安全认证论文范文(精选11篇)
安全认证论文 第1篇
通用标准是一种国际公认的安全认证, 全球政府机构 (包括美国联邦、州和地方政府) 和企业在采购商用产品时都会对安全认证有所要求。当企业希望Net IQ帮助其进行身份管理生命周期控制时, 他们现在可确认Identity Manager 4.0.2评估级别认证已达由ISO/IEC 15408所规定的通用标准之EAL3+级别, 涉及产品功能、开发环境、文档记录、和产品测试措施。
“联邦机构在其基础设施中实施任何技术均需遵守一套严格的性能和安全标准。”Net IQ首席安全架构师Michael F.Angelo表示:“除了支持FIPS Inside计划和USGCB验证, 通用标准认证说明我们不断致力于满足联邦客户对于身份管理的独特要求, 并保证他们成功采纳和使用我们的解决方案。”
Net IQ是通过加拿大EWA取得通用标准认证的, 该协会测试实验室经过加拿大标准委员会 (SCC) 的认证和加拿大通讯安全协会 (CSEC) 的批准, 依照加拿大通用标准评估和认证计划 (CCS) 对信息技术安全评估 (CC) 的通用标准进行评估操作。
“Net IQ正在实行产品认证计划, 证明其产品满足严格的国际IT安全标准, Identity Manager的认证正是此计划的最新行动, ”加拿大EWA通用标准测试实验室总监Erin Connor表示。“此次EAL 3+认证, I-dentity Manager成功通过严格评估和测试。购买Identity Manager的客户可确信, 这一产品将会对他们的整体安全态势提供可靠补益。”
关于Identity Manager
你安全、我安全、他安全=企业安全 第2篇
当你挥手告别父母,满怀信心地来到公司时,你身后是父母殷切的期望—平安回来,合家团聚!
当你迎着晚霞,心情愉快地走出厂区时,你带给妻儿甜美的梦境—让生活有奔头,日子越过越红火!
生命是唯一的,珍贵的。我们只有生活在一个安全的环境里,才能绽放出生命的美丽!
安全连着你、我、他。正是因为你、我、他的安全,才保证了企业安全。
你安全!因为这份工作,我们走进一个大的“家庭”。虽然我们没有血缘关系,但是我非常在意你们每一位,也希望你们一直安全。要想安全首先你要有安全第一这个意识,进入生产现场请戴好你的安全帽,拿好你手中的工器具,牢记安全准则和各项操作规程。工作在生产一线的你,要时刻保持清醒、冷静的头脑并不断提高操作技能以不变应万变,防范各种突发情况。事故往往出于麻痹, 所以麻痹是安全的大敌。只有凭借强烈的事业心、责任心,再加上一丝不苟、精益求精的工作态度,来保障机组的安全稳定运行和自身的安全健康,这样你才是安全的。
我安全!
我们每个人都有家庭,我们的安全对于家庭来说意味着幸福、和睦。妻子温柔的笑脸,儿女依依的期待,父母亲虔诚的期盼,朋友诚挚的祝福,它们是希望,是寄托,是期待,只要是关心我的人,都在关注我的近况。只有我的安全才是一颗“定心丸”,让他们不再焦灼、不再伤心、不再后悔。我安全了,可以和家人享受天伦之乐,感受这世间一切的美好,体验那爱与被爱。我安全至关重要!
他安全!
在我们身边存在着一些外委单位,他们的安全也不能小觑。我们要通过我们的行动来教育他们什么是安全品行,怎样做才是正确的、安全的。很多时候你会发现很多安全通报都是因为外委单位的误操作引起的,因此不能将他们排除在外,要将他们第一时间纳入我们的安全体系,领悟我们的安全理念。他安全了,我们的责任和义务就完成了。
安全生产百分百,要做到这一点不是一件容易的事,除了要掌握安全工作规程、技术操作规程,企业纪律章程这几件法宝,还多有几颗心:
一、专心。学一行,专一行,爱一行。不能“身在曹营心在汉”,工作的时候就应该专心工作,不要想工作以外的事情。二是细心。不管是长年在干的,还是第一次接触的工作都来不得半点马虎,粗枝大意实在是安全生产的天敌。三是虚心。“谦虚使人进步,骄傲使人落后”,现场中相当一部分安全事故就是因为一些冒险家胆子太大,一知半解,不懂装懂,不计后果,想当然,冒险蛮干。不是怕丢面子、羞于请教,就是自以为是,瞧不起别人。四是责任心。立足岗位,爱岗敬业,做到不违章违规,在安全生产工作中切实做到“严、细、实”。除了这些,很重要的就是平时的功课要作好,钻研业务,通过平时的实际工作要不断提高自我的技术水平和综合素质,提高实际操作能力和处理事故的能力。只有这样,才能作到生产中的真正安全,为国家、集体创造更多的价值。
目前,我们公司正在积极开展安全征事故警示教育、安全知识竞赛、应急救援演练等一系列主题火攻,目的就是为了提高广大干部职工的安全意识,强化安全生产管理,这就需要我们要从思想深处克服侥幸心理,严格规范操作,树立良好的安全习惯,最大限度地减少事故的发生。
信息安全认证艰辛路 第3篇
日前,澳大利亚力拓公司驻上海办事处的四名业务人员因涉嫌窃取中国国家秘密而被拘捕。四人在中外进出口铁矿石谈判期间,因为信息泄密,给中国钢铁行业带来高达7000多亿元的经济损失。这为中国的企业信息化敲响了警钟,也使网络安全、信息安全再次被提到战略层面。
信息安全产品和技术是保障信息安全的重要支撑。随着信息产业的快速发展和信息化进程的逐步深入,信息安全问题成为了全球共同关注的焦点。在信息安全领域,采取统一认证机制来保障信息系统安全是各国的通用做法。我国也不例外。
今年4月27日,由国家质量监督检验检疫总局、中华人民共和国财政部、中华人民共和国国家认证认可监督管理委员会联合发布了《关于调整信息安全产品强制性认证实施要求的公告》(2009年第33号)。
公告中,将国家质量监督检验检疫总局、国家认证认可监督管理委员会《关于部分信息安全产品实施强制性认证的公告》(2008年第7号)中涉及的信息安全产品强制性认证的强制实施时间延至2010年5月1日,并仅在政府采购法规定的范围内强制实施。认证产品范围包括防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换、安全路由器、智能卡COS、数据备份与恢复、安全操作系统、安全数据库系统、反垃圾邮件、入侵检测系统、网络脆弱性扫描、安全审计、网站恢复13种产品。目前,信息安全产品的认证受理工作已经开始。
据记者了解,《关于部分信息安全产品实施强制性认证的公告》在2008年1月就已发布,在时隔一年多之后,又联合财政部发布调整公告,不仅延后了原公告的执行时间,更将信息安全产品认证的强制实施限定在政府采购法规定的范围内。在世界范围内将信息安全的重要性上升到国家战略层面的今天,为了确保信息安全产品质量、保障国家信息安全,国家对信息安全产品以及信息网络系统的安全,实施了很多行政许可和认证的监管措施。但事实上,中国的信息安全认证之路走得十分艰辛。
“友邦惊诧”混淆视听
2008年1月底,《关于部分信息安全产品实施强制性认证的公告》正式发布了。根据这一公告要求,从2009年5月1日开始,凡列入强制认证目录内的13类信息安全产品,未获得强制性产品认证证书和未加施中国强制认证标志的,不得出厂、销售、进口或在其他经营活动中使用。
一石激起千层浪。之后,无数外国媒体的质疑报道扑面而来,国际相关标准组织和产业协会的反对声音也蜂拥而至,令国家相关部门面临非常被动的局面。
一些美国主流媒体在报道中描述,“中国政府计划要求外国信息产业公司向中国有关部门报批对中国出口的信息安全技术产品。这个拟议中的新政策明显是出于国家安全和扶持国内信息技术产业两方面的考量。”一位美国的智库战略与国际研究中心(CSIS)的研究员甚至认为,这个动机除包含一部分贸易考虑外,还包含一部分商业间谍成分,也包括中国政府希望在信息技术市场上扶持中国本土公司的计划,他还指出,“中国的第二个动机不那么合理”。日本《读卖新闻》则称:“这种制度可能存在把外国企业的知识产权提供给在中国竞争对手的风险。”“如果中国政府不放弃,那将可能发展成为严重的国际贸易争端。”
因此,2008年9月,在美中商贸联委会会议上,美国官员对这项政策提出了质疑。一位美国驻中国使馆的发言人说,美国认为中国计划实施的这项新规定“和中国的贸易承诺不相符”。
对这些质疑,国内各相关部门不得不反复解释、澄清: 中国的做法是为了保护国家安全和推进信息技术产业。
但国外媒体借机恶意炒作,甚至不惜歪曲事实,抹黑我国的管理制度。一位从事信息安全认证多年的老专家向记者说,在当时相关的国外新闻中,大量充斥着不实报道。
记者也发现,在一篇《日本经济新闻》仅几百字的稿件中,就至少存在以下几处失实: 将“13种强制性认证产品的目录”,写为“13条防范电脑病毒的强制认定标准”; 并且无中生有地写出“13条规定中包括基础软件”、“如果要取得认证可能要求企业公布软件设计图的源代码”等捏造的事实。
这些报道不仅混淆视听,还严重歪曲了中国正在建立的信息安全产品强制性认证制度。
面对“友邦惊诧”和含混不清的言辞,中国相关部门不得不不厌其烦地反复沟通交流,并作出解释。随后,国家推迟了认证制度的实施时间。
在2008年7号公告中明确的实施强制性认证的13种信息安全产品,只是众多IT产品中极小的一部分,都是专用的信息安全产品,根本不涉及这些国外媒体报道中提到的数码家用电器、数码复印机、平板电视等产品。
按照中国的法律、法规以及认可规范的要求,认证机构和实验室都必须承担为客户保密的责任,在对信息安全产品实施认证和检测时,根据不同安全等级的需要已制定了相应的安全保密措施。申请认证的技术资料仅严格用于实施认证和检测,不会被用于其他目的。
而且在这13种产品中,只有智能卡COS产品在认证检测时,需要厂家提供与安全功能有关的部分源代码,另外只有6种含有密码模块的产品需提交与密码实现和使用有关的部分源代码,而非全部源代码。其余的产品申请在认证时没有任何关于提供源代码的要求。值得注意的是,即便是国际上通行的CC(信息技术安全性通用评估准则)认证,在检测智能卡COS时也同样要求提供与安全功能有关的源代码。至于密码模块检测要求提供源代码,早在美国政府发布的标准FIPS140-1(后为FIPS140-2所取代)当中,就提出了更为严格的要求,即申请方必须提供带注释的源代码。中国有句古话,“己所不欲,勿施于人”,美国政府和产业协会居然反对中国的产品认证制度关于密码模块检测需要提供源代码的同样要求。“这难道是美国人健忘或仅仅是‘灯下黑’可以解释的吗?”一位信息安全认证专家反问。
这位从事信息安全认证多年的老专家告诉记者,我国正在建立的信息安全产品强制性认证制度,是为了解决中国信息安全产品测评领域存在的重复检测、重复发证等问题,维护国家安全、公众利益和公民权益、理顺管理体制、规范市场、促进产业发展而实施的一项重要管理措施,既符合中国国情,也符合WTO/TBT协议原则。
“事实上,国外媒体的真实意图,是通过不准确的信息造舆论,对中国的自主创新施加压力。”另一位不愿透露姓名的中国标准化资深专家评论说。
这令人联想起当年的WAPI。WAPI经历了从无人问津到众人追捧、无限期延迟到现在有望重新进入国际标准投票流程的跌宕命运。这峰回路转中,关于技术、标准和市场层面的反思,十分值得现在的中国信息安全产品认证界思考。
无奈的缓行
在国际舆论中,“贸易壁垒、保护国内信息技术产业、商业间谍”等关键词,似乎已经成为了冠以中国常见的“罪名”,每当中国推出自主创新的标准和相关政策,必然重复上演这些“国际贸易卫道士”的老旧桥段。而我国也往往只能被动地采取“延期执行”、“政府采购”等应对办法。
2003年,国家认证认可监督管理委员会发布2003年第113号公告,自2004年6月1日起,对无线局域网产品实施强制性认证(WAPI),但在美国的强烈抗议下被迫搁浅。
中国关于自有标准的这些政策都被国外一些研究中心解读为“中国政府最近几年为保护国内信息产业而采取的一些类似措施,体现出中国信息技术行业发展不均衡的现状。”
这次,《关于部分信息安全产品实施强制性认证的公告》也不例外。
事实上,在美国,CC认证在政府采购领域也是强制性的,并从2002年7月1日开始强制执行。据相关专家介绍,在美国,如果信息安全产品是用于涉及国家秘密信息系统的,规定必须由美国国防部下属的国家安全局来进行检测,要求的严格程度非常高。但是,美国却以此为由反对中国实施强制性的统一认证。
经过了一年多与国内外各方的反复磋商,加之考虑到全球金融危机的大形势,国内相关部门最终决定调整实施,在原方案基础上提出了一个新的调整方案。新方案在实施范围上做出了重大调整,只在政府采购法的规定范围内强制实施; 同时调整了实施时间,将时间推迟一年。
而最令人担心的,就是明年5月1日,调整后的强制认证能否顺利实施。
2009年4月,国家认监委发布了《关于信息安全产品强制性认证指定认证机构和实验室业务范围的公告》(2009年第25号),明确了实施信息安全产品强制性认证的指定认证机构及首批7家指定实验室及其业务范围。
目前,已经有几十款产品向相关机构申请了认证。接下来的一年内,相关实施机构还需要完成大量的基础性工作,包括进一步完善统一的技术规范、认证实施流程、制度宣贯、为财政部建立政府采购目录提供协助、协调、推进发布各部委相关工作衔接流程等。“这些工作都要加紧,这样才能把这一制度落到实处”。一位专家说。
另一方面,我们并没有遭遇外国媒体所期望的跨国信息技术公司对这项制度的反对。中国是世界上最大的信息技术产品市场之一,这个庞大市场对跨国信息技术公司具有极大的吸引力。据美联社的数据表明,在目前中国的信息安全技术市场上,外国公司大约占据了70.5%的份额。
事实上,微软、思科、Sun等公司并未就这件事表态,而芯片制造商英特尔表示愿意遵守中国法律法规,IBM公司发言人则表示该公司出口中国的产品并不会受到新规定影响。据认证部门的相关人员介绍现在每天都有许多跨国公司向有关机构询问认证制度的具体实施细节和要求。就WAPI产品强制认证而言,记者也从中国信息安全认证中心网站上得悉,到目前为止,申请认证的国外企业比国内企业还多。
“方便”和“隐患”
目前,国内信息安全认证的发展之所以会如此艰难,除了国内产业环境还不完全成熟的客观条件外,主要的阻力来自于国外的反对。国外反对势力的目的很明显,要求中国加入到他们主导的CCRA协定中,并以此打压中国自主标准的创新能力。
那么,这个CCRA到底是一种什么样的协定?会给这些国家带来哪些“方便”呢?
目前,在国际上,有美国、英国、法国等26个国家共同签署的基于所谓通用准则(CC)的互认协议(CCRA),他们一直要求中国也加入到CC互认的阵营中来。CCRA虽然有值得我国标准参考和借鉴之处,但也有许多不适应我国国情的地方。
“中国加入CCRA,对他们最直接的一个好处就是国外的很多企业的上千种产品进入中国市场,就不用按照中国的标准再进行任何检测认证了。而按照该协议的条款,在中国国内认证过的产品必须在两年的准备期之后,才有可能直接进入相关成员国家!”有关人士分析说,在给相关成员国“方便”同时,会为中国产品埋下一系列安全隐患。
一位信息安全产业内非常资深的人士告诉记者,特别是在目前的政府采购中,笔记本电脑、手机、数码相机、路由器、交换机等高端通信设备,基本上以国外的产品比较多。因此,在政府的采购领域,信息安全产品进行强制性认证是非常必要的。
“说到安全隐患,广泛采购的多功能一体机就是一个典型例子。” 这位人士告诉记者。这种多功能一体机集扫描仪、传真机、打印机和复印机于一身,既可以扫描纸质文件和照片,又可以复印和打印文件,还可以直接将电子文档通过传真发给对方。有些设备还同时具备电话、电子邮件等功能。由于多功能一体机自带CPU、存储器、显示设备、输入输出设备,集成了信息的采集、处理和传输等功能,其本质已经相当于一台计算机。因此,与普通计算机一样,多功能一体机存在着漏洞和后门等安全隐患,尤其在敏感信息处理过程中,存在信息被无意泄露或被恶意窃取的可能。尽管部分厂商宣称其产品使用了身份认证、加密(存储加密、传输加密)、清除残留信息等措施来提高安全性,但对于有专业知识且有恶意企图的人来说,仍然可以利用多功能一体机窃取敏感信息。“如果我们加入了CCRA,这些国外产品将可以规避我国的信息安全檢测评估,所带来的安全风险与隐患不可低估。”
因此,基于这种考虑,相关专家谏言,对于是否加入CCRA,是强制性认证还是自愿性认证,中国目前都还需要认真研究、分析。尤其在信息安全领域,无论从产业发展角度还是行业管理角度,中国都不应该完全放弃自主的技术标准,完全去追随国际标准。这将对我国信息安全产品和技术的自主创新极为不利。因此,中国目前并没有申请加入CCRA。
在建立中国自主的信息安全产品认证体系过程中,中国应该如何发展。“我们不能跟着西方的指挥棒走,要坚持自主标准,建立属于自己的信息安全产品统一认证体系。”有关人士说。
链 接
中国强制认证“堵漏查缺”
国家规定,对于国家实行强制认证的产品,必须经过“中国强制认证”(China Compulsory Certification),即“CCC”认证。凡列入强制性产品认证目录内的产品,必须经国家指定的认证机构认证合格,取得相关证书并加施认证标志后,才能出厂销售、进口和在经营性活动中使用。同时,这个CCC认证也是世界上通行的强制认证惯例。
因此,在CCC认证的基础上,信息安全产品强制性认证时,产品检测需经过三个环节: 型式试验,初始工厂检查和政府监督。对于第一次申请认证的企业,认证机构要到工厂生产线上现场检查,对产品拍照。在认证发证后的半年至一年内,到市场上和用户处抽检。
根据一位多年从事信息安全认证的老专家介绍,根据中国国情,刚开始,相关的认证部门在型式试验中以抽样为主,请企业自己从生产线上送两台样机来。因为信息安全产业比较小,新技术和新产品还是以样机为主。但也有一些企业试图利用这个规定钻空子。
比如,一些企业为了在产品说明上列举更多的测试项和更好的测试结果,将最高配置的产品送来检测认证,却在上市的时候将低配置产品拿来销售。这种方式在过去的检测标准下,屡禁不止。对此,相关的认证部门加强了现场审查和检测,以保障产品是按照企业规范和既定说明书生产的。这样规范了企业的一些欺诈行为。对一些安全级别较高的产品,其生产线和开发场所的开发环境也进行检测。
评 论
谁为信息安全把关
相比10年前,尽管国内信息安全认证的环境有明显发展,但直到目前,我国在信息安全产品认证方面还没有完全统一的认证标准和体系,强制性认证更加步履艰难。因此,信息安全认证肩负着不轻的使命。
在北京东边的一片闹市,中国信息安全认证中心安静地在不起眼的中认大厦中运营。自1998年以来,由“中国信息安全产品测评认证中心”承担我国信息安全测评与认证工作。2004年,国家质检总局等八部委联合发布了《关于建立国家信息安全认证认可体系的通知》,其中要求实行信息安全产品测评和认证职能分离。2006年“中国信息安全认证中心”成立后,原“中国信息安全产品测评认证中心”将信息安全产品的认证工作移交给了新成立的“中国信息安全认证中心”,随后,“中国信息安全产品测评认证中心”更名为“中国信息安全测评中心”。
对信息安全产品以及信息网络的安全实施统一的、必要的认证和监管措施势在必行,因为这对确保信息安全产品质量以及保障国家信息安全至关重要。
特别是在政府的采购领域,政府的信息安全需要通过认证来把关和保障。虽然不能保证通过检测认证的产品绝对安全,但至少可以肯定的是,不符合中国标准的产品质量是绝对的不合格或不安全的。
依法设防很有必要,但法规很难给产品贴上安全等级的标签,因为同样的产品,放在不同的环境中,其安全性要求也有所不同。因此,在不同场合和使用环境中,标准要求是有特殊性的。以前的检测认证以及现在的标准符合性检测认证,是对产品质量可靠性信心的保证,但也并非万无一失。
在《关于调整信息安全产品强制性认证实施要求的公告》中,我国已经确定了13类安全产品需要进行强制性认证。而在讨论确定这13类产品及其认证实施规则时,来自各个部委的相关部门有很多不同意见,并为此没少争论。例如产品目录如何确定,每一种产品应依据怎样的标准,产品的定义,如何检测、送样、认证单元如何划分等,经过多方的努力,最终形成了13种产品的认证实施规则和统一的申请书、检测报告模板等。这些加起来竟一共1600多页,约65万字。但正是因为完成了这么多基础性的工作,才有可能把这个制度真正落到实处。
虽然目前已相关部门初步统一了例如检测的标准要求、检测的标准环境、检测方法、检测项目、收费、证书等,日后还将规范到检测工具、人员的培训、考试和技术交流等方面。但信息技术在发展,检测技术也在发展,因此标准也要发展,要完全规范统一,依然任重道远。目前尽管有了一定的工作基础,但很多实施工作还有待进一步统一和规范。(文/王臻)
图注:WAPI经历了无人问津、众人追捧、无限延迟、有望重新进入国际标准投票流程的跌宕命运。
韩国安全认证及检查制度 第4篇
从2009年开始实行的制度改进措施分为2种。一是过去的检查、鉴定制度只是检查产品性能评定其合格与否, 而在此之后将其改为安全认证制度, 在检查产品性能的同时, 会评估产品生产企业的质量管理体系。二是过去国家指定检查机构的定期检查和单位自行检查同时进行, 在此之后这种检查制度统一整合为安全检查制度。
通过引入安全认证制度, 让有害及危险的机械类产品等生产企业建立系统的质量管理体系, 能够持续生产优质产品。如根据劳资自行检查制度, 劳动者与企业相互合作制定自行检查计划。由单位自行评估管理属于检查范围的设备风险的, 可免除安全检查。预期通过这些措施根除不良产品的生产、流通及使用, 预防因不良产品造成的工伤事故。
检查制度的必要性及种类
为了保护劳动者安全, 创造舒适的工作环境, 保证生产设备的安全性非常重要。韩国从1991年开始实行了《产业安全保健法》检查制度, 从根本上保证危险较大的有害及危险机械器具的安全, 在设计、生产及使用的各个阶段消除事故危险隐患。检查种类包括设计检查、完成检查 (性能检查) 、定期检查及自行检查。生产单位应在设计生产阶段进行设计检查、完成检查 (性能检查) , 企业应在使用阶段进行定期检查及自行检查。设计检查是指检查设计图纸是否反映安全措施, 对同一型号产品首次至少应检查一次;完成检查是指检查成品或现场装配的产品是否按设计图纸生产和装配以及产品性能是否合格;性能检查是指按各种生产型式对完成生产后出厂前的样品进行检查。由企业进行的定期检查是指检查所用设备是否存在异常情况, 自行检查是指企业亲自进行或委托代理机构进行的检查。
2009年前检查制度的问题
检查制度的主要问题是检查、鉴定方式不合理, 难以达到检查制度的根本目的;受检费用增加成为生产企业的负担;未考虑用户管理能力、机械设备的危险度等加重企业不便。
1.提前保证产品安全及事后维护的局限性。只靠确认产品性能的检查、鉴定方式, 难以从根本上防止不良产品的生产、流通及使用。性能鉴定合格后, 不能保持合格时的性能, 经常发生抽检后取消合格的现象。
2.增加生产单位负担。性能鉴定合格后不能变更型式, 每次变更型式都要受检, 因而增加了生产企业的负担。危险度低或生产技术普及的产品也包括在检查、鉴定范围之内, 因而增加了生产企业的负担。
3.导致用户不便。无视使用企业的自行管理能力, 千篇一律地依赖外部机构检查;因并行性质相似的定期、自行检查, 增加了受检负担;无视设备老化、使用条件等危险机械器具的特点或危险度等因素, 适用整齐划一的检查周期和检查项目等。
检查制度的改进
改进制度基本方向
1.将设计生产阶段的检查、鉴定制度改为认证制度, 以加强产品安全和质量管理体系。
2.在使用阶段整合定期检查和自行检查, 以加强单位的检查自觉性, 进行符合设备特点的检查。
将检查、鉴定制度整合为安全认证制度
同时审查产品安全性能和生产企业的质量管理体系, 以决定是否给予认证 (在此之前只检查个别产品的安全性能) (见图1) 。
将定期检查和自行检查整合为安全检查
加强企业在危险机械器具评估管理方面的自觉性 (见图2) 。
引入自行检查活动制度
1.劳动者和企业相互合作, 自行评估和管理受检机械器具的危险度。拥有安全检查范围机械器具的企业开展自行检查活动的, 免除安全检查;根据单位申请自行检查活动内容的合理性, 达到一定水平的予以批准。
2.自行检查活动获得认可的条件。应聘用检查员 (具有劳动部令规定的资格、接受培训及有经验的人) ;拥有劳动部长官公布的装备且能够维护管理的;应在等于安全检查周期二分之一的时间进行检查 (起重机中, 非建设工地使用的起重机应为6个月) ;自行检查活动的检查标准应满足安全检查标准。
3.自行检查活动有效期限。自行检查活动有效期限为2年;每2年应申请一次。
通过2009年的修改制度, 能够从根本上保证在工业现场使用的危险机械器具等的安全, 有助于减少工伤事故, 使生产企业能够自行检查机械器具的安全, 引导企业对自己生产的产品负责, 整合定期检查及自行检查, 实现规定合理化, 通过劳资合作提高单位的自行安全管理能力。
中药到底安全不安全 第5篇
高晓山教授,男,72岁,1954年毕业于大连医学院,1959年~1962年参加了中医研究院"西学中"班的学习,从1962年至今,一直在中国中医研究院中药研究所从事中药药理和理论研究工作。当记者表示想采访他时,恰逢他身体不适,但他还是欣然接受了采访。
最近一个时期,有关用了中药发生中毒或出现不良反应的报道不断见诸报端。记者面前就摆着这么六七张剪报,上面列数了一系列应用中药引发的事故:
一位一向身体健康的男子,因感冒到一家区级医院就医,只打了一针柴胡注射液,连门都没出,便倒在地上,因过敏而休克死亡。
一位7岁的小女孩,因发烧在一家小医院静脉点滴清开灵注射液,输液后不久,患儿体温骤升至42摄氏度,并出现浑身抽搐、口吐白沫直至不省人事,经北京急救中心及同仁医院的大夫紧急抢救,6小时后方脱离危险。
天津一位5岁的小男孩患了肝病,吃了一两年的汤药,每剂汤药里都有大剂量的木通木通中所含的马兜铃可损伤肾功能,这男孩最终死于肾衰竭。
看了上述令人触目惊心的实例,记者真替老百姓捏一把汗。也有老百姓问记者:“你是搞‘科普’的,你说说得了感冒用点中药,这人咋就死了中药到底安全不安全到底还能不能用中药”为了解答百姓的疑问,记者采访了中国中医研究院中药理论研究所高晓山教授。高晓山教授专门从事过中药安全性问题的研究。
初见高教授,就能感觉到他身上浓浓的学者气息—花白的头发,金丝边眼镜;衣着虽很普通,但是干净整洁;虽已年逾古稀,但是精神矍铄。谈到中药的安全性问题,高教授的结论是—
没有绝对安全的药
高晓山教授分析说:老百姓认为中药安全无毒,主要因为:第一,中医中药是祖国的传统医药,经过了几千年的实践考验;第二,老百姓误以为中药都是天然药或植物药,天然的当然是无毒的;第三,关于西药的毒副作用媒体报道较多,西药的说明书上也常会标明其毒副作用,而较少见中药的类似说明;第四,应用中药生产的保健食品越来越多,且生产厂家多宣传产品安全无毒副作用。
说到这里,高教授若有所思地指出,这里有两个概念需要澄清:首先,什么是中药。天然药和植物药并不等同于中药,有些天然药或植物药不是中药;中药也不一定是天然药或植物药。比如按照某一民族的传统习惯使用的药物,虽然来自天然,却只能称其为该民族的传统药,而不能称其为中药。其次,什么叫中毒。凡是使机体发生伤害、产生痛苦,甚至危及生命,或者改变了机体的正常生理活动的现象,都可以称为中毒。中药有毒、无毒是一个相对的概念。大家都知道,砒霜有毒,乌头、附子也有毒,治疗寒痹的多种方药都有乌头、附子,可见只要运用得法,有毒的药一样可以治病,而不表现毒性;如果不依据相应的理论,随心所欲地使用中药,即使是再“安全”的药也可能会发生毒副反应。所以说没有完全安全的药,这点中药和西药是一样的。
盲目用药害人不浅
高教授说:用中药出问题,就说是中药不安全,这显然不合理,盲目用药才是罪魁祸首。
表现之一:不辨证用药。中医看病需经过“望、闻、问、切”辨证组方。如黄芪具有利尿作用,经常被用于肾病的治疗,但脾气虚型肾病适宜用黄芪,阴虚、温热、热毒型肾病则不宜用黄芪,对这几种证型的病人用黄芪反而会加重病情。
表现之二:配伍不当。在中药的临床应用中,大多采取配伍用药,单独应用某味中药的机会较少,在配伍禁忌中,如果两种中药合用,能产生毒性反应或副作用,则称相反。我国金元时期曾把相反的药物编成歌诀,称为“十八反”,如细辛配藜芦可导致实验动物中毒死亡。如果两种中药合用,会使其中一种药物的功效降低甚至丧失,则称相恶,如人参恶莱菔子,是说莱菔子能削弱人参的补气作用。配伍不当也常常出现在中西药的联用中。如含有鞣质的中药和中成药,如五倍子、地榆、牛黄解毒片等与胃蛋白酶、多酶片合用时,可与酶中的蛋白质结合,减弱酶类药物的消化作用;再如麻黄及含麻黄的中成药或方剂,如麻杏石甘汤、半夏露等,若与洋地黄、地高辛等合用,可增加强心甙对心脏的毒性。
表现之三:无病用药。甘草是中医处方中最常用的一味药,有“十方九草”之说。可是,在七十年代,加拿大和日本曾先后限制甘草的使用,说甘草可产生明显的副作用。经研究人员调查,这些因用甘草而引起不良反应的人中,有一部分是因为怕吃糖发胖,便把甘草当甜食吃,而且一吃就是几年。
表现之四:服用时间过久。国内临床报告指出:单用甘草或甘草制剂可能引起头晕、头痛、浮肿等毒副反应,但一般症状轻,易于恢复,这是因为连续用药时间一般在4~5周之间,很少有超过两个月的。国外报告的甘草中毒严重的病例,大多连续用药4个月以上,甚至长达五六年。
表现之五:剂量过大。剂量是一个很敏感的问题。因为只有剂量合适才会有效,剂量小则起不到治疗作用,剂量大则可能引起不良反应。剂量越大,危险性越高。可到底应该用多大剂量并没有一个可以遵循的标准,就连国家药典也说明其标注的剂量仅供参考。用多大剂量在很大程度上取决于传统用法及医生的经验。有些人喜欢嚼人参,炖肉、煲汤也都要放人参,认为这样可以保健。殊不知,人参吃多了可以产生头痛、失眠、心悸、烦躁、口干舌燥、便秘、血压升高等毒性反应。
表现之六:概念混淆。中西医有许多概念是不一致的,如西医的“肾”是指这个实质脏器本身,而中医的“肾”则包括泌尿、生殖、内分泌等一系列功能,补肾的中药不可能包治肾炎,如果生搬硬套,不但治不好病,还可能治出问题来。
表现之七:未掌握煎服方法。附子中的乌头碱毒性极大,一般水煎三四个小时可以被破坏。所以在煎煮乌头、附子这类药物时,必须先煎、久煎。饮用含川乌、草乌的药酒,中毒症状都比较严重。
高教授说话手势不多,但他用词很严谨,他说除了盲目用药,个体差异也是使用中药产生不良反应的一个因素。
现代的中药常常被改变剂型,制成针剂、注射液。由于人体存在个体差异,同样的药物、同样的剂量,你用没事,他用可能就有事。打针、输液使药物直接进入血液,见效快一些,可这对那些对药物敏感的病人来说,危险性就更大了。开头提到的两个例子,就属于患者的过敏反应。
因噎废食不可取
高晓山教授指出:有些人见到中药也会引发不良反应,就吓得不敢用中药了,这种“因噎废食”的做法是不可取的。我们提倡的是合理用药,以保障用药安全。
药物学研究应该解决的问题是怎样提高制药工艺,减少杂质,建立有效的质量控制手段。生产厂家也应在说明书上明确指导患者用药,不能夸大其辞。作为医务人员,应不断提高业务水平,做到辨证用药,剂量合理,切忌为标榜自己医术高明而开大剂量、大处方;用药前应仔细询问病人的药物过敏史,必要时可改变给药途径,或改用其他药物治疗。患者是不安全用药的受害者,我们给患者以下的建议:
没必要无病吃药;
吃药前先明确得的是什么病,切忌想当然地自己给自己下诊断;
非处方药有相当一部分中成药为非处方药并非都是无不良反应或不良反应小的药,应用非处方药前应仔细阅读说明书,按规定剂量服用;
慢性病患者用药前更应征求专科医生的意见;
安全认证论文 第6篇
随着近年来信息技术的不断发展与进步, 移动互联网络已经成为了人们日常生活中不可缺少的部分。移动互联网络在这样的实际背景条件下, 作为信息的传递体所起到的作用优势不言而喻。移动互联网络在迅速发展的同时, 也会不断的涌现出通信过程中所存在的风险和威胁, 而这些又会给移动互联网络带來更多的安全问题。因此, 在对移动互联网络频繁应用的同时, 要不断地对其中所涉及到的关键性技有进一步的完善与研究, 保证拥有一个良好的移动互联网络环境。
1 移动互联网络的安全认证
移动互联网络的安全认证是整个网络通信中的安全机制能够正常执行的基础和关键所在。移动互联网络的认证机制通过限制非法访问各方面的网络资源, 而为其他的运行机制提供了可信任的安全机制。为了更好地营造一个良好的移动互联网络通信环境, 就要通过进一步的对移动互联网络的终端有限资源的限制, 接入认证作为整个安全体系的基础, 这对研究其安全严密的安全认证体制起到具有非常现实的意义。例如, 这个认证机制可以识破对于身份的欺骗的同时, 还可以起到相对应的防御功能。因此, 通过实际的经验和调查提出合理可行的认证方案, 以保证用户接入到移动互联网中的安全性。而对于认证机制, DPMI网络中面临的认证安全问题, 主要对以下两个个方面进行详细的讲解:
1.1 移动互联网络中身份的欺骗
移动互联网络中身份的欺骗主要存在着两种方式, 其中一种是通过窃取合法用户的身份来假冒合法用户, 并窃取用户登录信息来获得使用账号的权利, 而为了更好的避免在移动互联网络中身份的欺骗, 就要求制定更为严密的网络管理机制。
1.2 移动互联网络中的重放攻击
这里所说的重放攻击主要是指攻击者发送一个主机已接收过的文件包, 来达到欺骗系统的目的。通过对于互联网络的更进一步的了解, 在目前的DPMI网络中所存在的问题来看, 攻击者为了更有效的达到重放攻击的目的, 主要通过将一个有效的注册请求消息完整的保存起来, 然后等待一段时间后再重新发送这个消息来注册一个伪造的转交地址。对于此类的网络攻击, 其方法简单易操作, 攻击者只需简单地拷贝一个消息进行重放就可以达到目的, 是消息攻击中最为常见的。在某些特定的条件下, 重放攻击很难被避免, 这就要求使用者在移动互联网络操作中要有足够高的安全防范意识, 以确保网络使用的安全性。
2 移动互联网安全关键技术分析
移动互联网络中所存在的安全威胁包括网络安全和业务安全威胁, 其中包含恩了信息的非法篡改和非法访问, 利用操作系统修改相关终端信息, 通过病毒和恶意代码对系统进行破坏等。由于数据利用无线信道在空中传输, 容易遭遇截获或非法篡改而难以保障数据的机密性和完整性, 所以移动互联网络中确保安全的关键技术应该更为严密。从通过网络来处理业务这一方面来讲, 其中也包含很多的信息的安全威胁, 因此, 对将移动互联网安全关键技术的分析可以从移动互联网内容和文档保护、移动签名服务、移动互联网中的认证等三个比较重点的方面进行研究。
2.1 移动互联网中的内容和文档保护
在移动互联网环境下, 对内容和文档安全有较高的要求, 不但保证移动服务内容提供过程中的安全, 还要保证移动服务提供商能保证用户隐私, 在非用户授权情况下任何人都无法查看或阅读非授权相关信息。
2.2 移动签名服务
移动签名服务是移动互联网络运营商创新地将手机与信息安全和用户身份捆绑在一起, 提供给应用服务端请求手机用户进行电子签名的服务, 服务请求应用服务端发起的, 通过签名平台向持有手机的最终用户发送。应用服务端利用该请求得到用户对某段数据的电子签名, 完成对最终用户的身份认证, 交易确认等操作。移动签名服务提供了安全的电子身份证明, 并提升刖户体验的基础安全支撑平台, 可以广泛运用于企业内用户认证、文档签名和文档加密等领域。
2.3 移动互联网中的身份认证
对信息系统中的各种服务和应用来说, 身份认证是一个最基本的安全考虑。身份认证的方式可以有多种, 随着全球性企业越变越大, 并形成与其他组织的伙伴关系, 因此需要实现一种具备在跨多个安全域或互联网域上工作能力的认证系统, 以通过建立信任链实现虚拟的身份联盟。当今移动互联网增值服务市场的服务欺诈成为日益严峻的社会问题, 例如垃圾短信、短信诈骗和价格欺诈。针对上述这些情况而言, 提出一种基于身份的增强服务提供商安全管理方案。
3 移动互联网络存在的安全问题、威胁和风险分析
就移动互联网络在当前所处的环境中, 必然会面临着很多威胁, 其中可能包括来自物软硬件故障、无操作或操作失误、管理缺失、恶意代码和病毒等等。从攻击形式上来看, 这些威胁可以直接针对移动互联网或间接通过外界攻击移动互联网络, 对网内数据和服务的机密性、完整性和可用性等方面都造成巨大损害。从动机上, 这些威胁可能是偶然发生或蓄意制造的事件。总而言之, 威胁总是要寻找移动互联网络中系统、应用或服务的弱点, 并利用这些未被防范的漏洞来成功地实施对资产的侵害。
3.1 威胁可以通过主体、资源、动机、途径等多项指标要素 来衡量和描述
造成威胁的因素可分为人为因素和环境因素。在人为因素方面, 主观性威胁的产生动机可分为恶意威胁和非恶意威胁两种。环境因素包括自然界不可抗因素和其它客观因素, 这部分内容不作为本文讨论范围。在攻击形式, 威胁可以是对IT系统直接或间接的攻击, 不论哪种形式都对系统的完整性、可用性和机密性造成损失;在动机上蓄意或偶发的威胁也都会对系统产生危害。
3.2 网络架构脆弱
IP化发展趋势不仅给各个系统引入了新的安全威胁形式, 各种网络通过IP网互联后, 安全威胁互为影响, 而现实情况是各个系统或网络的安全措施独立设计和实施, 没有充分考虑互联带来的威胁, 因此网络边界往往成为网络的脆弱点, 成为攻击者入侵的切入点。配置的脆弱性目前移动运营商的很多安全事件的根源在于一些现网IT设备基础安全配置不够和没有配置安全策略等等。移动互联网涉及的设备主要有路由器、交换机、主机操作系统、数据库、Web服务器等。设备功能要求规范:主要是对于适用范围内设备必须满足的最低安全功能要求和推荐满足的安全功能要求有了一个更为严密的规定。设备配置要求规范:主要是对于其适用范围内设备最低安全配置和推荐采用的安全配置的重点要求做一个详细的报告。并强调了主要相关联的是配置要求内容和具体产品自身特征, 设备配置要求规范中定义了详细的操作指南和检测验证方法, 可以作为设备入网、工程验收和R常维护的准入规范。
4 移动互联网中的安全威胁和防护技术的研究及解决方法
随着移动运营商全业务运营实施以及互联网应用的飞速发展, 移动互联网已成为越来越重要的基础网络, 所带来的一个非常重要的问题就是移动互联网络中存在着的安全问题, 确保整个互联网络的安全性是人们对移动互联网络的一个基本要求。从实际性的角度来说, 这里所谓的安全机制主要包括两个层面的意思:一方面保证合法用户得到合法安全的服务;另一方面防止非法用户或合法用户越权使用和破坏网络资源, 与此同时, 还要逐步的加强密码技术和安全技术的开发, 保护在公用网络信息系统中能够安全的传输。
5 结束语
移动互联网络的快速发展是当今社会科技不断进步和发展的必然, 随着当今社会中的移动互联网络技术逐步的发展, 现已成为当今信息社会发展的一个固定方向。在这些必然趋势的推动下, 移动互联网络这项新的技术也慢慢的发展起来。移动互联网络作为大众化和传统的移动通信技术, 已成为了人们日常生活中不可缺少的一个重要的组成部分。而在移动互联网络技术不断更新与发展的同时, 也会有很多相关随之而来的新隐患, 这就使得必须把移动互联网络的安全作为当务之急的研究项目。因此本文主要从威胁风险及需求分析的角度研究移动互联网的安全现状, 并对移动互联网防护关键技术的进行了较全面和深入的研究。
摘要:随着社会的进步和发展, 移动互联网在现代社会有了快速的发展, 这在很大的程度上影响着人们的生活方式。由于移动互联网的开放性很强, 这将导致在移动互联网的交流中可能会漏掉个人信息的一小部分, 这就要求相关责任部门要充分做好信息的保护工作, 尤其是对于需要保密的通信内容。本文主要通过对移动互联网网络认证的安全性和相关安全应用中关键技术的研究, 充分考虑移动互联网的安全需求和面临的安全威胁, 提出了切实可行的技术方案。并通过整个网络在实际中的应用, 努力查找所存在的漏洞和问题。并能够确保在第一时间制定出较为合适的解决方案, 与此同时, 也要充分的考虑到移动互联网络安全认证及安全应用中关键技术研究。
关键词:移动互联网络,身份认证,安全应用,关键技术,技术研究
参考文献
[1]邓所云, 胡正名, 钮心忻等一个无线双向认证和密钥协商协议[J].电子学报, 2003, 31:135一139.
[2]汪玉婷, 网络攻击现象[J].网络通讯与安全, 2007, 一l:1553一1554.
[3]姚茂群, 网络攻击的分析及防范策略[J].计算机应用研究, 1999, 12:24一36.
[4]孙士潮, 无线网络的攻击技术与安全防护研究[l].电子技术应用, 2007, 5:133一138.
[5]王坤, 褚东升, 王续志.网络攻击方式的分析及相关的防御策略的研究[J].信息技术与信息化, 2006, 6:60一69.
解析电子商务安全认证协议 第7篇
关键词:电子商务,安全认证,SSL,SET
目前国际上流行的电子商务所采用的协议主要是:
(1)安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间交易信息传输的安全性。
(2)安全套接层协议(SSL):提供加密、认证服务和报文完整性。
(3)安全交易技术协议(STT):将认证和解密在浏览器中分离开,用以提高安全控制能力。
(4)安全电子交易协议(SET):涵盖了信用卡在电子商务交易中的交易协定、保密信息、资料完整以及数字认证、数字签名等。
上述标准中,目前广泛使用的是SSL协议标准和SET协议标准。
1 安全套接层协议
1.1 SSL协议提供的服务
(1)认证用户和服务器,确保数据发送到正确的客户机和服务器。
(2)加密数据以防止数据中途被窃取。
(3)维护数据的完整性,确保数据在传输过程中不被改变。
1.2 工作流程
SSL会话通过客户与服务器之间的“握手”建立连接,SSL协议握手流程由两个阶段组成:服务器认证和客户端认证(可选)。
(1)服务器认证阶段
1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接。
2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息。
3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器。
4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
(2)用户认证阶段
在此之前,服务器已经通过了客户认证,这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户,客户则返回数字签名后的提问和其公开密钥,从而向服务器提供认证。
从SSL协议所提供的服务及其工作流程可以看出,SSL协议运行的基础是商家对消费者信息保密的承诺,这就有利于商家而不利于消费者。在电子商务初级阶段,由于运作电子商务的企业大多是信誉较高的大公司,因此这问题还没有充分暴露出来。但随着电子商务的发展,各中小型公司也参与进来,这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,但是SSL协议仍存在一些问题,比如,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下,Visa和MasterCard两大信用卡公组织制定了SET协议,为网上信用卡支付提供了全球性的标准。
2 安全电子交易协议
2.1 交易流程
SET协议的购物系统由持卡人、商家、支付网关、收单银行和发卡银行五个部分组成,这5大部分之间的数据交换过程如图1所示。
(1)消费者利用自己的PC机通过因特网选定所要购买的物品,并在计算机上输入订货单、订货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。
(2)通过电子商务服务器与有关在线商店联系,在线商店作出应答,告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确,是否有变化。
(3)消费者选择付款方式,确认订单签发付款指令,此时SET开始介入。
(4)在SET中,消费者必须对订单和付款指令进行数字签名,同时利用双重签名技术保证商家看不到消费者的帐号信息。
(5)在线商店接受订单后,向消费者所在银行请求支付认可。信息通过支付网关到收单银行,再到电子货币发行公司确认。批准交易后,返回确认信息给在线商店。
(6)在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志,以备将来查询。
(7)在线商店发送货物或提供服务并通知收单银行将钱从消费者的帐号转移到商店帐号,或通知发卡银行请求支付。在认证操作和支付操作中间一般会有一个时间间隔,例如,在每天的下班前请求银行结一天的帐。前两步与SET无关,从第三步开始SET起作用,一直到第六步,在处理过程中通信协议、请求信息的格式、数据类型的定义等SET都有明确的规定。在操作的每一步,消费者、在线商店、支付网关都通过CA(认证中心)来验证通信主体的身份,以确保通信的对方不是冒名顶替,所以,也可以简单地认为SET规格充分发挥了认证中心的作用,以维护在任何开放网络上的电子商务参与者所提供信息的真实性和保密性。
2.2 与SET有关的密码技术
SET协议主要使用的技术包括:对称密钥加密、公共密钥加密、Ha签名、数字信封等。SET协议通过使用对称密钥加密和公共密钥加保证了数据的保密性;通过使用数字签名技术来确定数据是否被篡据的一致性、完整性。使用数字信封来传输保障密钥的安全传输。
2.3 SET加密和解密流程
SET协议的加密分为加密流程和解密流程两个部分,如图2所示。
(1)加密流程
1)对要发送的明文进行Hash运算,生成数字摘要。
2)用发送方的私钥对消息摘要加密,生成数字签名。
3)随机生成对称密钥。
4)用对称密钥对消息明文、发方数字证书以及数字签名进行加密,生成消息密文。
5)用接收方的公开密钥对对称密钥加密,得到数字信封。
6)将密文、数字信封发送给接收方。
(2)解密流程
1)接受方接收到发送方送来的消息,用接收方的秘密钥对数字信封解封,得到对称密钥。
2)用对称密钥对消息密文解密,得到数字签名、发方数字证书及明文。
3)对证书进行认证,利用证书中的发送方公钥对数字签名解密,得到数字摘要。
4)对解密后的明文进行Hash运算,得到重新计算的数字摘要。
5)比较两个数字摘要,确认消息的完整性。
6)如果相同,说明消息是对方发送的并且在传输中没有被篡改。
3 SET与SSL协议比较
(1)在认证要求方面,早期的SSL并没有提供商家身份认证机制,虽然在SSL3.0中可以通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,但仍不能实现多方认证。
(2)在安全性方面,SET协议规范了整个商务活动的流程,从持卡人到商家,到支付网关,到认证中心以及信用卡结算中心之间的信息流走向和必须采用的加密、认证都制定了严密的标准,从而最大限度地保证了商务性、服务性、协调性和集成性。
(3)在网络层协议位置方面,SSL是基于传输层的通用安全协议,而SET位于应用层,对网络上其他各层也有涉及。
(4)在应用领域方面,SSL主要是和Web应用一起工作,而SET是为信用卡交易提供安全,因此如果电子商务应用只是通过Web或是电子邮件,则可以不要SET。
(5)SET目前在北美的应用不如欧洲和亚洲,这一原因并非是技术层面的,而是习惯,但北美的专家对SET的前景仍然是十分看好。一方面银行卡网络支付已经相当完善,另一方面SET是现在惟一互联网支付协议,性能的复杂换来的是客户风险的降低。
参考文献
[1]李琪.电子商务安全.重庆大学出版社,2004.
[2]肖德琴.电子商务安全保密技术与应用.华南理工大学出版社,2003.
电气设备安全认证的研究 第8篇
首先, 什么是CE认证?“CE是一种安全认证标志, 被视为制造商打开并进入欧洲市场的护照。CE代表欧洲统一 (CONFORMITE EUROPEENNE) 。凡是贴有“CE”标志的产品就可在欧盟各成员国内销售, 无须符合每个成员国的要求, 从而实现了商品在欧盟成员国范围内的自由流通。反之, 任何没有CE认证的电气商品, 就不能在欧盟成员国范围内流通销售。”
CE认证又包括了三大块内容:电气安全认证、机械安全认证、电磁兼容安全认证。当且仅当这三者同时符合CE的检测标准才能发CE认证证书, 否则只能出CE认证报告 (当只认证公司只出CE报告的时候, 意思就是认证公司仅对符合标准部分负责, 其他不符合标准的方面认证公司概不负责。)
简而言之, CE认证就是请第三方认证公司确认供货者的产品是否符合欧盟CE安全认证标准的认证。
那么, 为何要做CE认证?显而易见, 做了CE认证的电气产品就可以买到欧盟国家, 能出口既能赚取外汇。其次, 她是对人的生命的绝对负责, 具有着高度的责任感。凡是详细阅读过CE认证指令的人都会感慨:这岂不是恨不得员工穿上盔甲来操作设备。按照CE认证做出来的设备岂不是很笨重, 成本很高?的确如此, 客观的讲, 完全符合CE指令的设计的设备往往都很笨重。例如:CE要求能移动的部件必须用防护罩给罩起来, 有电的地方必须用带锁的面板给锁起来, 等等。好不夸张的讲, CE的目标就算是有人要自残, 也确保他不是很容易能伤害到自己, 如果达到这个目标, 那么CE就算是成功了。就是凭着这些个对人的生命高度负责的态度, 欧盟的工作人员们详细罗列出了厚厚的一本CE安全认证指令。并且, 打上CE标签的电气产品可以获得欧盟国家的认同感, 获得更多的信任和认可。并获取更大的竞争力。
怎么做CE认证?现在国内可以做CE认证的公司有许多, 可以说是错综复杂, 什么样的都有, 有的甚至只要交钱就能出报告, 连你的电气产品都不来检查一下。当然也有好的, 认真负责的, 最有名的要数TUV公司了。做CE认证的流程如下:首先, 生产厂家要把需要做认证的设备的说明书、电气原理图和零部件清单发给认证公司。认证公司会派一个他们的工程师到生产设备的现场了解情况, 如设备的应用, 设备的组成, 设备的流程等。然后根据这些资料出一份详细的整改报告, 然后生产厂商根据这整改报告来加工制造设备。这样做主要是为了避免设备生产厂商在设备生产完后返工, 造成额外费用。
当生产厂商加工制造完设备后, 认证公司会再次派人到现场检查设备, 当然是从电气安全、机械安全、电磁兼容安全这三个方面逐一检查。然后就能做CE认证了。当认证公司认可了此设备以后, 设备生产厂可以在设备上贴上CE的标志, 表明此设备已符合了CE的检测标准。当然也有公司不做CE认证而自行在设备上贴CE标志的, 这属于不负责行为, 我们这里不做评论。
那么, 国内我们做CE认证最大的难点是什么?答案首先是部分设备不能在国内做CE认证。防爆, 燃烧容器, 压力容器等设备。由于在中国所有的认证公司都不具备对以上几类设备做认证, (就算是做了, 人家欧盟也不认可) 所以当国内要出口此三类设备到欧盟国家的话, 必须请欧盟国家的CE公司派人员来中国做认证。当然这也会产生巨大的费用, 那就是为什么我国有那么多做压力容器的企业, 而出口欧洲的并不多的原因。其次的难点在于电气这块的认证, 我们国内有许多电气零部件生产厂商如正泰 (Chint) , 他们的产品相对西门子、施耐德、ABB等国际大品牌来讲是价廉物美。然而要通过CE电气部分的认证的话, 必须满足所以的电气零部件也通过CE认证, 那就逼着生产商也用国际品牌的电气零部件, 而且有许多可替代的电气零部件在中国都没有销售, 不得不靠进口, 价格就往上翻了好几翻。一般设备都有上百个电气零部件, 如果都要靠进口, 成本可想而知。
如果做不了CE认证, 设备就不可能出口到欧盟国家了吗?如果答案是肯定的, 怎样才能将设备在没有做CE认证的条件下出口到欧盟国家?有两种途径:一种就是作为展品或实验设备, “临时”出口, 当然这样的话只能一台一台的出口。另外就是通过自我声明方式出口到欧盟国家。不过这要有个前提就是, 出口企业要在欧盟国家有母公司或子公司。这样通过在欧盟国家的母公司或子公司出自我声明 (认可此出口设备符合CE标准) 就能顺利出口欧盟国家了。
做电气设备的安全认证, 任重而道远。希望在不久的将来, 我们国内的制造企业都能顺利的通过认证, 把设备或电气产品顺利的出口到国外。
参考文献
信息安全、网络安全、网络空间安全 第9篇
1 信息安全概述
信息安全的概念并不是最近几年才兴起的,早在很久以前,各个国家就已开始关注信息安全。20世纪40年代,各国为了保障国家通信的机密性,信息安全一词被提及。到了90年代,计算机在我国兴起,国内的很多专家学者就计算机所带来的影响进行研究。部分专家认识到计算机将会为信息安全带来的影响,因此展开了关于计算机的信息安全研究[1]。我国的一些文献表示,信息安全已被划分为多个领域,从法律、物理以及通信等多种角度来表明信息安全所涉及的范围极其广阔。欧盟国家最早看到了信息安全对于国家以及个人的重要作用,由此而实施了相关的安全政策,而我国也相继出台了关于计算机信息安全方面的法律制度。
21世纪的到来,使信息安全这一名词被推向了高潮,其在互联网的影响下不断扩大范围,多次被专家学者研究以及关注。在很多参考文献当中都曾提到了信息安全,从中国的专家学者到外国的信息学科教授,无不在自己的著作中提及信息安全,期望该方面能够得到国家的关注。如今,信息安全已不仅仅涉及到个人信息安全,还涉及到了国家安全以及商业机密。全球的各个国家都已展开了对于信息安全的研究,并制定了严格的规范和标准,以此来确保信息安全受到监督和管理[2]。
2 网络安全概述
网络安全的概念要比信息安全概念狭义一些,网络安全的基础是信息安全。只需要用户确保在网络环境中的信息保持在安全状态,那么,其网络就是安全的。在网络安全当中,关于网络的信息以及数据都将受到保护。而保护网络安全,就需要保障网络信息数据不会受到其他人员的恶意攻击。网络信息需要在一定的范围之内确保信息不会泄露。网络安全能够为用户提供安全的信息服务,并确保用户所接收到的信息安全可靠。用户在使用网络的过程中,期望自身的网络状态比较平稳,并确保所存储的信息完整[3]。
3 网络空间安全概述
网络空间的安全是建立在网络安全的基础之上的。该概念最早提出于20世纪80年代,当时的科幻畅销小说家在其作品中描绘了网络空间安全的景象,并对网络空间安全概念进行了具体,解释。该作家认为所谓的网络空间安全指的是计算机利用网络来存储信息,并将信息进行交换,在该虚拟的环境当中所存储的信息以及相关数据,就是网络空间信息。而在网络发达的今天,有很多破坏技术可以入侵到该空间当中,并对空间内的信息数据进行破坏。当网络虚拟空间的信息或者硬件遭受到了破坏,就意味着网络空间安全受到了威胁。国际上的很多国家都注重网络空间信息安全,越来越多的国家将一些比较机密的文件以及战略措施存储在虚拟的网络空间当中,一旦该空间遭受到不法分子的袭击,就会威胁到国家安全[4]。
4 信息安全、网络空间安全以及网络安全之间的关系
4.1 三者之间的联系
在社会信息化的今天,信息安全问题已与网络安全以及网络空间安全紧密联系在一起。网络空间所涉及的范围越广阔,信息安全技术的发展也就越快,而网络安全问题也将面临更加严峻的考验。如今,人们提及最多的就是关于信息安全方面的问题,计算机信息技术被应用在生活以及工作当中,要想仅仅接受计算机为人们带来的好处,而回避计算机带来的难题,需要人们研究计算机信息安全问题因素以及其产生的源头[5]。国家安全技术部门针对影响信息安全的相关因素进行具体研究,并实现技术突破,进而维护计算机用户的信息安全,确保计算机在我国的发展速度不被影响。国内已展开了对于信息安全方面的研究,国际上的发达国家对其的研究也不落后。早在20世纪初,美国等发达国家就已制定了关于防护信息安全、确保网络空间安全的相关防范措施,并创新了维护网络安全的技术。
4.2 三者之间的区别
从概念以及范围上来讲,信息安全、网络安全以及网络空间安全比较相似,但事实上,网络安全等相关概念还是存在着不同。信息安全最初所代表的仅仅是现实社会的信息安全,而在网络到来之际,信息安全的概念才扩展到网络范畴,在代表网络信息方面的概念时,信息安全也可以被称为网络安全。而网络安全的概念要比信息安全的范围小,其仅仅指虚拟网络中的空间。而网络空间安全又与以上两种情况不同,网络空间指的是虚拟的网域,其中与现实空间的很多范围相联系,并有所扩展。在网络空间的联系下,陆域、海域、太空以及空域等组成了公共的虚拟空间。在传统安全的范畴当中,信息安全并不是主要的组成部分[6],而在互联网出现以后,该种内涵下的信息安全受到了重视,其地位自然有所提升。新的技术为信息安全带来了新的问题,其所涉及的领域有所转变。在网络空间安全中,所谓的安全问题是不确定的,越来越复杂的网络环境促使网络空间安全充满着未知。在缺乏技术指导的前提下,网络空间存在着不稳定现象,甚至会出现大量泄露信息现象。和网络空间安全不同,网络安全的内涵比较宽泛,影响其产生的因素也有很多。当前社会,网络上的言论不受控制,网络上的政治以及经济都已形成了独特的系统,而网络水军等具有攻击性的事物则为网络安全带来新的威胁。网络安全与网络空间安全之间相互联系也相互渗透。信息安全与网络安全、网络空间安全的交互渗透形成了多元化、立体型的新领域。
5 加强对信息安全、网络安全以及网络空间安全保护的措施
首先,技术部门应从技术的角度考虑如何对网络安全实施保护。一直以来,网络安全都受到黑客的侵害,而普通用户的计算机水平比较低下,无法抵御黑客的进攻。为了抵御黑客的进攻,技术部门可以研究出能够防止黑客进攻的防火墙系统。该系统不能再如同以前一样,很容易就被黑客攻破。技术部门要创新网络安全的保护技术,从网络技术的手段来实现对网络信息安全的保护。其次,技术部门应对计算机技术进行宣传,并严格管理网络环境。普通用户可以采用培训的形式,提升自身的计算机水平,了解技术部门所研究的防火墙用途,并自行了解计算机中的一些病毒。而企业可以培养专门的计算机人才,用以管理企业的网络信息,确保企业的机密性信息不会遭到复制和泄露[7]。国家的技术部门应紧盯网络中可能出现的安全漏洞,并对网络环境进行定期检查和监测,在发现网络安全问题以后,及时予以解决。如今,计算机病毒的种类越来越多,尽管技术人员已抓紧时间研究病毒的破解之法,但还是有很多病毒在不知不觉间渗入到计算机当中。技术部门应研发出具有知识产权的计算机,早日脱离美国计算机系统的监控。在拥有了自己的系统以后,才能够对系统进行严格加密,并促使我国拥有计算机的开发自主权。除此以外,国家应重视对信息安全、网络安全以及网络空间的安全保护。国家在建立起完善的管理制度的同时,也需要建立起相应的法律法规,在技术人员发现破坏网络安全的不法分子以后,能够有对应的法律来惩罚这部分人,从一定程度上对黑客以及犯罪分子起到震慑作用。如今,保险行业已有信息类投保险种,可以对信息安全进行投保,这样在遭受到侵害以后能够获得保险公司的补偿。保险行业的参与减少了计算机用户的损失,能够减少计算机用户的顾虑,促进计算机行业的发展。
6 结语
计算机已融入到人们的生活当中,其安全性能直接关系到个人的信息安全、企业的经营状态以及国家的信息建设。因此,国家在重视计算机发展的同时,也应重视信息安全的防护工作,以此才能够使计算机信息技术长远发展下去,并确保国家、企业以及个人的信息安全。
摘要:互联网在我国的广泛使用促使信息的种类以及数量增加,而科学技术的进步则导致了信息安全受到了严重威胁。如今,计算机信息技术已被应用在各个领域当中,并受到了人们的青睐。笔者主要研究了信息安全、网络安全以及网络空间安全,从三者的释义角度出发,深入分析了三者之间的关系,期待通过对信息安全等相关知识的了解,能够实现对信息、网络以及网络空间的有效保护。
关键词:信息安全,网络安全,网络空间安全
参考文献
[1]于志刚.网络安全对公共安全、国家安全的嵌入态势和应对策略[J].法学论坛,2014,8(6):5-19.
[2]方兴东,张笑容,胡怀亮.棱镜门事件与全球网络空间安全战略研究[J].现代传播(中国传媒大学学报),2014,3(1):115-122.
[3]黄奕信.网络空间安全视角下的信息安全产业发展路径论析[J].改革与战略,2014,7(5):113-117.
[4]网络安全课题组.网络安全观视角下的网络空间安全战略构建[J].电子政务,2014,9(7):2-7.
[5]刘密霞,丁艺.“棱镜事件”折射出的中国网络空间安全问题与对策[J].电子政务,2013,10(12):48-53.
[6]杜芸.浅谈信息安全、网络安全、网络空间安全[J].网络安全技术与应用,2016,9(7):2-4.
孕期“安全药”未必安全 第10篇
小陈怀孕后,她听人说,维生素对于胎儿有着特殊的作用,如若缺乏会影响胎儿的正常发育。于是,她坚持每天服用各种维生素,家人也给她购买多种维生素药剂服用。一天,她去医院做常规检查,将服药之事告诉了产科医生,医生马上警告说不可过量服用维生素。
维生素是维持生命不可缺少的必需物质,孕妇如缺乏维生素A,可影响胎儿视觉器官发育;缺乏维生素D,可导致胎儿生长速度减慢等。人们通常认为维生素类药物是最安全的,然而前提是必须在规定的剂量范围内服用,孕妇若盲目服用会对胎儿中枢神经系统的神经管造成不良影响。因此,孕期女性最好在医生的指导下服用维生素,以免事与愿违。
补药好似“催吐药”
小吴34岁,结婚多年不孕。经治疗后,她总算怀孕了。小吴一下子成为全家人的重点“保护”对象。家里人想,西医说她黄体功能不全,中医说她脾肾不足,既然身体亏虚,当然要吃点补药。所以,小吴被“喂”了各种各样的滋补药。结果本来就有恶心、厌食等不适的她,更是心胸烦闷、腹胀、呕吐等反应加剧。
孕期女性胃肠功能较弱,这时过量服用的滋补药物积聚在胃内,更容易影响胃肠蠕动,从而加重妊娠呕吐、水肿等,甚至有可能导致流产。所以,孕期尤其是在妊娠早期,一般不要服用大补之药。
膏药“胜”人流药
小杨怀孕52天,不慎扭伤了脚踝,红肿疼痛,遂去外科就诊。她未将怀孕情况告诉医生,医生按普通外伤给予局部敷用活血化淤、消肿止痛的膏药,另外还让她内服活血的中药。小杨见所开药物均为中药,于是照方服用。如此双管齐下,小杨出现了阵阵腹痛,阴道见红,医生诊断为先兆流产。此时,小杨方才意识到阴道出血可能与用药有关。后经保胎等治疗,总算保住了胎儿。
很多人认为中药对孕妇和胎儿是安全的,其实这种观点是非常错误的。对于孕妇来说,应禁服活血破气、滑利攻下、芳香渗透和大热大毒类的中草药。所以,孕妇就诊时,应主动将怀孕情况告诉医生,以便医生选用适当的药物进行治疗。
基于协商机制的安全认证系统构建 第11篇
在网络安全中, 依靠安全访问策略无法完全有效抵御恶意的网络攻击, 以至于可能使某些安全认证出现安全隐患。基于协议的安全认证是现今电子商务安全策略之一, 但协议的开放性也使基于这些协议的应用存在着安全隐患, 因此仅仅研究协议本身已不足以满足现实的安全需要。例如, ESP协议是安全互联网协议族IPSE中用来加密和可选的认证方法, 可为电子商务应用提供一定的安全可靠性保证。在ESP传输模式的数据发送前的ESP封装时, IP数据包中原始IP头后加入了ESP数据, 其中只有ESP数据得到了验证保护, 而原有IP头没有受到加密和验证的保护, 这样第三方就可以修改IP报头。只要保持IP报头校验和不变, 该数据包将仍然被认为是正常的。可见, ESP加密机制存在安全隐患。
(二) 协商认证原理
基于以上问题, 结合现有安全认证模式和通用的安全标准, 可以建立一种基于协商的认证机制, 为用户提供可灵活选择认证模式的能力, 达到提高网络安全的目的。协商过程是网络中的两台客户机 (Client) A、B通过CAS (Consultations Authentication Server协商认证服务器) 选定某种安全认证模式的过程, 其协商过程如图1所示。
认证模式协商时, A和B必须在CSA的服务范围内, 且彼此能够很好地通信。简单来说, 协商就是A通知B欲与之进行通信;A和B向CAS提出协商服务请求;CAS为A和B的通信选择某种通信模式, 并作为服务请求响应分别发送给A和B;A和B收到通信模式后就采用该模式进行通信。协商的具体过程如下:
1. A向B发出认证模式协商通知Message (包括A、B通信安全级别、服务类型) 。
2. A和B分别向所属CAS发出认证模式协商服务请求Quest (包括A、B双方的IP地址、服务类型、安全级别和为完成密钥分配而随机产生的种子密钥KZAC、KZBC等) 。A和B与CAS交互的过程基本相同。以下以A和CAS交互为例。
3. CAS接到A的服务请求后, 根据A的服务请求为A和B之间相互通信随机选择一种认证模式CAM。SFAB、通信模式TMAB以及A和B相互通信的密钥KAB或KBA等信息, 密钥KAB和KBA根据选择的SFAB和通信模式TMAB成对产生。发送给A的CAM中包含的密钥为KAB, 发送给B的CAM中包含的密钥为KBA。
4. CAS随机选择一种密钥分配算法SFCA和与A通信的密钥算法SFCAK。机数DCA, 计算出与A通信的密钥的KCA, 最后将密钥分配算法SFCA、通信密钥算法SFCAK和随机数DCA返回给A。
5. A利用种子密钥KZAC和接收到的密钥分配算法SFCA及随机数DCA计算出与CAS通信的密钥KCA’。
6. B以同样的交互方式得到与CAS通信的密钥KCB’。
7.CAS同步地将CAM加密传送给A和B。CAS将CAM发送给A和B的过程基本相同。以下以A和CAS交互为例。
8. CAS使用与A通信的密钥算法SFCAK和密钥KCA加密认证模式信息CAM, 并将其传送给A。
9. A用密钥算法SFCAK和解密密钥KCA’对认证模式信息CAM解密。
1 0. B与CAS以同样的交互方式得到认证模式信息CAM。
1 1. A和B基于自己得到的CAM与对方正式通信。
12.如果不成功则需要重复以上步骤。通信中断或下次通信可以根据需要重新进行协商。
(三) 协商认证的优缺点
通过以上的分析过程可以看出, 基于协商的认证具有如下优点:
1.使用现有成熟的密钥分配体制, 可以保证比较高的安全性。
2.把协商认证服务独立出来, 有利于认证管理, 也加强了认证的安全性。
3.把认证模式分为多类多级别, 灵活性强, 能更好地满足用户的要求。
4.因为通信双方都不会事先知道本次通信所使用的通信模式, 认证模式信息使用加密传输保证信息不会被泄露, 从而可以一定程度上防止信息泄露带来的网络攻击。
当然, 也可以看出以下的缺点:
1.A和B到CAS的通信链路不同, CAS可能因等待A或B的请求而浪费资源。同时, A或B也可能因等待对方准备通信条件而浪费资源。
2.常用的密钥分配方法可能遭受网络攻击。
(四) 协商认证的改进
为了缩短协商认证时间, 减轻CAS负担, 保证A和B间重要通信 (如银行交易) 的安全, 可以把需要的BS (Business Server, 业务服务器) 信息事先加入CAS, 并随时监测与BS的连接状况, 当BS被冒充或不能正常连接时, CAS可以及时通知Client。为了提高CAS工作效率, 可以把路由信息加载到CAS服务器上, 使它可以快速找到需服务的Client, 或者把CAS安装在路由器上, 利用路由表可以加快获得跨网认证双方的网络连接的可能性。把电子商务中认证申请审核、权限发放和认证进行一体化整合, 在一定程度上也可以缩短认证时间。
为了加强密钥分配的安全性, 可以把认证模式信息CAM用不同的加密体制进行综合加密或者采用更长的密钥加密。在A、B的一个较长时间的通信过程中, 通信密钥甚至加密体制随时间作临时改变, 将降低密码攻击成功的可能性, 有助于本次通信的安全。
(五) 基于协商机制的安全认证体系
本体系由申请管理、审核管理、安全模式管理、密钥密码算法管理、密钥证书管理和通信模式加密等基本模块组成, 如图2所示。安全认证模式包括数据加密机制、数字签名机制、身份认证机制和访问控制机制等。
CAS是一个通过其它方式保证具有高度安全性、高可靠性的协商认证服务器。申请管理对所有用户申请进行并发处理, 并将申请结果返回用户。对申请信息的审核主要有两个方面, 一是网络物理链路是否畅通 (可以利用路由信息加快搜寻) 以及网络负荷是否在正常范围内。如果网络负荷太大, 就会使网络数据传输延迟很大, 不仅使服务器工作效率降低, 还会给网络攻击带来很大的方便, 因而可以考虑在认为不安全时拒绝提供认证服务。二是审核认证双方是否具有申请认证权限以及申请格式是否符合要求。
认证是整个系统的目的和核心。安全认证功能主要由认证模式产生机制、密钥算法产生机制、密钥分配算法产生机制、密钥分配机制、密钥证书数据管理机制和通信模式加密机制来实现。用户通信的安全性主要取决于通信模式提供的安全性及其通信过程中的自适应能力, 而认证过程的安全性则主要取决于通信模式的分发模式 (如Oakley密钥分配算法) 和认证模式信息的加密机制。安全通信模式的选择, 除应参照用户申请的安全认证级别外, 还要根据用户申请的认证服务类型和网络情况等灵活决定。为了保证认证过程的安全性, 必须选择成熟的安全模式和适当增加密钥长度。
(六) 结束语
安全是相对的, 不安全是绝对的。网络应用中往往不能完全依赖于某一种安全模式, 而需要构建一个综合的安全防护网来提高安全防护能力。基于协商机制的认证可以提供了灵活选择安全认证模式的能力, 既可以作为安全认证服务器单独使用, 又可以作为一个安全模块用于路由器中从而增强其功能, 在复杂多变的网络应用中有广阔的应用前景。
摘要:在分析了单一安全性策略可能带来安全性问题的基础上, 文章提出了一种基于协商的安全认证机制, 指出了其优缺点及改进办法, 最后设计一种适合于复杂多变的网络环境的基于协商机制的安全认证体系。
关键词:协商机制,安全认证,密钥,通信模式
参考文献
[1]杨斌.电子商务安全协议的两难[N].计算机世界, 2003-3-10 (E19) .
[2]王娟.ESP协议在电子商务安全中的应用研究[J].中国科技信息, 2007, (15) .
[3]张利华.基于随机数和Hash函数的认证方案[J].微电子学与计算机, 2007, 24 (6) .
