP/ICP、政府单位、外资企业、国有集团企业等已经拥有了非常广泛的客户,并在业界享有优秀的声誉。银基安全作为国内信息安全咨询和信息安全技术服务的主要提供商之一,在安全咨询和安全技术服务方面拥有高水准的技术实力。同时银基安全具有符合国际标准的专业的信息安全咨询和服务体系,在信息安全市场中处于领先地位。
银基安全凭借完善的管理体系、服务流程和突出的技术实力,与Cisco、EMC、IBM、Juniper、Fortinet、Websense、Surcontrol、NIKSUN、ArcSight、RSA、Symantec、GenieNRM、Consentry、Imperva、F5、Radware等国际著名IT企业成为战略合作伙伴,为客户提供包括IT咨询、评估、规划设计、集成、管理、维护、优化等IT服务和基于电信、金融、广电、政府等行业的应用解决方案。
银基安全是以技术为核心竞争力的高科技企业,发展至今已有150多名员工,90%以上员工具有本科以上学历,其中技术人员有100多名,大多拥有IT行业的专业证书,如CISA、MCSE、CISSP、CCNP、CCIE、CCSE、SUN A、ORACLE DBA、Symantec、NAI、CA等,拥有从系统到网络、数据库、应用安全等各个方面的高级人才,确保公司对客户服务支持的质量。银基安全这支高素质的队伍正在为中国的信息安全事业尽自己最大的力量。
银基安全在测评咨询、ISO27001认证咨询、后续审核优化辅导及资产风险评估等方面更有独特的优势,公司已经有15名顾问获得国际认可的ISO27001(ISO17799、BS7799)主任审核员的资质证书,4人获得国家测评中心颁发的等保测评师证书,3人拥有CISSP的证书,3人拥有RSA认证的证书,6人拥有CISA的证书,有资格对需要进行国家等级保护测评和评级的企业及需要ISO27001信息安全管理体系标准认证的企业进行认证辅导评估工作,并可以协助该企业获得国际认可的ISO27001体系认证证书,同时对于需要上市的企业及已上市企业在SOX404方面的工作进行审核辅导。
第5篇:国内信息安全认证范文
在这个网络信息时代,伴随着信息化的进程的发展,提升管理水平的重要手段就是信息,这也是企业成败的关键。而根据最新的调查结果显示,只有不到四分之一的企业应用了电子商务这样关系到交易。也就是说,约有82%的企业对网站的应用还处于初级阶段———即停留在对企业形象的宣传,对产品和服务信息的和对客户资料的简单收集。电子商务形势已被现在的企业商务活动采用,信息化技术已经被企业的生产运作,运输和销售等诸多方面加以运用。例如,利用网络收集各种原材料信息从而建立对采购有重要作用的原材料信息系统,电子信息化水准经由分析系统的网络数据得到采购建议和对策得以实现。但还不到四分之一这一数据说明企业还未充分开发和利用商业渠道信息。企业信息化时代已经到来,企业应该加快信息化的建设。
2电子信息安全技术阐述
2.1电子信息中的加密技术为保证数据的传送更加完整和安全,电子信息重要使用加密技术。对称加密技术和非对称加密技术是加密技术的两种类型。对称加密技术的实现经由包括明文、密钥、加密算法和解密算法这样的五个基本成分在内的分组机密或序列密码。而非对称加密技术解密和加密相对独立,经由两把不同的密钥进行加密和解密。被称为公钥的加密秘钥向公众公开,被称为私钥的加密秘钥秘密保存,二者必须配对使用。被传送的加密信息经过加密技术起到了保密作用。发送电子信息的过程中,所要发出的信息被发送人经过加密秘钥加密后发出,如果信息在传输过程被窃取,他也只能拿到没办法没理解的密文,但是密文可以被接受者用解密秘钥进行解密,得到明文。
2.2电子信息中的防火墙技术网络技术的发展也使网络安全收到了来自网络黑客,邮件炸弹以及木马病毒的威胁。其网络也同样被企业的信息化以这样的形式所威胁着以至于难以保证企业电子信息的安全。防火墙这一保护措施在这种网络极度不安全的情况下被最初采用。防火墙在阻止电脑信息被恶意篡改和防止被黑客入侵等方面也同样在个人电脑的保护中起到了重要的作用。
2.3电子信息中的认证技术电子信息的认证技术分为身份认证和消息认证两种。身份认证包括识别(明确并区分访问者身份)以及验证(确认访问者身份),用于对用户身份的鉴别。身份认证必须在用户访问不公开的资源时被通过。消息认证是用来辨别信息的真伪和信息有没有经过第三方的伪造或者修改,被用于确认和保证信息的完整性和抗否认性。
3企业电子信息的主要安全要素
3.1企业电子信息的机密性信息的保密工作随着网络的发展已经变得越来越困难。但是身为企业商业机密代表的信息其重要性也不言而喻。摆在各个企业面前的首要解决问题就是:应当怎样确保自己的信息安全地在互联网上传递而不被第三方进行窃取和篡改或者滥用和破坏。
3.2企业电子信息的有效性现今,企业的信息传递大多采用电子的形式,这是电子信息技术发展的必然结果。关系企业贸易能否顺利进行和整个企业的经济利益的前提条件就是信息的有效性。要保证信息传递的有效性,排除各类潜在的对信息有效传递存在威胁的因素尤为重要。
3.3企业电子信息的完整性对企业交易双方都十分重要的一点是要保证交易各方的信息的完整,因其经营的策略被交易方的信息完整性所制约。所以企业之间进行交易的基础就是防止信息在传送的过程中丢失,或被随意生成或者篡改,保证信息的完整性。
4企业中电子信息安全问题的解决策略
电子信息技术发展的安全性直接关系着企业以及个人发展的根本利益,因此,我们应该在这方面加强建设的力度,采取有效的措施提高网络信息的安全。
4.1提高电子信息发展的安全意识
随着社会发展的需要,各个领域的发展都在逐步走向智能化,这与网络信息技术的发展是息息相关的,尤其是网络技术在军事和经济上的应用更应该引起我们的重视,直接关系着整个国家的发展和国防的安全性。为此,我们应该清楚的认识到电子信息安全的重要性,树立维护电子信息安全的意识,促进网络的安全发展。
4.2构建企业信息安全管理体制
保证顺利进行信息安全的管理,除了对各种安全技术的使用之外,建立完善的电子信息安全管理的制度也是十分必要的。一个信息系统的安全被一开始建立的相关的信息管理制度所制约。这是一般的企业中都存在的。信息的安全性无法被保证都是因为相关的安全管理制度的问题所致,因为这一制度的相关安全管理技术都无法被正常进行,可见一个严格的管理制度极度影响着信息系统的安全。电子信息安全技术及其工具无法发挥相应作用的重要原因之一就是没有一套完善且严格的信息安全管理制度。
4.3培养专业技术人才
我国电子信息技术的发展还存在很大的发展空间,各方面的技术还有待提高,因此,应该进一步的进行发展和研究。而电子信息的发展离不开专业化、高素质的信息安全人才。为了提高信息技术安全发展的脚步,我们加大对人才的培养力度。通过加大对科研教育的投入,使他们能够拥有更高端的实验器材以及科研资金进行技术的研究和开发;同时与国际接轨,进行学术上的经验交流,学习优秀的技术并应用到我国发展的实际当中,提高我国信息技术的发展水平;加强对企业内部人员的培训,提高工作人员的专业水平和道德修养,保证工作团队的团结协作,为我国信息技术的发展凝聚力量。
4.4利用企业的网络条件来提供信息安全服务
很多企业的多个二级单位都在系统内通过广域网被联通,局域网在各单位都全部建成,企业良好的信息安全服务是经由优良的网络条件来提供的。技术标准、安全公告和法规经由企业网络平台,同时信息安全软件下载和安全设备选择也可通过这一平台提供。除此之外,企业的员工也可以利用这一平台进行经验交流,进行信息安全的在线教育培训等。4.5定期评估和改进安全防护软件系统企业的信息安全技术和应用随着企业的发展也在推进发展着,伴随技术发展,人们对信息安全问题的认识也在提高。安全防护软件系统———这一用来解决信息的安全问题的“解药”也应伴随着信息安全问题的发现而定期评估和改进。
5总结
第6篇:国内信息安全认证范文
计算机软件产品成为世界的核心和灵魂
(一)计算机软件产业成为战略性新兴产业工信部软件服务业司司长陈伟表示:“今天,很多人提出了SDN(软件定义网络)、SDD(软件定义数据中心)、SDS(软件定义系统),而我认为,软件可以定义世界(SDW),软件应该成为世界的核心和灵魂,成为信息消费的引擎和重要内容。”[1]软件产业在我国国民经济中具有重要的战略地位,随着大数据、物联网、移动互联网的兴起与广泛运用,软件产品已经覆盖人民生产、生活的各个领域,逐渐成为重要的民生物品。软件产业个人信息保护不仅关系到本产业的发展,关系到国民高品质智能化生活,而且对于整个信息产业的长远发展,对于信息消费市场的培育与推动,对于“宽带中国”战略的实施,对于国家信息安全的保障具有重要的战略意义。
(二)计算机软件产品的界定
技术业已变革,整个社会都在地动山摇发生着巨大的变化,如果法律制度仍然固守两千年前的传统理论,秉持“祖宗之法不可变”的陈词滥调,那么法律制度必定束缚生产力的发展,并必然地被技术的迅猛发展而冲破。从物和产品的发展趋势来看,随着社会经济高速发展,物与产品的观念均有扩展之势[7]。世界各国出于对消费者权益的保护,不再对已经以“产品”的形式流通的计算机软件“视而不见”,纷纷以“计算机软件产品”称呼之,并开展相关立法规范。
TRUSTe认证工作主要涵盖以下几个方面。
1.初始认证
当网站为获得TRUSTe 的认证而提交了正式的申请表后,TRUSTe 将检查申请网站,看它是否符合程序原则(Program Principles)。其目的是为了确保该网站的隐私政策,明确指出哪类个人信息被收集、谁在收集、为何目的收集、如何使用以及与谁共享等。如果网站符合TRUSTe关于隐私保护的认证要求,TRUSTe就会授予该网站隐私图章,允许在其网站主页上张贴TRUSTe的隐私图章标志。
2.后续监督
当申请网站成为会员后,TRUSTe就会定期检查网站,确保网站的行为符合它公布的隐私声明,并且检查网站隐私声明的变动。初始认证和后续监督都是在网站事先不知道的情况下,通过提交特定标志符到网站来跟踪该站点个人信息的使用,并监控结果,以此来确定其信息收集使用行为是否与该站点的隐私声明相符合。
3.争端解决
当消费者认为网站侵犯其隐私权,而就隐私侵权问题不能得到会员网站恰当处理时,TRUSTe为其提供一种在线的争端解决服务,即所谓的看门狗争端解决方法(Watchdog Dispute Resolution Process)。一旦TRUSTe针对涉嫌侵犯隐私而被消费者投诉的网站作出最终决定,网站必须执行,否则其所获得的隐私图章将被取消,并被列入“不守规矩的网站”的名单中,TRUSTe甚至通过适当的途径向相关的法律权威部门提起诉讼,如美国贸易委员会或者消费保护机构等。这样的争端解决程序逐渐为TRUSTe 树立了一定的威信。
(二)日本个人信息保护评价制度评析
日本早在1998年由非官方第三方机构日本情报处理开发协会(Japan Information Processing Development Corporation,JIPDEC)建立了Pmark认证制度,2005年日本《个人信息保护法》的实施,极大地推进了企业参与个人信息保护认证。
软件及信息服务业个人信息保护评价体系(PIPA)评价的对象主要是企业,其初衷在于帮助以软件和信息服务业为主的企业建立个人信息保护制度,使得企业有能力在2005年日本《个人信息保护法》实施后继续承接日本软件外包业务。通过PIPA评价的企业可以得到个人信息保护合格证书和PIPA标志使用权。具体而言,大连个人信息保护评价制度包括以下几个方面。
1.评价机构
软件及信息服务业个人信息保护评价机构为大连软件行业协会,下设个人信息保护工作委员会、PIPA办公室和评价专家组。
PIPA办公室主要负责PIPA文件管理和事务性工作,负责PIPA受理及投诉,负责评价员的聘任及管理工作,PIPA办公室下设培训教育部门,负责个人信息保护企业培训和评价员培训、考核。
个人信息保护工作委员会主要负责标准和PIPA体系相关文件的制定、修改和完善,负责PIPA申批、投诉及事故处理结果的审批,负责对PIPA的监督及聘任评价员的审批等工作。工作委员会下设:标准组、仲裁组、宣传推广组、国际交流组和教育培训组。标准组主要负责标准的研究和制定;仲裁组负责投诉及事故的调查及处理;宣传推广组负责PIPA宣传推广;国际交流组负责国际间的交流与合作;教育培训组负责个人信息保护人才的教育、培养研究及试点,开展个人信息保护人才培养工作。
2.评价依据
大连软件行业协会在全国率先开始制定软件及信息服务业的个人信息保护标准,即《规范》,经过多年的实践,在大连市的地方标准的基础上,形成了辽宁省的个人信息保护“省标”《辽宁省软件与信息服务业个人信息保护规范》DB21/T 15222007、《个人信息保护规范》DB21/T 16282008和辽宁省地方标准《信息安全个人信息保护规范》DB21/T 1628.12012。目前大连软件行业协会已经通知自2014年6月1日起正式实施《信息安全个人信息保护规范》,即2012版标准替代目前实施的2008版标准[10]。
3.评价流程
个人信息保护评价流程包括申请、受理、文件审查(前期审查)、现场审核、公示15天、审批、颁发合格证和标志等几个环节[11]。个人信息保护评价申请的前提是申请评价的企业按照《规范》的要求建立企业个人信息保护制度,经过三个月运行的检验,在这期间没有发生任何涉及个人信息保护的重大事故,方得以开展评价申请。
4.评价监督管理
通过个人信息保护认证的企业并非一劳永逸,大连软件行业协会对于通过认证的企业具有监督管理的权利。大连软件行业协会对于通过认证的企业可以采取抽查的方式进行监督管理,对于抽查不合格的企业,将限期整改,整改后仍然无法达到相关标准的企业,则取消其使用个人信息保护合格证书和PIPA标志的资格。同时,大连软件行业协会在接到重要举报和投诉时,可对认证企业进行复审,复审不合格的企业同样取消其使用个人信息保护合格证书和PIPA标志的资格。
5.证书与标志
通过个人信息保护认证的企业,由大连软件行业协会颁发个人信息保护合格证书、PIPA标志,证书和标志在两年内有效。
值得一提的是,由于大连行业协会与日本情报处理开发协会签署了互认合作协议,即通过大连PIPA认证的企业受到日本情报处理开发协会的个人信息认证体系Pmark认可,无需再另行申请日本Pmark认证,因此,通过大连行业协会个人信息保护认证的企业还可以获得PIPAmark互认标志。
(四)中美日个人信息保护评价制度比较及启示中美日的个人信息保护评价制度各具特色,三者的共同点在于均是出于对用户个人信息和隐私的保护而构建的一整套认证制度,均是以非官方组织为主导开展的评价认证,三者的差别在于:
从评价的地域范围来看,由于互联网的无国界性,以TRUSTe为代表的美国个人信息评价制度目前已经发展成为一个全球性的认证体系,并不局限于仅对美国的网站开展认证业务;日本的Pmark个人信息评价体系则是针对日本的企业开展认证服务,是日本部级的认证体系,但不针对国外的企业开展认证;大连的PIPA评价体系最初仅仅局限于针对大连市的企业,而且是对软件和信息服务业的企业开展评价,现在逐步向全国范围内扩大。
(一)软件产品个人信息安全认证标准
软件产品个人信息安全认证标准是软件产品个人信息安全认证最基本的依据,放眼全球,目前尚无一个针对软件产品个人信息安全认证的标准,只有类似针对整个企业的个人信息保护管理系统的标准、针对软件和信息服务业整个行业的个人信息保护规范、针对网站的隐私认证标准,而缺乏针对最直接收集个人信息的计算机软件产品的个人信息安全认证标准。
(二)软件产品个人信息安全认证流程
建立软件产品申请个人信息保护认证流程,对于符合个人信息保护法律收集、利用和处理的软件产品,经审查合格的,颁发软件产品个人信息保护合格证书与标志。该软件产品的开发者和利用者可以在其上注明个人信息保护合格标志,以告知用户,增加用户对其的信赖感。软件产品个人信息安全认证流程与软件企业的个人信息保护认证并不相同,前者注重的是软件产品是否合法收集利用用户个人信息、是否保障用户个人信息安全,而后者强调的是企业个人信息保护管理体系的建立以及对于个人信息保护的政策。
本研究结合国内外隐私认证和企业个人信息保护评价的流程,对软件产品个人信息安全认证流程初步设计如下。
1.申报
欲进行个人信息保护认证的软件产品开发者或生产者、经营者作为申请单位需填写《软件产品个人信息安全认证申请书》及相关附件材料呈交评价机构。
2.资料审查
由评价机构对申请单位提交的《软件产品个人信息安全认证申请书》及相关附件材料进行审查,审查合格者制作审查合格报告,并进入软件信息保护评估阶段,不合格者返回补正。
3.软件信息保护评估
资料审查合格的单位向评价机构提交软件产品样品一份,由评价机构利用技术手段针对软件的安全性进行测试,包括软件产品的信息安全、软件产品的运行机制、软件产品对于用户个人信息的收集利用情况等方面,并由专家组进行评估,最终形成评价报告。通过者进入审核阶段;未通过者,申报单位按照专家组的评价意见进行一次改进完善,改进完善后重新进行评估,如仍不能通过,则出具评估不合格报告,若未进行实质性修改完善,不得再申请进行个人信息安全评价。
4.审核
依据专家组形成的评价报告,评价机构进行审核,而后签署最终审核意见。评价机构对通过审核者公示10个工作日,其间如没有实质性异议,则正式通过审核并予以公告,颁发“软件产品个人信息安全合格证书”及认证标志。
通过软件产品个人信息安全认证机制的构建,有助于培育一批品质优良、注重用户权益、服务经济社会发展需要的软件产品,从而肃清我国软件产品市场鱼目混珠的乱象,引领软件产业的发展,为信息产业的长远发展奠定基础。
第7篇:国内信息安全认证范文
关键词: 军队信息安全人才培养 存在问题 培养对策
一、引言
信息安全关系到军队的机密安全。随着IT的快速发展,信息安全对维护国家安全和利益,保障军队建设和作战的顺利进行至关重要。近年来,信息安全的发展尤其是信息安全人才的培养已经成为很多国家发展战略的重要层面。美英、欧盟等国家非常重视各类人才的培养,尤其是信息安全人才,在这些国家的安全规划中人才培养是一个很重要的内容,并且形成专业教育、业余培训、职业培训等较完整的人才培育体系。我们国家也已经把信息安全人才培养作为信息安全保障体系的重要支撑部分,培养体系也初具规模,但信息安全人才供不应求的情况非常严重,尤其是军队信息安全人才供不应求的情况更严重和迫切,因此,探讨军队信息安全人才的培养模式意义重大。
二、军队院校信息安全人才培养方式存在的主要问题
当今世界的竞争,从根本上说是人才的竞争。而信息安全领域不同于其他领域的明显特征:实践性和动态性极强,信息安全人才常存在“三二一”之说,即如果博士生毕业三年之内、硕士生毕业二年之内、本科生毕业一年之内不注意学习,则有可能会陷入“本领恐慌”的境地而被信息时代淘汰。上述特征使得信息安全人才的培养至关重要。目前,就我国信息安全人才的培养来说,军队在培养信息安全人才方面做得比较早也比较好,部队很早就建立起自己的人才培养体系,主要是两个方向:一个是信息安全,主要包括网络安全、计算机安全等方向;一个是密码学,设立在军队指挥学下面的二级学科。就近些年我军各类信息安全事件频发的状况看,这两个方向为部队培养的信息安全人才无论从质量还是数量上都远不能满足部队的需要。纵观我军院校信息安全培养模式及军队工作特点,我军院校在军事信息人才培养方式存在的主要问题如下:
1.军队院校信息安全人才培养方向、培养方式和思路有待调整。
目前,我军院校有关信息安全专业,普遍存在方向少,培养方式、培养思路和部队需求有较大偏差,适应部队需求的“订单式”信息安全人才培养机制欠缺。加之我军部队目前对有些信息安全岗位专职少、兼职多的编制体制现状,使得军队院校培养的信息安全人才面临一方面对口单位少,另一方面难以培养出适应军队实际大量需求的人才尴尬现状。为缓解我军当前对信息安全人才的巨大需求,有必要通过培养多层次、全方位的信息安全专业人员,走部队、学校相结合的思路进行培养模式的调整,将知识教育与部队实践相结合,培养可以为我军信息安全服务的人才。
2.军队院校信息安全课程群设置有待调整。
目前我军大学阶段信息安全各类课程培养出的信息安全素养与从事的部队工作素质要求存在脱节现象。造成这种情况的一个重要原因是:信息安全相关专业课程体系结构不尽合理。相当一部分课程课时少、内容庞杂,某些课程因过分强调本身系统的完整性,内容相互重复,缺少整体、综合的科学思维方法,不利于学生综合能力的培养。以我院校所开设的通识信息类课程和过去及地方大学相比,普遍存在课程门类多科合并、学时严重压缩、部分内容交叉重复且难以深入教授的情况,这种情况对身兼军事训练和学习的军队学员来说,没有时间和精力对信息类课程进行深入了解和学习,只能停留在学时不求甚解、过后一知半解的水平。具体以信息安全知识模块为例,《网络应用基础》(20学时)、《信息技术基础》(30学时)、《信息安全保密》(20学时)等通识类课程虽均涉及,但该模块所占学时数均在2至4学时,如此少的课时数,教员只能讲授浅显易懂的安全知识(考虑学生对知识的遗忘现象)。因此,课程及涉及的知识模块有待重新整合与调整。
3.军队院校信息安全人才教学方式有待提高。
信息技术与生俱来的创新性、先进性及发展的迅速性,使得对应的信息安全技术在不断发展的过程中必须具备创新性和先进性,并逐步积累形成具有核心竞争力的技术、产品或方案,方能与信息技术的广泛应用和迅速发展相抗衡。因此,只有在大学教育中养成再学习的能力,信息安全人才才不会陷入“三二一”怪圈。而目前各院校的教学方式虽然在改革,但不同程度地存在以教员为主体的应试教育方法,教学内容滞后于实际应用,培养过程比较单一,课程设置与使用教材不规范,培养质量评价指标不健全,缺乏足够创新和动手实践的环境等,这些都有待改善。
三、军队信息安全人才培养对策
1.构建阶梯认证式军队信息安全人才培养机制。
目前,我军院校学生不同程度地存在重军事训练轻课程学习的现象,为引发学生学习信息安全课程的热潮,提高信息安全人才的质量,建议构建阶梯认证式军队信息安全人才培养机制。所谓阶梯认证式培养机制,是指根据部队信息安全人才的需求,分别设置相应的课程体系模块,设计与适应部队需要的各类信息安全人才从业资格认证考核机制,通过各类人才特定课程体系认证考核的学员发给相应级别(类别)的从业资格证书。学生可根据个人兴趣和特长获得若干类从业资格证书。
2.根据部队人才需求,设置信息安全模块化课程群阶梯式知识体系。
军队信息安全工作需求多样,对各类人才要求的基础面较宽,对所有相关专业都开设各种信息安全课程不现实,因此在课程的选择上必须根据人才需求类型作适当取舍。在课程设置上需兼顾必要性和发展性。基础课程的设置,要让学生掌握信息安全知识体系中必要的基础知识,选修课和必修课的设置要让学生根据专业方向和兴趣擅长选择,挖掘学生进一步学习和深造的潜力。结合军队特色及知识体系,在课程设置上,可围绕知识点及其难易和所培养的人才类型以模块化的方式优化重组可阶梯学习的课程群。这样做的好处是既可以形成内容明确、可操作性强、便于学习、便于进行各类实验实践环节的课程群,又具有良好的弹性结构。当课程随着信息安全相关新技术的发展进行增减时既不会迷失方向,又便于各门课程内容的更新、融合和衔接,避免不同课程内容的交叉重复授课,增强教学效果。
3.建立多样化考核机制,灵活运用各种考核方式,对学员个性化能力进行全方位认证。
打破传统百分制主要通过考卷定成绩的考核方式,采用能力水平多渠道、多方位考核机制。目前信息安全技术有多种的培训认证课程,包括从入门一直到中高级信息安全知识的培训与认证,鼓励学生报名参与地方认证,可验证学校培养效果,促进学员提高自身能力,并获得从业资格认证。因此,学员在通过军队信息安全课程基础考试的基础上,可自主选择参加军队、国家或国际推出的权威信息安全职业资格认证考试,或者该专业教学设计反映个人能力的某层次实验认证方式,或者参加对抗竞赛项目,无论哪种考核方式,只要学员在特定时间内完成,就予以承认,必要时颁发能力水平认证证书。
4.采用进修、送学、代职等各种途径强化阶梯式师资力量。
高素质的人才培养体系中,教师起着很重要的作用。为保持教师队伍的先进性,院校应定期支持专业教师到有特色的重点大学进修最新信息安全专业核心课程,定期组织专业教师赴军内外其他高校进行参观考察,送学专业教师攻读相关学位,提高理论水平和教学方法。同时,应定期选派部分专业教师去部队相关岗位代职工作,深入了解部队的信息安全现状和各种岗位的信息安全技术和人才需求,在为部队解决实际问题的基础上丰富实际教学案例,掌握最新安全问题,设计出与部队工作紧密相连的授课内容体系,不断提高专业教师的综合素质。
四、结语
就信息安全人才培养模式来说,世界各国并没有一套系统权威的教育体系。但抓住信息安全领域的本质特征和军队特色,勇于探索,群策群力,不断健全和改善培养模式,最终培养出满足部队需要的各类高素质信息安全人才,为维护国家和部队信息安全作出应有贡献。
参考文献:
第8篇:国内信息安全认证范文
[论文关键词] 电子商务 信息安全 信息安全技术 数字认证 安全协议
[论文摘 要]电子商务是新兴商务形式,信息安全的保障是电子商务实施的前提。本文针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施,完善电子商务发展的内外部环境,促进我国电子商务可持续发展。
随着网络的发展,电子商务的迅速崛起,使网络成为国际竞争的新战场。然而,由于网络技术本身的缺陷,使得网络社会的脆性大大增加,一旦计算机网络受到攻击不能正常运作时,整个社会就会陷入危机。所以,构筑安全的电子商务信息环境,愈来愈受到国际社会的高度关注。
一、电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于技术的完善,包括密码、鉴别、访问控制、信息流控制、数据保护、软件保护、病毒检测及清除、内容分类识别和过滤、网络隐患扫描、系统安全监测报警与审计等技术。
1.防火墙技术。防火墙主要是加强网络之间的访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络。
2.加密技术。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,当需要时可使用不同的密钥将密文数据还原成明文数据。
3.数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者,接收者只有用发送者的公钥才能解密被加密的摘要。
4.数字时间戳技术。时间戳是一个经加密后形成的凭证文档,包括需加时间戳的文件的摘要、DTS 收到文件的日期与时间和DIS 数字签名,用户首先将需要加时间的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS 在加入了收到文件摘要的日期和时间信息后再对该文件加密,然后送回用户。
二、电子商务安全防范措施
网络安全是电子商务的基础。网络安全防范技术可以从数据的加密(解密)算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件的加密和物理保护、安全监听系统和防病毒软件等领域来进行考虑和完善。
1.防火墙技术
用过Internet,企业可以从异地取回重要数据,同时又要面对 Internet 带来的数据安全的新挑战和新危险:即客户、推销商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此,企业必须加筑安全的“壕沟”,而这个“壕沟”就是防火墙.防火墙系统决定了哪些内容服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身必须能够免于渗透。
2. VPN技术
虚拟专用网简称VPN,指将物理上分布在不同地点的网络通过公用骨干网联接而形成逻辑上的虚拟“私”网,依靠IPS或 NSP在安全隧道、用户认证和访问控制等相关技术的控制下达到与专用网络类同的安全性能,从而实现基于 Internet 安全传输重要信息的效应。目前VPN 主要采用四项技术来保证安全, 这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。
3.数字签名技术
为了保证数据和交易的安全、防止欺骗,确认交易双方的真实身份,电子商务必须采用加密技术。数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。数字签名就是通过一个单向哈希函数对要传送的报文进行处理而得到的用以认证报文是否发生改变的一个字母数字串。发送者用自己的私钥把数据加密后传送给接收者,接收者用发送者的公钥解开数据后,就可确认消息来自于谁,同时也是对发送者发送的信息真实性的一个证明,发送者对所发信息不可抵赖,从而实现信息的有效性和不可否认性。
三、电子商务的安全认证体系
随着计算机的发展和社会的进步,通过网络进行的电子商务活动当今社会越来越频繁,身份认证是一个不得不解决的重要问题,它将直接关系到电子商务活动能否高效而有序地进行。认证体系在电子商务中至关重要,它是用户获得访问权限的关键步骤。现代密码的两个最重要的分支就是加密和认证。加密目的就是防止敌方获得机密信息。认证则是为了防止敌方的主动攻击,包括验证信息真伪及防止信息在通信过程被篡改删除、插入、伪造及重放等。认证主要包括三个方面:消息认证、身份认证和数字签名。
身份认证一般是通过对被认证对象(人或事)的一个或多个参数进行验证。从而确定被认证对象是否名实相符或有效。这要求要验证的参数与被认证对象之间应存在严格的对应关系,最好是惟一对应的。身份认证是安全系统中的第一道关卡。
数字证书是在互联网通信中标志通信各方身份信息的一系列数据。提供了一种 Internet 上验证用户身份的方式,其作用类似于司机的驾驶执照或身份证。它是由一个权威机构CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它识别彼此的身份。
四、结束语
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
参考文献
[1] 劳帼龄.电子商务的安全技术[M].北京:中国水利水电出版社,2005.
[2] 赵泉.网络安全与电子商务[M].北京:清华大学出版社,2005.
第9篇:国内信息安全认证范文
关键词:安全证件;电子护照
The Development and Application of Secure Document
LIN Qiu
(Shanghai Huahong Integrated Circuit Co.,Ltd, Shanghai, 201203, China)
Abstract: For the secure documents, electronic passport as an example, the engineering requirements of the security, functionality, interoperability, reliability and durability, quality control are introduced.
Keywords: Secure document; Electronic passport
1前言
安全证件泛指采用特定安全技术,可用于证明持有人身份从而获得某种授权或资格的证件,包括旅行证件(护照、签证、海员证、通行证等)、驾驶执照、军警人员证件等多种形式。其中,护照是由某一国家或机构签发,供持证人用于国际旅行的的官方证件。“9・11”事件后,在国际民航组织(International Civil Aviation Organization,ICAO)的倡导下,世界大多数国家都在积极实施电子护照项目,加强出入境管理,防范恐怖活动。电子护照是在纸质护照中嵌入存有持证人的基本信息和生物特征信息等数据的非接触式智能卡,且能完成特定安全算法的新型电子证件。由于结合了光学字符识别(OCR)技术、非接触式通讯技术、智能卡芯片安全技术、生物识别技术和公共密钥技术等多种先进的通信、防伪与加密技术,所以电子护照能很好地解决传统护照在跨国使用时易受伪造的问题,同时也大大提高了合法持证人的通关效率。而电子护照应用系统更是一个复杂的产品系统,可能是自互联网技术应用以来全球最大的一项国际性系统工程,其主要特点是跨国界的互通互用,涉及产品互通兼容性、秘密信息交换、国际交互认证、个人隐私保护、多种应用技术融合和系统集成,乃至不同国家的安全体系等等。因此,作为全球性电子护照系统的基础部件,电子护照产品的开发需要解决安全性、可靠(耐久)性、功能性和互操作性问题,满足全球互用和信息安全的要求。本文将以电子护照为例,重点介绍安全证件产品开发的工程要求和具体实践,供大家探讨。
2安全准则
我们知道,信息安全与信息本身的特征、信息的存储、传输和处理技术密切相关,与系统的硬件、软件以及它们所构成的安全防范体系密切联系在一起,使信息或数据的机密性、完整性和可用性得到有效的控制和保护,防止非授权的访问以及各种缘由的信息泄漏和破坏,确保系统能连续可靠地运行。所有这些都需要采用各种行之有效的安全保障措施,这些措施包括了信息产品自身的安全控制技术、信息产品研发及生产环境的技术的或程序的安全控制措施、信息产品交付过程的技术的或程序的安全控制措施、信息产品使用环境的安全控制措施、构建系统应实现的技术和程序的安全控制的策略等。因此,正是由于电子护照在国际间人员交往中所扮演的重要角色,及其所存放的隐私数据的敏感性,必须采用各种逻辑或物理的安全措施来确保其机密性、完整性和可用性。符合ICAO规范[1,2]的第一代电子护照采用非接触式智能卡芯片,含有至少32K字节的数据存储空间,用于存放持证人的个人信息,诸如姓名、出生日期、国籍,以及持证人的面相作为生物特征数据。这些数据可以很容易通过非接触式读写设备从护照中读取,同时也进行了防篡改和防伪造的保护,如:强制的被动认证(Passive Authentication,PA),允许读写设备检查数据的一致性;强制的基本访问控制(Basic Access Control,BAC),防止持证人未知情形下的访问;可选的主动认证(Active Authentication,AA),通过公私钥机制防止芯片复制。第二代电子护照则采用更多的生物特征信息,包括指纹或虹膜,并通过扩展访问控制(Extended Access Control,EAC)[3]对隐私敏感数据进行保护。同时,产品在整个生命周期内的安全性也必须得到保证,包括产品设计、加工制造、生产测试、发行交付、物流运输等各个环节都必须纳入安全管理的范畴之内。
ICAO指导文件突出建议:电子护照采用的芯片IC和(或)软件COS,应遵循相应的安全准则[4]和保护轮廓[5,6],且通过EAL4+级别的认证或验证[7]。《信息技术安全通用评估准则》(Common Criteria for Information Technology Security Evaluation,简称CC,即GB/T-18336,idt ISO/IEC 15408),正是国内外信息安全测评认证的基础标准,已得到世界范围内的广泛认可。通过产品的信息安全测评,开发者能够从良好的开发实践和正确的安全工程中获得最大限度的保证,提高IC卡产品的安全技术和安全保障能力;同时可以为行业用户提供客观、公平、公正的第三方的检测报告,以便于用户合理的选择产品,降低选型风险,维护用户的利益。
满足ICAO建议的EAL4+等级要求的安全认证工作,主要关注如下两个方面:
(1) 安全技术测评
利用安全目标、功能规范和完备的接口规范、指导性文件、系统设计和模块设计及其实现,从不同层次或抽象级别上表示安全功能,以保证安全功能要求的实现且满足预期使用环境对其安全性的要求;通过开发者自身的测试和充分性分析,以及评估者的独立功能性测试、脆弱性分析和穿透性测试(时间分析、扰动攻击、旁路攻击、随机性检测等),确认产品达到了预期的安全目标,实现了安全功能。
(2) 安全管理评估
具备有效的配置管理和缺陷跟踪制度,使产品实现过程有序,变更过程可控,减少意外和未授权修改;对整个生命周期中的开发、生产、交付等环境、流程、工具、技术等中采用合理有效的安全保护措施或检测手段(门禁控制、区域管理、环境监控、人员安全、安全策略等),保证产品或信息的机密性和完整性。
由此可见,产品满足EAL4+安全等级要求,说明企业有能力开发出具有一定安全性、满足一定安全要求的产品,使最终用户能够判断无论从技术上还是管理上,产品的产生过程是完整而规范的,对其安全性保障是充分而能有效实现其自身价值的。中国实施统一的信息安全认证认可体系,与国际上的测评机构保持同样的工作程序和质量水平,在具体测评方法上也依照国际上认可的通用评估方法,从而保证了无论是测评认证程序还是具体方法都与国外测评机构一致。国内诸多厂商的电子护照相关产品都已通过测评认证,为产品应用走出国门打下了坚实基础。
3符合性
如前文所述,电子护照必须满足互通互用要求,可在世界各地的边检口岸使用,也即:各种不同的查验系统能够读取所有的护照(信息)――数据结构相同但芯片却可能来自不同的制造商,而且查验系统能够正确地使用所获取的信息。2008年,国际民航组织对生物识别信息在机读旅行证件中的存储种类、存储方式、数据逻辑结构[8]、基础架构[9]等方面进行了明确规定。随着技术的进步和实践经验的积累,ICAO、英国标准协会(British Standards Institution,BSI)等权威机构此后又陆续提出了一系列的技术指引或测试规范,在应用技术及安全方法上极大地保证了电子护照的全球互操作性。
参考开放系统互连OSI(Open System Interconnection)层次模型,电子护照(芯片IC+软件COS)及查验系统(读写设备)的符合性内容的层次划分,如表1所示。
功能性和互操作性测试的具体项目如表2和表3所示。
对于护照证本,也必须满足抗老化和耐久性测试要求[19],包括:笔划涂写、扭弯曲、开合翻折、敲章、高低温存储、工作环境、温度循环、抗X-射线/化学品等测试内容。
4质量控制
电子护照的发行部署,将对所有参与者或角色(申请数据录入、个人化、边检流程、政府部门等)带来更大复杂性的挑战,BSI针对申请材料(生物特征)的数据采集、准备和标准化、质量要求以及传输等制定了强制性的技术指引TR-03104系列和测试规范TR-0318系列,以保证生物特征数据和电子护照生产的质量。
5后记
截至2010年底,全球已有90多个国家和地区推行电子护照,包括中国的港澳和台湾地区。中国从2011年7月1日起,凡是在北京符合因公护照申请要求的人员,都可以申领因公电子护照,外交部将于9月开始在北京之外的辽宁、浙江、福建三个试点省签发因公电子护照,并逐步向全国推广,计划于2012年完成因公电子护照项目在全国的签发。在欧美等发达国家或地区,电子护照技术已经完成了产业化,促进了相关安全技术应用于电子签证、身份证件等领域,并将进一步向多功能应用方向发展。
上海华虹集成电路有限责任公司设计开发的SHC1124安全产品[20],从项目立项、规格定义伊始,就完全遵照CC准则以及ICAO规范的要求,严格管理产品开发过程,并通过了国内信息处理产品标准符合性测试和EAL4+安全测评认证,以及国外安全技术测试和ICAO电子护照符合性测试,可以应用于安全证件、身份识别、金融支付、访问控制、签名认证等领域。公司将继续致力于对产品的全过程控制和持续改进,提升国内在以智能卡为代表的高安全应用领域的研究水平,不断为各行各业提供满足客户应用要求的安全产品。
参考文献
[1] ICAO Doc 9303, Machine Readable Travel Documents, Part 1 - Machine Readable Passports, Sixth Edition, 2006, International Civil Aviation Organization
[2] ICAO Doc 9303, Machine Readable Travel Documents, Part 3 - Machine Readable Official Documents, Third Edition, 2008, International Civil Aviation Organization
[3] Technical Guideline Advanced Security Mechanisms for Machine Readable Travel Documents - Extended Access Control (EAC), Version 1.11, TR-03110, Bundesamt für Sicherheit in der Informationstechnik (BSI), 21.02.2008
[4] Common Criteria for Information Technology Security Evaluation, Version 3.1, Revision 3, July 2009, bsi.bund.de
[5] Common Criteria Protection Profile Machine Readable Travel Document with "ICAO Application", Basic Access Control, Version 1.10, BSI-PP-0055, 25th March 2009
[6] Common Criteria Protection Profile Machine Readable Travel Document with "ICAO Application", Extended Access Control, Version 1.10, BSI-PP-0056, 25th March 2009
[7] Guide to Interfacing e-MRTDs and Inspection Systems,Version-1.0, Date - February 14, 2005, published by authority of the secretary general, International Civil Aviation Organization
[8] Machine Readable Travel Documents Technical Report, Development of a Logical Data Structure - LDS, For Optional Capacity Expansion Technologies, Revision - 1.7, published by authority of the secretary general, International Civil Aviation Organization, LDS 1.7, 2004-05-18
[9] Machine Readable Travel Documents Technical Report, PKI for Machine Readable Travel Documents Offering ICC Read-Only Access, Version 1.1, October 01, 2004, published by authority of the secretary general, International Civil Aviation Organization
[10] RF Protocol and Application Test Standard For E-Passport - Part 2: Tests for Air Interface, Initialisation, Anticollision and Transport Protocol, Version 1.02, Feb 20, 2007
[11] BSI TR-03105 Part 2 Test Plan for ICAO compliant MRTD with Secure Contactless Integrated Circuit (Layer 1-4), Version 2.2, 01.12.2009
[12] RF Protocol and Application Test Standard For E-Passport - Part 4: E-Passport Reader Tests for Air Interface, Initialisation, Anticollision and Transport Protocol, Version 1.01, Feb 20, 2007
[13] BSI TR-03105 Part 4 Test plan for ICAO compliant Proximity Coupling Device (PCD) on Layer 2-4 Version 2.2, 17.03.2010
[14] RF Protocol and Application Test Standard For E-Passport - Part 3: Tests for Application Protocol and Logical Data Structure, Version 1.01, Feb 20, 2007
[15] BSI TR-03105 Part 3.1 Test plan for Application Protocol and Logical Data Structure (Layer 6-7), Version 1.1.1, 14.11.2008
[16] BSI TR-03105 Part 3.2 Test plan for eMRTDs with Advanced Security Mechanisms -EAC 1.11, Version 1.12, 03.10.2008
[17] EAC Tests for Security Implementation, v1.12, Oct 3,2008
[18] BSI TR-03105 Part 5.1 Test plan for ICAO compliant Inspection Systems with EAC Version 1.2,11.09.2009, 11.09.2009
[19] Technical Report Durability of Machine Readable Passports v3.2, 30-08-2006
[20] 安全控制芯片SHC1124综述,林秋,《卡技术与安全》2010年4月刊
