国内信息安全认证第1篇

工业控制系统安全防护体系建设离不开相关安全标准体系的支持，国外一些发达国家在工业控制系统信息安全防护领域的标准研究工作幵展较早，进展较快。同际上已建立一些工控系统信息安全方面的国际及国家技术组织标准，包括1SA-99(即1EC62443)、NERCCIP�NIST:SP800_82、WIBM-2784�IEC62351等等。近年来，随着我国信息安全等级保护政策的推进和实施力度不断加大，_家对工业控制系统信息安全重视程度不断加大，国家重要行业的工控系统信息安全防护建设也取得了长足的进步，研制并逐渐部署了相应的工业控制系统的标准体系，初步建立起了我国等级保护标准体系框架和信息安全标准体系框架，我国近年来工业控制系统信息安全标准建设内容。但从总体上讲，我国工控信息安全防护的标准体系建设仍明显滞后于工业控制系统的建设，同时在防护意识、防护策略、防护机制、法规标准等方面都存在不少问题。因此，建立覆盖工控应用领域、覆盖工控产品生命周期以及覆盖工控系统业务层次的工控信息安全标准体系迫在眉睫，需要从五方面人手：

（1)在国家政策支持引导下，结合我同工控领域信息安全问题和现状，分析工控系统信息安全保障体系建设需求，建立具有针对性的工控信息安全标准体系整体框架。

（2)开展重点标准的研制规划，逐步丰富和完善覆盖工控应用领域和产品生命周期的信息安全标准体系。

（3)积极跟踪和参与闰际相关标准规范制定，实现与国际认证机构的互认，体现我国工业安全意志。

（4)加快推动我同相关标准规范的制定，建立完善的标准体系。

（5)加速人才队伍培养，依据标准建设丁.控信息安全检测认证能力。

2大力发展自主可控检测认证工具集

我国工业控制系统信息安全领域长期受到核心技术限制、缺乏专业检测认证工具等诸多因素影响，导致我国重要基础设施面临着严重的安全威胁，因此，突破工控信息安全领域的技术壁垒，研发0主可控的检测认证工具集并与国际接轨势在必行。在检测认证工具集方面，闰际上是以ISASecure认证作为工业控制系统领域专业的安全认证标准，它是基于IEC62443标准系列发展安全认证流程的联盟。ISASecure认证包含嵌入式设备安全认证�EDSA)�系统安全认证�SSA)和安全开发生命周期认证�SDLA)三个项目。目前，_际上已经获得ISASecure认证认可的CRT测试工具有芬兰Codenomi⑶n的Defensics�日本FFRI的RavenforICS以及加拿大Wurldtech的Achilles,而国内并没有成熟的检测认证工具产品。发展我国自主可控的检测认证工具集将有助于改变我国工控信息安全领域缺乏核心技术的现状，提高我同工控系统检测发现和探查能力，从而提升我国工控信息安全水平。检测认证工具集的研发应以“自主可控，安全可靠”作为技术指导思想，从前瞻性研究人手，研究国际先进的安全技术，研究工控领域安全协议栈，建立典型工控模型库、工控信息漏洞库，对工业生产控制系统内部的上位机�PLC)�服务器、网络等资产信息、应ffl软件、服务、开放端口、防火墙、数据库审计等内容进行检测扫描，提供漏洞检测与发现、漏洞风险评估、可视化和漏洞修复建议等功能。通过自主可控检测认证工具集的研发，为我闽工控企业彻底解决生产控制系统内部的信息安全隐患，保证工业生产的安全生产、安全管理。

3快速推进工业控制系统信息安全培训

安全培训为培养高素质工业控制系统信息安全相关人才、提升相关从业人员的专业技术及管理能力提供规范化、科学化的知识体系。我_工业控制系统信息安全培训现状面临着培训主体混杂、未形成规范、培训内容指导性不强、培训基准不够完善以及以传统信息安全为参照物等问题，作为工业控制系统信息安全体系中不可或缺的一环，安全培训也处于亟待重视与完善的位置。

(1)以“标准”建设“培训基准”：随着工业控制系统信息安全领域国家标准和行业标准体系的不断完善和发展，需要积极主导、参与各类相关标准的研究、编制、监督等工作，建设可供工控安全领域合理、高效、安全发展的文件环境，进而推动工控信息安全培训基准的建设。

(2)以检测与认证带动安全培训：在自主可控检测认证工具集的基础上，结合工控领域安全评估服务，建设中立性的检测、认证环境，提供部级的权威检测认证服务，同时为培训业务的开展提供更有指导性、实效性的基础条件。以标准建设和自主可控检测认证工具为基础，从操作层面、技术层面、认证培训以及职业教育层面建设工业控制系统信息安全培训体系，提升图3自主可控检测认证工具集研发模型我国工控信息安全领域人员实践操作技术能力和安全技能，加速人才队伍培养。

4全面提供工业控制系统信息安全服务

为提升工控领域信息安全整体服务水平，在不断健全国家相关标准和发展自主可控安全技术体系的基础上，建设工业控制系统安全模拟仿真实验平台服务支撑环境，为行业用户提供定制化的安全评估、安全咨询、安全防护等服务。

(1)安全评估：研究制定安全评估的流程和方法，建设完备的安全评估体系；针对在役系统进行风险评估，提出整改、防护方案和建议，为相关企、事业单位提供安全评估服务，规范工控系统的安全建设。最终拥有完备的安全评估方法论，为工业控制领域各行业提供专业的安全评估服务；同时建立国内工业控制系统信息安全评估体系。

(2)安全咨询：研究制定安全咨询的流程和方法，建设完备的安全咨询体系；针对产品研发、系统设计，融入信息安全技术，整体提升新建工控系统的安全性。最终拥有完整的安全咨询体系，为各类工业控制领域提供专业的安全咨询服务，逐步建立安全的工业控制系统模型库。

(3)安全防护：研发工控领域自主可控的专用信息安全防护产品；全方位、多层次地针对工业控制系统提出信息安全防护解决方案；最终实现工控领域安全防护产品全面国产化；逐步完善自主可控的安全防护解决方案体系。

5总结

国内信息安全认证第2篇

【 关键词 】 互联网;信息安全;账号密码;身份认证

Security Investigation on the Internet Users’ Accounts and Passwords

Xie Jin 1 Liu Fan-bao 2 Xie Tao 2

（1.The First High School of Changsha HunanChangsha 410005;

2. School of Computer Science， National University of Defense Technology HunanChangsha 410073）

【 Abstract 】 Being directed against the basic problem of information security， i.e. the security of the Internet users’ accounts and their corresponding passwords， an investigation on the security level of inland network identity authentication has been carried on for 3 years. The investigation focuses on testing the security mechanisms applied in the registration （create a new account） and sign-in procedures of some dominant inland Internet Email service providers， and testing the security mechanisms applied in the registration and sign-in procedures of some dominant inland Internet E-Business service providers. To make comparisons on the security mechanism with overseas Internet Email service providers， similar tests have also been carried out on the three dominant Internet Email service providers， namely Hotmail， Gmail and Yahoo！Mail. Research results show that， China’s current information security can be leveled as very severe， so that some emergent measures must be taken to hold up the network security as soon as possible， and the first and foremost remedy is not to send a user’s username＼password over the circuit “in the clear” any more.

【 Keywords 】 internet;information security; account password; identity authentication

1 引言

与历史上改变人类生活方式的重大技术革命一样，网络技术已经成为一把名副其实的双刃剑。从模拟信号到数字信号、从有线连接到无线连接、从静止通讯到移动通讯、从单计算机应用到多计算机互联、从人-人互联到人-物与物-物互联，网络技术发展到今天，已经无处不在、不可或缺。但由于因特网的基础协议（TCP/IP）未考虑信息安全因素，使得在网络信息技术飞速发展的今天，安全问题也异常突出。网络账号密码泄密、网络阻塞、网站瘫痪、邮件伪造、黑客入侵、网络欺诈、假冒网站等信息安全问题，已经严重威胁电子金融、电子商务、电子政务、网络媒体、网络社交等互联网络服务的安全与信任问题。

愈演愈烈的“密码危机”已经演变成为对网络技术的信任危机。近年来，互联网用户信息泄露与入侵事件层出不穷，事件日益严重。例如，索尼上亿用户信息泄露，韩国SK通讯公司七成韩国人资料遭泄露，日本爱普生公司泄露3500万用户信息，美国银行与美国花旗银行信用卡信息遭泄露，华盛顿邮报百万用户信息遭泄露…… 近年来，我国也发生了史上最为严重的用户信息泄露事件。2011年12月，CSDN上600万用户资料被公开，知名团购网站美团网的用户账号密码信息也被宣告泄露，天涯社区、开心网、7K7K、猫扑等多个社区和游戏网站的用户数据相继外泄，网上公开暴露的网络账号密码超过1亿个。2013年3月，著名云笔记服务提供商Evernote 5000万用户身份密码遭黑客泄漏。 2014年12月，中国铁路客户服务中心12306用户数据在互联网遭到大量泄漏，包括用户账号、明文密码、身份证以及邮箱等。如何确保互联网上个人、组织、服务和设备之间的虚拟服务具有与现实服务同等的可靠度与诚信度，已成为网络安全行业在信息安全理论、技术、工程与管理上迫在眉睫、义不容辞的责任与使命。

身份认证是网络信息安全的基本保障。网络服务器通过身份认证与访问控制方式对合法注册用户进行授权与管理。用户首先通过注册（账号与密码）成为网络服务器的合法用户，只有通过身份认证的用户才能访问/使用（阅读、修改、下载等）网络服务器相应角色的资源。身份认证与访问控制是网络信息安全的基本技术和基本研究内容。网络信息安全涉及计算机操作系统、互联网络安全协议与密码算法的安全性，其中网络安全协议以密码算法为基础，采用网络协议的形式实现两个以上网络实体之间的远程身份认证、密钥协商以及确保消息的不可抵赖性。安全协议的安全性不仅取决于密码算法自身的安全性，同时也取决于协议形式的安全性。身份认证协议常用攻击方法包括网络监听、重放攻击、中间人攻击、在线攻击、离线攻击等等，一个不安全的身份认证协议可以被黑客利用进行网络攻击。因此，身份认证协议的安全性是确保网络身份认证安全的技术基础。

2 电子邮件系统与商业网站账号安全

我们首先对每个电子邮箱的三种登录方式分别进行了用户账号密码的传输方式测试，包括POP3登录方式、IMAP登录方式以及Web登录方式。然后，对每个电子邮箱注册服务过程中用户注册信息的传输方式进行测试。

2.1 电子邮箱POP3客户端登录安全方式调查

我们在2011年8月的调查结果表明，采用POP3客户端登录方式的所有国内电子邮件服务提供方默认使用明文密码进行用户身份认证，而且其中46%的境内邮件服务提供方（28家中的13家）仅支持明文密码认证。我们在2012年8月的调查结果表明，采用POP3客户端登录方式的所有境内电子邮件服务提供方仍然默认使用明文密码进行用户身份认证，而且其中39%的境内邮件服务提供方（28家中的11家）仅支持明文密码认证。一年期间，中国移动的139mail新增HTTPS支持，Tommail新增Login支持。此点说明，已经有境内电子邮件服务提供方开始认识到用户登录身份认证安全的重要性。调查统计结果如图1（a）所示。

2.2 电子邮箱IMAP客户端登录安全方式调查

我们在2012年8月的调查结果表明，25%的境内邮件服务提供方（28家中的7家）不支持IMAP客户端登录。在支持IMAP客户端登录的境内电子邮件服务提供方中，所有提供方默认使用明文密码进行用户身份认证，其中33%的提供方（21家中的7家）仅支持明文密码认证。调查统计结果如图1（b）所示。

2.3 电子邮箱Web页面注册与登录安全方式调查

我们在2012年8月的调查结果表明，除亿邮（eyou.mail）关闭了注册功能外，所有境内邮件服务提供方在用户注册过程中均将注册信息（包括账号与密码）以明文方式传输至注册服务器。在已调查的28个境内知名邮件服务提供方中有19个（比例为67.9%）为收费邮件服务（每月收取服务费用从五元至上百元不等），有9个（比例为32.1%）提供免费电子邮件服务。调查结果表明，境内邮件服务商信息安全意识不强，对用户私密信息缺乏足够安全保护。令人震惊的是，19家收费电子邮件系统中竟有16家（比例为84.2%）默认使用明文密码进行登录认证，仅有3家提供非明文密码的登录认证方式，而且其中一家仅仅采用极其简单的线性掩码变换方式对登录密码进行保护，另外两家则采用安全的HTTPS方式对登录过程中的密码传输进行加密保护。由此可见，境内电子邮件系统安全性十分脆弱。在9家免费电子邮件系统中，仅有搜狐旗下的4家提供安全的HTTPS对登录过程的密码传输进行加密保护，另外三个使用用户明文密码进行登录认证，剩余两家使用单向挑战响应认证方式对用户账号密码进行有限保护。根据轻量级（非公开密钥密码系统）动态身份认证方式中认证服务器数据库账号密码必须与用户登录密码一致的原理，可以推定其中使用单向挑战响应认证方式的两家邮件服务商均采用明文密码数据库，因此容易遭受因认证数据库泄密导致的集中泄密风险。调查统计结果如图2所示。

2.4 国外电子邮箱系统安全性调查

作为安全性比较分析，我们对境外三大电子邮箱服务器Hotmail、Gmail和Yahoo！Mail的安全身份认证方式进行了同样的测试工作，结果发现这些邮箱的注册与登录过程全部以安全HTTPS协议方式对用户账号密码信息进行加密传输，基本上没有明文账号密码传输认证方式选项。

境内电子邮件服务提供方仅采用最低安全级别的明文密码传输方式进行身份认证，而境外电子邮件服务方一般提供安全级别很高的口令密码加密传输保护方式。因此，境内电子邮件系统极易受到境内外黑客或者情报部门攻击，并利用用户个人私密信息进行商业牟利或政治与军事渗透活动。重视账号和内容安全的国内电子邮件用户因而转投境外电子邮件提供方。由于我们无法控制国外邮件服务器，而境外情报部门却能轻易控制并利用境内的电子邮箱信息，致使我国在网络信息安全技术领域处于不对称的弱势地位。此外，我国现有网络服务器等网络核心设备一般采用国外主机与操作系统，由网络设备制造方预设的硬件后门和软件后门所导致的安全风险也不容小觑。

2.5 商业网站账号安全性调查

名目繁多的境内互联网商业网站为用户提供购物、旅游、聊天、交友等系列服务，极大便利了广大用户的生活。这些网站数据库中留下了用户的各种私密信息（爱好、消费内容和习惯、交往人群等），如果这些用户信息发生集中泄露事件，用户就毫无隐私可言。2011年12月期间我国系列网站账号数据库集中泄露事件表明，境内商业网站的账号与密码的安全性令人质疑。

2012年8月我们集中调查了30家知名商业网站的账号密码安全性。受调查的商业网站涵盖生活、招聘、交友、团购、购物、旅游和视频等方面，在一定程度上代表了当前服务性商业网站的主流应用。我们主要通过监控用户注册过程和用户登录过程，检查网站是否提供必要的安全技术对用户的账号密码进行保护。其中29家商业网站在用户提交注册信息（包含账号密码）的过程中均未提供任何安全保护，包括知名购物网站淘宝网，用户设定的账号和密码通过明文方式经过不安全的互联网传送至网站服务器。京东商城使用HTTPS对注册和登录过程进行保护。

26家商业网站（比例86.7%）对用户的登录认证过程未提供任何安全保护，仅仅采用明文密码认证方式，包括知名团购网站拉手网和美团网以及三大招聘网站，如图3所示。仅有淘宝和京东商城提供了安全的HTTPS对用户登录认证过程的密码传输进行加密保护，另有三家网站（58同城、开心网和新浪微博）采用单向挑战响应认证方式对用户在登录认证过程中的密码传输进行了有限的保护。根据动态身份认证方式中认证服务器数据库账号密码必须与用户登录密码一致的原理，可以推定其中使用单向挑战响应认证方式的三家商业网站服务商采用明文密码数据库，因此容易遭受因认证数据库泄密导致的集中泄密风险。调查统计结果如图3所示。2014年8月，我们再一次对此30家知名商业网站的账号密码安全性进行复查，发现58同城网、CSDN论坛网、美团购物网、大公点评网以及去哪儿旅游网等几家商业或社交网站的注册与登录信息传输已经采用HTTPS安全协议进行了加密封装，其它网站仍然没有进行必要的安全升级。

3 调查结论与建议

3.1 调查结论

（1）境内互联网服务提供方用户的身份注册与登录认证过程普遍默认采用静态身份认证方式。虽然认证数据库用户的账号密码存储方式不明，但用户的账号密码却几乎全部采用明文密码传输方式。因此，容易遭受网络监听泄密风险。这是导致近几年国内外商业数据库账号密码泄密的主要技术原因。

（2）绝大部分境内互联网服务提供方的用户注册信息（账号与密码）传输仅仅提供唯一的明文传输方式，近半数境内互联网服务提供方用户登录身份认证的账号密码传输仅仅提供唯一的明文传输方式。因此，非常容易遭受网络监听泄密风险。这是导致近几年国内外商业数据库账号密码泄密的主要技术原因。

（3）境外互联网几大专业电子邮箱服务器Hotmail、Gmail和Yahoo！Mail均采用SSL＼TLS协议对口令实施加密传输动态认证，防止账号口令密码网络明文传输泄密风险;认证服务器数据库则采用账号口令散列值加密方式，预防数据库内部集中泄密风险。

（4）为了确保网络身份认证数据库安全与认证过程中认证信息传输的安全性，无论是国际互联网还是包括军网在内的各种内部专网，必须采用SSL＼TLS协议将网络身份认证过程加密封装，在口令密码散列值加密存储方式下实现非对称密码体制下的动态身份认证。

（5）密码算法、安全协议与网络工程以及操作系统各专业研究领域必须紧密合作，才能保证一项互联网应用工程中的信息安全。我国互联网普遍存在用户账号密码明文传输的不安全静态认证方式，根本原因在于互联网应用工程设计人员网络安全意识不强，对网络安全协议缺少研究，对常规网络攻击方法与行为缺乏了解，对潜在的网络攻击新理论与新技术更缺少关心。

根据轻量级动态身份认证的一致性原理可以推定，采用轻量级动态身份认证方式的认证数据库一般采用用户账号密码的明文存储方式。根据一致性原理同时可以推定，安全的认证数据库一般采用用户账号密码的单向散列值影子文件加密保护，而采用SSL/TLS安全协议将静态认证的明文密码传输转换成重量级动态认证的加密传输方式。这样，网络身份认证才能既可防止认证数据库的内部集中泄密风险，又能防止外部网络监听的重放攻击。

3.2 应急建议

（1）尽快对我国互联网开展一次用户身份认证方式的普查工作，检查认证数据库用户的账号密码存储方式与身份认证中账号密码的网络传输方式。

（2）尽快对我国各行业内部专用互联网（内部信息专网、政府办公专网、金融专网、邮电专网、铁路专网等等）开展一次用户身份认证方式的普查工作，检查认证数据库用户的账号密码存储方式与身份认证中账号密码的网络传输方式。

（3）采用SSL＼TLS协议对我国互联网用户身份认证过程实现加密封装，确保身份认证过程的动态性。

（4）加强网络信息安全意识，建立互联网攻防新技术专业实验室，为复杂信息化环境下的军事斗争加紧培养既精通密码算法与安全协议的分析方法又通晓操作系统与网络工程技术的复合型高级专门技术人才。

参考文献

[1] 谢涛，陈火旺，康立山. 幻方身份双向认证与密约传输一体化方法.中国知识产权局，发明专利号：331608，2007年6月.

[2] 谢涛. 一种用于身份真伪鉴别的幻方签名方法.中国知识产权局，发明专利号：695757，2010年11月.

[3] Freier A， Karlton P， Kocher P. The Secure Sockets Layer （SSL）Protocol Version 3.0. RFC 6101 （Historic）. August 2011. http：///rfc/rfc6101.txt.

[4] Dierks T， Rescorla E. The Transport Layer Security （TLS） Protocol Version 1.2. RFC 5246 （Proposed Standard）. August 2008. Updated by RFCs 5746， 5878， 6176， http：///rfc/rfc5246.txt.

[5] Rescorla E. HTTP Over TLS. RFC 2818 （Informational）. May 2000. Updated by RFC 5785， http：///rfc/rfc2818.txt.

[6] Fielding R， Gettys J， Mogul J， et al. Hypertext Transfer Protocol-HTTP/1.1. RFC 2616 （Draft Standard）. June 1999. Updated by RFCs 2817， 5785， 6266， http：///rfc/rfc2616.txt.

[7] Crispin M. INTERNET MESSAGE ACCESS PROTOCOL - VER- SION 4rev1. RFC 3501 （Proposed Standard）. March 2003. Updated by RFCs 4466， 4469， 4551， 5032， 5182， 5738， 6186， http：///rfc/rfc3501.txt.

基金项目：

本文工作得到国家自然科学基金项目NSF.61070228与 NSF.61472476的连续资助以及国防科技大学XXX实验室的大力支持。

作者简介：

谢瑾（1997-），女，湖南长沙人， 湖南省长沙市第一中学信息技术组成员;主要研究方向和关注领域：互联网应用创意、文学创作、数学游戏。

国内信息安全认证第3篇

届时，大会还将继续凸显“我国电子认证服务业发展现状与重点”的介绍，并以“工业控制系统安全高峰论坛”为本届大会的突出亮点，集纳各界经典名篇、学术成果、研究课题、应用经验，编辑出版《2013中国信息安全技术展望学术论文集》，其中优秀论文将择优在《信息安全与技术》（部级刊物）、《信息网络安全》、《计算机安全》、《电脑编程技巧与维护》上刊登，并全文收录于《中国学术期刊网络出版总库》及CNKI系列数据库、《中文核心期刊（遴选）数据库》、《中文科技期刊数据库》和龙源期刊网。

征文内容如下：

1.计算机安全、下一代网络安全技术；

2.网络安全与网络管理、密码学、软件安全；

3.信息系统等级安全保护、重要信息系统安全；

4.云计算与云安全、物联网的安全；

5.移动互联网的安全信息安全保障体系、移动计算平台安全性研究；

6.信息内容安全、通信安全、网络攻防渗透测试技术；

7.可信计算；

8.关键基础设施安全；

9.系统与网络协议安全分析；

10.系统架构安全分析；

11.面向业务应用的整体安全保护方案；

12.信息安全漏洞态势研究；

13.新技术新应用信息安全态势研究；

14.Web应用安全；

15.计算机系统安全等级保护标准的实施与发展现状；

16.国内外电子认证服务相关政策与标准研究；

17.电子认证服务最新技术和产品；

18.电子认证服务应用创新；

19.电子认证服务行业研究和热点事件解析；

20.可靠电子签名与数据电文的认定程序/技术规范/应用规范/应用案例分析；

21.数字证书交叉认证技术规范/应用规范/应用案例分析；

22.电子认证服务与云计算、物联网、移动互联网等新技术、新应用融合的相关技术、标准规范和应用发展情况；

23.工业控制系统信息安全标准；

24.信息安全和功能安全标准化；

25.信息安全和功能安全集成技术；

26.工业控制系统安全性的技术指标与经济成本；

27.信息安全产品设计和系统集成；

28.工业控制系统安全的评估与认证；

29.工业控制系统的信息安全解决方案；

30.工业自动化安全面临的风险；

31.国外工业控制系统安全的做法；

32.工业控制系统信息安全现状及其发展趋势；

33.工业控制系统安全性的建议；

34.工控系统与信息系统对信息安全的不同需求；

35.工业控制系统的安全性与可用性之间的矛盾与平衡；

36.应用行业工业控制系统的信息安全防护体系；

37.工业控制系统安全测评体系；

38.工业控制系统安全安全策略；

国内信息安全认证第4篇

【关键词】人力资源；社会保障；网络信任；主要基础；主要内容

一、我国人力资源方面社会保障互联网信任系统概述

我国人力资源方面社会保障互联网信任体系是主要以密码认证技术为主要的技术支撑，同时以电子认证系统作为主要的基础设施，其次也是建立在数字证书模块的应用开发的基础之上的，面向人力资源方面社会保障互联网信息以及各类业务的系统，应当做到同时实现以授权管理、责任认定以及身份认证为主要建设内容的安全应用。

包括授权管理以及电子认证这两大社会保障互联网信任系统，其中，授权管理是建立互联网信任体系的最基本条件，同时是建立于密码技术之上的用以实现证书的生命周期的管理以及加密码揭秘、签名验证、身份认证等证书应用类功能的管理体系以及技术体系。

我国的人力资源方面社会保障互联网信任体系中包括了我国人力资源方面社会保障电子性质政务外网以及内网的服务认证系统。而内网的电子信息认证系统，其主要根据的是国际要求而办理的相关系统，而内网电子信息认证系统则是根据群众需求、主要面向全国人民并使其访问的电子服务认证系统。而前者主要是为内部人员访问所使用的认证服务，后者的重点则是面向大众化的社会服务性质的电子服务认证系统。

二、建设全国各地区网络统一的信任体系的必然性以及必要性

建设全国各地区统一网络的信任体系，其主要目的是为了确保我国在人力资源方面的社会保障系统的安全性的最基本的需求。而在我们的人力资源方面社会保障联网的主要应用包括了对于医疗保险以及养老保险的基金监督业务、经办业务以及公共方面的服务性等等，在这些主要业务系统的应用过程中，有一部分为了保证整个系统的安全性以及保密性最佳操作，需要核对这些应用使用者的操作权限以及有效的身份证明，并且其中一部分还需要去保证数据传输过程中的信息的保密性、准确性以及其不可抵赖性，在事后可能会追究其部分的相关法律责任等。同时，作为21世纪唯一能够对访问控制、信息保密、抗抵赖以及身份认证等系列问题进行同时处理的安全技术，基于公钥基础设施技术的互联网信任体系的建立是对于解决我国人力资源方面社会保障系统应用安全问题的一大有力措施和有效方法。

其次，是为了解决同等行业内的跨地区工作和相互间的安全信用的迫切需要。目前在世界各地区，各个核心业务的扩散以及应用为了满足各自对业务的不同方面的不同需求，也逐渐开始使用不同的安全级别、不同的认证机构或者基于不同的技术支持的认证系统。但是由于每一种安全认证系统之间的认证标准、建设体系的不一致，也导致其对于我国的人力资源方面社会保障行业业内的安全认证来说不存在权威性，同时也致使在行业内部的应用系统方面形成了一道甚至是多道的天然隔离墙，从本质上来讲，极难实现在行业内部的相互间的安全信任，同时在各个省市甚至是全国并不能到达我们所希冀的结果，因此，在国家的整体规划下，我国自行建设行业内部统一的互联网信任体系已经是刻不容缓的一项重要措施。

然后，人力资源方面社会保障互联网信息系统就是为了保证行业内部相互间安全信任的权威性的必然要求。为了保证整个国家的人力资源方面社会保障行业各式认证系统的统一性、权威性以及高度的安全性，应该在整体上下功夫，用以保证对行业的公钥基础设施网络认证体系的建设进行统一的建设以及统一的规划，并且在管理认证上做到规范的管理以及严格的控制。只有这样，国家才能够适应社会上参差不齐的网络应用系统对于安全的需求，以确保保持统一的中国人力资源方面社会保障互联网信息系统信任源，并且维护我国人力资源方面的社会保障互联网信息的权威性，这样做也有利于其他认证节点以及源点用来促进、实现相互间的认识和信任，更深层次的意义在于有利于各省市地区间的劳动保障工作的推行和开展。

最后一点，也是当下进行电子信息安全应用保护等级的全面整改的一项最为重要的内容。我国规定，根据电子信息技术系统以及安全信息系统等级保护在设计技术方面的额具体要求，对于大于等于三级的信息系统，当用户在进行身份鉴定时必须提出采用了强化管理以后的口令，或是基于生物特点特征、数字化证书以及具有其他相当应的安全强度的其他类的两种或者两种以上通过组合机制进行用户方面的身份鉴别，并且在针对数据鉴别是进行的完整性以及保密性措施。因此，积极建设互联网信任系统以及开展建立于数字证书的大众化应用，对于安全等级大于等于三级的信息系统而定建设起着十分有利的促进作用。

三、我国人力资源方面社会保障网络信息认证系统建设模式的选择

(一)省级、直辖市人力资源方面社会保障互联网信任体系电子认证系统的相应建设模式选择

模式方案一：我国人力资源方面社会保障互联网信任体系认证系统属于二级电子信息认证节点，并且以社会保障方面和人力资源方面的电子认证系统作为主要依托关系，直接简历第二等级的密钥管理系统以及证书签发接受管理系统，甚至还包括密码服务系统、证书注册系统以及最终的证书查找验证系统，其通过业务部专网与省部级的Certificate Authority认证中心进行重点连接，并且实现其与基础认证系统的电子信息通信，同时也会在专网中以及对外网服务的INTERNET晚上分别进行详细的部署证书审查验证的服务系统，并且通过对数据的同步来实现为互联网以及专网提供对数字证书的查询以及验证等服务。

模式方案二：将我国人力资源方面社会保障互联网信任体系电子信息认证系统看作是人力资源以及社会保障电子认证系统的一个延伸服务或是互联网端的，同步建立证书的查询验证以及注册服务系统，并且在同时通过业务类的专用网络与省部级的Certificate Authority认证中心进行一定时间与内容的电子信息链接，实现对证书的有效查询、申请以及下载服务，与此同时，在外部网络以及对外进行服务的INTERNET网络上分别实行部署证书查验服务系统端，其次通过对数据同步也可以实现为专用网络以及INTERNET服务提供一定的数子证书的查询以及验证服务。

(二)市级人力资源方面社会保障互联网信任体系电子认证系统模式的选择

市级人力资源方面社会保障互联网信任体系电子认证系统作为我国人力资源方面社会保障电子信息认证系统的一个延伸，如果根据所处于的市县所选建的模式，我们可以冲一下两种建设模式中任选其一：

模式方案一：如果在市县级建设子Cer-tificate Authority系统的基本方式上，建设相对应的管理中心，其中主要就包括一下几点内容：一是证书的注册认证管理系统，第二就是用户登录的密码服务管理系统，第三是在证书方面的验证查询系统，以及最后的证书注册点。并且通过业务专用网络与市县级的证书认证中心实现联机，并且市县对证书的下载以及申请。与此同时在对外部进行服务连接的internet互联网上以及内部专用网络上分别取不是证书的验证服务系统以及查询系统，并且可以通过一定的数据同步来实现互联网服务以及专用网络说提供的查询服务以及验证服务。

模式方案二（注册点方式）：在市县级建设的RA（Registration Authority注册审批系统机构）系统的基础上建设证书的注册点，其中包括以下三个终端模式：第一种是录入终端，其次是审核中断，以及最后是证书的制作终端。而其主要提供的服务及时为市县级的人力资源方面社会保障互联网信任体系电子认证系统的审核、证书以及注册下载等服务。

四、结语

目前我国人力资源方面社会保障互联网信任体系主要是建立在一系列的安全密码保护措施以及对内部网络以及外部网络的登录人员的服务系统上的，并且对这些用户提供一系列的并且全面的证书的注册认证管理服务，用户登录的密码管理服务，其次就是在证书方面的验证查询服务，以及最后的证书注册点服务，并且这些事具有一定的统一性、权威性以及高度的安全性。

但是，我国目前的人力资源方面社会保障互联网信任体系才刚刚建立，还并不是很完善，需要在结合我国的基本国情的情况下，并且对国际上有关于人力资源方面社会保障互联网信任体系资源的取长补短上，我们需要在不断地进步中，促进我国的互联网人力资源或者是社会保障工作的进步和使其有一个良性并且长远的发展前景。而要做到这些，就必须我们的技术人员，以及我们的访问人员为此做出积极的努力，哪怕只是建议或者是实际系统功能上的改善。

参考文献

[1]吕丽娟.人力资源和社会保障部可信安全应用支撑平台建设[J].信息网络安全,2008(10):51-52.

[2]于亚东.信息技术在提升劳动保障公共服务中的作用及实践[J].科技信息,2011(27):415-415,423,424.

[3]秦月华.城市社区卫生服务运行现状评估与发展研究[D].江西财经大学,2006.

[4]张峰.关于人力资源和社会保障信息管理探讨[J].中国电子商务,2011(2):167-167.

[5]周俊.粤豫人力资源社会保障工作交流合作协议签订[J].人才资源开发,2012(5):F0002-F0002.

[6]常勇斌.人力资源和社会保障的信息化建设探究[J].财经界,2012(4):285-285.

国内信息安全认证第5篇

 

安全技术需自主研发

 

网络信息安全行业不是普通行业，是关系到国家安全的特殊行业，中国国产企业在从事信息安全行业时，需要有强烈的爱国主义情怀和刻苦研发技术的实干精神。

 

周强表示，中国的信息安全更应重视核心技术的自主研发能力。在电子银行与移动支付兴起的今天，金融业务中电子银行和证券等领域面临着网络攻击、病毒侵扰、非法窃取账户信息、客户信息泄漏等新的信息安全问题。众人科技研发的‘iKEY多因素动态密码身份认证系统’正是针对信息安全问题所研发的认证系统。

 

记者了解到，“iKEY多因素动态密码身份认证系统”是基于时间同步技术的多因素认证系统，该系统已获得了国家密码管理局颁发的国内首张动态口令产品证书，相关的专用安全芯片也获得了国内产品型号证书。

 

去介质下的认证技术

 

最新数据显示，截止2015年底，全国网民数规模已达到6.88亿人，手机网民数达到6.2亿人，占网民总数的90.1%，其中网购用户规模达到4.13亿，比例高达六成;截至2015年12月，网上支付用户规模达4.16亿人，手机网上支付用户规模达3.58亿人，增长率为64.5%。网民手机网上支付的比例由2014年底的39.0%提升至57.7%。

 

庞大的网民逐渐使用起网上支付这种便捷移动的方式，但背后却有着巨大的网络安全隐患。就中国而言，每年造成805亿资金损失，人均124元。其中约4500万网民近一年遭受经济损失在1000元以上，全球范围内的网络犯罪掘金已高达3万亿美金。

 

周强推测，随着支付、存款、转账、理财、信贷等金融服务的线上化，未来金融服务不再依赖于实体的银行卡，银行物理网点也将转型并逐渐消失，未来银行的介质是可以多元化的，比如虹膜、指纹等，甚至银行卡实体会“消失”或者虚拟化。

 

基于这些实际情况，上海众人网络安全技术有限公司的研发团队最新发明了移动互联网创新密码技术——SOTP，即“多因素动态可重构的确定真实性认证技术”，实现了密钥和算法的融合，在无需增加硬件的前提下，采用软件方式解决移动设备中存储密钥的关键性问题。周强表示：“该项技术从加密协议到密码算法的所有部件都由众人科技自主研发，在业界具有领先优势。”

 

提高全民安全意识

 

据《中国网民权益保护调查报告(2015)》显示，79.2%的中国网民个人身份信息被泄露过，包括网民的姓名、学历、家庭住址、身份证号和工作单位等;63.4%的网民个人网上活动信息被泄露过，包括通话记录、网购记录、网站浏览痕迹、IP地址等等。

 

未来，随着民众对信息安全的重视，信息安全技术逐渐升温，很多信息网络企业开始积极投身到这个领域，周强说：“网络信息安全企业不同于普通行业，信息安全人士需要有持久的耐心，由于安全密码行业的认证许可门槛高，研发的新技术从获得政府监管部门的认证许可，到产品真正被市场认可并应用，需要经过漫长的时间。”

 

另一方面，周强认为提高广大民众和企业的信息安全意识是发展自主信息安全产品的根本与前提。但大多数人对信息安全还停留在模糊认识的阶段，为此，众人科技团队曾四处奔走为信息安全摇旗呐喊，致力于提高广大民主的信息安全意识，增进公众对信息安全的关注和投入，为信息安全行业的发展创造一个良好的环境。

国内信息安全认证第6篇

日前，我国专门从事数字证书认证系统开发的吉大正元信息技术股份有限公司与公安部举行了“公安部信息安全认证管理系统（试点工程）”合同签字仪式。吉大正元将承担“公安部信息安全认证管理系统（试点工程）”的具体实施工作。

金盾工程(公安综合信息网络建设工程)是全国公安信息化工程，其实质是利用现代化信息通信技术，增强公安机关快速反应、协同作战的能力；提高公安机关的工作效率和侦察破案水平，适应新形式下社会治安的动态管理。目的是实现以全国犯罪信息中心（CCIC）为核心，以各项公安业务应用为基础的信息共享和综合利用，为各项公安工作提供强有力的信息支持。预计到2004年，金盾工程将在全国范围内准备100％完成联结公安部到各省、自治区、直辖市的一级网，以及联结省到各地市的二级网的建设。而“公安部信息安全认证管理系统（试点工程）”作为“金盾工程”安全保障体系的关键，主要解决公安信息网潜在的安全问题，进而建立有效的公安信息安全管理系统运行机制。

吉大正元信息技术股份有限公司是中国最大的数字证书厂商之一，是国家密码管理委员会办公室认定的商用密码产品生产、销售定点单位。公司自主开发的“吉大正元数字证书认证系统”处于国际先进、国内领先地位，通过了国家密码管理委员会办公室、中国国家信息安全测评认证中心和公安部计算机信息系统安全产品质量监督检验中心的审查和检测，并取得了销售许可证，在2001年度被国家经贸委评为部级重点新产品。该系统是1999年10月国务院颁布《商用密码管理条例》以来，我国第一个通过部级鉴定的拥有自主知识产权的数字证书认证系统。

据了解，吉大正元已经先后承担建设了6个部级CA中心、6个省市级CA中心和20多个企业级CA中心。其中，承建的福建省电子商务证书安全认证中心、电子商务密钥管理中心是我国第一个通过部级鉴定的区域性电子商务证书安全认证中心和电子商务密钥管理中心。吉大正元数字证书认证系统已经在银行、证券、税务、工商、邮政等行业得到广泛应用，市场占有率居于全国首位。

国内信息安全认证第7篇

构建网络信任服务体系

作为权威、公正的第三方电子认证服务机构，BJCA自成立以来一直致力于开展可信服务，营造网络诚信环境。公司努力构建以客户为中心的网络信任服务体系，全心全意为政府信息化建设、企业经营环境优化、民生信息化建设和网络经济发展服务。公司通过一系列应用安全产品和信息安全解决方案，扩大数字证书的应用领域。经过10年来的艰苦创业，BJCA已经发展成为电子认证服务行业的领跑者。

遵照《中华人民共和国电子签名法》的要求和相关管理规定，BJCA推出了政务通、信天行等系列品牌数字证书服务。公司坚持“以服务求生存，用创新谋发展”的企业发展观，确立以用户价值为核心的服务意识，在全国率先开展了以客户需求为导向的新型电子认证服务体系建设。BJCA按照“可信规范运营，随需应变服务”的服务宗旨，通过日渐丰富的电子认证服务内容、创新的服务模式、完善的服务流程、品牌化的服务形象、稳步提升的服务能力，满足客户不断变化的需求，引领了电子认证服务行业的发展方向。

在过去的10年中，BJCA凭借北京市加快信息化建设步伐的良好契机，以北京为基地迅速向全国市场拓展，通过覆盖全面、运营高效的数字证书服务网络，提供包括数字证书申请、审核、制作、颁发、存档、查询、废止等全过程的服务，同时还向大规模行业客户和地区提供认证服务系统（如CA、RA和受理点）建设的服务。

BJCA凭借在数字认证服务行业长期积的丰富经验和强大的技术研发实力，基于数字证书、电子签名等相关核心技术，针对网络信任体系的关键环节，面向市场推出一系列自主研发的支撑数字证书应用的软硬件产品，如Web信息安全系统、统一认证管理系统、电子签章系统、签名服务器、时间戳、实名接入网关等，形成应用安全解决方案。这些产品很好地将数字证书简便、无缝地集成到各类应用系统中去，满足了客户对身份认证、授权管理和责任认定等方面的需求，极大提升了客户核心业务网络环境的安全信任指数。

随着整个社会信息化应用程度的不断提高，各个行业和业务领域都有其自身鲜明的特点，结合不同行业和业务对电子认证的个性化需求，BJCA在CA运营基础服务和自主研发的安全产品支撑下，为客户提供量身定制的服务，针对网上办公、网上审批、网上招标采购、网上办税、网上发票、网上银行、网上保险、网络教育、网上娱乐等多种行业和业务，设计出一批信息安全解决方案，成为国内提供此类案例数量最多，涵盖范围最广的电子认证服务商。

BJCA正在通过以客户为中心的新型电子认证服务体系、自主知识产权的应用软件产品和专业定制的安全解决方案，为电子政务、电子商务、企业信息化发展等领域的客户构建安全、可靠的信任环境。

以数字认证服务为基础业务不断发展壮大的BJCA，将视角集中在信息安全服务领域。作为专业的信息安全服务商，BJCA于2004年荣获北京市信息安全服务能力一级证书，于2006年获得涉及国家秘密的计算机信息系统集成资质，于2009年获得国家信息安全服务安全工程类一级证书，并于2011年获得国家信息安全应急处理服务三级资质和国家信息安全风险评估服务一级资质。

以客户为中心

BJCA拥有国内一流的信息安全专家和专业的信息安全服务队伍。这些专家紧跟信息安全领域发展趋势，熟悉各种信息安全政策、标准、指南和要求，遵循“分域防护、深层防御；分级保护、动态防范”的原则，能够根据客户信息系统生命周期的不同阶段（系统规划、方案设计、系统集成、运行维护）的相应需求，利用科学的手段和方法，有效开展安全需求分析、安全风险评估；协助客户确定安全等级，制定安全策略，设计安全方案；组织实施安全建设或改造；协助客户制定安全管理制度；提供安全维护和应急响应服务；保障方便获取全方位、专业性、持续性和个性化的安全技术支持与服务。

2008年，BJCA成功建设了奥运多语言服务信息系统安全体系、北京奥组委中级网站安全保障系统、北京市资源共相交换平台安全保障体系，并为国家发改委“金宏”工程和农业部行政审批综合办公系统提供安全认证服务，还为中国投资担保有限公司、北京银行、西南证券、民族证券、中航信诺民航保险在线、中国招标投标网、国美电器等机构的系统提供安全服务。

值得一提的是，在奥运筹办和召开期间，BJCA充分发挥自身优势，为涉及奥运成功举办和城市正常运行、社会稳定的重要信息系统提供安全保障服务，为平安奥运做出了应有的贡献，受到了北京市奥运会残奥会运行指挥部、北京市奥组委、北京市国资委、北京市信息办等单位的表彰。

作为以技术为先导的现代服务企业和行业方向的引导者，BJCA肩负起社会赋予的责任和使命，不仅参与行业规划，还承担行业标准制定和国家课题研究攻关。

近几年来，BJCA承担了国家安标委《网络信任体系相关指导性文件》、《统一的面向应用的服务接口规范》等标准的制定，还承担了科技部863课题《高安全弹性CA技术研究》、国家发改委国家信息化试点――“以客户为中心的新型电子认证服务体系”的研究攻关，并当选为全国信息安全标准化技术委员会成员和中国PKI论坛理事单位，被指定为国家信息安全风险评估、信息安全管理体系建设试点技术支持单位。

国内信息安全认证第8篇

关键词：物联网；安全认证；技术；研究

中图分类号：TP274.2 文献标识码：A 文章编号：1007-9599 (2012) 11-0000-01

一、物联网安全层次及其内容

物联网安全性有着自己的特征，现阶段，由于物联网是一种新事物，对物联网这种新事物的相关概念、及其内涵和外延并没有形成统一意见，相关研究学者认为物联网应该具备以下三个特点：1.感知性，即物联网能够对整个体系进行自我感知。2.传递性，即物联网能够通过信息技术实现信息的可靠传递。3.智能性，即物联网能够人机交互的相关信息进行智能化处理。根据物联网这三个基本特点，在进行物联网安全内容分析时可以从物联网的感知层、传输层、处理层三个安全层次，与互联网相比，物联网主要实现人与物、物与物之间的通信，通信的对象扩大到了物品。根据功能的不同，物联网网络体系结构大致分为3个层次，底层是用来信息采集的感知层，中间层是数据传输的网络层，顶层则是应用／中间件层。

物理安全层：保证物联网信息采集节点不被欺骗、控制、破坏。信息采集安全层：防止采集的信息被窃听、篡改、伪造和重放攻击，主要涉及传感技术和RFID的安全。在物联网层次模型中，物理安全层和信息采集安全层对应于物联网的感知层安全。信息传输安全层：保证信息传递过程中数据的机密性、完整性、真实性和新鲜性，主要是电信通信网络的安全，对应于物联网的网络层安全。信息处理安全层：保证信息的私密性和储存安全等，主要是个体隐私保护和中间件安全等，对应于物联网中应用层安全。

二、物联网在我国发展现状及存在问题

（一）我国物联网发展的现状

物联网在我国发展迅速，因为物联网在我国发展有着很强的优势，无论是在政策上、技术上、还是市场上，在政策上，我国政府对物联网的发展相对重视，一方面中国科学院早已经开始着手对传感网进行研究，另一方面我国已经将物联网的建设纳入都国家信息化发展的总体规划中，政府对物联网发展的重视和大力支持使得我国物联网在短时间内发展迅速，在技术上，我国物联网行业起步较早，在国家和政府的大力支持下，物联网技术研发水平处于国际领先行列，已经可以影响行业标准。我国已经开始尝试将物联网实验室内研发的相关技术商业化。在市场方面，我国是发展中国家，物联网在我国的运用和发展前景巨大，物联网在我国是朝阳产业。我国国内本身也市场需求巨大，这为我国物联网的迅速发展提供了广阔的市场。

（二）我国物联网发展存在的问题

1.物联网发展的相关立法和政策滞后。物联网是一种新事物，我国对物联网发展的相关立法和政策制定相对滞后于我国物流的发展水平，而物联网对我国的社会经济发展和国防安全就有十分重要的战略意义，我国政府相关部门应该加强物联网法律法规政策研究，为推进我国物联网发展创造良好的政策环境和法律环境。2.物联网技术标准和行业标准不统一。物联网的发展客观上需要对相关技术进行统一，物联网相关企业和研发单位在开发新的物联网技术时要考虑系统和设备的相互兼容性，目前，我国物联网行业发展标准和技术还不统一，相关企业各自为政，这对我国物联网未来发展极为不利。3.物联网安全形势十分严峻。我国物联网的发展面临着十分严峻的安全形势，安全问题亟需从技术和法律层面上得到有效解决。物联网的兴起既给人们生活带来了诸多便利，但也使得人们对它的依赖性越来越大。如果物联网被恶意的入侵和破坏，那么个人隐私和信息就会被窃取，更不必说国家的军事和财产安全。这一点，从互联网时代的黑客行为就可想象得到它的巨大危害性。

（三）物联网安全认证机制

我国物联网现有安全认证机制主要包括以下几个方面，包括组认证机制、设备认证机制、基于认证的密钥协商机制等，如下图所示：

1.组认证机制：认证机制对确保物联网安全具有十分重要的意义，通常认证机制能够实现为用户提供双向认证，即物联网终端与互联网间双向认证，用户与业务平台之间认证是建立在合作协议基础上的，现阶段，AKA认证方式是3GPP网络中网络接入认证的基本方式，这种认证机制能够实现双向认证，能够协商出网络和用户共享的加密密钥与完整性保护密钥。由于物联网的发展前景广阔，未来物联网终端设备持有量会大量增长，通过这些终端设备组成一个或者多个组，物联网可以考虑组内的终端节点认证方法。

2.设备认证机制：众所周知，物联网终端设备一个最大的特点就是一般处于无人值守的情况下，这容易引发终端设备被恶意损坏、不法分子非法接入物联网网络等相关安全问题，这客观上要求网络必须要建立验证接入网络设备合法性的机制。设备认证机制是解决这一问题的重要方法。设备认证机制可以确保只有合法的物联网终端设备接入网络，维护用户的合法利益，避免因非法设备接入带来的利益争端问题及网络安全问题。

3.基于认证的密钥协商机制：物联网架构底层可以是终端设备也可以是传感器，密钥管理对具有网络通信能力的终端设备来说可以解决通信网络和传感器密钥结合问题。通信网络与传感器网络间可通过认证产生共享的密钥，传感器网关与传感器网络节点间通过传感器网络的认证获得共享的密钥，然后传感器网关将与通信网络共享的密钥转发给传感器网络中的传感器节点，使得传感器节点与通信网络间共享密钥或基于此共享密钥产生新的密钥。

参考文献：

[1]International Telecommunication Union.ITU Internet Reports 2005 Internet of Things,2005

[2]物联网的定义和应用,射频世界,第4期,2010

[3]焦文娟.物联网安全-认证技术研究[D].北京邮电大学,2010,(01)

国内信息安全认证第9篇

在上述背景下，“自主、可控”的呼声日高。然而，在信息安全领域“自主、可控”却并不是一蹴而就的轻松话题。这既和我们的信息产业水平有关，又受影响于信息安全产业的新变化。对此，国家信息技术安全研究中心总工程师李京春表示，应对信息安全挑战是一个复杂的社会工程，需要政府、企业、组织和个人共同努力，从法律、管理、技术标准、产业等各个方面采取综合的措施，科学地加以应对。

规则先行

规圆，矩方，没有规矩不成方圆。信息安全产业的发展，离不开国家政策的规范与引导。如果从2000年科技部正式批准建立信息安全成果产业化（西部）基地开始算起，国家宏观调控下的信息安全产业，已经走过了13个年头。

在信息安全标准化方面，自2002年全国信息安全标准化技术委员会成立以来，信息安全标准化体系不断完善，初步建立了信息安全标准体系框架，形成了覆盖信息安全基础、技术、管理、测评等领域一批支撑国家信息安全保障体系建设的国家标准。

在信息安全产品认证认可方面，2004年10月，中国国家认证监督管理委员会与公安部等8部门联合《关于建立国家信息安全产品认证认可体系的通知》，为做好信息安全产品认证认可体系奠定了基础。2010年7月，国家认监委了26号公告，正式明确了“国家信息安全产品认证制度”的名称，认证证书名称为“中国国家信息安全产品认证证书”，并公布了证书式样及认证标志。

在信息安全法律法规体系建设方面，国家已经出台了《全国人民代表大会常务委员会关于维护互联网安全的决定》、《电子签名法》、《中华人民共和国计算机信息系统安全保护条例》、《商用密码管理条例》、《国家安全法》等等。而为切实加强网络与信息安全管理，遏制有害不良信息传播，不少有识之士甚至呼吁互联网立法并得到了主管部门的响应。此前，工业和信息化部部长苗圩在接受媒体采访时表示，工信部支持互联网安全立法，在相关法律法规出台后，工信部将出台一系列配套措施。

此外，包括“核高基”、“863”等等一系列部级重大科技专项，集中优势资源，持续创新，造就了一批具有核心技术、自主知识产权、国际竞争力的企业。

在基础软件中间件领域努力耕耘了12年的景新海，领导中创软件集团在中间件“微内核”技术方面实现了突破。正如CPU之于PC机，中间件“微内核”定义标准化服务，实现对网络服务的统一调度，从而带来网络应用系统开发和部署方式的变革。同时，由于我国信息化建设采用了相当数量国外的操作系统和数据库产品，基于自主知识产权的“微内核”技术，中间件产品能够有效地屏蔽其中可能存在的安全后门等问题，保障国家政治经济信息安全。除了中间件“微内核”技术，龙芯、龙腾服务器等一系列产品和技术在核高基科技专项下也相继面世，成为我国发展自主可控的信息产业的重要里程碑。可以说，在跟踪世界科技的前沿，促进中国的科学技术发展，并推动科学技术成果转化，加强原始性创新领域，核高基项目在更深的层面和更广泛的领域解决了国家经济与社会发展中的重大科学问题。

但也必须看到，信息安全产业的现状与“自主、可控”的目标仍相距甚远。来自Gantner的数据显示，2012年，仅思科产品所占有的中国金融行业市场份额高达70%以上。更有数据显示，自1994年进入中国的20年间，思科已经遍布中国金融、航空、固网等各大通信领域，中国市场为思科提供了3%～4%的全球收入和30%的全球利润。此外，在安全产业整体投入占GDP比上，我国与美国等发达国家也有较大差距。来自网康公司的《中美网络安全产业对比及应对》报告显示，中美两国之间的GDP相差不到一倍，政府在信息安全方面的预算却相差15倍有余，而在更加广泛的SMB市场中，中国的信息安全投资水平仅相当于美国的2%不到。相对于GDP而言，我们在信息安全上的投入严重不足，而且表现出结构上的严重失衡。这一方面需要国家对信息安全产业的发展做出更优化的顶层设计，另一方面，也需要业界在创新与产业化方面做出更多努力。

信息安全第一股

顶在卫士通公司的头上有两个光环，一是“中国信息安全第一股”，二是“信息安全国家队”。前者因其2008年作为业内企业最早在深交所挂牌上市，而后者是因为它是国内首家专业从事信息安全的股份制企业。

作为首家信息安全上市公司，资本市场为卫士通的腾飞插上了双翼。2008年8月，卫士通正式登陆中小板，募资2.06亿元，投建4个项目。借力资本市场后，卫士通得到快速成长，年增长率超过30%，2012年公司营业收入已经高达31742.97万元亿元。

卫士通高速发展的背后，依托的还有中国电子科技集团公司（CETC）第30研究所。也正是因此，卫士通在在国防信息安全领域的深厚积淀，经过十余年的耕耘，打造了具有自主知识产权的信息安全产品线和服务模式，从核心的密码技术应用持续拓展，发展成为拥有六大类产品体系、近20个产品族类、100余个产品/系统的国内最大信息安全产品供应商，并以完整的产品线优势，基于ISSE体系框架为党政、军工、电力、金融以及其他大型企业集团、中小企业及事业单位等各层次用户提供以“安全咨询、安全评估、安全建设、安全运维”为主要内容的信息系统全生命周期的安全集成与服务。

基于技术领先优势和行业的领导地位，卫士通参与了大量国家信息安全行业标准的制定——国家信息安全标准体系、信息安全产品认证管理、电子政务认证基础设施、可信计算、RFID、射频系统、传感器网络等专业标准的制定。通过大量参与国家行业标准制定工作，卫士通将行业发展的主流趋势与国家信息安全重点保持一致。公司还承担了大量部级项目的重大技术攻关及产业化工作。包括国家“863”、“S863”，国家“十五”、“十一五”计划，科技部“高技术产业化示范工程项目”，科技部“面向电子商务的安全支付平台”火炬计划项目以及其他国家、省部委重点新产品、重点技术创新科研项目达50余项以上。

在卫士通的带动下，成都本地的信息安全产业也形成了聚集效应，实现了快速发展。数据显示，成都目前已有信息安全领域企业近百家。其中，卫士通公司牵头建设的西部首个信息安全产业园已经运营了3年，已有近20多家企业意向入驻。此外，该公司还牵头成立了四川省产业技术创新联盟。至此，省、市、高新区成立三级信息安全联盟整体出击，迈开了以联盟和集群拉动企业发展的步伐。

去IOE与信息安全产业联盟

虽然，国产ICT企业在技术和产品上，最近几年已经取得了长足的进步，但是在某些领域其国产化的步伐仍然较慢。金融领域，就是一个典型代表。此前，在某媒体所做的“金融业去IOE调查”显示去IOE并不轻松，“金融机构并不愿意以牺牲稳定性作为代价，给国内厂商更多试错的机会，即使在实力差距甚小的PC领域”。

不过，在发改委、银监会、证监会等有关部门的敦促下，事情已经开始有了转机。“五大国有银行去年开始组织国产服务器等设备入围，之前这块巨大市场一直被国外品牌抢占，今年建行和农行已经和曙光展开了合作。”曙光公司金融事业部总经理李永明说。

曙光的竞争对手包括IBM、EMC等，这些国际巨头占据的是费用高昂的小型机或大型机市场。而作为在国内具有相对优势的厂商，曙光在整个国内市场的份额虽已超过10%，但在金融领域的份额还不足0.5%。相较之下，另一家国产服务器厂商浪潮的在金融领域的步伐要更快、更稳健一些。

浪潮天梭K1在今年1月上市以后，已经在中国建设银行、中国邮政储蓄银行、中国进出口银行、辽宁/河南等省的城商行迅速打开局面，取得成功应用，K1主机系统带动浪潮2 路、4路、8路全线产品在金融行业取得突破。5月，在中国建设银行全国三大数据中心的武汉数据中心，浪潮2路、4路取得规模化应用，6月，浪潮就再次中标中国建设银行总行以及31省分行的服务器采购项目，至此，浪潮服务器成功打开国有商业银行，取得标志性突破。随后，浪潮8路、4路和2路产品在银监会、中国人民银行、国家开发银行、中国进出口银行、中国邮政储蓄银行及山东、贵州、河南、四川等省的城商行获得批量应用。