國內信息安全認證精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的國內信息安全認證主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:國內信息安全認證范文
“我的信息安全嗎?”相信所有對信息技術有所了解的人都會存在這個擔憂。就我們所使用的IT設備而言,軟硬件的安全性將直接影響信息的安全。是否有什么手段來認定軟硬件的安全性呢?答案是肯定的,那就是對其進行安全認證。
多年來,嘉興市辰翔信息科技有限公司致力于IT軟硬件安全檢測認證,憑借著國際一流的技術,為IT軟硬件“蓋”上了信息安全的“合格章”。
權威認證覆蓋全球
據國家工信部的《2013年電子信息產業統計公報》顯示,我國2013年電子信息產業銷售收入總規模達到12.4萬億元,同比增長12.7%。在信息安全日益受重視的今天,這意味著巨大的安全認證市場。就全球而言,反病毒軟件的檢測認證市場銷售規模在2億人民幣左右,而安全硬件提供商全球多達幾萬家,銷售額至少在幾百億人民幣。檢測認證行業作為IT軟硬件方案服務提供商的服務商,市場前景巨大。如此大的“蛋糕”,此前一直被AV-TEST、ISCA LABs、Virus Bulletin等幾家巨頭壟斷。
為了打破國外檢測機構對計算機安全軟硬件檢測壟斷的局面,辰翔科技通過多年來的理論研究和實踐應用研發了一系列符合計算機安全技術潮流發展的檢測技術和認證標準,并在一些關鍵的技術環節大量應用了新的檢測標準和檢測技術,是大中華區唯一專業從事計算機安全軟硬件測試認證的公司,也是公安部計算機病毒應急響應中心的合作伙伴和唯一具有公安機關病毒分析備案的公司。除了自行研發外,辰翔科技還通過與國內高等院校的合作,研究如何將病毒流行度指標應用在計算機安全檢測之上,相關論文也已經在國際會議上發表。另外,其關于計算機安全軟硬件檢測的專用認證標志已經在歐盟、美國和大陸成功注冊。
辰翔科技作為全球主要的安全軟件檢測認證服務提供商,客戶基本已經涵蓋主要的殺毒軟件提供商。值得一提的是,在手機Android操作系統安全測試領域,公司已經基本實現壟斷。除了手機端的安全認證外,辰翔科技還與美國微軟總部合作研發Windows安全認證體系。目前辰翔科技在全球安全軟件測試認證行業主要競爭對手有6個,目標客戶覆蓋率基本達到國外同行水平。未來,辰翔科技將以電源產品作為切入點,進一步開展通用IT硬件(如CPU、內存、音響制品、顯示器等)與安全硬件(如嵌入式反病毒硬件,硬件防火墻,郵件過濾器等)的檢測認證工作。
打造全方位“防御體系”
通過從計算機軟件到硬件,再加上手機與網站的安全測評,辰翔科技打造了一個全方位的安全防御圈。
安全軟件測試
通過測試安全軟件的多層防御能力來判斷安全軟件的綜合防御能力。關鍵技術在于多層實時檢測技術,傳統的安全軟件檢測比較單一、一般都只檢測安全的一個參數值,比如病毒的查殺率,誤報水平等,而辰翔科技對測評體系進行了升級,擺脫單一功能檢測無法反映軟件綜合性能的缺失,目前已經基本運用到日常檢測認證中來。
云安全檢測認證
辰翔科技采集最新最全的病毒樣本,運用高性能的爬蟲系統,通過大量的新出現的病毒和常用軟件來判斷云安全軟件對未知病毒的響應能力、白名單庫的收集能力和誤報水平、云安全技術的穩定性判斷,在國內率先提出了云安全檢測技術的思路和測試基本框架。
手機安全軟件檢測認證
通過手機操作系統模擬器或真機來模擬或者重現手機安全軟件在各系統上的運行情況,包括對病毒的檢測查殺能力、常用功能的比較和不同病毒對手機用戶的危害。目前,辰翔科技建立了一套完整的病毒分析流程,可以為殺毒軟件公司提供分析支持和軟件配套服務。
軟件安全性評估
通過代碼和行為分析判斷軟件是否具有惡意行為,對驗證無惡意行為的軟件頒發認證標志。
非安全軟件類軟硬件檢測認證
通過輔助軟件對同類通用軟件和硬件進行性能評估和檢測認證,對達標產品相對應的認證標志。通用軟硬件的測評和認證將由辰翔科技和中國計量學院、浙江質監局共同進行研發,遠期將提供市場準入認證和產品改良服務。
網絡掛馬釣魚分析系統的建立和網站認證
第2篇:國內信息安全認證范文
信息安全是國家安全的基礎和關鍵,在信息安全保障的三大要素(人員、技術、管理)中,管理要素的地位和作用越來越受到重視。面對越來越嚴重的安全威脅,不單在IT技術領域,各行業的企業組織都越來越意識到信息安全的重要性,但單純依靠技術方案來并不能解決如何保護企業信息資產的問題,因此這對當前高校的信息安全專業的人才培養也提出了更高的要求。
一、信息安全培訓體系概況
信息安全培訓作為高校信息安全專業教育的一種重要補充,主要用于解決學歷教育和社會實踐、社會認證培訓的結合、信息安全人才培養不規范等問題。現有培訓主要可分為四類。
第一,安全意識培訓:其面向機構一般員工、非技術人員以及所有信息系統的用戶,目的是提高整個組織普遍的安全意識和人員安全防護能力,使組織員工充分了解既定的安全策略,并能夠切實執行。
第二,安全技能培訓:其面向機構網絡和系統管理員、安全專職人員、技術開發人員等,目的是讓其掌握基本的安全攻防技術,提升其安全技術操作水平,培養解決安全問題和杜絕安全隱患的技能。
第三,安全管理培訓:其面向組織的管理職能和信息系統、信息安全管理人員,目的是提升組織整體的信息安全管理水平和能力,幫助組織有效建立信息安全管理體系。
第四,認證資質培訓:其針對特殊崗位所需的職能人員,包括審核部門、監管部門、信息保障部門等。通過提供國際信息安全相關認證考試的輔導培訓,可以幫助人員順利通過考試獲得各類信息安全資質認證培訓。
前三類認證主要依托專業的培訓機構或安全設備廠商進行。第四類培訓是當前培訓的主體。
二、信息安全相關資質認證培訓情況
資質認證類培訓是針對資質認證特點和內容要求設計,依托專業機構進行的。一些認證的培訓機構是由資質管理機構專門指定的。當前,信息安全相關資質認證主要分三類:
第一,國內以信息產業部,信息安全評測機構為代表的組織來管理實施的信息安全資格認證(或與國際組織聯合頒發);這類的認證培訓有:CISP培訓、NCSE培訓、CISM培訓、INSPC培訓、CIW認證培訓等。
第二,由國外軟件、網絡產品廠商自己組織管理的產品專家認證(側重于廠商產品、技術認證);相關的認證培訓有:微軟Microsoft認證培訓、思科安全認證CCSP培訓、趨勢認證信息安全TCSE培訓等。
第三,國際權威信息安全組織、研究部門或培訓機構組來管理組織的國際化專業資格認證。相關的認證培訓有:信息系統安全認證CISSP培訓、信息安全管理體系主任審核員ISO 27001培訓、國際注冊信息系統審計師認證CISA培訓、國際IT運營與服務管理資格認證ITIL培訓等。
下面以CISP培訓為例,分析其知識體系構建情況。
CISP即“注冊信息安全專家”,是國家對信息安全人員資質的最高認可。其經由中國信息安全測評中心實施國家認證。CISP認證和培訓賦予如下專業資質和能力:有關信息安全企業、咨詢服務機構、測評認證機構、授權測評機構和企事業有關信息系統建設、運行和應用管理的技術部門和標準化部門必備的專業崗位人員。
在整個CISP的知識體系結構中,共包括信息安全保障概述、信息安全技術、信息安全管理、信息安全工程和信息安全標準法規這五個知識類。 CISP知識體系以信息安全保障為主線,全面覆蓋信息安全保障工作所需的基礎、標準、法規、技術、管理和工程等領域。CISP培訓知識體系結構共包含五個知識類,分別為:(1)信息安全保障概述:介紹了信息安全保障的框架、基本原理和實踐,它是注冊信息安全專業人員首先需要掌握的基礎知識。(2)信息安全技術:主要包括密碼技術、訪問控制、審計監控等安全技術機制,網絡、操作系統、數據庫和應用軟件等方面的基本安全原理和實踐,以及信息安全攻防和軟件安全開發相關的技術知識和實踐。(3)信息安全管理:主要包括信息安全管理體系建設、信息安全風險管理、安全管理措施等相關的管理知識和實踐。(4)信息安全工程:主要包括信息安全相關的工程的基本理論和實踐方法。(5)信息安全標準法規:主要包括信息安全相關的標準、法律法規、政策和道德規范,是注冊信息安全專業人員需要掌握的通用基礎知識。
CISP的注冊要求如下:
第一,教育與工作經歷:碩士研究生以上,具有1年工作經歷;或本科畢業,具有2年工作經歷;或大專畢業,具有4年工作經歷。
第二,專業工作經歷:至少具備1年從事信息安全有關的工作經歷。
第三,培訓資格:在申請注冊前,成功地完成了CNITSEC或其授權培訓機構組織的注冊信息安全專業人員培訓課程相應資質所需的分類課程,并取得培訓合格證書。
第四,通過由CNITSEC舉行的注冊信息安全專業人員考試。
三、信息安全專業培訓體系構建的建議
1.構建完善的高校信息安全專業人才培訓體系
傳統的培訓體系,比較側重于知識和技能傳授的過程控制,在對知識的共享、隱性知識的轉換等方面,已經不能滿足當前的要求,高校可以通過借鑒、學習CISP認證和培訓體系結構和CISSP認證課程內容設置,從信安全崗位所需的基礎、標準、法規、技術、管理和工程等領域來完善信息安 全專業人才培訓體系。根據培訓對象的不同將課程分為五種類型(層次):操作層面的基本安全意識培訓;
技術層面的各項安全技能培訓;管理層面的信息安全管理培訓;專家級的資質認證培訓。當然在培訓體系里面信息安全技術方面的培訓仍然是重點,為了加強網絡基礎設施等新興重點網絡安全技術領域的培訓,可以參考思科安全認證CCSP培訓的模式,對當前使用的防火墻、侵入檢測、VPN、身份驗證和安全管理等主流網絡安全防護裝備進行系統性的專題培訓。
2.建立逐級培訓的信息安全專業人才培訓模式
當前信息安全技術的發展日新月異,信息化的網絡攻防形式也發生著翻天覆地的變化,因此對于信息安全專業人員的培訓,僅靠一兩次培訓是遠遠不夠的,必須連續、有針對性的接受相應崗位和層次的逐級培訓,才能保證知識、能力結構的不斷優化和提高。在逐級培訓過程中要明確不同職務、技術等級的不同要求,使得逐級培訓過程級與級之間層次清晰又銜接有序。如果沒有通過低級別的培訓、認證,便不能參加后門高級別的培訓。同時利用職業資格證、學歷證書、執行證書等為牽引,通過多階段培訓、資格培訓、升級培訓使得知識結構、能力素質、崗位需求同步發展,取得相應的職業證書才能晉升上崗,否則不予任用。
3.通過合理的認證標準來動態更新和完善培訓體系的目標任務
只有對培訓成果進行合理判斷,確定受訓人員知識技能水平的提高幅度,才能了解培訓項目是否達到原定的目標和要求,從而為進一步改進培訓體系提供重要依據。通過對培訓人員最終考評成績的分析以及部隊調研,培訓學員信息反饋等方式,針對培訓內容和教學組織形式聽取意見,并及時調整,使得培訓效果真正適應培訓學員的實際需求,提高培訓效果。這樣才能在保持相對穩定的情況下對培訓內容實施動態更新,不斷完善。
第3篇:國內信息安全認證范文
國際上,網絡與信息技術不斷演進,以云計算、大數據、移動互聯網為主導的新技術在推動產業發展的同時,也帶來了更多新的挑戰,信息安全更成為各國相互搏弈的重要陣地。
成長于信息安全身份認證領域的眾人科技,在國內外大環境的激發下,正努力打造成為中國信息安全領域的標桿企業。
回顧歷史,眾人科技走過一段風雨兼程的路。
2007年9月,眾人科技成立。主要從事擁有完全自主知識產權的iKEY身份認證系統及系列產品的研發、生產和銷售。
眾人科技創業之初,創始人談劍峰就滿懷激情與希望,勵志在中國信息安全行業打下一片江山:研發有完全自主知識產權的身份認證技術和產品,與當時充斥中國市場的國外信息安全身份認證產品抗衡,保護國家信息安全。確定了產品方向,眾人科技在這個當時國內尚處于空白的細分領域開始了艱難的探索。
眾人科技從成立伊始就確立了自主研發、設計、生產的國產化道路,以完全的自主可控作為追求,目的就是為國家和大眾的信息安全把好核心的那一道“門”,由此而帶來的是漫長且枯燥的技術攻關和資格認證過程。
整整4年時間,眾人科技團隊全身心投入技術研發、打磨產品,并通過了國家相關機構、專家對動態密碼技術的論證、檢測、認定,在2009年初,眾人科技率先拿到了國家密碼主管部門頒發的動態口令類產品資質企業許可證,其研發的iKEY身份認證產品被中國科學院科技查新中心評定為“填補國內空白,國際先進水平”。
經過不斷拼搏、奮斗,眾人科技越過了一道一道的坎――資金、人員、資質、技術。終于,眾人科技擁有了從密碼專用安全芯片、終端產品到后臺系統的全產業鏈自主知識產權,并自主設計了國內領先的具有世界領先水平的密碼令牌全自動柔性生產線;還作為組長單位參與制定了國家密碼行業標準GM/T 0021-2012《動態口令密碼應用技術規范》,作為國家密碼主管部門密碼檢測標準制密項目組組長單位,組織編寫“動態口令密碼檢測”的相關規范;同時參與制定動態口令產品行業標準、身份認證技術相關標準。
2011年,眾人科技更是被工業和信息化主管部門從百家企業中遴選為基于安全可控軟硬件產品云計算解決方案供應商;2014年,眾人科技成為了上海市“專精特新”企業及推進“新技術、新產業、新模式、新業態”的“四新”企業;值中國互聯網接入20周年之際,眾人科技更榮獲了“中國互聯網20周年?技術創新貢獻殊榮”,成為“SHCERT網絡安全應急服務支撐單位”及上海市信息安全服務推薦單位。
在飛速發展的七年時間里,眾人科技成為了中國中小企業協會副會長單位、中國互聯網金融工作委員會副主任委員單位、中國軟件行業協會網游信息安全工作委員會主任單位、中國信息協會常務理事、上海現代服務業聯合會會員、上海市計算機行業協會副會長單位、上海市信息服務業行業協會副會長單位、上海市信息安全行業協會副會長單位等。
也正是在這七年里,移動互聯網以及互聯網金融迅速崛起。來自銀行的數據顯示,目前建設銀行和工商銀行的手機銀行客戶總數已經超過1億戶,交行、農行、中行的客戶數也超過了5000萬戶。其中,部分銀行的手機端客戶數量目前已然接近了其傳統電腦端網銀客戶的數量。中國互聯網絡信息中心的報告顯示,2014年6月我國手機網民規模已達5.27億,中國手機端網民規模首次超過了PC端,這為銀行手機端的金融服務奠定了良好的市場基礎,也為各銀行轉向手機端帶來了足夠大的動力。
在互聯網金融行業大環境的影響下,眾人科技自主研發了一系列適于金融業發展的動態密碼產品。
在競爭激烈的互聯網環境里,眾人科技深知創新和產品質量決定一切。
iKEY身份認證系統是由眾人科技自主研發的基于時間同步技術的多因素認證系統,是一種安全便捷、穩定可靠的身份認證系統。其強大的用戶認證機制替代了傳統的基本口令安全機制,消除了因口令欺詐而導致的損失,防止惡意入侵者對資源的破壞,解決了因口令泄密導致的入侵問題,有效提高了身份認證的安全性和便捷性。其硬件產品線包括isKEY動態密碼令牌系列。isCARD動態密碼智能卡系列、isMemory 動態密碼SD卡系列及手機令牌等,均采用國家密碼主管單位指定的國密算法。
眾人科技在此基礎上進一步開發的智慧城市公共區域安全網絡系統,以動態密碼的核心技術為基礎,用云計算搭建統一身份認證云平臺,快速、有效地解決了公共區域網絡的安全認證問題。其通過各類認證技術和安全機制的結合,可提高公共區域網絡的身份認證的安全性,最終提高用戶使用的便捷性和滿意度。同時以其強大的用戶認證機制以及安全監管功能,有助于規范國家公共網絡管理系統,在大數據時代為國家信息安全保駕護航。
作為一家飛速發展的信息安全企業,眾人科技在金融領域有著豐富的服務經驗與優良的解決方案,在金融行業以外領域,也正在逐漸建立自己的品牌口碑。眾人科技以動態密碼技術為核心,總結多年發展經驗,以市場為導向,逐步研發了如網絡的4A審計系統、基于IBC標識密碼的加密郵件系統、針對APT攻擊的多維度網絡威脅預警系統等多結構、多類型的產品,拓寬了國內信息安全產業市場,在國家智慧城市建設等領域走得更遠。
隨著移動互聯網、大數據的迅速崛起,移動支付迅猛發展。尤其在金融領域,電子銀行,手機支付的發展超出了人們的想象。
第4篇:國內信息安全認證范文
數據災難備份必不可少
從美國“9·11”事件、日本大地震,到花旗銀行丟失390萬客戶信息的“數據門事件”,到汶川地震,再到雅安地震……面對難以抗拒的嚴重事件和自然災害,數據安全問題需要我們認真對待和仔細考量。在信息和數據主宰的時代,偶發性的天災人禍很可能對金融、電力、交通、醫療、通信等重要組織機構賴以生存與運轉的信息系統造成毀滅性打擊,其業務連續性管理也會因此受到損害。對此,中科同向提醒用戶:給數據信息上“保險”應成為企業的重中之重,信息化時代數據的災難備份必不可少。
美國的“9·11”事件后,Gartner Group的相關資料顯示,40%的公司在經歷大災難后再也不能恢復運行,很快倒閉了;另外33%的公司在兩年內也緊接著倒閉;只有少量的公司因為實施了容災備份系統,在大災后仍能立即恢復工作,和大部分公司丟失了數據后一蹶不振的情況形成了鮮明的對比。
明尼蘇達大學的一項研究顯示,金融企業由于災難而導致突然停止運營后,兩天之內所受損失為日營業額的50%,若兩個星期之內無法恢復信息系統,75%的公司將陷入業務停頓狀態,其中43%的公司甚至再也無法開業。以上數據表明,面對災難帶來的不可預知的毀滅,建立預防性的數據災難備份系統具有非常重要的價值。
專業的解決方案
目前,不少企業已經投入巨資建設災難恢復系統,以確保業務穩定、連續地發展。對于另外一些還未實施容災數據備份的企業,中科同向建議不要再持觀望態度,應立即實施備份容災系統。
中科同向在數據備份容災方面有多年實施經驗和多領域的成功案例。針對不同類型的災害,中科同向已經成功實施了洪水治理應急恢復系統、人防應急系統等。在容災方面,中科同向尤其有優勢:不僅適應異構的存儲設備,同時也能適應異構的服務器平臺。這樣的遠程容災建設方案可以支持更加廣泛的應用類型,不但可以保障用戶當前投資建設的系統得到充分利用,同時也對容災系統未來的適應性提供了保障。
中科同向本著取之于社會、服務于社會的宗旨,實踐“同一個方向,同一個夢想”的企業價值。中科同向相信,堅定不移的努力一定能讓自主研發的國內數據備份容災產品走向世界。
關于中科同向
第5篇:國內信息安全認證范文
關鍵詞:XBRL;審計流程再造;連續審計
中圖分類號:F239.省略成為可能,給審計帶來一波巨大沖擊。XBRL網絡財務報告需要XBRL審計的支撐,如何構造基于XBRL的審計流程顯得尤為重要。只有真正解決好這一問題,審計鑒證才能為XBRL網絡財務報告的高效運行保駕護航,真正成為虛假會計信息的“過濾器”和利益相關者的“保護神”。因此,審計模式面臨重構,審計方法和審計技術有待改善。
一、研究背景
作為一種新型的網絡財務報告技術,XBRL一經出現便引起了國內外學者的廣泛關注,都從不同方面對XBRL進行了探討和研究。XBRL網絡財務報告模式的發展必將對傳統審計模式、審計方法和審計技術提出新的挑戰和要求。作為“經濟警察”,注冊會計師通過會計報表審計鑒證對企業會計信息的真實性提供合理保證,是企業公司治理生態中關鍵的一環,對維護資本市場秩序具有重要作用。正如培根所說,沒有執行制度比沒有制度更可怕。近年來國內外發生的一系列重大事件如安然、世通信、銀廣夏、紅光、科隆-德勤等無一不與審計失敗有關,這恰恰從側面反映出了審計的重要性。XBRL的出現,使得連續審計根據Rezaee的定義,連續審計是收集電子化審計證據來證明無紙化實時會計系統下財務報表是否公允表達的電子審計過程。
二、文獻回顧
目前,國內外關于XBRL與審計的研究,較具代表性的有以下幾個方面。Rezaee等[1]認為,隨著XBRL的廣泛應用,現行審計程序必須向連續審計轉變。并指出:連續審計(continuous auditing),是收集電子化審計證據來證明無紙化實時會計系統下財務報表是否公允表達的電子審計過程。CICA[2]認為,XBRL財務報告編制過程與傳統的編制過程不同,必然需要增加審計程序以確保XBRL文檔的可靠性。并進一步指出:當XBRL被用來生成定期財務報告時,審計人員必須關注實施XBRL的額外程序和政策,并評價分類標準的使用與數據標記的恰當性、被標記數據的真實性、信息產生過程控制的有效性;當XBRL被用來生成實時財務報告時,將需要實施控制程序來保證被標記數據的真實性,因此審計人員必須持續評價這些控制的有效性,即實時審計。Wagenhofer[3]則認為,由于投資者將使用XBRL軟件提取信息而不考慮信息編制的細節,那么企業將有可能不對某些不利信息進行標記或用特定標記對其進行標記,因此為了保證信息披露質量,審計人員必須驗證企業是否對所有事項進行了標記;同時,如果企業進行實時報告或允許使用者接受其原始數據,審計人員將不得不將結果導向的審計程序改為連續的過程導向的審計程序。Boritz和No[4-5]認為,盡管XBRL的應用會帶來很多好處,但是其一個重要缺陷就是未考慮信息質量。XBRL文檔容易受到非法攻擊,任何人都可以輕易地創建與篡改XBRL實例文檔,從而致使XBRL報告的可靠性存在威脅,這勢必影響XBRL的成功應用。因此,他們建議研究XBRL的保障機制,并提出了XRAL(eXtensible Assurance Reporting Language)。按Boritz and NO的定義,XARL“是基于XML的規范,它通過公認的鑒證程序和安全技術來加強網絡信息的可靠性。XARL是XML的一種應用,是XBRL的擴展,將有關XBRL信息可靠性的信息擴展進來。” Murthy和Groomer[6]認為,基于XARL,并借助于Web服務便可實現對實時信息系統的連續審計。Boritz和No[7]進一步指出,如果沒有良好的安全機制,XBRL與XARL將不可能完全發揮作用,因此又在XARL的基礎上提出了網絡財務報告服務安全機制。國內方面,張天西和高錦萍[8]深入探討了XBRL對審計功能、審計程序和審計技術的具體影響,并認為隨著XBRL的深入應用,將最終實現對實時信息系統的連續審計。
綜上所述,目前國內外關于XBRL與審計的研究主要集中在XBRL財務報告的安全性及連續審計方面,并給出了有價值的建議。然而,以往研究大都停留在理論分析層面,未能結合相關技術給出基于XBRL的具體審計流程。本文將在以上研究的基礎上,引入相關技術,對基于XBRL的具體審計流程進行初步探討,以期解決其安全性問題,并實現連續審計目標。
三、XBRL網絡財務報告及其對審計的影響
1.XBRL網絡財務報告
XBRL的提出改變了傳統的商業報告信息披露方式,影響整個商業報告信息供應鏈的各個方面,乃至將對會計制度、會計準則產生重大影響。XBRL是XML在商業報告信息交換方面的應用,是一種基于互聯網技術的新型企業財務報告語言,是目前應用于非結構化信息處理尤其是財務信息處理的最新技術。XBRL能夠提高軟件提供商、程序員和最終用戶創建、交換和比較商業報告信息的能力。近年來,XBRL獲得了迅速的發展,尤其作為財務信息處理的最新標準和技術,XBRL增加了公司財務報告披露的透明度,提高了財務報告信息處理的效率和能力。如今,我國的會計信息化委員會即XBRL中國組織已經成立,成功加入XBRL國際組織成為XBRL會員。2010年10月,財政部了《企業會計準則通用分類標準》及其指南。在XBRL網絡財務報告及分類賬模式下,企業發生的經濟業務和事項首先交由企業的會計信息系統(AIS)進行加工處理;其次由工具軟件據此自動生成XBRL財務報告(實例文檔);最后,利益相關者借助XBRL工具對財務報告信息進行在線分析或生成個性化財務報告,并可下鉆至明細信息。正如Coffin所預言的,與不同國家會計準則相異有關的問題將因XBRL迎刃而解,如分析師不再需要對依據不同國家會計準則編制的報告作調整工作,因為企業能夠從同一套數據依據不同的XBRL財務報告分類標準生成符合不同準則要求的財務報告。
2.XBRL網絡財務報告對審計的主要影響
獲取被審計單位的電子數據即數據采集,是開展計算機審計的第一步。傳統計算機審計技術主要面臨兩大問題:一是數據接口問題;二是數據標準化問題。由于企業使用的管理軟件和財務軟件種類繁多,且基于不同的操作系統、數據庫、開發平臺,沒有統一的數據接口標準。因此,如何進行數據采集,以獲取標準化的統一的企業財務數據,一直是制約傳統計算機審計技術得以有效實施的首要瓶頸因素。其次,由于我國存在多種會計規范,不同企業所使用的會計科目(特別是明細科目)可能不盡相同,這樣,即便獲取了企業的電子數據,也只是解決了所謂的“語法”問題,而相關的“語義”問題并未得以解決。因審計系統無法自動“讀懂”企業的數據含義而限制了查詢、統計、分析功能的使用。對于上述第一個問題即數據接口問題,目前審計系統所采取的策略大致有兩種:一種是審計系統供應商通過了解主流管理軟件產品所使用的后臺數據庫系統、系統數據庫結構、用戶數據庫結構等多方面信息,并把這些信息“固化”在審計系統系統中,從而實現所謂的智能采集,方便用戶的使用。這就需要軟件商做大量的基礎性工作,甚至需要做到“逐日盯市”,緊密跟蹤主流管理軟件產品版本更新情況,因此工作量是巨大的,設計、運行成本較高,也在一定程度上限制了智能采集的應用范圍。另一種方式是手工采集,即由用戶自行采集所需的電子數據。這種方式盡管給了用戶較大的自由度,但是操作相對復雜,對用戶的要求較高,那就是必須熟悉管理軟件的數據庫結構。對于上述第二個問題即數據標準化問題,目前主要是通過數據映射(主要是科目映射)來加以解決。只有在用戶電子數據與系統提供的標準數據之間建立了映射關系,電子數據才得以具備語義功能,后續的自動查詢、統計、分析功能才能順利得以實現。因此,工作量是巨大的,運行成本是較高的。
XBRL的出現,為上述問題提供了最佳(至少從目前來看是這樣)解決方案,使得語法功能和語義功能同時得以實現。在XBRL技術框架內,存在XBRL GL和XBRL FR兩個層次的分類標準。XBRL GL分類標準位于底層,用于規范交易層面的原始數據和分類賬;XBRL FR分類標準位于上層,用于規范財務報告相關信息。由于所有企業的財務報告及分類賬都遵循統一的XBRL規范和分類標準,這就使得數據接口得以標準化;同時,由于XBRL將財務報告(特別是財務報表)要素以及分類賬都進行了統一“貼標”,因而也就解決了“語法”問題,這將使得審計系統能否自動識別所有報告要素,并能下鉆至明細賬和記賬憑證,也使得審計系統預先內置的大量統計分析經驗模型和專家知識庫的自動執行成為可能。因此,在XBRL框架下,連續審計這一動態審計模式將有可能成為現實。
同時,由于XBRL技術是基于Internet的,對Internet的高度依賴將使得基于XBRL的審計模式的安全性面臨挑戰。黨的十六屆四中全會將信息安全作為國家安全的重要組成部分,明確提出“增強國家安全意識,完善國家安全戰略”,并確保“國家的政治安全、經濟安全、文化安全和信息安全”。作為信息安全的內容之一,網絡財務報告安全是我們不得不正視的一個重要問題。不徹底解決其安全性問題,基于XBRL的審計模式將存在巨大安全隱患,由此便不可能得以廣泛應用。只有將安全防范技術應用于審計流程,才能化解潛在的安全風險,降低社會應用成本,解決應用XBRL審計模式的后顧之憂。成功失敗往往只在一線之間,從這種意義上說,安全性將成為決定XBRL審計模式能否得以成功應用的關鍵因素。
四、基于XBRL的審計流程設計
1.流程中所引入的關鍵技術
基于XBRL的連續審計流程必須重點加以解決的基礎性問題在于動態信息獲取機制和網絡安全的實現。為此,本文引入了Web服務技術以實現動態信息獲取機制;同時,引入了數據加密技術、數字簽名技術以及安全認證技術來保障網絡財務報告信息安全。
(1)Web服務技術。傳統的網絡財務報告披露模式是“拉式”的,即信息使用者必須登錄相關網站自行搜尋查找所需信息。這種“拉式”的信息披露模式,顯然不利于實現動態審計模式。為此,有必要引入一種“推式”的信息披露模式。在“推式”信息披露模式下,會自動響應合法的在線客戶端請求并將其所需信息“推向”客戶端,繼而交由其應用軟件進行分析處理。Web服務基于HTML和XML,支持動態發現機制,因而可用于實現“推式”信息披露模式。Web服務主要包括SOAP(Simple Object Access Protocol,簡單對象訪問協議)、WSDL(Web Services Description Language,Web服務描述語言)、UDDI(Universal Description,Discovery and Integration,統一描述、發現和集成)。因此,企業可以將XBRL財務報告和分類賬實例文檔封裝成Web服務,并為審計方提供Web服務的客戶端程序,這樣審計系統就可以在其本機在線調用Web服務,獲取財務報告及分類賬信息,從而可以動態獲取企業最新數據并使其自動流向審計系統。同時,因為XBRL實例文檔是根據XBRL GL和XBRL FR分類標準生成的,這就保證了審計人員可以非常方便地獲取審計所需數據并自由地進行匯總、下鉆、統計查詢和分析了。
(2)數據加密技術。安全性方面,必須解決兩個層面的問題:數據保密問題和數據真實性完整性的驗證。關于數據保密問題可以借助日益成熟的數據加密技術加以實現。由于公開密鑰技術無須事先交換密鑰,也無須經常變換密鑰,各個用戶間可以進行保密通信,在網絡環境下有較大的優越性。我們知道,企業擁有會計信息的產權,公開披露的會計信息既具有私人物品屬性,又具有公共物品屬性,但是在會計信息被公布之前仍然屬于企業的秘密資料,尚不具備公共物品屬性。同時,基于XBRL的財務報告不僅僅包括財務報告,還包括了分類賬甚至是原始交易數據,其中必然有一些涉及企業的商業秘密。因此,財務報告數據被公開披露之前的保密性問題至關重要。通過引入上述的非對稱加密技術,可以有效地防止企業財務報告及分類賬信息泄密。
(3)數字簽名技術。所謂數字簽名,是指利用通過某種密碼運算生成的一系列符號及代碼組成的電子密碼對電子文件進行的簽名。數字簽名技術可以確認發送者身份,防止抵賴和冒名頂替;同時,可以保護電子數據文件內容的完整性和準確性,確保不被篡改。我國曾于2004年8月28日頒布了《中華人民共和國電子簽名法》,其中所稱的電子簽名主要就是指數字簽名。數據加密技術可以有效防止企業和審計方之外的第三方竊取會計信息,但是不能解決如下問題:企業否認文件是自己發送的;審計方偽造一份來自企業方的文件,或私自修改接收到的文件;他人冒充企業或審計方。通過引入數字簽名技術可以有效解決上述問題。
(4)安全認證技術。在實際應用中,上述的非對稱數據加密技術和數字簽名技術是通過安全認證機構提供的電子認證服務加以實現的。安全認證機構(Certificate Authority,簡稱CA)負責為網絡用戶頒發數字證書,并為證書持有者生成不同的密鑰對。通過安全認證技術,既可以實現數據加密,又可以驗證數字簽名的真實性,從而起到保護信息安全、對外防止欺詐、對內防止否認的作用。截至目前,經主管部門授權,我國已有20余家單位獲得了電子認證服務許可,這將為實現連續審計起到保駕護航的作用。依托安全認證技術,就將可以解決網絡審計的數據安全問題。
2.基于XBRL的審計流程
基于以上分析,本文在考慮XBRL網絡財務報告的網絡安全性、連續審計內在特性和要求的基礎上,構造了基于XBRL的審計流程,如圖1所示。
圖1基于XBRL的審計流程
第一,根據企業信息系統生成的XBRL實例文檔通過安全認證機構進行加密和數字簽名;第二,根據加密和數字簽名后的XBRL實例文檔生成XML Web服務并在XML Web服務注冊中心進行注冊;第三,審計方即XML Web服務客戶端根據授權訪問企業XML Web服務中心,獲取審計所需的XBRL實例文檔;第四,根據XBRL分類標準,審計系統對企業方提供的XBRL實例文檔進行一致性驗證;同時對企業數據進行邏輯校驗,如期初余額試算平衡、期末余額試算平衡、發生額試算平衡、憑證試算平衡、賬賬核對、賬證核對、科目賬與輔助賬核對、憑證科目合法性檢驗、基礎資料完整性檢驗等。如有問題,可記錄于工作底稿;第五,實施審計作業。基于XBRL的財務報告及分類賬,既統一了數據接口標準,又使得所有數據都帶有唯一的標簽,因而更利于審計過程中查詢統計工作的進行。同時,還可以結合相關領域研究成果制作專家庫系統,如風險評估模型、舞弊識別模型等都可以應用到審計作業中。當然,無論審計模式、審計技術如何,都必須結合賬實核對開展審計作業。審計作業過程中可以隨時將審計內容、審計中遇到的問題及疑點在審計工作底稿進行記錄,并最終根據審計工作底稿生成審計報告;第六,將審計報告通過安全認證中心進行加密和數字簽名,并將加密和數字簽名后的審計報告發送至企業服務器。這樣,企業便可以向相關部門機構提交財務報告及審計報告。
參考文獻:
[1]Rezaee,Z.,Elam,R.,Sharbatoghlie,A.Continuous Auditing:The Audit of the Future[J].Managerial Auditing Journal,2001,16(3):150-158.
[2]CICA. Audit & Control Implications of XBRL[R].Information Technology Advisory Committee,2002. http://cica.ca/multimedia/Download_Library/Standards/Studies/English/CI-CA-XBRL-0502-e.pdf.
[3]Wagenhofer, A.Economic Consequences of Internet Financial Reporting[J].Schmalenbach Business Review,2003,55(10):262-279.
[4]Boritz,J.E.,No,W.G.Assurance Reporting for XBRL:XARL(Extensible Assurance Reporting Language)[R].In Trust and Data Assurances in Capital Markets:The Role of Technology Solutions,ed.S.J.Roohani,2003.17-31.
[5]Boritz,J.E., No,W.G.Assurance Reporting for XML-Based Information Services:XARL(Extensible Assurance Reporting Language)[J].Accounting Perspectives,2004,3(2):207-233.
[6]Murthy,U.S.,Groomer,S.M.A Continuous Auditing Web Services Model for XML-Based Accounting Systems[J].International Journal of Accounting Information Systems,2004,5(2):139-163.
[7]Boritz,J.E.,No,W.G.Security in XML-Based Financial Reporting Services on the Internet[J].Journal of Accounting and Public Policy,2005,24(1):11-35.
[8]張天西,高錦萍.XBRL對審計的影響研究[J].當代財經,2007,(6):101-104.
[9]Hoffman,C.,Kurt,C.,Koreto,R.J.The XML Files[J].Journal of Accountancy,1999,187(5):71-77.
[10]Hoffman,C.,Strand,C.XBRL Essentials[M].American Institute of Certified Public Accounting,2001.
[11]Debreceny, R.,Gray,G.L.,Rahman,A.The Production and Use of Semantically Rich Accounting Reports on the Internet:XML and XBRL. International [J].Journal of Accounting Information Systems,2001,(2):47-74.
[12]Strand, C.,McGuire,B.,Watson,L.,Hoffman,C.The XBRL Potential[J].Strategic Finance,2001,82(12):58-60.
[13]Weber, R.XML,XBRL,and the Future of Business and Business Reporting[R].In Trust and Data Assurances in Captial Markets:The Role of Technology Solutions.Research Monograph Sponsored by Pricewaterhouse Coopers,2003.3-6.
[14]Jones, A.,Willis,M.The Challenge of XBRL:Business Reporting for the Investor[J].Balance Sheet,2003,11(3):29-37.
第6篇:國內信息安全認證范文
【關鍵詞】網上銀行;安全;監管
一、網絡銀行現狀分析
(一)網絡銀行機構數量及規模現狀
自從世界第一家網絡銀行――美國安全第一網絡銀行于1995年在互聯網上開業以來,國際金融界便掀起了一股網絡銀行風潮,目前,國外85%的銀行投資發展網上銀行業務,美國70%、日本50%的家庭使用電子銀行服務。
在我國,自1997年招商銀行創建一網通以來,國內其他銀行紛紛開始開通網上銀行。目前中國已有20多家銀行的200多個分支機構擁有網址和主頁。根據艾瑞咨詢《2008--2009年中國網上銀行行業發展報告》,2009年中國網上銀行交易額規模為445.0萬億元,其中工商銀行占據了36.6%的市場份額,位居首位,比居第二位的建設銀行(占17.0%)高出近20個百分點。
(二)網絡銀行安全與監管現狀
1 安全性
網上銀行系統是銀行業務服務的延伸,客戶可以通過互聯網方便地使用商業銀行核心業務服務,完成各種非現金交易。但另一方面,互聯網是一個開放的網絡,銀行交易服務器是網上的公開站點,網上銀行系統也使銀行內部網向互聯網敞開了大門。
目前保障網上銀行交易系統安全系統的技術措施包括:1)設立防火墻,隔離相關網絡。2)高安全級別的WEB服務器。3)24小時實時安全監控。對于個人身份認證方面,采用認證介質。包括密碼、文件數字證書、動態口令卡、動態手機口令等等。
另外,銀行卡持有人的安全意識也是影響網上銀行安全性的不可忽視的重要因素。目前為止,國內網上銀行交易額已達到數千億元,銀行方面出現過安全問題較少,只有個別客戶由于保密意識不強而造成資金損失。
2 監管與法規
除了中國人民銀行以及銀監會對銀行業的監督外,對于網絡銀行的安全,中國金融安全認證中心(CFCA)是中國金融業唯―合法的、國家級權威第三方安全認證機構,經中國人民銀行和國家信息安全管理機構批準成立的國家級權威的安全認證機構,是重要的國家金融安全基礎設施之一。CFCA作為權威、公正的第三方安全認證機構,通過發放數字證書為網上銀行、電子商務、電子政務提供安全認證服務:確保網上信息傳遞雙方身份的真實性、信息的保密性和完整性、以及網上交易的不可否認性。
目前我國的法律法規環境也已經初步建立,基本法《銀行法》中已經加入了針對網上銀行業務的規定。除此之外,2001年頒布的《網上銀行業務管理暫行辦法》和2005年頒布的《電子簽名法》標志著我國對電子商務及網上銀行的安全性管理已經做到了有法可依。2006年頒布的《電子支付指引》及《電子銀行業務管理辦法》等法規意見稿都為進一步規范和管理我國的網上銀行市場奠定了良好的基礎。
(三)網上銀行存在問題與挑戰
雖然我國對銀行業的監管以及法規重視程度都很高,但是,由于網上銀行的發展過快,現行的法規以及監管模式已經完全滯后與網上銀行的發展。近幾年來,由于銀行的失誤以及法規的不完善,網上銀行出現了不少問題,而最終卻由客戶來承擔損失。《電子商務研究》統計,網絡銀行安全事故中出于員工疏忽的占57%,外部惡意攻擊占24%,病毒發作占14%,用戶誤操作占5%。專家認為,網上銀行的安全事故頻發,一方面與用戶安全意識淡薄有關,另一方面也與網上銀行本身存在的安全隱憂密不可分。
二、對我國網絡銀行監管的對策與建議
經過了上文對于我國網絡金融概念和現狀分析,已對網上銀行監管存在的不足和問題有了具體的了解。對于我國網絡金融監管的發展現作出如下的幾點建議:
1 電子貨幣
作為網絡經濟中最重要的元素,盡快建立針對電子貨幣的監管體系。同時,要適時放松對電子貨幣發行主體的監管。受信息和通訊產業發展水平所限,我國目前還沒有能力研發出具有世界領先水平的電子貨幣,更多的是采用西方發達國家的技術標準。因此,要求多用途電子貨幣發行主體僅限于銀行是目前防范風險的有效措施。但隨著我國信息和通訊產業的發展,在時機成熟時應考慮允許信息企業與銀行合作開發電子貨幣產品或由非銀行機構單獨開發,以增強我國電子貨幣的國際競爭力。對非銀行機構發行電子貨幣,應采用歐洲中央銀行的監管辦法,使非銀行機構接受同銀行一樣的監管標準。
2 監管機構
加強各監管機構間的協調,在條件成熟時形成統一的金融監管部門。從我國目前的經濟發展水平、法律環境、金融經營者的素質、金融機構內部風險控制機制、金融監管水平來看,現階段我國“分業經營、分業監管”的原則是符合我國國情的。但面臨我國已加入世貿組織的現狀及網絡金融迅速發展的現實,我們應特別關注混業經營、混業監管問題。在目前不能迅速轉變金融監管體制的情況下,要注重加強各金融監管機構間的協調,加強溝通與合作,避免監管真空或交叉。最好能建立其專門監管網絡金融行業的專門監督機構或者自律性組織。
3 法規制度
加快網絡金融業務管理規章的制定。不僅要注重對技術風險的管理,更要強調對戰略風險、操作風險、法律風險的管理;不僅要完善對內監管制度,也要建立企業間、行業間以及市場整體全面檢查和監管機制。
第7篇:國內信息安全認證范文
眾所周知,在互聯網信息安全領域進行著兩場曠日持久的戰爭,一場是安全產品與病毒、木馬、流氓軟件、網絡詐騙之間的戰爭,另一場是某些功能相近的安全軟件在網民桌面掀起的內戰。理想情況下,我們希望互聯網世界一片安定祥和,但是,在現實中人們尚不能建立“路不拾遺、夜不閉戶”的理想之邦,更不要寄希望于遍布隱蔽、陰暗角落的互聯網,所以第一場戰爭的存在是必然的。而對于安全產品的內戰,我們極不愿意看到,卻又無可奈何地接受——將所有的責任都推給廠商是不合理的,因為“免費”是他們的商業模式,而非發展公益和慈善事業。
在紅海中逐利,移動互聯網照搬了傳統互聯網的競爭模式,安全領域也未能幸免。移動信息安全涉及的內容也大體類似,終端物理安全、系統安全、應用安全、數據安全等等。當然,移動互聯網下終端設備的移動屬性使得物理安全較固定設備更為突出,而目前尚未形成統一可行的防范方法;移動支付、移動金融的崛起又將系統和業務安全重新定義,帶來更多的“寶藏”。
移動互聯網安全 終端安全先行
移動互聯網伴隨移動終端的出現而誕生,又隨著智能移動終端的普及而發展成熟。今天,人們手中的智能設備已經集掌上計算機、MP3、游戲機、相機、GPS等多種功能于一體,不僅可以使用互聯網服務、數據計算、文件存儲,還可以實現多媒體娛樂、數碼影像攝制等用途。現在,這些智能設備已經深入人們工作、學習、生活的方方面面,其業務應用也越來越多地涉及商業秘密和個人隱私等敏感信息,所以它的安全性變得更加重要。
與桌面PC的情況相同,移動智能設備面臨多種安全威脅,比如病毒、木馬等惡意軟件入侵,設備丟失,數據泄露等等。智能設備系統安全領域早已是一片紅海,安全產品內戰的激烈程度與桌面端有過之而無不及。好在經歷了幾次“戰火紛爭”之后,用戶已經明白這些安全產品爭斗的實質,所以這類爭斗的反面效果越來越明顯,到現在戰火雖未停息,但也不再像以前那樣喧囂。
人們需要安全的移動互聯網,需要真正的終端安全,因此,一些標準化組織針對移動終端提出了信息安全技術要求,比如中國通信標準化協會(CCSA)明確提出移動終端需提供措施保證系統參數和數據、用戶數據、密鑰信息和證書以及應用程序的完整性、機密性,終端關鍵器件的完整性、可靠性以及用戶身份的真實性。
CCSA規定移動終端應用開發、設計時應充分考慮和提供一系列安全策略:對操作系統、應用程序和終端關鍵器件進行一致性檢驗;對用戶的身份進行認證然后根據用戶的授權提供資源及對象的訪問和操作權限;對終端的密鑰、證書、系統數據和用戶數據等進行有效的安全管理,保證存儲數據的安全;對終端各種接口提供接入安全控制,安全的接入各種網絡;終端中的關鍵器件還應具有抵抗防篡改等物理攻擊的能力,以提高移動終端的自身安全防護能力。
對安全標準的研究和認證服務,是第一處值得思考的“寶藏”。
不過,在全球范圍內移動智能設備的硬件方案屈指可數,以智能手機為例,芯片方案僅有高通、蘋果、三星、英特爾、聯發科、美滿電子、華為海思等,而軟件系統平臺更少,由蘋果ios、谷歌Andriod和微軟Windows Phone統領。因此,不論是硬件還是應用軟件的安全認證,系統級別的認證離不開大平臺的支持,所以在應用層面發揮的余地更大。
圍繞終端安全的周邊,依然大有可為。目前面市的一些終端采用了生物特征識別認證,過去在筆記本電腦上比較普遍,如今在摩托羅拉、蘋果手機上都相繼出現。這是安全的另一種思路,從硬件上進行安全保護,比打著免費的旗幟在用戶那里扮演“炸彈”要高明得多。另外,移動終端往往配備最先進的無線傳輸功能,比如最新標準的藍牙4.1、NFC等,都是移動場景下帶來的應用,瞄準無線傳輸的安全,也能挖出“寶藏”。
移動支付熱潮喚醒移動金融安全意識
時下最熱鬧的移動應用莫過于打車軟件,而讓打車軟件火起來的原因是騰訊、阿里兩家企業在移動支付領域的角逐。數月以來,騰訊、阿里燒錢補貼用戶,在移動支付方面“打”的不可開交,這也說明了移動互聯網的發展給移動支付帶來巨大的市場空間。與此同時,不少金融產品也開通了移動理財通道,移動金融安全付出水面。
包括移動支付在內的移動金融涉及互聯網服務端和移動用戶終端之間的信息互聯,所以傳統互聯網安全的內容完全適用:服務器安全需要維護,阻止網絡攻擊,阻止黑客竊取數據;終端安全需要維護,要阻止病毒、木馬竊取用戶隱私信息,要加密敏感數據,等等。近日,國內漏洞報告平臺烏云曾淘寶和支付寶認證存在安全缺陷的消息,黑客可利用漏洞登錄他人淘寶/支付寶賬號進行操作,另一大移動支付平臺微信也被曝存在安全漏洞,偽裝成為微信紅包的釣魚鏈接能夠利用該漏洞竊取用戶手機信息,用戶微信綁定的銀行卡也將面臨泄露風險。移動金融安全還應該有業務方面的安全保障。有報道稱,今年1月廣州天河一市民遇到手機丟失、手機卡被他人冒名補辦導致余額寶內49000元被盜的情況。
移動金融業務涉及的系統、應用和業務流程的漏洞防護是移動互聯網安全的基礎內容,也是一般人們對“安全防護”的認識。然而,換一種思維去保障安全,也能夠在移動金融領域得到肯定,比如支付寶引入平安保險為期業務風險作保障。移動金融安全的本質是保障用戶的資金安全,當用戶資金遭受損失后能獲得賠償,這也是一種安全保障。由此可見,保險業在為移動互聯網安全提供保障的時候也獲得了一份“寶藏”。
第8篇:國內信息安全認證范文
政府參與CA認證
電子政務是網絡信息技術帶來的對傳統政府管理模式的變革,使長期困擾政府部門的如何縮短辦事周期、提高辦事效率高公務人員的服務水平、監督公務人員的服務質量等問題,在很大程度上得以解決。電子政務的初步試用,使市民繳納個人所得稅、申辦因私護照和政府了解社情民意都得以在互聯網上進行,提高了政府部門的工作效率,更有利于政務公開。
但是,作為所有事務之重中之重的政務,它的安全性是各個級別、各個機構、各個執行者都要考慮并且保證的。因此CA認證開始逐漸滲透到政府領域。政府參與CA認證,主要涉及以下兩個方面,一方面為了保證CA認證機構的權威性,政府必須參與CA認證機構的建設;另一方面是政府在政務處理中要應用CA認證。
很多國家在電子認證上設定的形式一般有兩大類;第一類是直接由國家有關部門下屬單位直接設立,從事電子認證服務工作,或者是由政府的相關部門扮演cA體系中最高一層的認證中心角色。第二類是由政府相關部門授權,規定嚴格的審批條件和程序,同時對得到授權的專門從事cA認證的企業行使監督權,以確保網絡交易的安全。無論是哪種形式,政府扮演的角色都是至關重要的。因為CA認證中心最基本的特征是它的權威性,只有經國家主管部門授權經營的電子認證服務公司或政府下屬的CA認證機關簽發的電子證書才最有權威性。在一定意義上,這正如只有經公安部門發放的個人身份證才具有絕對可靠的權威性一樣。另一方面由于政府主管部門在CA認證中扮演國家的角色,因此在體系的建立、技術標準和程序的設定,以及兼容跨國認證等方面都會達到統一性。
經過政府批準的認證中心,可以提供完整的安全電子商務解決方案,為交易的參與方提供了安全保障,為網上交易構筑了一個互相信任的環境,解決了網上身份認證、公鑰分發及信息安全等一系列問題。
現在,各級政府部門在處理電子政務中都或多或少地采用了CA認證。比如從全國政協九次會議開始,全面推出了政協電子認證系統,使委員們又多了一條提交議案的便捷途徑――E-mall。每位委員都有一個密碼,據此進入政協電子認證系統后,經過CA認證,即可發送提案。此系統采用先進的CA認證技術,可以確認發信人的身份,確保工作系統安全,還可以避免冒名發信及過多的垃圾郵件給工作帶來不必要的麻煩。這是電子政務安全認證邁出的可喜的一步,相信隨著一系列法律和技術舉措的相繼出臺及認證體系的不斷完善,電子政務的安全前景將越來越廣闊。同,比如招標方認可投標方在一年內成為其投標客戶之一,即一年的供貨商之一。雖然看起來CA認證方式,還不能完全代替傳統商務的一些合同、協議,但這主要是相關法律問題沒解決。但CA認證還是在很大程度上提高了商家的工作效率,因為如果投標方一旦成為招標方一年的供貨商,且有了相關的CA證書,那么雙方就沒有必要為每一次交易都去簽定合同,只需中標后在網下補簽合同即可。CA的實施,為每一次網上的交易行為,提供了一定的信用保證,使網上的商務交流具備了可信性。
不過我們也應該看到,由于我國電子商務起步晚,目前還停留在對安全、保密、認證、法律等是否成熟可靠的討論階段,實際應用很少,總體上可以說是在初級階段。我國的整個網絡商務環境還不成熟,這就導致許多企業對網絡的應用程度不高,應用得少,自然對CA的需求就不強烈。相比之下,一些做進出口貿易的企業更注重CA認證,因為國外發達國家的網絡應用水平,明顯高于我國,我們的企業要跟人家做生意,就需要有平等對話的條件。CA認證顯然是條件之一,否則連相互信任都談不上,還能做什么交易呢?
值得――提的是,以往國內的CA企業總是關注自己的技術水平如何,現在他們關注的是企業的網絡商務行為到底需要什么樣的CA,而他們又能為企業提供什么樣的。企業與企業之間的安全認證,企業與政府之間的安全認證,都可以說是做CA認證企業的商機所在,關鍵在于當中國國內大部分企業還未完全意識到CA時,去主動找他們。更關鍵的在于對CA的認識不能只停留在它是一種安全技術的層面,而應該關注到CA如何在網絡商務中應用。隨著我國電子商務的全面開展,企業對網絡商務需要的真正提高,CA將會成為企業網絡的幕后主角,發揮其更充分的作用。
消費者依賴GA認證
隨著互聯網技術日新月異的快速發展,電子商務已成為人們日常生活不可缺少的一部分。但消費者在享受著網絡帶來的快速、便利的同時,開始擔心網上商務的安全,根據IDC最近對在線購物持保留態度的網民所做的調查中發現,20%的人最擔心在線購物安全問題。
怎樣才能保證某些有價值的或者敏感的信息不被濫用?遠隔千里的商家和買主能否保證在互聯網上進行真實可靠的金融交易運作,并且能夠使交易各方都具有信心,網上商務系統呼喚可靠的安全保密技術!這就引入了個人的CA認證問題。商戶、支付網關、銀行、消費者都應該向CA中心申請數字證書,以確保交易過程身份的真實性,保證信息的安全性和交易的不可抵賴性,從而使個人參與電子商務成為可能。
從實際的應用來看,CA個人認證就象是給個人發放的身份證,身份證發放機構有一系列的物理設備將公民的各種信息比如姓名、生日、照片等等和身份證捆綁在一起,這樣使得身份證很難被更改。而CA是使用計算機平臺和算法來創建和驗證一個網絡用戶的電子身份,CA創建電子證書,它的權威性和可信任性都是通過使用CA的私有密鑰進行的數字簽名來保證的,用戶可以使用CA的公開密鑰來驗證CA數字簽名的可靠性。
我國金融領域率先掀起了一輪金融電子化浪潮,各家商業銀行為了在電子商務時代取得新的競爭優勢,紛紛利用先進的信息技術,發展建設網上銀行、網上電子支付系統。比如1999年,招商銀行首家在國內全面啟動網上銀行服務,建立了由網上企業銀行、網上個人銀行、網上證券、網上商城、網上支付組成的較為完善的網絡銀行服務體系。網上銀行系統對于在互聯網上開展銀行業務的安全性提出了極高的要求,要求確保網上銀行服務中所傳遞信息的真實性、完整性和不可否認性,防范網上銀行業務中假冒、欺詐和抵賴行為發生,因此CA認證至關重要。
當消費者在某網上商店選購商品,把它放到購物筐里進行結算時,啟動電子錢包,輸入密碼,在電子錢包中選出一張信用卡(如招商銀行的一卡通,建設銀行的龍卡)來付款。這時,計算機上會顯示一個窗口來確認商店,實際上就是在起驗證作用,表明這是一家經過認證的真實商店,這些信息來自于CA認證中心和支付網關。下一步是驗證客戶的賬戶是否有足夠的錢,當信息經由支付網關進入銀行網絡完成驗證并反饋回來時,客戶需支付的款項實際上已經從賬戶中扣去了,網上購物支付手續才算完成。
第9篇:國內信息安全認證范文
同時我們也可以看到,包括國家電網等在內的越來越多的用戶開始采用國產數據庫產品。
規模化應用在即
在過去很長一段時間,和其他基礎軟件一樣,國產數據庫的發展不盡如人意,我國的數據庫市場基本上被甲骨文公司等跨國數據庫廠商所占據,一直是困擾我國業界的一個難題。
談到這種狀態形成的原因,人大金倉總裁任永杰指出,這一方面是因為經過國外數據庫廠商經過長期的市場教育,用戶和開發商普遍熟悉國外數據庫產品,而對國產數據庫了解不多;另一方面是因為國產數據庫產品成熟度不高,產品中存在的一些小毛病會影響用戶體驗。
那么,在這種情況下國產數據庫該怎樣發展呢?任永杰分析說,盡管以人大金倉為代表的國產數據庫企業經過10多年的發展,已經在技術、產品、市場、服務等方面取得了長足進步,但是國產數據庫廠商要想全面趕超甲骨文公司等這樣的跨國數據庫廠商是不現實的,國產數據廠商應該在某些領域進行重點突破。
他指出,事實上國產數據庫已經擁有三個較為明顯的優勢:第一,產品的體量較小,對硬件的要求較低;第二,能夠為用戶提供個性化的定制服務,更加貼近用戶需求;第三,國產數據庫產品是安全、自主可控的。
正因為如此,國產數據庫已經被越來越多用戶所接受并應用。據了解,國產數據庫產品已經成功應用于政府、軍工、電力、金融、教育、衛生、農業、交通、制造等行業。
任永杰認為,隨著政策的推動與市場環境的日趨成熟,國產數據庫的市場表現已經轉好。就拿人大金倉來說,其2011年的銷售增長達到了40%~50%。
“國產數據庫2011年的市場表現充分表明國產數據庫廠商早已蓄勢待發。未來幾年,國產數據庫有望迎來一個發展的春天。”任永杰說。
就在4月6日舉辦的海量數據處理技術及云數據庫研討會上,數據庫專家、上海交通大學計算機系教授白英彩指出:“如果說前幾年國產數據庫開始見到了曙光,那么說現在就已經看到早晨的太陽了。”
關注信息安全
值得一提的是,我國一直在強調基礎軟件的發展,最主要的原因是出于對國家安全的考慮。與此同時,目前我國國產數據庫產品的用戶,很大部分都是政府部門或者涉及國計民生的領域,因此我國數據庫廠商要想取得長期較好的發展,必須重視信息安全環節。
正因為如此,我國國產數據庫對數據庫安全問題格外重視。任永杰在接受記者采訪時指出:“安全是包括國產數據庫在內的國產基礎軟件支撐國家戰略的一個立足點,國產基礎軟件最終要為國家信息安全提供支撐。而國產基礎軟件發展成功與否,關鍵在于國產數據庫。”
無論是人大金倉的KingbaseES V7還是達夢的DM7,都在強調對包括列存儲、云計算等新技術的支持的同時,強調對安全的強化。
值得一提的是,人大金倉新推出的數據庫產品KingbaseES V7通過了公安部結構化保護級(第四級)的安全認證并獲得銷售許可證。據悉,安全四級是GB/T 20273-2006第四級結構化保護級的簡稱,是目前國內數據庫產品所能達到的最高安全等級。
