安全认证相关名词解释简要版.docx
- 文档编号:15280816
- 上传时间:2023-07-03
- 格式:DOCX
- 页数:29
- 大小:38.71KB
安全认证相关名词解释简要版.docx
《安全认证相关名词解释简要版.docx》由会员分享,可在线阅读,更多相关《安全认证相关名词解释简要版.docx(29页珍藏版)》请在冰点文库上搜索。
安全认证相关名词解释简要版
1.安全评估介绍:
定义
(Safetyassessment)网络安全评估又叫安全评价。
一个组织的信息系统经常会面临内部和外部威胁的风险。
随着黑客技术的日趋先进,没有这些黑客技术的经验与知识很难充分保护您的系统。
安全评估利用大量安全性行业经验和漏洞扫描的最先进技术,从内部和外部两个角度,对企业信息系统进行全面的评估。
由于各种平台、应用、连接与变更的速度和有限的资源组合在一起,因此采取所有必要措施保护组织的资产比以往任何时候都困难。
环境越复杂,就越需要这种措施和控制来保证组织业务流程的连续性。
安全评估分狭义和广义二种。
狭义指对一个具有特定功能的工作系统中固有的或潜在的危险及其严重程度所进行的分析与评估,并以既定指数、等级或概率值作出定量的表示,最后根据定量值的大小决定采取预防或防护对策。
广义指利用系统工程原理和方法对拟建或已有工程、系统可能存在的危险性及其可能产生的后果进行综合评价和预测,并根据可能导致的事故风险的大小,提出相应的安全对策措施,以达到工程、系统安全的过程。
安全评估又称风险评估、危险评估,或称安全评价、风险评价和危险评价。
安全评估目标
在项目评估阶段,为了充分了解企业专用网络信息系统的当前安全状况(安全隐患),因此需要对网络系统进行安全状况分析。
经我系安全小组和该企业信息中心的双方确认,对如下被选定的项目进行评估。
·管理制度的评估
·物理安全的评估
·计算机系统安全评估
·网络与通信安全的评估
·日志与统计安全的评估
·安全保障措施的评估
·总体评估
1安全评估作用
网络安全是什么?
准确的回答也许没有,但做好安全却有一个前提,就是必须能够回答或明确以下问题:
什么是最关键的信息资产?
目前您的网络有那些安全问题?
网络设备是否安全?
操作系统、数据库系统是否安全?
您的网络面临的最大威胁是什么?
哪些安全问题对您的的业务发展具有影响?
您的业务有什么样的安全需求?
您在系统中采用了哪些安全措施?
这些措施是否有效?
目前的安全管理制度是否完善?
您需要什么风险控制手段?
您需要什么安全技术保障?
目前的人员是否可以应付处理网络安全事件?
对于安全事故,是否具备应急响应与恢复能力?
……
应该保护什么?
应该如何保护?
安全的投入多少合适?
……
要回答这些问题需要――安全评估。
2安全评估的目标
安全评估的目的通常包括以下几个方面:
★确定可能对资产造成危害的威胁,包括入侵者、罪犯、不满员工、恐怖分子和自然灾害;
★通过对历史资料和专家的经验确定威胁实施的可能性;
★对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;
★对最重要的、最敏感的资产,确定一旦威胁发生其潜在的损失或破坏。
★准确了解企业网的网络和系统安全现状;
★明晰企业网的安全需求;
★制定网络和系统的安全策略;
★制定网络和系统的安全解决方案;
★指导企业网未来的建设和投入;
★通过项目实施和培训,培养用户自己的安全队伍。
3安全评估的原则
在安全评估中必须遵循以下一些原则:
(1)标准性原则
评估方案的设计和具体实施都依据国内和国外的相关标准进行及理论模型。
(2)可控性原则
扫描评估所使用的工具具有可控性。
可控性主要表现在评估项目所采用的网络漏洞扫描软件都是根据评估的具体要求和企业的具体网络特点定制的,具有完全的自主版权。
(3)整体性原则
分单个IP安全性和IP所在段安全威胁分析列出报表;确保涉及到主机和网络设备的各个层面;由单机和网络相结合分析得出风险值;避免由于遗漏造成未来安全隐患;根据主机风险值和网段风险级别得出综合安全风险值。
(4)最小影响原则
评估工作应尽可能小的影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生显著影响。
(5)保密性原则
人员安排:
扫描和渗透测试全部由我公司人员独立完成;在评估过程中对评估数据严格保密;在评估结束以后不利用评估中的任何数据进行其他有损甲方利益的用途,双方签署保密协议。
4安全评估内容简述
(1)专业安全评估服务
服务目标:
专业安全评估服务对目标系统通过工具扫描和人工检查,进行专业安全的技术评定,并根据评估结果提供评估报告。
系统类型:
目标系统主要是主流UNIX及NT系统(包括Solaris、AIX、IRIX、HP-UX、RedHat-linux、*BSD、NT4.0、W2K),主流数据库系统(包括Oracle、SQLServer、Sybase、MySQL、Informix),以及主流的网络设备(包括CISCO、华为、防火墙设备和其它设备)。
评估方式:
a使用扫描工具对目标系统进行扫描,提供原始评估报告(工具自带功能)或由专业安全工程师提供人工分析报告。
b人工评估服务
人工检查如下内容
•安全配置检查
系统管理和维护的正常配置,合理配置,及优化配置。
例如系统目录权限,帐号管理策略,文件系统配置,进程通信管理等。
•安全机制检查
安全机制的使用和正常配置,合理配置,及优化配置。
例如日志及审计、备份与恢复,签名与校验,加密与通信,特殊授权及
访问控制等。
•入侵追查及事后取证
检查与发现系统入侵,攻击或其它危害,尽可能追查及取证。
例如日志被毁坏篡改或删除,计费数据被删除,遭受DOS攻击,系统被监
听,控制或安装后门等。
(2)主机系统加固服务
a服务目标:
主机系统加固是根据专业安全评估结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。
b服务主要内容:
●微软操作系统
补丁、文件系统、帐号管理、网络及服务、注册表、共享、应用软件、审计/日志,其它(包括紧急恢复、数字签名等)。
●UNIX操作系统
补丁、文件系统、配置文件、帐号管理、网络及服务、NFS系统、应用软件、审计/日志,其它(包括专用安全软件、加密通信,及数字签名等)。
●数据库系统
主流数据库系统(包括Oracle、SQLServer、Sybase、MySQL、Informix)的补丁、账号管理、口令强度和有效期检查、远程登陆和远程服务、存储过程、审核层次、备份过程、角色和权限审核、并发事件资源限制、访问时间限制、审核跟踪、特洛依木马等。
c系统加固报告服务
选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出加固报告。
d系统加固报告增强服务
选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户。
e系统加固实施服务
选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户,并由安氏专业安全工程师实施加固工作。
2.中国信息安全测评中心介绍
网站:
.cn/
简介
测评中心是国家信息安全保障体系中的重要基础设施之一,在国家专项投入的支持下,拥有国内一流的信息安全漏洞分析资源和测试评估技术装备;建有漏洞基础研究、应用软件安全、产品安全检测、系统隐患分析和测评装备研发等多个专业性技术实验室;具有专门面向党政机关、基础信息网络和重要信息系统开展风险评估的国家专控队伍。
测评中心自1997年创立以来,依照国家法律法规,在信息安全领域为国家提供技术保障,向社会提供公共服务。
累计完成600多种产品、130多个网络信息系统和2000余名专业人员的安全测评;长期为20多个部委和10多个重要信息系统进行风险评估。
同时,承担国家863、973、自然科学基金和国家标准研制等科研项目100余项,多项科研成果获得国家、部委级科技进步奖,研制的数十项技术标准已作为国家标准正式发布实施。
测评中心在信息安全测试评估、技术创新、重大安保和社会服务等方面的工作业绩,先后得到中央领导、有关部委和社会的充分肯定和一致好评。
测评认证项目目录
信息安全产品测评:
对国内外信息技术产品的安全性进行测评,其中包括各类信息安全产品如防火墙、入侵监测、安全审计、网络隔离、VPN、智能卡、卡终端、安全管理等,以及各类非安全专用IT产品如操作系统、数据库、交换机、路由器、应用软件等。
根据测评依据及测评内容,分为:
信息安全产品分级评估、信息安全产品认定测评、信息技术产品自主原创测评、源代码安全风险评估、选型测试、定制测试。
信息系统认定:
对国内信息系统的安全性进行测试、评估。
对国内信息系统的安全性测试、评估和认定、根据依据标准及测评方法的不同,主要提供:
信息安全风险评估、信息系统安全等级保护测评、信息系统安全保障能力评估、信息系统安全方案评审、电子政务项目信息安全风险评估。
信息安全服务资质认定:
对提供信息安全服务的组织和单位资质进行审核、评估和认定。
信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力,以及其稳定性、可靠性进行评估,并依据公开的标准和程序,对其安全服务保障能力进行认定的过程。
目前分为:
信息安全工程类、信息安全灾难恢复类、安全运营维护类。
信息安全专业人员资质认定:
对信息安全专业人员的资质能力进行考核、评估和认定。
信息安全人员测评与资质认定,主要包括注册信息安全专业人员(CISP)、注册信息安全员(CISM)及安全编成等专项培训、信息安全意识培训。
测评依据标准与规范
信息安全测评的基础标准是国家标准GB/T18336-2008《信息技术安全技术信息技术安全性评估准则》,该标准等同采用国际标准ISO/IEC15408(CC)。
此外,在测评认证过程中依据的标准还包括经中国国家信息安全测评认证管理委员会认可的安全技术要求、规范和测评要求等,主要包括:
产品测评:
*《低风险环境应用级防火墙保护轮廓》(EAL2)、《中风险环境应用级防火墙保护轮廓》(EAL3)、《中高风险环境应用级防火墙保护轮廓》(EAL4)
*《低风险环境包过滤防火墙保护轮廓》(EAL2)、《中风险环境包过滤防火墙保护轮廓》(EAL3)、《中高风险环境包过滤防火墙保护轮廓》(EAL4)
*《低风险环境安全扫描器保护轮廓》(EAL2)、《中风险环境安全扫描器保护轮廓》(EAL3)、《中高风险环境安全扫描器保护轮廓》(EAL4)
*《低风险环境入侵检测系统保护轮廓》(EAL2)、《中风险环境入侵检测系统保护轮廓》(EAL3)、《中高风险环境入侵检测系统保护轮廓》(EAL4)
*《电信智能卡安全技术要求》(EAL4+)
*《电信智能卡嵌入式软件安全技术要求》(EAL4+)
*《交换机和路由器保护轮廓》(EAL3)
*《商用密码产品安全技术要求》
系统认定:
《信息技术信息安全管理使用规则》(ISO/IEC17799-2000)、《系统安全工程能力成熟度模型》(ISO/IEC21827-2002)、《信息安全工程质量管理要求》、《电子政务信息系统安全保障评估准则》、《网上证券委托系统安全技术要求》等。
服务资质认定:
《信息系统安全服务资质评估准则》
人员认定:
《注册信息安全专业人员资质评估准则》
3.安全认证解释
认证的官方含义是:
由可以充分信任的第三方证实某一经鉴定的产品或服务符合特定标准或规范性文件的活动。
NAS产品的认证通常是指是否通过国际上通用的安全标准。
常见的安全认证有以下几个:
FCC认证FCC(FederalCommunicationsCommission,美国联邦通信委员会)通过控制无线电广播、电视、电信、卫星和电缆来协调国内和国际的通信。
CSA认证CSA(CanadianStandardsAssociation)提供对机械、建材、电器、电脑设备、办公设备、环保、医疗防火安全、运动及娱乐等方面的所有类型的产品提供安全认证。
CE认证CE(CONFORMITEEUROPEENNE)提供产品是否符合有关欧洲指令规定的主要要求EssentialRequirements。
TUV认证TUV提供对无线电及通讯类产品认证的咨询服务。
UL认证UL(UnderwriterLaboratoriesInc.)采用科学的测试方法来研究确定各种材料、装置、产品、设备、建筑等对生命、财产有无危害和危害的程度;确定、编写、发行相应的标准和有助于减少及防止造成生命财产受到损失的资料,同时开展实情调研业务。
GS认证:
以德国产品安全法(SGS)为依据,按照欧盟统一标准EN或德国工业标准DIN进行检测的一种自愿性认证,是欧洲市场公认的德国安全认证标志。
CCC认证:
我国国家监督检验检疫总局和国家认证认可监督管理委员会于2001年12月3日一起对外发布了《强制性产品认证管理规定》,对列入目录的19类132种产品实行“统一目录、统一标准与评定程序、统一标志和统一收费”的强制性认证管理。
将原来的“CCIB”认证和“长城CCEE认证”统一为“中国强制认证”(英文名称为ChinaCompulsoryCertification),其英文缩写为“CCC”,故又简称“3C”认证。
4.中国金融认证中心介绍
公司网址.cn/
中国金融认证中心
权威的电子认证服务机构领先的信息安全服务专家
专业产品一流服务权威品牌
中国金融认证中心(ChinaFinancialCertificationAuthority,简称CFCA)于2000年6月29日挂牌成立,是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构,重要的国家金融信息安全基础设施之一。
也是《中华人民共和国电子签名法》颁布后,我国首批获得电子认证服务许可的电子认证服务机构之一。
2004年底,CFCA建成了“国家金融安全认证系统”,开始向网上银行、电子商务、电子政务提供服务。
该系统的建设及应用受到国家相关部门的高度重视,被列入国家863计划。
系统先后通过了国家密码管理局的安全性审查、技术鉴定和国家科技部的863项目验收。
“国家金融安全认证系统”具有良好的兼容性和扩展能力,能够充分满足金融信息化、电子商务、电子政务蓬勃发展的需要。
该系统的建成,也为跨银行、跨行业一证通用打下了基础。
CFCA在行业内拥有权威地位和较高的品牌知名度,同时,具有良好的品牌信誉度,拥有丰富的信息安全领域经验和雄厚实力。
为金融行业、电子商务、电子政务领域服务,提供信息安全解决方案、信息安全产品研发、信息安全评估、安全技术支持、联合测试等全方位的信息安全服务。
国内绝大部分银行(100多家)已经采用了CFCA提供的第三方安全认证。
目前,CFCA的产品应用于银行等金融机构、税务等政府机关、大企业集团,广泛得到客户好评。
CFCA作为国内一流水平的电子认证服务机构和信息安全综合解决方案提供商,将竭诚服务广大客户,用专业化水平推动信息安全事业,促进网络应用繁荣发展
5.交易安全介绍
外汇保证金交易安全以及风险控制
摘要:
外汇保证金交易过程产生的不确定因素,以及涉及到资金管理,交易商选择,政策法规解读,时间控制,成本风险内容,是每一个投资者都关心的内容,本文旨在讨论外汇交易过程的透明化,谨慎选择投资方向,合理规避风险,实现稳定盈利。
一、资金安全
实际操作中,有经纪公司(代理商携投资者交易本金逃跑的案例,是每一个参与外汇保证金交易必须考虑的问题,也会首要关注的问题之一。
如何在外汇交易中保障您的资金安全
中国外汇政策的改进,金融市场的进一步开放,外汇正成为投资者身边的一个重要投资品种,越来越多的人开始或正准备从事外汇投资。
其中绝大部分是从事保证金交易。
但是由于缺少有效的指引,大部分投资者在进入这个市场时感到无所适从,有的投资者掉进了黑外汇交易商的陷阱,蒙受损失。
所以对刚入市的投资者来说资金安全是首先应该考虑的
资金安全,国内实盘交易资金存在国内银行,这是安全的,而保证金交易,选择正规的外汇交易商才能保证资金安全。
提到正规公司,现在做保证金都是不正规的,国家不允许的,天下乌鸦一般黑,以此来掩盖非法交易商的违规行为。
事实不是这样的。
中国大陆虽然现在没有完全放开保证金交易——不允许交易商在国内开设分公司和办理业务,但是国家不干涉居民个人在海外的投资,所以投资者可以通过这些交易商的代理或者在国内的办事处办理开户手续,进行国外保证金交易。
正规的外汇交易商会受到所在国家或地区政府机构的监管,投资者会获得他们保护。
目前此类外汇交易商大多在美国,英国,中国香港也有一些。
美国的正规交易商受美国外汇协会(NFA),美国商品外汇交易委员会(CFCT)监管。
英国正规交易商受英国金融服务管理局(FSA)监管,中国香港的外汇交易商受香港证监会(SFC)监管。
美元在全世界外汇市场有着很大影响。
因此,美国作为外汇投资者来说,也是一个主要的交易市场,它所拥有的外汇保证金交易商也最多。
世界比较知名,规模实力雄厚的投资银行,经纪商也在美国。
它的监管制度比较健全,法律完善,是优先的选择。
受NFACFCT监管的交易商一定要遵守以下两个条件:
1.1投资者保证金和交易商帐户分离,必须由第三方银行来监管,比如fxsol,投资者的资金存在摩根银行,投资者的资金和fxsol公司本身的资金是分离的。
即使交易商破产,摩根银行承担因外汇交易商破产所导致投资者帐户损失的风险。
简单来讲你的资金还在你的摩根银行帐户。
1.2投资者担心银行申请破产清算。
这就需要有一家保险公司来为这家托管银行进行信用保险。
保险公司承担因银行破产所导致投资者帐户损失的风险。
这只是其中两点最重要的原则,还有其他很多条例。
例如,要求外汇交易商和银行在美国中央银行存入一定数量的风险保证押金,以保留对外汇交易商和银行存在违规操作等不良行为的最终制裁权等等。
可以看出受NFACFCT监管的交易商对投资者来讲资金可以说是有保障的。
监管机构的网站上可以查到外汇交易商的历史,注册资料,违规记录,监管机构警告或者惩罚记录等,可以更好地选择交易商。
不正规的外汇交易商,投资者资金没有安全保障,一旦外汇交易商有违规的行为,投资者的资金会损失,投诉的地方都没有。
其他国家的监管机构有瑞士,澳大利亚,新西兰,日本,挪威
这些国家存在对外汇保证金交易的监管,但监管程度相对于美国来说要弱。
从网上查不到受监管公司详细资料及历史记录。
一般来说,受到这些国家金融机构监管的外汇交易商,投资者根本无从考证。
美国是监管机构最完善的国家。
受美国外汇协会(NFA)以及(CFCT)监管的外汇交易商。
是投资保证金交易的首选,其次就是英国和香港的交易商,对于声称受到其他国家地区监管投资者又查不到的交易商,无论佣金为零,点差很低也不是最佳选择。
受严格监管的外汇交易商很多。
二、交易风险控制
交易商选择:
什么样的交易商是合法的,非法交易商的特点。
1.人民币开户
如果有外汇交易商允许投资者以人民币开户,那么这个外汇交易商一定有问题,因为中国还没有放开外汇保证金业务,即使是国外交易商在中国的办事处也同样不可以经营业务,投资者只能在国外或者香港开户。
而人民币又不是自由兑换的货币,正规的交易商是不会接受人民币开户,只接受美元或者本国货币开户的。
所以人民币开户交易商是非法经营的。
2.黑外汇交易商
黑外汇交易商是性质最恶劣的一类——在国外不受监管,直接在中国注册成立,但打着国外或者中国澳门地区的旗号。
这类公司有两个特点:
一、不受监管机构监管,很多不法交易商是在离岸岛国注册的。
甚至找不到国外公司注册地址;二、公司的服务器设在国内,运作过程,投资者取不出资金,并想尽办法让投资者资金损失,因为投资者的资金并没有流入国际市场,投资者的损失其实是给了这些黑交易商,通常他们的做法是给错误的行情信息,鼓励下重仓,交易平台经常断线,滑点,盈利平不掉仓等等。
3.汇款到私人帐户或不知名公司帐户
有香港公司说英国平台让资金存入香港公司,然后再转到英国公司——明显的欺诈行为,存在风险。
首先明确一点,凡正规交易商都能接受申请者的汇款,不得通过第三方进行转账,提款时也不得接受第三方的申请及转账要求。
所以在国内没有任何一家公司及人个有权接受投资者的资金,否则要么不公司不正规,要么交易商非法。
换个角度:
如果正规的英国公司,直接汇款就可以了,为什么要先汇到香港?
如果真是从香港再转到英国账户上,必然不是以投资者的名义开户,这其中就有问题。
正规的外汇交易商存取款(类同国内银行存取款),投资者资金是由投资者本人管理其在相应托管银行的帐户,是实名对实名的。
汇款到个人帐户,如果该外汇交易商出问题,或者该个人帐户的所有人出问题,投资者的资金怎么取出来?
而且汇款到个人帐户,很难知道自己的资金流向哪里,也许根本没有进入市场,其实是进了骗子的资金包。
即使交易商是正规的,这种做法同样样是不可以的,因为正规交易商只接受申请人本人汇款,把资金存在一个私人帐户里,那么开出来的户也一定是以别人的名义来开户,所以说把资金汇入私人帐户的做法是不正规的,需要谨慎对待
4.入金正规程序
投资者的资金直接汇到交易商受监管的托管银行账户里,不通过个人或中间公司;所以不应该以国内代理公司的信息,来判断交易商的正规与否;这些与国内公司的注册资金、装修、写字楼办公、场地大小、人员多少、与政府合作或银行合作等等都毫无关系。
关键是选择的这家外汇交易商是否受当地法律监管,当地监管是否严格,资金是否由托管银行存放等等。
不要被假象蒙蔽,不要看介绍开户的公司或者个人,要注意的是交易商是否正规,开户的程序是否合法。
5.香港投资公司
香港公司很多,但是投资者要记住一点,中国香港受监管的外汇交易商只能从事20倍杠杆的保证金业务,超过20就是违规。
香港的外汇交易商确实是受监管的,但是为了逃避监管从事100倍及以上的保证金业务,就在澳门或者国外某地注册一个公司,声称是其分公司。
然后冠冕堂皇说这个公司也受香港证监会的监管。
澳门或者国外的分公司是独立的公司,绝对不会受香港证监会的监管。
很多香港的外汇交易商由于在澳门地区从事黑市外汇交易被处罚过,香港证监会可以查到相关记录。
所以只要记住香港公司只要是超过20倍杠杆就一定是不受监管、违规的。
6.澳门外汇交易商
目前国内有许多澳门地区的外汇交易商在做业务。
有的说受香港证监会监管,有的说受澳门地区证监会的监管。
有的说是
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 认证 相关 名词解释 简要