公務(wù)員期刊網(wǎng) 精選范文 國內(nèi)信息安全認(rèn)證范文

國內(nèi)信息安全認(rèn)證精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的國內(nèi)信息安全認(rèn)證主題范文,僅供參考,歡迎閱讀并收藏。

國內(nèi)信息安全認(rèn)證

第1篇:國內(nèi)信息安全認(rèn)證范文

“我的信息安全嗎?”相信所有對信息技術(shù)有所了解的人都會(huì)存在這個(gè)擔(dān)憂。就我們所使用的IT設(shè)備而言,軟硬件的安全性將直接影響信息的安全。是否有什么手段來認(rèn)定軟硬件的安全性呢?答案是肯定的,那就是對其進(jìn)行安全認(rèn)證。

多年來,嘉興市辰翔信息科技有限公司致力于IT軟硬件安全檢測認(rèn)證,憑借著國際一流的技術(shù),為IT軟硬件“蓋”上了信息安全的“合格章”。

權(quán)威認(rèn)證覆蓋全球

據(jù)國家工信部的《2013年電子信息產(chǎn)業(yè)統(tǒng)計(jì)公報(bào)》顯示,我國2013年電子信息產(chǎn)業(yè)銷售收入總規(guī)模達(dá)到12.4萬億元,同比增長12.7%。在信息安全日益受重視的今天,這意味著巨大的安全認(rèn)證市場。就全球而言,反病毒軟件的檢測認(rèn)證市場銷售規(guī)模在2億人民幣左右,而安全硬件提供商全球多達(dá)幾萬家,銷售額至少在幾百億人民幣。檢測認(rèn)證行業(yè)作為IT軟硬件方案服務(wù)提供商的服務(wù)商,市場前景巨大。如此大的“蛋糕”,此前一直被AV-TEST、ISCA LABs、Virus Bulletin等幾家巨頭壟斷。

為了打破國外檢測機(jī)構(gòu)對計(jì)算機(jī)安全軟硬件檢測壟斷的局面,辰翔科技通過多年來的理論研究和實(shí)踐應(yīng)用研發(fā)了一系列符合計(jì)算機(jī)安全技術(shù)潮流發(fā)展的檢測技術(shù)和認(rèn)證標(biāo)準(zhǔn),并在一些關(guān)鍵的技術(shù)環(huán)節(jié)大量應(yīng)用了新的檢測標(biāo)準(zhǔn)和檢測技術(shù),是大中華區(qū)唯一專業(yè)從事計(jì)算機(jī)安全軟硬件測試認(rèn)證的公司,也是公安部計(jì)算機(jī)病毒應(yīng)急響應(yīng)中心的合作伙伴和唯一具有公安機(jī)關(guān)病毒分析備案的公司。除了自行研發(fā)外,辰翔科技還通過與國內(nèi)高等院校的合作,研究如何將病毒流行度指標(biāo)應(yīng)用在計(jì)算機(jī)安全檢測之上,相關(guān)論文也已經(jīng)在國際會(huì)議上發(fā)表。另外,其關(guān)于計(jì)算機(jī)安全軟硬件檢測的專用認(rèn)證標(biāo)志已經(jīng)在歐盟、美國和大陸成功注冊。

辰翔科技作為全球主要的安全軟件檢測認(rèn)證服務(wù)提供商,客戶基本已經(jīng)涵蓋主要的殺毒軟件提供商。值得一提的是,在手機(jī)Android操作系統(tǒng)安全測試領(lǐng)域,公司已經(jīng)基本實(shí)現(xiàn)壟斷。除了手機(jī)端的安全認(rèn)證外,辰翔科技還與美國微軟總部合作研發(fā)Windows安全認(rèn)證體系。目前辰翔科技在全球安全軟件測試認(rèn)證行業(yè)主要競爭對手有6個(gè),目標(biāo)客戶覆蓋率基本達(dá)到國外同行水平。未來,辰翔科技將以電源產(chǎn)品作為切入點(diǎn),進(jìn)一步開展通用IT硬件(如CPU、內(nèi)存、音響制品、顯示器等)與安全硬件(如嵌入式反病毒硬件,硬件防火墻,郵件過濾器等)的檢測認(rèn)證工作。

打造全方位“防御體系”

通過從計(jì)算機(jī)軟件到硬件,再加上手機(jī)與網(wǎng)站的安全測評,辰翔科技打造了一個(gè)全方位的安全防御圈。

安全軟件測試

通過測試安全軟件的多層防御能力來判斷安全軟件的綜合防御能力。關(guān)鍵技術(shù)在于多層實(shí)時(shí)檢測技術(shù),傳統(tǒng)的安全軟件檢測比較單一、一般都只檢測安全的一個(gè)參數(shù)值,比如病毒的查殺率,誤報(bào)水平等,而辰翔科技對測評體系進(jìn)行了升級,擺脫單一功能檢測無法反映軟件綜合性能的缺失,目前已經(jīng)基本運(yùn)用到日常檢測認(rèn)證中來。

云安全檢測認(rèn)證

辰翔科技采集最新最全的病毒樣本,運(yùn)用高性能的爬蟲系統(tǒng),通過大量的新出現(xiàn)的病毒和常用軟件來判斷云安全軟件對未知病毒的響應(yīng)能力、白名單庫的收集能力和誤報(bào)水平、云安全技術(shù)的穩(wěn)定性判斷,在國內(nèi)率先提出了云安全檢測技術(shù)的思路和測試基本框架。

手機(jī)安全軟件檢測認(rèn)證

通過手機(jī)操作系統(tǒng)模擬器或真機(jī)來模擬或者重現(xiàn)手機(jī)安全軟件在各系統(tǒng)上的運(yùn)行情況,包括對病毒的檢測查殺能力、常用功能的比較和不同病毒對手機(jī)用戶的危害。目前,辰翔科技建立了一套完整的病毒分析流程,可以為殺毒軟件公司提供分析支持和軟件配套服務(wù)。

軟件安全性評估

通過代碼和行為分析判斷軟件是否具有惡意行為,對驗(yàn)證無惡意行為的軟件頒發(fā)認(rèn)證標(biāo)志。

非安全軟件類軟硬件檢測認(rèn)證

通過輔助軟件對同類通用軟件和硬件進(jìn)行性能評估和檢測認(rèn)證,對達(dá)標(biāo)產(chǎn)品相對應(yīng)的認(rèn)證標(biāo)志。通用軟硬件的測評和認(rèn)證將由辰翔科技和中國計(jì)量學(xué)院、浙江質(zhì)監(jiān)局共同進(jìn)行研發(fā),遠(yuǎn)期將提供市場準(zhǔn)入認(rèn)證和產(chǎn)品改良服務(wù)。

網(wǎng)絡(luò)掛馬釣魚分析系統(tǒng)的建立和網(wǎng)站認(rèn)證

第2篇:國內(nèi)信息安全認(rèn)證范文

信息安全是國家安全的基礎(chǔ)和關(guān)鍵,在信息安全保障的三大要素(人員、技術(shù)、管理)中,管理要素的地位和作用越來越受到重視。面對越來越嚴(yán)重的安全威脅,不單在IT技術(shù)領(lǐng)域,各行業(yè)的企業(yè)組織都越來越意識到信息安全的重要性,但單純依靠技術(shù)方案來并不能解決如何保護(hù)企業(yè)信息資產(chǎn)的問題,因此這對當(dāng)前高校的信息安全專業(yè)的人才培養(yǎng)也提出了更高的要求。

 

一、信息安全培訓(xùn)體系概況

 

信息安全培訓(xùn)作為高校信息安全專業(yè)教育的一種重要補(bǔ)充,主要用于解決學(xué)歷教育和社會(huì)實(shí)踐、社會(huì)認(rèn)證培訓(xùn)的結(jié)合、信息安全人才培養(yǎng)不規(guī)范等問題?,F(xiàn)有培訓(xùn)主要可分為四類。

 

第一,安全意識培訓(xùn):其面向機(jī)構(gòu)一般員工、非技術(shù)人員以及所有信息系統(tǒng)的用戶,目的是提高整個(gè)組織普遍的安全意識和人員安全防護(hù)能力,使組織員工充分了解既定的安全策略,并能夠切實(shí)執(zhí)行。

 

第二,安全技能培訓(xùn):其面向機(jī)構(gòu)網(wǎng)絡(luò)和系統(tǒng)管理員、安全專職人員、技術(shù)開發(fā)人員等,目的是讓其掌握基本的安全攻防技術(shù),提升其安全技術(shù)操作水平,培養(yǎng)解決安全問題和杜絕安全隱患的技能。

 

第三,安全管理培訓(xùn):其面向組織的管理職能和信息系統(tǒng)、信息安全管理人員,目的是提升組織整體的信息安全管理水平和能力,幫助組織有效建立信息安全管理體系。

 

第四,認(rèn)證資質(zhì)培訓(xùn):其針對特殊崗位所需的職能人員,包括審核部門、監(jiān)管部門、信息保障部門等。通過提供國際信息安全相關(guān)認(rèn)證考試的輔導(dǎo)培訓(xùn),可以幫助人員順利通過考試獲得各類信息安全資質(zhì)認(rèn)證培訓(xùn)。

 

前三類認(rèn)證主要依托專業(yè)的培訓(xùn)機(jī)構(gòu)或安全設(shè)備廠商進(jìn)行。第四類培訓(xùn)是當(dāng)前培訓(xùn)的主體。

二、信息安全相關(guān)資質(zhì)認(rèn)證培訓(xùn)情況

 

資質(zhì)認(rèn)證類培訓(xùn)是針對資質(zhì)認(rèn)證特點(diǎn)和內(nèi)容要求設(shè)計(jì),依托專業(yè)機(jī)構(gòu)進(jìn)行的。一些認(rèn)證的培訓(xùn)機(jī)構(gòu)是由資質(zhì)管理機(jī)構(gòu)專門指定的。當(dāng)前,信息安全相關(guān)資質(zhì)認(rèn)證主要分三類:

 

第一,國內(nèi)以信息產(chǎn)業(yè)部,信息安全評測機(jī)構(gòu)為代表的組織來管理實(shí)施的信息安全資格認(rèn)證(或與國際組織聯(lián)合頒發(fā));這類的認(rèn)證培訓(xùn)有:CISP培訓(xùn)、NCSE培訓(xùn)、CISM培訓(xùn)、INSPC培訓(xùn)、CIW認(rèn)證培訓(xùn)等。

 

第二,由國外軟件、網(wǎng)絡(luò)產(chǎn)品廠商自己組織管理的產(chǎn)品專家認(rèn)證(側(cè)重于廠商產(chǎn)品、技術(shù)認(rèn)證);相關(guān)的認(rèn)證培訓(xùn)有:微軟Microsoft認(rèn)證培訓(xùn)、思科安全認(rèn)證CCSP培訓(xùn)、趨勢認(rèn)證信息安全TCSE培訓(xùn)等。

 

第三,國際權(quán)威信息安全組織、研究部門或培訓(xùn)機(jī)構(gòu)組來管理組織的國際化專業(yè)資格認(rèn)證。相關(guān)的認(rèn)證培訓(xùn)有:信息系統(tǒng)安全認(rèn)證CISSP培訓(xùn)、信息安全管理體系主任審核員ISO 27001培訓(xùn)、國際注冊信息系統(tǒng)審計(jì)師認(rèn)證CISA培訓(xùn)、國際IT運(yùn)營與服務(wù)管理資格認(rèn)證ITIL培訓(xùn)等。

 

下面以CISP培訓(xùn)為例,分析其知識體系構(gòu)建情況。

 

CISP即“注冊信息安全專家”,是國家對信息安全人員資質(zhì)的最高認(rèn)可。其經(jīng)由中國信息安全測評中心實(shí)施國家認(rèn)證。CISP認(rèn)證和培訓(xùn)賦予如下專業(yè)資質(zhì)和能力:有關(guān)信息安全企業(yè)、咨詢服務(wù)機(jī)構(gòu)、測評認(rèn)證機(jī)構(gòu)、授權(quán)測評機(jī)構(gòu)和企事業(yè)有關(guān)信息系統(tǒng)建設(shè)、運(yùn)行和應(yīng)用管理的技術(shù)部門和標(biāo)準(zhǔn)化部門必備的專業(yè)崗位人員。

 

在整個(gè)CISP的知識體系結(jié)構(gòu)中,共包括信息安全保障概述、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)這五個(gè)知識類。 CISP知識體系以信息安全保障為主線,全面覆蓋信息安全保障工作所需的基礎(chǔ)、標(biāo)準(zhǔn)、法規(guī)、技術(shù)、管理和工程等領(lǐng)域。CISP培訓(xùn)知識體系結(jié)構(gòu)共包含五個(gè)知識類,分別為:(1)信息安全保障概述:介紹了信息安全保障的框架、基本原理和實(shí)踐,它是注冊信息安全專業(yè)人員首先需要掌握的基礎(chǔ)知識。(2)信息安全技術(shù):主要包括密碼技術(shù)、訪問控制、審計(jì)監(jiān)控等安全技術(shù)機(jī)制,網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用軟件等方面的基本安全原理和實(shí)踐,以及信息安全攻防和軟件安全開發(fā)相關(guān)的技術(shù)知識和實(shí)踐。(3)信息安全管理:主要包括信息安全管理體系建設(shè)、信息安全風(fēng)險(xiǎn)管理、安全管理措施等相關(guān)的管理知識和實(shí)踐。(4)信息安全工程:主要包括信息安全相關(guān)的工程的基本理論和實(shí)踐方法。(5)信息安全標(biāo)準(zhǔn)法規(guī):主要包括信息安全相關(guān)的標(biāo)準(zhǔn)、法律法規(guī)、政策和道德規(guī)范,是注冊信息安全專業(yè)人員需要掌握的通用基礎(chǔ)知識。

 

CISP的注冊要求如下:

 

第一,教育與工作經(jīng)歷:碩士研究生以上,具有1年工作經(jīng)歷;或本科畢業(yè),具有2年工作經(jīng)歷;或大專畢業(yè),具有4年工作經(jīng)歷。

 

第二,專業(yè)工作經(jīng)歷:至少具備1年從事信息安全有關(guān)的工作經(jīng)歷。

 

第三,培訓(xùn)資格:在申請注冊前,成功地完成了CNITSEC或其授權(quán)培訓(xùn)機(jī)構(gòu)組織的注冊信息安全專業(yè)人員培訓(xùn)課程相應(yīng)資質(zhì)所需的分類課程,并取得培訓(xùn)合格證書。

 

第四,通過由CNITSEC舉行的注冊信息安全專業(yè)人員考試。

 

三、信息安全專業(yè)培訓(xùn)體系構(gòu)建的建議

 

1.構(gòu)建完善的高校信息安全專業(yè)人才培訓(xùn)體系

 

傳統(tǒng)的培訓(xùn)體系,比較側(cè)重于知識和技能傳授的過程控制,在對知識的共享、隱性知識的轉(zhuǎn)換等方面,已經(jīng)不能滿足當(dāng)前的要求,高校可以通過借鑒、學(xué)習(xí)CISP認(rèn)證和培訓(xùn)體系結(jié)構(gòu)和CISSP認(rèn)證課程內(nèi)容設(shè)置,從信安全崗位所需的基礎(chǔ)、標(biāo)準(zhǔn)、法規(guī)、技術(shù)、管理和工程等領(lǐng)域來完善信息安 全專業(yè)人才培訓(xùn)體系。根據(jù)培訓(xùn)對象的不同將課程分為五種類型(層次):操作層面的基本安全意識培訓(xùn);

 

技術(shù)層面的各項(xiàng)安全技能培訓(xùn);管理層面的信息安全管理培訓(xùn);專家級的資質(zhì)認(rèn)證培訓(xùn)。當(dāng)然在培訓(xùn)體系里面信息安全技術(shù)方面的培訓(xùn)仍然是重點(diǎn),為了加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施等新興重點(diǎn)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的培訓(xùn),可以參考思科安全認(rèn)證CCSP培訓(xùn)的模式,對當(dāng)前使用的防火墻、侵入檢測、VPN、身份驗(yàn)證和安全管理等主流網(wǎng)絡(luò)安全防護(hù)裝備進(jìn)行系統(tǒng)性的專題培訓(xùn)。

 

2.建立逐級培訓(xùn)的信息安全專業(yè)人才培訓(xùn)模式

 

當(dāng)前信息安全技術(shù)的發(fā)展日新月異,信息化的網(wǎng)絡(luò)攻防形式也發(fā)生著翻天覆地的變化,因此對于信息安全專業(yè)人員的培訓(xùn),僅靠一兩次培訓(xùn)是遠(yuǎn)遠(yuǎn)不夠的,必須連續(xù)、有針對性的接受相應(yīng)崗位和層次的逐級培訓(xùn),才能保證知識、能力結(jié)構(gòu)的不斷優(yōu)化和提高。在逐級培訓(xùn)過程中要明確不同職務(wù)、技術(shù)等級的不同要求,使得逐級培訓(xùn)過程級與級之間層次清晰又銜接有序。如果沒有通過低級別的培訓(xùn)、認(rèn)證,便不能參加后門高級別的培訓(xùn)。同時(shí)利用職業(yè)資格證、學(xué)歷證書、執(zhí)行證書等為牽引,通過多階段培訓(xùn)、資格培訓(xùn)、升級培訓(xùn)使得知識結(jié)構(gòu)、能力素質(zhì)、崗位需求同步發(fā)展,取得相應(yīng)的職業(yè)證書才能晉升上崗,否則不予任用。

 

3.通過合理的認(rèn)證標(biāo)準(zhǔn)來動(dòng)態(tài)更新和完善培訓(xùn)體系的目標(biāo)任務(wù)

 

只有對培訓(xùn)成果進(jìn)行合理判斷,確定受訓(xùn)人員知識技能水平的提高幅度,才能了解培訓(xùn)項(xiàng)目是否達(dá)到原定的目標(biāo)和要求,從而為進(jìn)一步改進(jìn)培訓(xùn)體系提供重要依據(jù)。通過對培訓(xùn)人員最終考評成績的分析以及部隊(duì)調(diào)研,培訓(xùn)學(xué)員信息反饋等方式,針對培訓(xùn)內(nèi)容和教學(xué)組織形式聽取意見,并及時(shí)調(diào)整,使得培訓(xùn)效果真正適應(yīng)培訓(xùn)學(xué)員的實(shí)際需求,提高培訓(xùn)效果。這樣才能在保持相對穩(wěn)定的情況下對培訓(xùn)內(nèi)容實(shí)施動(dòng)態(tài)更新,不斷完善。

第3篇:國內(nèi)信息安全認(rèn)證范文

國際上,網(wǎng)絡(luò)與信息技術(shù)不斷演進(jìn),以云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)為主導(dǎo)的新技術(shù)在推動(dòng)產(chǎn)業(yè)發(fā)展的同時(shí),也帶來了更多新的挑戰(zhàn),信息安全更成為各國相互搏弈的重要陣地。

成長于信息安全身份認(rèn)證領(lǐng)域的眾人科技,在國內(nèi)外大環(huán)境的激發(fā)下,正努力打造成為中國信息安全領(lǐng)域的標(biāo)桿企業(yè)。

回顧歷史,眾人科技走過一段風(fēng)雨兼程的路。

2007年9月,眾人科技成立。主要從事?lián)碛型耆灾髦R產(chǎn)權(quán)的iKEY身份認(rèn)證系統(tǒng)及系列產(chǎn)品的研發(fā)、生產(chǎn)和銷售。

眾人科技創(chuàng)業(yè)之初,創(chuàng)始人談劍峰就滿懷激情與希望,勵(lì)志在中國信息安全行業(yè)打下一片江山:研發(fā)有完全自主知識產(chǎn)權(quán)的身份認(rèn)證技術(shù)和產(chǎn)品,與當(dāng)時(shí)充斥中國市場的國外信息安全身份認(rèn)證產(chǎn)品抗衡,保護(hù)國家信息安全。確定了產(chǎn)品方向,眾人科技在這個(gè)當(dāng)時(shí)國內(nèi)尚處于空白的細(xì)分領(lǐng)域開始了艱難的探索。

眾人科技從成立伊始就確立了自主研發(fā)、設(shè)計(jì)、生產(chǎn)的國產(chǎn)化道路,以完全的自主可控作為追求,目的就是為國家和大眾的信息安全把好核心的那一道“門”,由此而帶來的是漫長且枯燥的技術(shù)攻關(guān)和資格認(rèn)證過程。

整整4年時(shí)間,眾人科技團(tuán)隊(duì)全身心投入技術(shù)研發(fā)、打磨產(chǎn)品,并通過了國家相關(guān)機(jī)構(gòu)、專家對動(dòng)態(tài)密碼技術(shù)的論證、檢測、認(rèn)定,在2009年初,眾人科技率先拿到了國家密碼主管部門頒發(fā)的動(dòng)態(tài)口令類產(chǎn)品資質(zhì)企業(yè)許可證,其研發(fā)的iKEY身份認(rèn)證產(chǎn)品被中國科學(xué)院科技查新中心評定為“填補(bǔ)國內(nèi)空白,國際先進(jìn)水平”。

經(jīng)過不斷拼搏、奮斗,眾人科技越過了一道一道的坎――資金、人員、資質(zhì)、技術(shù)。終于,眾人科技擁有了從密碼專用安全芯片、終端產(chǎn)品到后臺系統(tǒng)的全產(chǎn)業(yè)鏈自主知識產(chǎn)權(quán),并自主設(shè)計(jì)了國內(nèi)領(lǐng)先的具有世界領(lǐng)先水平的密碼令牌全自動(dòng)柔性生產(chǎn)線;還作為組長單位參與制定了國家密碼行業(yè)標(biāo)準(zhǔn)GM/T 0021-2012《動(dòng)態(tài)口令密碼應(yīng)用技術(shù)規(guī)范》,作為國家密碼主管部門密碼檢測標(biāo)準(zhǔn)制密項(xiàng)目組組長單位,組織編寫“動(dòng)態(tài)口令密碼檢測”的相關(guān)規(guī)范;同時(shí)參與制定動(dòng)態(tài)口令產(chǎn)品行業(yè)標(biāo)準(zhǔn)、身份認(rèn)證技術(shù)相關(guān)標(biāo)準(zhǔn)。

2011年,眾人科技更是被工業(yè)和信息化主管部門從百家企業(yè)中遴選為基于安全可控軟硬件產(chǎn)品云計(jì)算解決方案供應(yīng)商;2014年,眾人科技成為了上海市“專精特新”企業(yè)及推進(jìn)“新技術(shù)、新產(chǎn)業(yè)、新模式、新業(yè)態(tài)”的“四新”企業(yè);值中國互聯(lián)網(wǎng)接入20周年之際,眾人科技更榮獲了“中國互聯(lián)網(wǎng)20周年?技術(shù)創(chuàng)新貢獻(xiàn)殊榮”,成為“SHCERT網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位”及上海市信息安全服務(wù)推薦單位。

在飛速發(fā)展的七年時(shí)間里,眾人科技成為了中國中小企業(yè)協(xié)會(huì)副會(huì)長單位、中國互聯(lián)網(wǎng)金融工作委員會(huì)副主任委員單位、中國軟件行業(yè)協(xié)會(huì)網(wǎng)游信息安全工作委員會(huì)主任單位、中國信息協(xié)會(huì)常務(wù)理事、上?,F(xiàn)代服務(wù)業(yè)聯(lián)合會(huì)會(huì)員、上海市計(jì)算機(jī)行業(yè)協(xié)會(huì)副會(huì)長單位、上海市信息服務(wù)業(yè)行業(yè)協(xié)會(huì)副會(huì)長單位、上海市信息安全行業(yè)協(xié)會(huì)副會(huì)長單位等。

也正是在這七年里,移動(dòng)互聯(lián)網(wǎng)以及互聯(lián)網(wǎng)金融迅速崛起。來自銀行的數(shù)據(jù)顯示,目前建設(shè)銀行和工商銀行的手機(jī)銀行客戶總數(shù)已經(jīng)超過1億戶,交行、農(nóng)行、中行的客戶數(shù)也超過了5000萬戶。其中,部分銀行的手機(jī)端客戶數(shù)量目前已然接近了其傳統(tǒng)電腦端網(wǎng)銀客戶的數(shù)量。中國互聯(lián)網(wǎng)絡(luò)信息中心的報(bào)告顯示,2014年6月我國手機(jī)網(wǎng)民規(guī)模已達(dá)5.27億,中國手機(jī)端網(wǎng)民規(guī)模首次超過了PC端,這為銀行手機(jī)端的金融服務(wù)奠定了良好的市場基礎(chǔ),也為各銀行轉(zhuǎn)向手機(jī)端帶來了足夠大的動(dòng)力。

在互聯(lián)網(wǎng)金融行業(yè)大環(huán)境的影響下,眾人科技自主研發(fā)了一系列適于金融業(yè)發(fā)展的動(dòng)態(tài)密碼產(chǎn)品。

在競爭激烈的互聯(lián)網(wǎng)環(huán)境里,眾人科技深知?jiǎng)?chuàng)新和產(chǎn)品質(zhì)量決定一切。

iKEY身份認(rèn)證系統(tǒng)是由眾人科技自主研發(fā)的基于時(shí)間同步技術(shù)的多因素認(rèn)證系統(tǒng),是一種安全便捷、穩(wěn)定可靠的身份認(rèn)證系統(tǒng)。其強(qiáng)大的用戶認(rèn)證機(jī)制替代了傳統(tǒng)的基本口令安全機(jī)制,消除了因口令欺詐而導(dǎo)致的損失,防止惡意入侵者對資源的破壞,解決了因口令泄密導(dǎo)致的入侵問題,有效提高了身份認(rèn)證的安全性和便捷性。其硬件產(chǎn)品線包括isKEY動(dòng)態(tài)密碼令牌系列。isCARD動(dòng)態(tài)密碼智能卡系列、isMemory 動(dòng)態(tài)密碼SD卡系列及手機(jī)令牌等,均采用國家密碼主管單位指定的國密算法。

眾人科技在此基礎(chǔ)上進(jìn)一步開發(fā)的智慧城市公共區(qū)域安全網(wǎng)絡(luò)系統(tǒng),以動(dòng)態(tài)密碼的核心技術(shù)為基礎(chǔ),用云計(jì)算搭建統(tǒng)一身份認(rèn)證云平臺,快速、有效地解決了公共區(qū)域網(wǎng)絡(luò)的安全認(rèn)證問題。其通過各類認(rèn)證技術(shù)和安全機(jī)制的結(jié)合,可提高公共區(qū)域網(wǎng)絡(luò)的身份認(rèn)證的安全性,最終提高用戶使用的便捷性和滿意度。同時(shí)以其強(qiáng)大的用戶認(rèn)證機(jī)制以及安全監(jiān)管功能,有助于規(guī)范國家公共網(wǎng)絡(luò)管理系統(tǒng),在大數(shù)據(jù)時(shí)代為國家信息安全保駕護(hù)航。

作為一家飛速發(fā)展的信息安全企業(yè),眾人科技在金融領(lǐng)域有著豐富的服務(wù)經(jīng)驗(yàn)與優(yōu)良的解決方案,在金融行業(yè)以外領(lǐng)域,也正在逐漸建立自己的品牌口碑。眾人科技以動(dòng)態(tài)密碼技術(shù)為核心,總結(jié)多年發(fā)展經(jīng)驗(yàn),以市場為導(dǎo)向,逐步研發(fā)了如網(wǎng)絡(luò)的4A審計(jì)系統(tǒng)、基于IBC標(biāo)識密碼的加密郵件系統(tǒng)、針對APT攻擊的多維度網(wǎng)絡(luò)威脅預(yù)警系統(tǒng)等多結(jié)構(gòu)、多類型的產(chǎn)品,拓寬了國內(nèi)信息安全產(chǎn)業(yè)市場,在國家智慧城市建設(shè)等領(lǐng)域走得更遠(yuǎn)。

隨著移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)的迅速崛起,移動(dòng)支付迅猛發(fā)展。尤其在金融領(lǐng)域,電子銀行,手機(jī)支付的發(fā)展超出了人們的想象。

第4篇:國內(nèi)信息安全認(rèn)證范文

數(shù)據(jù)災(zāi)難備份必不可少

從美國“9·11”事件、日本大地震,到花旗銀行丟失390萬客戶信息的“數(shù)據(jù)門事件”,到汶川地震,再到雅安地震……面對難以抗拒的嚴(yán)重事件和自然災(zāi)害,數(shù)據(jù)安全問題需要我們認(rèn)真對待和仔細(xì)考量。在信息和數(shù)據(jù)主宰的時(shí)代,偶發(fā)性的天災(zāi)人禍很可能對金融、電力、交通、醫(yī)療、通信等重要組織機(jī)構(gòu)賴以生存與運(yùn)轉(zhuǎn)的信息系統(tǒng)造成毀滅性打擊,其業(yè)務(wù)連續(xù)性管理也會(huì)因此受到損害。對此,中科同向提醒用戶:給數(shù)據(jù)信息上“保險(xiǎn)”應(yīng)成為企業(yè)的重中之重,信息化時(shí)代數(shù)據(jù)的災(zāi)難備份必不可少。

美國的“9·11”事件后,Gartner Group的相關(guān)資料顯示,40%的公司在經(jīng)歷大災(zāi)難后再也不能恢復(fù)運(yùn)行,很快倒閉了;另外33%的公司在兩年內(nèi)也緊接著倒閉;只有少量的公司因?yàn)閷?shí)施了容災(zāi)備份系統(tǒng),在大災(zāi)后仍能立即恢復(fù)工作,和大部分公司丟失了數(shù)據(jù)后一蹶不振的情況形成了鮮明的對比。

明尼蘇達(dá)大學(xué)的一項(xiàng)研究顯示,金融企業(yè)由于災(zāi)難而導(dǎo)致突然停止運(yùn)營后,兩天之內(nèi)所受損失為日營業(yè)額的50%,若兩個(gè)星期之內(nèi)無法恢復(fù)信息系統(tǒng),75%的公司將陷入業(yè)務(wù)停頓狀態(tài),其中43%的公司甚至再也無法開業(yè)。以上數(shù)據(jù)表明,面對災(zāi)難帶來的不可預(yù)知的毀滅,建立預(yù)防性的數(shù)據(jù)災(zāi)難備份系統(tǒng)具有非常重要的價(jià)值。

專業(yè)的解決方案

目前,不少企業(yè)已經(jīng)投入巨資建設(shè)災(zāi)難恢復(fù)系統(tǒng),以確保業(yè)務(wù)穩(wěn)定、連續(xù)地發(fā)展。對于另外一些還未實(shí)施容災(zāi)數(shù)據(jù)備份的企業(yè),中科同向建議不要再持觀望態(tài)度,應(yīng)立即實(shí)施備份容災(zāi)系統(tǒng)。

中科同向在數(shù)據(jù)備份容災(zāi)方面有多年實(shí)施經(jīng)驗(yàn)和多領(lǐng)域的成功案例。針對不同類型的災(zāi)害,中科同向已經(jīng)成功實(shí)施了洪水治理應(yīng)急恢復(fù)系統(tǒng)、人防應(yīng)急系統(tǒng)等。在容災(zāi)方面,中科同向尤其有優(yōu)勢:不僅適應(yīng)異構(gòu)的存儲(chǔ)設(shè)備,同時(shí)也能適應(yīng)異構(gòu)的服務(wù)器平臺。這樣的遠(yuǎn)程容災(zāi)建設(shè)方案可以支持更加廣泛的應(yīng)用類型,不但可以保障用戶當(dāng)前投資建設(shè)的系統(tǒng)得到充分利用,同時(shí)也對容災(zāi)系統(tǒng)未來的適應(yīng)性提供了保障。

中科同向本著取之于社會(huì)、服務(wù)于社會(huì)的宗旨,實(shí)踐“同一個(gè)方向,同一個(gè)夢想”的企業(yè)價(jià)值。中科同向相信,堅(jiān)定不移的努力一定能讓自主研發(fā)的國內(nèi)數(shù)據(jù)備份容災(zāi)產(chǎn)品走向世界。

關(guān)于中科同向

第5篇:國內(nèi)信息安全認(rèn)證范文

關(guān)鍵詞:XBRL;審計(jì)流程再造;連續(xù)審計(jì)

中圖分類號:F239.省略成為可能,給審計(jì)帶來一波巨大沖擊。XBRL網(wǎng)絡(luò)財(cái)務(wù)報(bào)告需要XBRL審計(jì)的支撐,如何構(gòu)造基于XBRL的審計(jì)流程顯得尤為重要。只有真正解決好這一問題,審計(jì)鑒證才能為XBRL網(wǎng)絡(luò)財(cái)務(wù)報(bào)告的高效運(yùn)行保駕護(hù)航,真正成為虛假會(huì)計(jì)信息的“過濾器”和利益相關(guān)者的“保護(hù)神”。因此,審計(jì)模式面臨重構(gòu),審計(jì)方法和審計(jì)技術(shù)有待改善。

一、研究背景

作為一種新型的網(wǎng)絡(luò)財(cái)務(wù)報(bào)告技術(shù),XBRL一經(jīng)出現(xiàn)便引起了國內(nèi)外學(xué)者的廣泛關(guān)注,都從不同方面對XBRL進(jìn)行了探討和研究。XBRL網(wǎng)絡(luò)財(cái)務(wù)報(bào)告模式的發(fā)展必將對傳統(tǒng)審計(jì)模式、審計(jì)方法和審計(jì)技術(shù)提出新的挑戰(zhàn)和要求。作為“經(jīng)濟(jì)警察”,注冊會(huì)計(jì)師通過會(huì)計(jì)報(bào)表審計(jì)鑒證對企業(yè)會(huì)計(jì)信息的真實(shí)性提供合理保證,是企業(yè)公司治理生態(tài)中關(guān)鍵的一環(huán),對維護(hù)資本市場秩序具有重要作用。正如培根所說,沒有執(zhí)行制度比沒有制度更可怕。近年來國內(nèi)外發(fā)生的一系列重大事件如安然、世通信、銀廣夏、紅光、科隆-德勤等無一不與審計(jì)失敗有關(guān),這恰恰從側(cè)面反映出了審計(jì)的重要性。XBRL的出現(xiàn),使得連續(xù)審計(jì)根據(jù)Rezaee的定義,連續(xù)審計(jì)是收集電子化審計(jì)證據(jù)來證明無紙化實(shí)時(shí)會(huì)計(jì)系統(tǒng)下財(cái)務(wù)報(bào)表是否公允表達(dá)的電子審計(jì)過程。

二、文獻(xiàn)回顧

目前,國內(nèi)外關(guān)于XBRL與審計(jì)的研究,較具代表性的有以下幾個(gè)方面。Rezaee等[1]認(rèn)為,隨著XBRL的廣泛應(yīng)用,現(xiàn)行審計(jì)程序必須向連續(xù)審計(jì)轉(zhuǎn)變。并指出:連續(xù)審計(jì)(continuous auditing),是收集電子化審計(jì)證據(jù)來證明無紙化實(shí)時(shí)會(huì)計(jì)系統(tǒng)下財(cái)務(wù)報(bào)表是否公允表達(dá)的電子審計(jì)過程。CICA[2]認(rèn)為,XBRL財(cái)務(wù)報(bào)告編制過程與傳統(tǒng)的編制過程不同,必然需要增加審計(jì)程序以確保XBRL文檔的可靠性。并進(jìn)一步指出:當(dāng)XBRL被用來生成定期財(cái)務(wù)報(bào)告時(shí),審計(jì)人員必須關(guān)注實(shí)施XBRL的額外程序和政策,并評價(jià)分類標(biāo)準(zhǔn)的使用與數(shù)據(jù)標(biāo)記的恰當(dāng)性、被標(biāo)記數(shù)據(jù)的真實(shí)性、信息產(chǎn)生過程控制的有效性;當(dāng)XBRL被用來生成實(shí)時(shí)財(cái)務(wù)報(bào)告時(shí),將需要實(shí)施控制程序來保證被標(biāo)記數(shù)據(jù)的真實(shí)性,因此審計(jì)人員必須持續(xù)評價(jià)這些控制的有效性,即實(shí)時(shí)審計(jì)。Wagenhofer[3]則認(rèn)為,由于投資者將使用XBRL軟件提取信息而不考慮信息編制的細(xì)節(jié),那么企業(yè)將有可能不對某些不利信息進(jìn)行標(biāo)記或用特定標(biāo)記對其進(jìn)行標(biāo)記,因此為了保證信息披露質(zhì)量,審計(jì)人員必須驗(yàn)證企業(yè)是否對所有事項(xiàng)進(jìn)行了標(biāo)記;同時(shí),如果企業(yè)進(jìn)行實(shí)時(shí)報(bào)告或允許使用者接受其原始數(shù)據(jù),審計(jì)人員將不得不將結(jié)果導(dǎo)向的審計(jì)程序改為連續(xù)的過程導(dǎo)向的審計(jì)程序。Boritz和No[4-5]認(rèn)為,盡管XBRL的應(yīng)用會(huì)帶來很多好處,但是其一個(gè)重要缺陷就是未考慮信息質(zhì)量。XBRL文檔容易受到非法攻擊,任何人都可以輕易地創(chuàng)建與篡改XBRL實(shí)例文檔,從而致使XBRL報(bào)告的可靠性存在威脅,這勢必影響XBRL的成功應(yīng)用。因此,他們建議研究XBRL的保障機(jī)制,并提出了XRAL(eXtensible Assurance Reporting Language)。按Boritz and NO的定義,XARL“是基于XML的規(guī)范,它通過公認(rèn)的鑒證程序和安全技術(shù)來加強(qiáng)網(wǎng)絡(luò)信息的可靠性。XARL是XML的一種應(yīng)用,是XBRL的擴(kuò)展,將有關(guān)XBRL信息可靠性的信息擴(kuò)展進(jìn)來。” Murthy和Groomer[6]認(rèn)為,基于XARL,并借助于Web服務(wù)便可實(shí)現(xiàn)對實(shí)時(shí)信息系統(tǒng)的連續(xù)審計(jì)。Boritz和No[7]進(jìn)一步指出,如果沒有良好的安全機(jī)制,XBRL與XARL將不可能完全發(fā)揮作用,因此又在XARL的基礎(chǔ)上提出了網(wǎng)絡(luò)財(cái)務(wù)報(bào)告服務(wù)安全機(jī)制。國內(nèi)方面,張?zhí)煳骱透咤\萍[8]深入探討了XBRL對審計(jì)功能、審計(jì)程序和審計(jì)技術(shù)的具體影響,并認(rèn)為隨著XBRL的深入應(yīng)用,將最終實(shí)現(xiàn)對實(shí)時(shí)信息系統(tǒng)的連續(xù)審計(jì)。

綜上所述,目前國內(nèi)外關(guān)于XBRL與審計(jì)的研究主要集中在XBRL財(cái)務(wù)報(bào)告的安全性及連續(xù)審計(jì)方面,并給出了有價(jià)值的建議。然而,以往研究大都停留在理論分析層面,未能結(jié)合相關(guān)技術(shù)給出基于XBRL的具體審計(jì)流程。本文將在以上研究的基礎(chǔ)上,引入相關(guān)技術(shù),對基于XBRL的具體審計(jì)流程進(jìn)行初步探討,以期解決其安全性問題,并實(shí)現(xiàn)連續(xù)審計(jì)目標(biāo)。

三、XBRL網(wǎng)絡(luò)財(cái)務(wù)報(bào)告及其對審計(jì)的影響

1.XBRL網(wǎng)絡(luò)財(cái)務(wù)報(bào)告

XBRL的提出改變了傳統(tǒng)的商業(yè)報(bào)告信息披露方式,影響整個(gè)商業(yè)報(bào)告信息供應(yīng)鏈的各個(gè)方面,乃至將對會(huì)計(jì)制度、會(huì)計(jì)準(zhǔn)則產(chǎn)生重大影響。XBRL是XML在商業(yè)報(bào)告信息交換方面的應(yīng)用,是一種基于互聯(lián)網(wǎng)技術(shù)的新型企業(yè)財(cái)務(wù)報(bào)告語言,是目前應(yīng)用于非結(jié)構(gòu)化信息處理尤其是財(cái)務(wù)信息處理的最新技術(shù)。XBRL能夠提高軟件提供商、程序員和最終用戶創(chuàng)建、交換和比較商業(yè)報(bào)告信息的能力。近年來,XBRL獲得了迅速的發(fā)展,尤其作為財(cái)務(wù)信息處理的最新標(biāo)準(zhǔn)和技術(shù),XBRL增加了公司財(cái)務(wù)報(bào)告披露的透明度,提高了財(cái)務(wù)報(bào)告信息處理的效率和能力。如今,我國的會(huì)計(jì)信息化委員會(huì)即XBRL中國組織已經(jīng)成立,成功加入XBRL國際組織成為XBRL會(huì)員。2010年10月,財(cái)政部了《企業(yè)會(huì)計(jì)準(zhǔn)則通用分類標(biāo)準(zhǔn)》及其指南。在XBRL網(wǎng)絡(luò)財(cái)務(wù)報(bào)告及分類賬模式下,企業(yè)發(fā)生的經(jīng)濟(jì)業(yè)務(wù)和事項(xiàng)首先交由企業(yè)的會(huì)計(jì)信息系統(tǒng)(AIS)進(jìn)行加工處理;其次由工具軟件據(jù)此自動(dòng)生成XBRL財(cái)務(wù)報(bào)告(實(shí)例文檔);最后,利益相關(guān)者借助XBRL工具對財(cái)務(wù)報(bào)告信息進(jìn)行在線分析或生成個(gè)性化財(cái)務(wù)報(bào)告,并可下鉆至明細(xì)信息。正如Coffin所預(yù)言的,與不同國家會(huì)計(jì)準(zhǔn)則相異有關(guān)的問題將因XBRL迎刃而解,如分析師不再需要對依據(jù)不同國家會(huì)計(jì)準(zhǔn)則編制的報(bào)告作調(diào)整工作,因?yàn)槠髽I(yè)能夠從同一套數(shù)據(jù)依據(jù)不同的XBRL財(cái)務(wù)報(bào)告分類標(biāo)準(zhǔn)生成符合不同準(zhǔn)則要求的財(cái)務(wù)報(bào)告。

2.XBRL網(wǎng)絡(luò)財(cái)務(wù)報(bào)告對審計(jì)的主要影響

獲取被審計(jì)單位的電子數(shù)據(jù)即數(shù)據(jù)采集,是開展計(jì)算機(jī)審計(jì)的第一步。傳統(tǒng)計(jì)算機(jī)審計(jì)技術(shù)主要面臨兩大問題:一是數(shù)據(jù)接口問題;二是數(shù)據(jù)標(biāo)準(zhǔn)化問題。由于企業(yè)使用的管理軟件和財(cái)務(wù)軟件種類繁多,且基于不同的操作系統(tǒng)、數(shù)據(jù)庫、開發(fā)平臺,沒有統(tǒng)一的數(shù)據(jù)接口標(biāo)準(zhǔn)。因此,如何進(jìn)行數(shù)據(jù)采集,以獲取標(biāo)準(zhǔn)化的統(tǒng)一的企業(yè)財(cái)務(wù)數(shù)據(jù),一直是制約傳統(tǒng)計(jì)算機(jī)審計(jì)技術(shù)得以有效實(shí)施的首要瓶頸因素。其次,由于我國存在多種會(huì)計(jì)規(guī)范,不同企業(yè)所使用的會(huì)計(jì)科目(特別是明細(xì)科目)可能不盡相同,這樣,即便獲取了企業(yè)的電子數(shù)據(jù),也只是解決了所謂的“語法”問題,而相關(guān)的“語義”問題并未得以解決。因?qū)徲?jì)系統(tǒng)無法自動(dòng)“讀懂”企業(yè)的數(shù)據(jù)含義而限制了查詢、統(tǒng)計(jì)、分析功能的使用。對于上述第一個(gè)問題即數(shù)據(jù)接口問題,目前審計(jì)系統(tǒng)所采取的策略大致有兩種:一種是審計(jì)系統(tǒng)供應(yīng)商通過了解主流管理軟件產(chǎn)品所使用的后臺數(shù)據(jù)庫系統(tǒng)、系統(tǒng)數(shù)據(jù)庫結(jié)構(gòu)、用戶數(shù)據(jù)庫結(jié)構(gòu)等多方面信息,并把這些信息“固化”在審計(jì)系統(tǒng)系統(tǒng)中,從而實(shí)現(xiàn)所謂的智能采集,方便用戶的使用。這就需要軟件商做大量的基礎(chǔ)性工作,甚至需要做到“逐日盯市”,緊密跟蹤主流管理軟件產(chǎn)品版本更新情況,因此工作量是巨大的,設(shè)計(jì)、運(yùn)行成本較高,也在一定程度上限制了智能采集的應(yīng)用范圍。另一種方式是手工采集,即由用戶自行采集所需的電子數(shù)據(jù)。這種方式盡管給了用戶較大的自由度,但是操作相對復(fù)雜,對用戶的要求較高,那就是必須熟悉管理軟件的數(shù)據(jù)庫結(jié)構(gòu)。對于上述第二個(gè)問題即數(shù)據(jù)標(biāo)準(zhǔn)化問題,目前主要是通過數(shù)據(jù)映射(主要是科目映射)來加以解決。只有在用戶電子數(shù)據(jù)與系統(tǒng)提供的標(biāo)準(zhǔn)數(shù)據(jù)之間建立了映射關(guān)系,電子數(shù)據(jù)才得以具備語義功能,后續(xù)的自動(dòng)查詢、統(tǒng)計(jì)、分析功能才能順利得以實(shí)現(xiàn)。因此,工作量是巨大的,運(yùn)行成本是較高的。

XBRL的出現(xiàn),為上述問題提供了最佳(至少從目前來看是這樣)解決方案,使得語法功能和語義功能同時(shí)得以實(shí)現(xiàn)。在XBRL技術(shù)框架內(nèi),存在XBRL GL和XBRL FR兩個(gè)層次的分類標(biāo)準(zhǔn)。XBRL GL分類標(biāo)準(zhǔn)位于底層,用于規(guī)范交易層面的原始數(shù)據(jù)和分類賬;XBRL FR分類標(biāo)準(zhǔn)位于上層,用于規(guī)范財(cái)務(wù)報(bào)告相關(guān)信息。由于所有企業(yè)的財(cái)務(wù)報(bào)告及分類賬都遵循統(tǒng)一的XBRL規(guī)范和分類標(biāo)準(zhǔn),這就使得數(shù)據(jù)接口得以標(biāo)準(zhǔn)化;同時(shí),由于XBRL將財(cái)務(wù)報(bào)告(特別是財(cái)務(wù)報(bào)表)要素以及分類賬都進(jìn)行了統(tǒng)一“貼標(biāo)”,因而也就解決了“語法”問題,這將使得審計(jì)系統(tǒng)能否自動(dòng)識別所有報(bào)告要素,并能下鉆至明細(xì)賬和記賬憑證,也使得審計(jì)系統(tǒng)預(yù)先內(nèi)置的大量統(tǒng)計(jì)分析經(jīng)驗(yàn)?zāi)P秃蛯<抑R庫的自動(dòng)執(zhí)行成為可能。因此,在XBRL框架下,連續(xù)審計(jì)這一動(dòng)態(tài)審計(jì)模式將有可能成為現(xiàn)實(shí)。

同時(shí),由于XBRL技術(shù)是基于Internet的,對Internet的高度依賴將使得基于XBRL的審計(jì)模式的安全性面臨挑戰(zhàn)。黨的十六屆四中全會(huì)將信息安全作為國家安全的重要組成部分,明確提出“增強(qiáng)國家安全意識,完善國家安全戰(zhàn)略”,并確?!皣业恼伟踩⒔?jīng)濟(jì)安全、文化安全和信息安全”。作為信息安全的內(nèi)容之一,網(wǎng)絡(luò)財(cái)務(wù)報(bào)告安全是我們不得不正視的一個(gè)重要問題。不徹底解決其安全性問題,基于XBRL的審計(jì)模式將存在巨大安全隱患,由此便不可能得以廣泛應(yīng)用。只有將安全防范技術(shù)應(yīng)用于審計(jì)流程,才能化解潛在的安全風(fēng)險(xiǎn),降低社會(huì)應(yīng)用成本,解決應(yīng)用XBRL審計(jì)模式的后顧之憂。成功失敗往往只在一線之間,從這種意義上說,安全性將成為決定XBRL審計(jì)模式能否得以成功應(yīng)用的關(guān)鍵因素。

四、基于XBRL的審計(jì)流程設(shè)計(jì)

1.流程中所引入的關(guān)鍵技術(shù)

基于XBRL的連續(xù)審計(jì)流程必須重點(diǎn)加以解決的基礎(chǔ)性問題在于動(dòng)態(tài)信息獲取機(jī)制和網(wǎng)絡(luò)安全的實(shí)現(xiàn)。為此,本文引入了Web服務(wù)技術(shù)以實(shí)現(xiàn)動(dòng)態(tài)信息獲取機(jī)制;同時(shí),引入了數(shù)據(jù)加密技術(shù)、數(shù)字簽名技術(shù)以及安全認(rèn)證技術(shù)來保障網(wǎng)絡(luò)財(cái)務(wù)報(bào)告信息安全。

(1)Web服務(wù)技術(shù)。傳統(tǒng)的網(wǎng)絡(luò)財(cái)務(wù)報(bào)告披露模式是“拉式”的,即信息使用者必須登錄相關(guān)網(wǎng)站自行搜尋查找所需信息。這種“拉式”的信息披露模式,顯然不利于實(shí)現(xiàn)動(dòng)態(tài)審計(jì)模式。為此,有必要引入一種“推式”的信息披露模式。在“推式”信息披露模式下,會(huì)自動(dòng)響應(yīng)合法的在線客戶端請求并將其所需信息“推向”客戶端,繼而交由其應(yīng)用軟件進(jìn)行分析處理。Web服務(wù)基于HTML和XML,支持動(dòng)態(tài)發(fā)現(xiàn)機(jī)制,因而可用于實(shí)現(xiàn)“推式”信息披露模式。Web服務(wù)主要包括SOAP(Simple Object Access Protocol,簡單對象訪問協(xié)議)、WSDL(Web Services Description Language,Web服務(wù)描述語言)、UDDI(Universal Description,Discovery and Integration,統(tǒng)一描述、發(fā)現(xiàn)和集成)。因此,企業(yè)可以將XBRL財(cái)務(wù)報(bào)告和分類賬實(shí)例文檔封裝成Web服務(wù),并為審計(jì)方提供Web服務(wù)的客戶端程序,這樣審計(jì)系統(tǒng)就可以在其本機(jī)在線調(diào)用Web服務(wù),獲取財(cái)務(wù)報(bào)告及分類賬信息,從而可以動(dòng)態(tài)獲取企業(yè)最新數(shù)據(jù)并使其自動(dòng)流向?qū)徲?jì)系統(tǒng)。同時(shí),因?yàn)閄BRL實(shí)例文檔是根據(jù)XBRL GL和XBRL FR分類標(biāo)準(zhǔn)生成的,這就保證了審計(jì)人員可以非常方便地獲取審計(jì)所需數(shù)據(jù)并自由地進(jìn)行匯總、下鉆、統(tǒng)計(jì)查詢和分析了。

(2)數(shù)據(jù)加密技術(shù)。安全性方面,必須解決兩個(gè)層面的問題:數(shù)據(jù)保密問題和數(shù)據(jù)真實(shí)性完整性的驗(yàn)證。關(guān)于數(shù)據(jù)保密問題可以借助日益成熟的數(shù)據(jù)加密技術(shù)加以實(shí)現(xiàn)。由于公開密鑰技術(shù)無須事先交換密鑰,也無須經(jīng)常變換密鑰,各個(gè)用戶間可以進(jìn)行保密通信,在網(wǎng)絡(luò)環(huán)境下有較大的優(yōu)越性。我們知道,企業(yè)擁有會(huì)計(jì)信息的產(chǎn)權(quán),公開披露的會(huì)計(jì)信息既具有私人物品屬性,又具有公共物品屬性,但是在會(huì)計(jì)信息被公布之前仍然屬于企業(yè)的秘密資料,尚不具備公共物品屬性。同時(shí),基于XBRL的財(cái)務(wù)報(bào)告不僅僅包括財(cái)務(wù)報(bào)告,還包括了分類賬甚至是原始交易數(shù)據(jù),其中必然有一些涉及企業(yè)的商業(yè)秘密。因此,財(cái)務(wù)報(bào)告數(shù)據(jù)被公開披露之前的保密性問題至關(guān)重要。通過引入上述的非對稱加密技術(shù),可以有效地防止企業(yè)財(cái)務(wù)報(bào)告及分類賬信息泄密。

(3)數(shù)字簽名技術(shù)。所謂數(shù)字簽名,是指利用通過某種密碼運(yùn)算生成的一系列符號及代碼組成的電子密碼對電子文件進(jìn)行的簽名。數(shù)字簽名技術(shù)可以確認(rèn)發(fā)送者身份,防止抵賴和冒名頂替;同時(shí),可以保護(hù)電子數(shù)據(jù)文件內(nèi)容的完整性和準(zhǔn)確性,確保不被篡改。我國曾于2004年8月28日頒布了《中華人民共和國電子簽名法》,其中所稱的電子簽名主要就是指數(shù)字簽名。數(shù)據(jù)加密技術(shù)可以有效防止企業(yè)和審計(jì)方之外的第三方竊取會(huì)計(jì)信息,但是不能解決如下問題:企業(yè)否認(rèn)文件是自己發(fā)送的;審計(jì)方偽造一份來自企業(yè)方的文件,或私自修改接收到的文件;他人冒充企業(yè)或?qū)徲?jì)方。通過引入數(shù)字簽名技術(shù)可以有效解決上述問題。

(4)安全認(rèn)證技術(shù)。在實(shí)際應(yīng)用中,上述的非對稱數(shù)據(jù)加密技術(shù)和數(shù)字簽名技術(shù)是通過安全認(rèn)證機(jī)構(gòu)提供的電子認(rèn)證服務(wù)加以實(shí)現(xiàn)的。安全認(rèn)證機(jī)構(gòu)(Certificate Authority,簡稱CA)負(fù)責(zé)為網(wǎng)絡(luò)用戶頒發(fā)數(shù)字證書,并為證書持有者生成不同的密鑰對。通過安全認(rèn)證技術(shù),既可以實(shí)現(xiàn)數(shù)據(jù)加密,又可以驗(yàn)證數(shù)字簽名的真實(shí)性,從而起到保護(hù)信息安全、對外防止欺詐、對內(nèi)防止否認(rèn)的作用。截至目前,經(jīng)主管部門授權(quán),我國已有20余家單位獲得了電子認(rèn)證服務(wù)許可,這將為實(shí)現(xiàn)連續(xù)審計(jì)起到保駕護(hù)航的作用。依托安全認(rèn)證技術(shù),就將可以解決網(wǎng)絡(luò)審計(jì)的數(shù)據(jù)安全問題。

2.基于XBRL的審計(jì)流程

基于以上分析,本文在考慮XBRL網(wǎng)絡(luò)財(cái)務(wù)報(bào)告的網(wǎng)絡(luò)安全性、連續(xù)審計(jì)內(nèi)在特性和要求的基礎(chǔ)上,構(gòu)造了基于XBRL的審計(jì)流程,如圖1所示。

圖1基于XBRL的審計(jì)流程

第一,根據(jù)企業(yè)信息系統(tǒng)生成的XBRL實(shí)例文檔通過安全認(rèn)證機(jī)構(gòu)進(jìn)行加密和數(shù)字簽名;第二,根據(jù)加密和數(shù)字簽名后的XBRL實(shí)例文檔生成XML Web服務(wù)并在XML Web服務(wù)注冊中心進(jìn)行注冊;第三,審計(jì)方即XML Web服務(wù)客戶端根據(jù)授權(quán)訪問企業(yè)XML Web服務(wù)中心,獲取審計(jì)所需的XBRL實(shí)例文檔;第四,根據(jù)XBRL分類標(biāo)準(zhǔn),審計(jì)系統(tǒng)對企業(yè)方提供的XBRL實(shí)例文檔進(jìn)行一致性驗(yàn)證;同時(shí)對企業(yè)數(shù)據(jù)進(jìn)行邏輯校驗(yàn),如期初余額試算平衡、期末余額試算平衡、發(fā)生額試算平衡、憑證試算平衡、賬賬核對、賬證核對、科目賬與輔助賬核對、憑證科目合法性檢驗(yàn)、基礎(chǔ)資料完整性檢驗(yàn)等。如有問題,可記錄于工作底稿;第五,實(shí)施審計(jì)作業(yè)?;赬BRL的財(cái)務(wù)報(bào)告及分類賬,既統(tǒng)一了數(shù)據(jù)接口標(biāo)準(zhǔn),又使得所有數(shù)據(jù)都帶有唯一的標(biāo)簽,因而更利于審計(jì)過程中查詢統(tǒng)計(jì)工作的進(jìn)行。同時(shí),還可以結(jié)合相關(guān)領(lǐng)域研究成果制作專家?guī)煜到y(tǒng),如風(fēng)險(xiǎn)評估模型、舞弊識別模型等都可以應(yīng)用到審計(jì)作業(yè)中。當(dāng)然,無論審計(jì)模式、審計(jì)技術(shù)如何,都必須結(jié)合賬實(shí)核對開展審計(jì)作業(yè)。審計(jì)作業(yè)過程中可以隨時(shí)將審計(jì)內(nèi)容、審計(jì)中遇到的問題及疑點(diǎn)在審計(jì)工作底稿進(jìn)行記錄,并最終根據(jù)審計(jì)工作底稿生成審計(jì)報(bào)告;第六,將審計(jì)報(bào)告通過安全認(rèn)證中心進(jìn)行加密和數(shù)字簽名,并將加密和數(shù)字簽名后的審計(jì)報(bào)告發(fā)送至企業(yè)服務(wù)器。這樣,企業(yè)便可以向相關(guān)部門機(jī)構(gòu)提交財(cái)務(wù)報(bào)告及審計(jì)報(bào)告。

參考文獻(xiàn):

[1]Rezaee,Z.,Elam,R.,Sharbatoghlie,A.Continuous Auditing:The Audit of the Future[J].Managerial Auditing Journal,2001,16(3):150-158.

[2]CICA. Audit & Control Implications of XBRL[R].Information Technology Advisory Committee,2002. http://cica.ca/multimedia/Download_Library/Standards/Studies/English/CI-CA-XBRL-0502-e.pdf.

[3]Wagenhofer, A.Economic Consequences of Internet Financial Reporting[J].Schmalenbach Business Review,2003,55(10):262-279.

[4]Boritz,J.E.,No,W.G.Assurance Reporting for XBRL:XARL(Extensible Assurance Reporting Language)[R].In Trust and Data Assurances in Capital Markets:The Role of Technology Solutions,ed.S.J.Roohani,2003.17-31.

[5]Boritz,J.E., No,W.G.Assurance Reporting for XML-Based Information Services:XARL(Extensible Assurance Reporting Language)[J].Accounting Perspectives,2004,3(2):207-233.

[6]Murthy,U.S.,Groomer,S.M.A Continuous Auditing Web Services Model for XML-Based Accounting Systems[J].International Journal of Accounting Information Systems,2004,5(2):139-163.

[7]Boritz,J.E.,No,W.G.Security in XML-Based Financial Reporting Services on the Internet[J].Journal of Accounting and Public Policy,2005,24(1):11-35.

[8]張?zhí)煳?,高錦萍.XBRL對審計(jì)的影響研究[J].當(dāng)代財(cái)經(jīng),2007,(6):101-104.

[9]Hoffman,C.,Kurt,C.,Koreto,R.J.The XML Files[J].Journal of Accountancy,1999,187(5):71-77.

[10]Hoffman,C.,Strand,C.XBRL Essentials[M].American Institute of Certified Public Accounting,2001.

[11]Debreceny, R.,Gray,G.L.,Rahman,A.The Production and Use of Semantically Rich Accounting Reports on the Internet:XML and XBRL. International [J].Journal of Accounting Information Systems,2001,(2):47-74.

[12]Strand, C.,McGuire,B.,Watson,L.,Hoffman,C.The XBRL Potential[J].Strategic Finance,2001,82(12):58-60.

[13]Weber, R.XML,XBRL,and the Future of Business and Business Reporting[R].In Trust and Data Assurances in Captial Markets:The Role of Technology Solutions.Research Monograph Sponsored by Pricewaterhouse Coopers,2003.3-6.

[14]Jones, A.,Willis,M.The Challenge of XBRL:Business Reporting for the Investor[J].Balance Sheet,2003,11(3):29-37.

第6篇:國內(nèi)信息安全認(rèn)證范文

【關(guān)鍵詞】網(wǎng)上銀行;安全;監(jiān)管

一、網(wǎng)絡(luò)銀行現(xiàn)狀分析

(一)網(wǎng)絡(luò)銀行機(jī)構(gòu)數(shù)量及規(guī)?,F(xiàn)狀

自從世界第一家網(wǎng)絡(luò)銀行――美國安全第一網(wǎng)絡(luò)銀行于1995年在互聯(lián)網(wǎng)上開業(yè)以來,國際金融界便掀起了一股網(wǎng)絡(luò)銀行風(fēng)潮,目前,國外85%的銀行投資發(fā)展網(wǎng)上銀行業(yè)務(wù),美國70%、日本50%的家庭使用電子銀行服務(wù)。

在我國,自1997年招商銀行創(chuàng)建一網(wǎng)通以來,國內(nèi)其他銀行紛紛開始開通網(wǎng)上銀行。目前中國已有20多家銀行的200多個(gè)分支機(jī)構(gòu)擁有網(wǎng)址和主頁。根據(jù)艾瑞咨詢《2008--2009年中國網(wǎng)上銀行行業(yè)發(fā)展報(bào)告》,2009年中國網(wǎng)上銀行交易額規(guī)模為445.0萬億元,其中工商銀行占據(jù)了36.6%的市場份額,位居首位,比居第二位的建設(shè)銀行(占17.0%)高出近20個(gè)百分點(diǎn)。

(二)網(wǎng)絡(luò)銀行安全與監(jiān)管現(xiàn)狀

1 安全性

網(wǎng)上銀行系統(tǒng)是銀行業(yè)務(wù)服務(wù)的延伸,客戶可以通過互聯(lián)網(wǎng)方便地使用商業(yè)銀行核心業(yè)務(wù)服務(wù),完成各種非現(xiàn)金交易。但另一方面,互聯(lián)網(wǎng)是一個(gè)開放的網(wǎng)絡(luò),銀行交易服務(wù)器是網(wǎng)上的公開站點(diǎn),網(wǎng)上銀行系統(tǒng)也使銀行內(nèi)部網(wǎng)向互聯(lián)網(wǎng)敞開了大門。

目前保障網(wǎng)上銀行交易系統(tǒng)安全系統(tǒng)的技術(shù)措施包括:1)設(shè)立防火墻,隔離相關(guān)網(wǎng)絡(luò)。2)高安全級別的WEB服務(wù)器。3)24小時(shí)實(shí)時(shí)安全監(jiān)控。對于個(gè)人身份認(rèn)證方面,采用認(rèn)證介質(zhì)。包括密碼、文件數(shù)字證書、動(dòng)態(tài)口令卡、動(dòng)態(tài)手機(jī)口令等等。

另外,銀行卡持有人的安全意識也是影響網(wǎng)上銀行安全性的不可忽視的重要因素。目前為止,國內(nèi)網(wǎng)上銀行交易額已達(dá)到數(shù)千億元,銀行方面出現(xiàn)過安全問題較少,只有個(gè)別客戶由于保密意識不強(qiáng)而造成資金損失。

2 監(jiān)管與法規(guī)

除了中國人民銀行以及銀監(jiān)會(huì)對銀行業(yè)的監(jiān)督外,對于網(wǎng)絡(luò)銀行的安全,中國金融安全認(rèn)證中心(CFCA)是中國金融業(yè)唯―合法的、國家級權(quán)威第三方安全認(rèn)證機(jī)構(gòu),經(jīng)中國人民銀行和國家信息安全管理機(jī)構(gòu)批準(zhǔn)成立的國家級權(quán)威的安全認(rèn)證機(jī)構(gòu),是重要的國家金融安全基礎(chǔ)設(shè)施之一。CFCA作為權(quán)威、公正的第三方安全認(rèn)證機(jī)構(gòu),通過發(fā)放數(shù)字證書為網(wǎng)上銀行、電子商務(wù)、電子政務(wù)提供安全認(rèn)證服務(wù):確保網(wǎng)上信息傳遞雙方身份的真實(shí)性、信息的保密性和完整性、以及網(wǎng)上交易的不可否認(rèn)性。

目前我國的法律法規(guī)環(huán)境也已經(jīng)初步建立,基本法《銀行法》中已經(jīng)加入了針對網(wǎng)上銀行業(yè)務(wù)的規(guī)定。除此之外,2001年頒布的《網(wǎng)上銀行業(yè)務(wù)管理暫行辦法》和2005年頒布的《電子簽名法》標(biāo)志著我國對電子商務(wù)及網(wǎng)上銀行的安全性管理已經(jīng)做到了有法可依。2006年頒布的《電子支付指引》及《電子銀行業(yè)務(wù)管理辦法》等法規(guī)意見稿都為進(jìn)一步規(guī)范和管理我國的網(wǎng)上銀行市場奠定了良好的基礎(chǔ)。

(三)網(wǎng)上銀行存在問題與挑戰(zhàn)

雖然我國對銀行業(yè)的監(jiān)管以及法規(guī)重視程度都很高,但是,由于網(wǎng)上銀行的發(fā)展過快,現(xiàn)行的法規(guī)以及監(jiān)管模式已經(jīng)完全滯后與網(wǎng)上銀行的發(fā)展。近幾年來,由于銀行的失誤以及法規(guī)的不完善,網(wǎng)上銀行出現(xiàn)了不少問題,而最終卻由客戶來承擔(dān)損失?!峨娮由虅?wù)研究》統(tǒng)計(jì),網(wǎng)絡(luò)銀行安全事故中出于員工疏忽的占57%,外部惡意攻擊占24%,病毒發(fā)作占14%,用戶誤操作占5%。專家認(rèn)為,網(wǎng)上銀行的安全事故頻發(fā),一方面與用戶安全意識淡薄有關(guān),另一方面也與網(wǎng)上銀行本身存在的安全隱憂密不可分。

二、對我國網(wǎng)絡(luò)銀行監(jiān)管的對策與建議

經(jīng)過了上文對于我國網(wǎng)絡(luò)金融概念和現(xiàn)狀分析,已對網(wǎng)上銀行監(jiān)管存在的不足和問題有了具體的了解。對于我國網(wǎng)絡(luò)金融監(jiān)管的發(fā)展現(xiàn)作出如下的幾點(diǎn)建議:

1 電子貨幣

作為網(wǎng)絡(luò)經(jīng)濟(jì)中最重要的元素,盡快建立針對電子貨幣的監(jiān)管體系。同時(shí),要適時(shí)放松對電子貨幣發(fā)行主體的監(jiān)管。受信息和通訊產(chǎn)業(yè)發(fā)展水平所限,我國目前還沒有能力研發(fā)出具有世界領(lǐng)先水平的電子貨幣,更多的是采用西方發(fā)達(dá)國家的技術(shù)標(biāo)準(zhǔn)。因此,要求多用途電子貨幣發(fā)行主體僅限于銀行是目前防范風(fēng)險(xiǎn)的有效措施。但隨著我國信息和通訊產(chǎn)業(yè)的發(fā)展,在時(shí)機(jī)成熟時(shí)應(yīng)考慮允許信息企業(yè)與銀行合作開發(fā)電子貨幣產(chǎn)品或由非銀行機(jī)構(gòu)單獨(dú)開發(fā),以增強(qiáng)我國電子貨幣的國際競爭力。對非銀行機(jī)構(gòu)發(fā)行電子貨幣,應(yīng)采用歐洲中央銀行的監(jiān)管辦法,使非銀行機(jī)構(gòu)接受同銀行一樣的監(jiān)管標(biāo)準(zhǔn)。

2 監(jiān)管機(jī)構(gòu)

加強(qiáng)各監(jiān)管機(jī)構(gòu)間的協(xié)調(diào),在條件成熟時(shí)形成統(tǒng)一的金融監(jiān)管部門。從我國目前的經(jīng)濟(jì)發(fā)展水平、法律環(huán)境、金融經(jīng)營者的素質(zhì)、金融機(jī)構(gòu)內(nèi)部風(fēng)險(xiǎn)控制機(jī)制、金融監(jiān)管水平來看,現(xiàn)階段我國“分業(yè)經(jīng)營、分業(yè)監(jiān)管”的原則是符合我國國情的。但面臨我國已加入世貿(mào)組織的現(xiàn)狀及網(wǎng)絡(luò)金融迅速發(fā)展的現(xiàn)實(shí),我們應(yīng)特別關(guān)注混業(yè)經(jīng)營、混業(yè)監(jiān)管問題。在目前不能迅速轉(zhuǎn)變金融監(jiān)管體制的情況下,要注重加強(qiáng)各金融監(jiān)管機(jī)構(gòu)間的協(xié)調(diào),加強(qiáng)溝通與合作,避免監(jiān)管真空或交叉。最好能建立其專門監(jiān)管網(wǎng)絡(luò)金融行業(yè)的專門監(jiān)督機(jī)構(gòu)或者自律性組織。

3 法規(guī)制度

加快網(wǎng)絡(luò)金融業(yè)務(wù)管理規(guī)章的制定。不僅要注重對技術(shù)風(fēng)險(xiǎn)的管理,更要強(qiáng)調(diào)對戰(zhàn)略風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)的管理;不僅要完善對內(nèi)監(jiān)管制度,也要建立企業(yè)間、行業(yè)間以及市場整體全面檢查和監(jiān)管機(jī)制。

第7篇:國內(nèi)信息安全認(rèn)證范文

眾所周知,在互聯(lián)網(wǎng)信息安全領(lǐng)域進(jìn)行著兩場曠日持久的戰(zhàn)爭,一場是安全產(chǎn)品與病毒、木馬、流氓軟件、網(wǎng)絡(luò)詐騙之間的戰(zhàn)爭,另一場是某些功能相近的安全軟件在網(wǎng)民桌面掀起的內(nèi)戰(zhàn)。理想情況下,我們希望互聯(lián)網(wǎng)世界一片安定祥和,但是,在現(xiàn)實(shí)中人們尚不能建立“路不拾遺、夜不閉戶”的理想之邦,更不要寄希望于遍布隱蔽、陰暗角落的互聯(lián)網(wǎng),所以第一場戰(zhàn)爭的存在是必然的。而對于安全產(chǎn)品的內(nèi)戰(zhàn),我們極不愿意看到,卻又無可奈何地接受——將所有的責(zé)任都推給廠商是不合理的,因?yàn)椤懊赓M(fèi)”是他們的商業(yè)模式,而非發(fā)展公益和慈善事業(yè)。

在紅海中逐利,移動(dòng)互聯(lián)網(wǎng)照搬了傳統(tǒng)互聯(lián)網(wǎng)的競爭模式,安全領(lǐng)域也未能幸免。移動(dòng)信息安全涉及的內(nèi)容也大體類似,終端物理安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全等等。當(dāng)然,移動(dòng)互聯(lián)網(wǎng)下終端設(shè)備的移動(dòng)屬性使得物理安全較固定設(shè)備更為突出,而目前尚未形成統(tǒng)一可行的防范方法;移動(dòng)支付、移動(dòng)金融的崛起又將系統(tǒng)和業(yè)務(wù)安全重新定義,帶來更多的“寶藏”。

移動(dòng)互聯(lián)網(wǎng)安全 終端安全先行

移動(dòng)互聯(lián)網(wǎng)伴隨移動(dòng)終端的出現(xiàn)而誕生,又隨著智能移動(dòng)終端的普及而發(fā)展成熟。今天,人們手中的智能設(shè)備已經(jīng)集掌上計(jì)算機(jī)、MP3、游戲機(jī)、相機(jī)、GPS等多種功能于一體,不僅可以使用互聯(lián)網(wǎng)服務(wù)、數(shù)據(jù)計(jì)算、文件存儲(chǔ),還可以實(shí)現(xiàn)多媒體娛樂、數(shù)碼影像攝制等用途?,F(xiàn)在,這些智能設(shè)備已經(jīng)深入人們工作、學(xué)習(xí)、生活的方方面面,其業(yè)務(wù)應(yīng)用也越來越多地涉及商業(yè)秘密和個(gè)人隱私等敏感信息,所以它的安全性變得更加重要。

與桌面PC的情況相同,移動(dòng)智能設(shè)備面臨多種安全威脅,比如病毒、木馬等惡意軟件入侵,設(shè)備丟失,數(shù)據(jù)泄露等等。智能設(shè)備系統(tǒng)安全領(lǐng)域早已是一片紅海,安全產(chǎn)品內(nèi)戰(zhàn)的激烈程度與桌面端有過之而無不及。好在經(jīng)歷了幾次“戰(zhàn)火紛爭”之后,用戶已經(jīng)明白這些安全產(chǎn)品爭斗的實(shí)質(zhì),所以這類爭斗的反面效果越來越明顯,到現(xiàn)在戰(zhàn)火雖未停息,但也不再像以前那樣喧囂。

人們需要安全的移動(dòng)互聯(lián)網(wǎng),需要真正的終端安全,因此,一些標(biāo)準(zhǔn)化組織針對移動(dòng)終端提出了信息安全技術(shù)要求,比如中國通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCSA)明確提出移動(dòng)終端需提供措施保證系統(tǒng)參數(shù)和數(shù)據(jù)、用戶數(shù)據(jù)、密鑰信息和證書以及應(yīng)用程序的完整性、機(jī)密性,終端關(guān)鍵器件的完整性、可靠性以及用戶身份的真實(shí)性。

CCSA規(guī)定移動(dòng)終端應(yīng)用開發(fā)、設(shè)計(jì)時(shí)應(yīng)充分考慮和提供一系列安全策略:對操作系統(tǒng)、應(yīng)用程序和終端關(guān)鍵器件進(jìn)行一致性檢驗(yàn);對用戶的身份進(jìn)行認(rèn)證然后根據(jù)用戶的授權(quán)提供資源及對象的訪問和操作權(quán)限;對終端的密鑰、證書、系統(tǒng)數(shù)據(jù)和用戶數(shù)據(jù)等進(jìn)行有效的安全管理,保證存儲(chǔ)數(shù)據(jù)的安全;對終端各種接口提供接入安全控制,安全的接入各種網(wǎng)絡(luò);終端中的關(guān)鍵器件還應(yīng)具有抵抗防篡改等物理攻擊的能力,以提高移動(dòng)終端的自身安全防護(hù)能力。

對安全標(biāo)準(zhǔn)的研究和認(rèn)證服務(wù),是第一處值得思考的“寶藏”。

不過,在全球范圍內(nèi)移動(dòng)智能設(shè)備的硬件方案屈指可數(shù),以智能手機(jī)為例,芯片方案僅有高通、蘋果、三星、英特爾、聯(lián)發(fā)科、美滿電子、華為海思等,而軟件系統(tǒng)平臺更少,由蘋果ios、谷歌Andriod和微軟Windows Phone統(tǒng)領(lǐng)。因此,不論是硬件還是應(yīng)用軟件的安全認(rèn)證,系統(tǒng)級別的認(rèn)證離不開大平臺的支持,所以在應(yīng)用層面發(fā)揮的余地更大。

圍繞終端安全的周邊,依然大有可為。目前面市的一些終端采用了生物特征識別認(rèn)證,過去在筆記本電腦上比較普遍,如今在摩托羅拉、蘋果手機(jī)上都相繼出現(xiàn)。這是安全的另一種思路,從硬件上進(jìn)行安全保護(hù),比打著免費(fèi)的旗幟在用戶那里扮演“炸彈”要高明得多。另外,移動(dòng)終端往往配備最先進(jìn)的無線傳輸功能,比如最新標(biāo)準(zhǔn)的藍(lán)牙4.1、NFC等,都是移動(dòng)場景下帶來的應(yīng)用,瞄準(zhǔn)無線傳輸?shù)陌踩?,也能挖出“寶藏”?/p>

移動(dòng)支付熱潮喚醒移動(dòng)金融安全意識

時(shí)下最熱鬧的移動(dòng)應(yīng)用莫過于打車軟件,而讓打車軟件火起來的原因是騰訊、阿里兩家企業(yè)在移動(dòng)支付領(lǐng)域的角逐。數(shù)月以來,騰訊、阿里燒錢補(bǔ)貼用戶,在移動(dòng)支付方面“打”的不可開交,這也說明了移動(dòng)互聯(lián)網(wǎng)的發(fā)展給移動(dòng)支付帶來巨大的市場空間。與此同時(shí),不少金融產(chǎn)品也開通了移動(dòng)理財(cái)通道,移動(dòng)金融安全付出水面。

包括移動(dòng)支付在內(nèi)的移動(dòng)金融涉及互聯(lián)網(wǎng)服務(wù)端和移動(dòng)用戶終端之間的信息互聯(lián),所以傳統(tǒng)互聯(lián)網(wǎng)安全的內(nèi)容完全適用:服務(wù)器安全需要維護(hù),阻止網(wǎng)絡(luò)攻擊,阻止黑客竊取數(shù)據(jù);終端安全需要維護(hù),要阻止病毒、木馬竊取用戶隱私信息,要加密敏感數(shù)據(jù),等等。近日,國內(nèi)漏洞報(bào)告平臺烏云曾淘寶和支付寶認(rèn)證存在安全缺陷的消息,黑客可利用漏洞登錄他人淘寶/支付寶賬號進(jìn)行操作,另一大移動(dòng)支付平臺微信也被曝存在安全漏洞,偽裝成為微信紅包的釣魚鏈接能夠利用該漏洞竊取用戶手機(jī)信息,用戶微信綁定的銀行卡也將面臨泄露風(fēng)險(xiǎn)。移動(dòng)金融安全還應(yīng)該有業(yè)務(wù)方面的安全保障。有報(bào)道稱,今年1月廣州天河一市民遇到手機(jī)丟失、手機(jī)卡被他人冒名補(bǔ)辦導(dǎo)致余額寶內(nèi)49000元被盜的情況。

移動(dòng)金融業(yè)務(wù)涉及的系統(tǒng)、應(yīng)用和業(yè)務(wù)流程的漏洞防護(hù)是移動(dòng)互聯(lián)網(wǎng)安全的基礎(chǔ)內(nèi)容,也是一般人們對“安全防護(hù)”的認(rèn)識。然而,換一種思維去保障安全,也能夠在移動(dòng)金融領(lǐng)域得到肯定,比如支付寶引入平安保險(xiǎn)為期業(yè)務(wù)風(fēng)險(xiǎn)作保障。移動(dòng)金融安全的本質(zhì)是保障用戶的資金安全,當(dāng)用戶資金遭受損失后能獲得賠償,這也是一種安全保障。由此可見,保險(xiǎn)業(yè)在為移動(dòng)互聯(lián)網(wǎng)安全提供保障的時(shí)候也獲得了一份“寶藏”。

第8篇:國內(nèi)信息安全認(rèn)證范文

政府參與CA認(rèn)證

電子政務(wù)是網(wǎng)絡(luò)信息技術(shù)帶來的對傳統(tǒng)政府管理模式的變革,使長期困擾政府部門的如何縮短辦事周期、提高辦事效率高公務(wù)人員的服務(wù)水平、監(jiān)督公務(wù)人員的服務(wù)質(zhì)量等問題,在很大程度上得以解決。電子政務(wù)的初步試用,使市民繳納個(gè)人所得稅、申辦因私護(hù)照和政府了解社情民意都得以在互聯(lián)網(wǎng)上進(jìn)行,提高了政府部門的工作效率,更有利于政務(wù)公開。

但是,作為所有事務(wù)之重中之重的政務(wù),它的安全性是各個(gè)級別、各個(gè)機(jī)構(gòu)、各個(gè)執(zhí)行者都要考慮并且保證的。因此CA認(rèn)證開始逐漸滲透到政府領(lǐng)域。政府參與CA認(rèn)證,主要涉及以下兩個(gè)方面,一方面為了保證CA認(rèn)證機(jī)構(gòu)的權(quán)威性,政府必須參與CA認(rèn)證機(jī)構(gòu)的建設(shè);另一方面是政府在政務(wù)處理中要應(yīng)用CA認(rèn)證。

很多國家在電子認(rèn)證上設(shè)定的形式一般有兩大類;第一類是直接由國家有關(guān)部門下屬單位直接設(shè)立,從事電子認(rèn)證服務(wù)工作,或者是由政府的相關(guān)部門扮演cA體系中最高一層的認(rèn)證中心角色。第二類是由政府相關(guān)部門授權(quán),規(guī)定嚴(yán)格的審批條件和程序,同時(shí)對得到授權(quán)的專門從事cA認(rèn)證的企業(yè)行使監(jiān)督權(quán),以確保網(wǎng)絡(luò)交易的安全。無論是哪種形式,政府扮演的角色都是至關(guān)重要的。因?yàn)镃A認(rèn)證中心最基本的特征是它的權(quán)威性,只有經(jīng)國家主管部門授權(quán)經(jīng)營的電子認(rèn)證服務(wù)公司或政府下屬的CA認(rèn)證機(jī)關(guān)簽發(fā)的電子證書才最有權(quán)威性。在一定意義上,這正如只有經(jīng)公安部門發(fā)放的個(gè)人身份證才具有絕對可靠的權(quán)威性一樣。另一方面由于政府主管部門在CA認(rèn)證中扮演國家的角色,因此在體系的建立、技術(shù)標(biāo)準(zhǔn)和程序的設(shè)定,以及兼容跨國認(rèn)證等方面都會(huì)達(dá)到統(tǒng)一性。

經(jīng)過政府批準(zhǔn)的認(rèn)證中心,可以提供完整的安全電子商務(wù)解決方案,為交易的參與方提供了安全保障,為網(wǎng)上交易構(gòu)筑了一個(gè)互相信任的環(huán)境,解決了網(wǎng)上身份認(rèn)證、公鑰分發(fā)及信息安全等一系列問題。

現(xiàn)在,各級政府部門在處理電子政務(wù)中都或多或少地采用了CA認(rèn)證。比如從全國政協(xié)九次會(huì)議開始,全面推出了政協(xié)電子認(rèn)證系統(tǒng),使委員們又多了一條提交議案的便捷途徑――E-mall。每位委員都有一個(gè)密碼,據(jù)此進(jìn)入政協(xié)電子認(rèn)證系統(tǒng)后,經(jīng)過CA認(rèn)證,即可發(fā)送提案。此系統(tǒng)采用先進(jìn)的CA認(rèn)證技術(shù),可以確認(rèn)發(fā)信人的身份,確保工作系統(tǒng)安全,還可以避免冒名發(fā)信及過多的垃圾郵件給工作帶來不必要的麻煩。這是電子政務(wù)安全認(rèn)證邁出的可喜的一步,相信隨著一系列法律和技術(shù)舉措的相繼出臺及認(rèn)證體系的不斷完善,電子政務(wù)的安全前景將越來越廣闊。同,比如招標(biāo)方認(rèn)可投標(biāo)方在一年內(nèi)成為其投標(biāo)客戶之一,即一年的供貨商之一。雖然看起來CA認(rèn)證方式,還不能完全代替?zhèn)鹘y(tǒng)商務(wù)的一些合同、協(xié)議,但這主要是相關(guān)法律問題沒解決。但CA認(rèn)證還是在很大程度上提高了商家的工作效率,因?yàn)槿绻稑?biāo)方一旦成為招標(biāo)方一年的供貨商,且有了相關(guān)的CA證書,那么雙方就沒有必要為每一次交易都去簽定合同,只需中標(biāo)后在網(wǎng)下補(bǔ)簽合同即可。CA的實(shí)施,為每一次網(wǎng)上的交易行為,提供了一定的信用保證,使網(wǎng)上的商務(wù)交流具備了可信性。

不過我們也應(yīng)該看到,由于我國電子商務(wù)起步晚,目前還停留在對安全、保密、認(rèn)證、法律等是否成熟可靠的討論階段,實(shí)際應(yīng)用很少,總體上可以說是在初級階段。我國的整個(gè)網(wǎng)絡(luò)商務(wù)環(huán)境還不成熟,這就導(dǎo)致許多企業(yè)對網(wǎng)絡(luò)的應(yīng)用程度不高,應(yīng)用得少,自然對CA的需求就不強(qiáng)烈。相比之下,一些做進(jìn)出口貿(mào)易的企業(yè)更注重CA認(rèn)證,因?yàn)閲獍l(fā)達(dá)國家的網(wǎng)絡(luò)應(yīng)用水平,明顯高于我國,我們的企業(yè)要跟人家做生意,就需要有平等對話的條件。CA認(rèn)證顯然是條件之一,否則連相互信任都談不上,還能做什么交易呢?

值得――提的是,以往國內(nèi)的CA企業(yè)總是關(guān)注自己的技術(shù)水平如何,現(xiàn)在他們關(guān)注的是企業(yè)的網(wǎng)絡(luò)商務(wù)行為到底需要什么樣的CA,而他們又能為企業(yè)提供什么樣的。企業(yè)與企業(yè)之間的安全認(rèn)證,企業(yè)與政府之間的安全認(rèn)證,都可以說是做CA認(rèn)證企業(yè)的商機(jī)所在,關(guān)鍵在于當(dāng)中國國內(nèi)大部分企業(yè)還未完全意識到CA時(shí),去主動(dòng)找他們。更關(guān)鍵的在于對CA的認(rèn)識不能只停留在它是一種安全技術(shù)的層面,而應(yīng)該關(guān)注到CA如何在網(wǎng)絡(luò)商務(wù)中應(yīng)用。隨著我國電子商務(wù)的全面開展,企業(yè)對網(wǎng)絡(luò)商務(wù)需要的真正提高,CA將會(huì)成為企業(yè)網(wǎng)絡(luò)的幕后主角,發(fā)揮其更充分的作用。

消費(fèi)者依賴GA認(rèn)證

隨著互聯(lián)網(wǎng)技術(shù)日新月異的快速發(fā)展,電子商務(wù)已成為人們?nèi)粘I畈豢扇鄙俚囊徊糠?。但消費(fèi)者在享受著網(wǎng)絡(luò)帶來的快速、便利的同時(shí),開始擔(dān)心網(wǎng)上商務(wù)的安全,根據(jù)IDC最近對在線購物持保留態(tài)度的網(wǎng)民所做的調(diào)查中發(fā)現(xiàn),20%的人最擔(dān)心在線購物安全問題。

怎樣才能保證某些有價(jià)值的或者敏感的信息不被濫用?遠(yuǎn)隔千里的商家和買主能否保證在互聯(lián)網(wǎng)上進(jìn)行真實(shí)可靠的金融交易運(yùn)作,并且能夠使交易各方都具有信心,網(wǎng)上商務(wù)系統(tǒng)呼喚可靠的安全保密技術(shù)!這就引入了個(gè)人的CA認(rèn)證問題。商戶、支付網(wǎng)關(guān)、銀行、消費(fèi)者都應(yīng)該向CA中心申請數(shù)字證書,以確保交易過程身份的真實(shí)性,保證信息的安全性和交易的不可抵賴性,從而使個(gè)人參與電子商務(wù)成為可能。

從實(shí)際的應(yīng)用來看,CA個(gè)人認(rèn)證就象是給個(gè)人發(fā)放的身份證,身份證發(fā)放機(jī)構(gòu)有一系列的物理設(shè)備將公民的各種信息比如姓名、生日、照片等等和身份證捆綁在一起,這樣使得身份證很難被更改。而CA是使用計(jì)算機(jī)平臺和算法來創(chuàng)建和驗(yàn)證一個(gè)網(wǎng)絡(luò)用戶的電子身份,CA創(chuàng)建電子證書,它的權(quán)威性和可信任性都是通過使用CA的私有密鑰進(jìn)行的數(shù)字簽名來保證的,用戶可以使用CA的公開密鑰來驗(yàn)證CA數(shù)字簽名的可靠性。

我國金融領(lǐng)域率先掀起了一輪金融電子化浪潮,各家商業(yè)銀行為了在電子商務(wù)時(shí)代取得新的競爭優(yōu)勢,紛紛利用先進(jìn)的信息技術(shù),發(fā)展建設(shè)網(wǎng)上銀行、網(wǎng)上電子支付系統(tǒng)。比如1999年,招商銀行首家在國內(nèi)全面啟動(dòng)網(wǎng)上銀行服務(wù),建立了由網(wǎng)上企業(yè)銀行、網(wǎng)上個(gè)人銀行、網(wǎng)上證券、網(wǎng)上商城、網(wǎng)上支付組成的較為完善的網(wǎng)絡(luò)銀行服務(wù)體系。網(wǎng)上銀行系統(tǒng)對于在互聯(lián)網(wǎng)上開展銀行業(yè)務(wù)的安全性提出了極高的要求,要求確保網(wǎng)上銀行服務(wù)中所傳遞信息的真實(shí)性、完整性和不可否認(rèn)性,防范網(wǎng)上銀行業(yè)務(wù)中假冒、欺詐和抵賴行為發(fā)生,因此CA認(rèn)證至關(guān)重要。

當(dāng)消費(fèi)者在某網(wǎng)上商店選購商品,把它放到購物筐里進(jìn)行結(jié)算時(shí),啟動(dòng)電子錢包,輸入密碼,在電子錢包中選出一張信用卡(如招商銀行的一卡通,建設(shè)銀行的龍卡)來付款。這時(shí),計(jì)算機(jī)上會(huì)顯示一個(gè)窗口來確認(rèn)商店,實(shí)際上就是在起驗(yàn)證作用,表明這是一家經(jīng)過認(rèn)證的真實(shí)商店,這些信息來自于CA認(rèn)證中心和支付網(wǎng)關(guān)。下一步是驗(yàn)證客戶的賬戶是否有足夠的錢,當(dāng)信息經(jīng)由支付網(wǎng)關(guān)進(jìn)入銀行網(wǎng)絡(luò)完成驗(yàn)證并反饋回來時(shí),客戶需支付的款項(xiàng)實(shí)際上已經(jīng)從賬戶中扣去了,網(wǎng)上購物支付手續(xù)才算完成。

第9篇:國內(nèi)信息安全認(rèn)證范文

同時(shí)我們也可以看到,包括國家電網(wǎng)等在內(nèi)的越來越多的用戶開始采用國產(chǎn)數(shù)據(jù)庫產(chǎn)品。

規(guī)模化應(yīng)用在即

在過去很長一段時(shí)間,和其他基礎(chǔ)軟件一樣,國產(chǎn)數(shù)據(jù)庫的發(fā)展不盡如人意,我國的數(shù)據(jù)庫市場基本上被甲骨文公司等跨國數(shù)據(jù)庫廠商所占據(jù),一直是困擾我國業(yè)界的一個(gè)難題。

談到這種狀態(tài)形成的原因,人大金倉總裁任永杰指出,這一方面是因?yàn)榻?jīng)過國外數(shù)據(jù)庫廠商經(jīng)過長期的市場教育,用戶和開發(fā)商普遍熟悉國外數(shù)據(jù)庫產(chǎn)品,而對國產(chǎn)數(shù)據(jù)庫了解不多;另一方面是因?yàn)閲a(chǎn)數(shù)據(jù)庫產(chǎn)品成熟度不高,產(chǎn)品中存在的一些小毛病會(huì)影響用戶體驗(yàn)。

那么,在這種情況下國產(chǎn)數(shù)據(jù)庫該怎樣發(fā)展呢?任永杰分析說,盡管以人大金倉為代表的國產(chǎn)數(shù)據(jù)庫企業(yè)經(jīng)過10多年的發(fā)展,已經(jīng)在技術(shù)、產(chǎn)品、市場、服務(wù)等方面取得了長足進(jìn)步,但是國產(chǎn)數(shù)據(jù)庫廠商要想全面趕超甲骨文公司等這樣的跨國數(shù)據(jù)庫廠商是不現(xiàn)實(shí)的,國產(chǎn)數(shù)據(jù)廠商應(yīng)該在某些領(lǐng)域進(jìn)行重點(diǎn)突破。

他指出,事實(shí)上國產(chǎn)數(shù)據(jù)庫已經(jīng)擁有三個(gè)較為明顯的優(yōu)勢:第一,產(chǎn)品的體量較小,對硬件的要求較低;第二,能夠?yàn)橛脩籼峁﹤€(gè)性化的定制服務(wù),更加貼近用戶需求;第三,國產(chǎn)數(shù)據(jù)庫產(chǎn)品是安全、自主可控的。

正因?yàn)槿绱耍瑖a(chǎn)數(shù)據(jù)庫已經(jīng)被越來越多用戶所接受并應(yīng)用。據(jù)了解,國產(chǎn)數(shù)據(jù)庫產(chǎn)品已經(jīng)成功應(yīng)用于政府、軍工、電力、金融、教育、衛(wèi)生、農(nóng)業(yè)、交通、制造等行業(yè)。

任永杰認(rèn)為,隨著政策的推動(dòng)與市場環(huán)境的日趨成熟,國產(chǎn)數(shù)據(jù)庫的市場表現(xiàn)已經(jīng)轉(zhuǎn)好。就拿人大金倉來說,其2011年的銷售增長達(dá)到了40%~50%。

“國產(chǎn)數(shù)據(jù)庫2011年的市場表現(xiàn)充分表明國產(chǎn)數(shù)據(jù)庫廠商早已蓄勢待發(fā)。未來幾年,國產(chǎn)數(shù)據(jù)庫有望迎來一個(gè)發(fā)展的春天?!比斡澜苷f。

就在4月6日舉辦的海量數(shù)據(jù)處理技術(shù)及云數(shù)據(jù)庫研討會(huì)上,數(shù)據(jù)庫專家、上海交通大學(xué)計(jì)算機(jī)系教授白英彩指出:“如果說前幾年國產(chǎn)數(shù)據(jù)庫開始見到了曙光,那么說現(xiàn)在就已經(jīng)看到早晨的太陽了?!?/p>

關(guān)注信息安全

值得一提的是,我國一直在強(qiáng)調(diào)基礎(chǔ)軟件的發(fā)展,最主要的原因是出于對國家安全的考慮。與此同時(shí),目前我國國產(chǎn)數(shù)據(jù)庫產(chǎn)品的用戶,很大部分都是政府部門或者涉及國計(jì)民生的領(lǐng)域,因此我國數(shù)據(jù)庫廠商要想取得長期較好的發(fā)展,必須重視信息安全環(huán)節(jié)。

正因?yàn)槿绱?,我國國產(chǎn)數(shù)據(jù)庫對數(shù)據(jù)庫安全問題格外重視。任永杰在接受記者采訪時(shí)指出:“安全是包括國產(chǎn)數(shù)據(jù)庫在內(nèi)的國產(chǎn)基礎(chǔ)軟件支撐國家戰(zhàn)略的一個(gè)立足點(diǎn),國產(chǎn)基礎(chǔ)軟件最終要為國家信息安全提供支撐。而國產(chǎn)基礎(chǔ)軟件發(fā)展成功與否,關(guān)鍵在于國產(chǎn)數(shù)據(jù)庫?!?/p>

無論是人大金倉的KingbaseES V7還是達(dá)夢的DM7,都在強(qiáng)調(diào)對包括列存儲(chǔ)、云計(jì)算等新技術(shù)的支持的同時(shí),強(qiáng)調(diào)對安全的強(qiáng)化。

值得一提的是,人大金倉新推出的數(shù)據(jù)庫產(chǎn)品KingbaseES V7通過了公安部結(jié)構(gòu)化保護(hù)級(第四級)的安全認(rèn)證并獲得銷售許可證。據(jù)悉,安全四級是GB/T 20273-2006第四級結(jié)構(gòu)化保護(hù)級的簡稱,是目前國內(nèi)數(shù)據(jù)庫產(chǎn)品所能達(dá)到的最高安全等級。

相關(guān)熱門標(biāo)簽