中国信通院编制好考吗

来源:蜘蛛抓取(WebSpider) 时间:2022-09-10 07:03 标签: 信通院外聘与编制

5G时代下,移动互联网的数据安全问题日益突出。日前,工信部旗下的中国信通院发布《移动互联网数据安全管理体系全景观察》,成为移动互联网领域的数据安全管理新范本。其中,e签宝作为电子签名、数字密码学领域的领跑者,受邀参与了该文件的编制,在数据传输安全、身份鉴别、访问控制管理等方面提供经验分享与规范制定。

数据安全加码,e签宝助力信通院编制行业规范

近年来,5G 技术引领数字经济快速发展,移动数据成为新的生产要素,也让数据安全问题日益加码。随着我国《数据安全法》《个人信息保护法》的施行,数据安全成为全社会普遍关心的话题,从个人到企业,纷纷开始重视对数据的管理和保护。

数据安全涉及数据的收集、存储、使用、加工、传输、提供、公开、销毁等各个环节,仅靠技术防护无法实现,亟需制度规范、技术防护和管理运行并行。为此,工信部旗下的中国信通院联合100家企业共同编写《移动互联网数据安全管理体系全景观察》,旨在建立完善的移动互联网行业数据安全管理体系,推出切实可行的安全解决方案和标准规范,为保障数据产业健康稳定发展保驾护航。

作为电子签名行业的领跑者,e签宝在数字密码学、数据安全、隐私保护领域有深厚的技术积淀,是业内安全资质最齐全的电子签名服务商之一。应信通院之邀,e签宝深度参与了《移动互联网数据安全管理体系全景观察》的编制过程,负责编写其中的数据传输安全管理办法、身份鉴别与访问控制管理规范等内容,参照DSMM数据安全能力成熟度模型以及e签宝自身企业内部数据安全治理过程的良好实践,规范数据传输过程中可以标准化的功能架构、安全协议及其他安全相关要求,定义需要鉴别的场景、鉴别方式、方法和控制力度等。

深耕数据安全,e签宝引领电子签名行业安全建设

自创立之初,e签宝就基于安全、合规、隐私等原则,在工信部、国密局等主管部门的严格监管下,为用户提供符合《电子签名法》相关要求,且安全可靠的全生态电子合同服务。同时,e签宝非常重视对用户数据安全性、隐私性的保护,组建了业内领先的信息安全团队。不断提升电子签名行业安全门槛。

一方面,基于多时间戳证据固化技术、区块链保全技术等,e签宝在合同文件中叠加多个机构时间戳,并将其进一步分布式保存在联盟区块链中,不仅使电子数据的安全性、防篡改能力成倍增长,而且有效提升了电子数据的客观公正性。另一方面,基于e签宝自主研发的原文沙箱保护技术、隐私签名技术、分布式密钥等技术,确保在不接触用户合同原文的前提下完成合同签署,并以分布式密钥加密,从而保障了用户关键数据的隐私性、机密性。

同时,e签宝拥有业内最齐全的国内外权威安全资质认证,如公安部“信息系统安全等级保护”三级认证、ISO27001信息安全管理认证、ISO27018云隐保护认证、ISO27701隐私安全认证等。2020年4月,e签宝正式加入CSA云安全联盟,成为CSA大中华区第一家电子合同平台。2021年7月,e签宝首批通过可信云SaaS安全认证,并牵手信通院共建零信任实验室,始终引领电子签名行业的数据安全建设。

正是在数据安全领域方面的不断追求,让e签宝成为众多企业、公共服务机构乃至政府部门广泛认可的电子签名服务商。截至2021年12月,e签宝已服务100+世界五百强客户,200+中国五百强客户,并与浙江省、云南省、湖北省、海南省人民政府等政府单位合作,是浙江省“最多跑一次”指定电子签供应商。

此次e签宝参与编制的《移动互联网数据安全管理体系全景观察》的出炉,为移动互联网数据安全领域搭建了数据安全管理体系框架,从理论和实践层面完善数据安全建设水平,打造成熟的数据安全建设体系最佳实践,让数据发挥最大价值,从而推动数字经济高速发展。

  上证报中国证券网讯 据“中国信通院CAICT”微信公众号7月1日消息,数字化平台与工具作为提升审计工作质效,促进审计数字化转型,发挥时代新价值的重要基石,在财务、业务、内控、IT、合规等诸多审计领域应用广泛。但目前审计数字化平台工具在各行业的应用情况还是参差不齐。为了系统梳理审计数字化平台与工具发展现状,洞察其分类及分布情况,以产业平台聚合数字化审计供给侧力量,助力全行业审计数字化转型,中国信息通信研究院云计算与大数据研究所联合中国通信标准化协会互联网与应用技术工作委员会(TC1)IT内控与审计技术工作组(WG7)发起审计数字化平台与工具图谱研究编制工作,图谱将收录于数字化审计相关行业研究报告,现面向企业征集自主研制的审计数字化平台及工具信息。

  征集内容包括以下两方面:

  1、支持财务、业务、内控等审计活动的平台工具

  应用大数据、人工智能、区块链、物联网、移动互联网等技术优化、重塑、赋能审计活动的技术平台和工具。

  2、支持IT领域审计活动的平台工具

  通过技术手段对日志、配置、操作记录、网络流量、代码、功能等要素进行审核,以支撑IT领域相关审计的平台工具。

  征集时间为即日起至2022年7月31日。

中国证券网创立于1997年,是上海证券报的网上窗口,是上海证券报平面媒体在网络上的延伸,是中国最早从事财...


近期,为加强勒索病毒攻击防范应对,在工业和信息化部网络安全管理局指导下,中国信通院联合安天等单位编制发布《勒索病毒安全防护手册》。自2021年11月1日起,安天网络安全垂直响应服务平台运营组将以防御赋能和威胁分析视角,通过一天一篇的科普专题连载,分享勒索攻击的攻击技术、行为特点、演进趋势等8组关键信息,介绍安天产品如何构建防御勒索攻击的防线。


1.业界携手应对勒索威胁

近期,为加强勒索病毒攻击防范应对,在工业和信息化部网络安全管理局指导下,中国信息通信研究院联合中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、安天科技集团股份有限公司、杭州安恒信息技术股份有限公司、奇安信科技集团股份有限公司、绿盟科技集团股份有限公司七家单位编制《勒索病毒安全防护手册》[1],并由中国信通院官方正式发布。安天为这份手册的形成输送了大量的分析报告、处置案例和防护建议等原始素材[2]

作为二十年来持续与网络威胁实战对抗的“网络安全国家队”,安天对勒索攻击进行着持续跟踪与分析,2006年捕获了国内最早出现的Redplus敲诈者木马。2015年8月,安天发布了长篇报告《揭开勒索软件的真面目》[3]。2017年5月,在“魔窟”(WannaCry)重大勒索响应过程中,安天率先发布全网首篇长篇分析报告[4],快速提供了专杀免疫工具,提供了周一开机指南,向政企机构分发了数千张应急响应处置光盘,后又研发了基于内存密钥获取的解密工具等,获得多个主管部门好评。安天针对GANDCRAB、GlobeImposter、Sodinokibi、Phobos、WannaRen等重大流行勒索软件,也同样进行了应急响应与详细分析研判,累计发布勒索攻击相关分析、预警、处置建议等报告四十余篇[4]


2.安天智甲全面构筑端点系统侧安全防线

绝大多数勒索攻击都是以主机系统为攻击点,以主机上的数据为侵害对象。与此同时,随着加密协议正在全面削弱防火墙等安全边界,网络安全支点正在回归主机系统安全侧。面向政企侧端点场景,安天打造了智甲终端防御产品家族。智甲基于UES(统一端点安全)理念研发,将病毒查杀、配置加固、可信环境验证、主动防御、分布式防火墙、介质管控、WEB SERVER防护等模块积木化组合,可以有效覆盖包括传统桌面、工作站、服务器、虚拟化、容器等场景的安全需求,对包括Windows、Linux、Android以及欧拉、麒麟、统信等国产操作系统都能有效建构系统内核层防御。

        智甲针对勒索攻击构建了“五层防御,两重闭环”的防护解决方案。五层防御即系统加固、(主机)边界防御、扫描过滤、主动防御、文档安全五个防御层次,两重闭环是EPP(端点防护)实时防御闭环,和EDR(端点检测和响应)准实时/异步防御闭环。

表1 安天智甲终端防御系统防护勒索病毒的机理

通过基线和补丁检查功能,实现对系统配置脆弱点的检查修补、补丁加固和系统自身安全策略调整等,从而减少包括开放端口、弱口令、不必要的服务等勒索攻击的暴露面,削弱漏洞利用的成功率。

通过分布式主机防火墙和介质管控功能,拦截扫描、入侵数据包,阻断攻击载荷传输,拦截U盘、光盘等插入自动运行,使勒索攻击难以获得主机入口。

基于安天AVL SDK反病毒引擎对文件对象、扇区对象、内存对象、注册表数据对象等进行扫描,判断检测对象是否是已知病毒或者疑似病毒,从而实现精准判断查杀。

基于内核驱动持续监控进程等内存对象操作行为动作,研判是否存在持久化、提权、信息窃取等攻击动作,判断是否存在批量读写、删除、移动文件或扇区等操作,并文件授信(签名验证)机制,过滤正常应用操作动作以降低误报。

依靠部署多组诱饵文件并实时监测,诱导勒索病毒优先破坏,达成欺骗式防御效果。采用多点实时备份机制,即使正常文档被加密也可快速恢复。


        凭借这样的机理设计,辅以每日10次病毒库本地升级,云端库实时升级,威胁情报定时推送,安天智甲可以有效阻止病毒落地、阻断恶意行为、保护重要文档,全面有效的保障用户免受勒索攻击威胁。

图1 智甲终端防护系统防护勒索病毒原理示意图


图2 智甲(桌面版)拦截勒索攻击与文档保护界面示例


图3 智甲管理中心威胁告警与处置界面




[1] 中国信通院发布《勒索病毒安全防护手册》.2021/09:

[2] 安天勒索攻击系列专题报告:

我要回帖

更多关于 信通院外聘与编制 的文章

 

随机推荐