网站简介:
陕西省网络与信息安全测评中心成立于2009年3月,是具有独立法人资格的事业单位,是专业从事网络安全服务的第三方权威机构,是我省网络安全和信息化建设的支撑单位,是国家网络空间治理的重要力量。一、业务职能:1、陕西省网络与信息安全测评中心。根据批复,主要职责为网络与信息系统安全测评,网络与信息系统安全保障体系的设计及咨询服务,信息安全等级保护和风险评估技术支持与服务,网络与信息安全应急响应与救援,网络与信息安全技术与管理培训,网络与信息安全相关应用技术研究等。 2、陕西省工业控制系统信息安全中心。2013年7月,《陕西省工业和信息化厅关于成立“陕西省工业控制系统信息安全中心”的批复》(陕工信发〔2013〕322号)同意在测评中心的基础上成立陕西省工业控制系统信息安全中心。根据批复,主要职责为开展标准规范体系、技术支撑平台、安全技术防范的研究,积极参与国家、地方性标准、规范的制定;帮助企业查找安全漏洞,评估安全风险,进行安全提示,建立安全防范体系;协助主管部门开展安全测评、监督检查、培训等工作;联合企业、高等院校和其他社会团体的技术力量,发挥资源优势,研发工业控制系统信息安全产品,提供技术支撑与咨询服务。3、中国信息安全认证中心陕西分中心。2014年12月,测评中心和中国信息安全认证中心宣布设立中国信息安全认证中心陕西分中心(《国家质检总局关于同意中国信息安全认证中心设立辽宁等7个分中心的批复》(国质检人〔2014〕552号))。陕西分中心的设立,标志着双方将共同打造一流的信息安全认证公共服务机构,通过开展信息安全认证与技术服务,促进我省乃至西北地区有关政府、行业主管部门和相关企业提高信息安全管理能力与水平,提升信息安全保障能力,实现信息安全认证本地化目标。4、陕西正观政务研究院。2018年3月,测评中心筹建的陕西正观政务研究院获批成立。该院致力于政务公开、政务服务、政务信息化、政务新媒体等相关理论、技术和应用的研究与规划,政策法规解读、体系建设设计和咨询、培训和交流等信息化服务,不断推进政府管理和社会治理模式创新,促进电子政务和智慧城市发展,为国家治理现代化水平提升、智慧社会建设提供有力支撑。二、主要资质:1、ISO27001信息安全管理体系认证。2010年获得了在国际上具有代表性的ISO27001信息安全管理体系认证证书,标志着测评中心已实现了动态的、系统的、全员参与的、制度化的、符合国际标准的信息安全管理模式。2、CNAS检验机构认可资质。2012年取得了CNAS检验机构认可证书,标志着测评中心的硬件设施、软件条件以及检验能力均达到国际认可水平,在认可范围内的项目所出具的检验数据及报告,将获得与CNAS签署互认协议的国家和地区检验认可机构的承认。3、信息安全风险评估服务资质。2013年获得了信息安全风险评估服务资质认证证书,2017年升级为一级资质(该项资质的最高等级)。标志着测评中心的信息安全风险评估服务管理能力、服务技术能力和服务过程能力等均达到国内先进水平。4、涉密信息系统集成资质。2016年获得了陕西省国家保密局涉密信息系统集成资质证书。标志着测评中心具备了承接涉密业务的能力和资格,进一步提升了测评中心的品牌知名度和核心竞争力。5、网络安全等级保护测评机构。2018年测评中心申请的网络安全等级保护测评机构通过省等保办审核,已推荐至国家等保办。6、信息安全应急处理服务资质。2018年获得了信息安全应急处理服务资质认证证书,标志着测评中心的信息安全应急处理服务管理能力、技术能力和过程能力等均达到国内先进水平,具备了承接信息安全应急处理业务的能力和资格。三、基础研究:《面向电子政务的信息安全风险评估专业化服务》项目,获得国家发改委信息安全专项资金支持,被列入2010年国家高技术产业发展项目;《陕西省政府网站绩效评估研究及应用》项目,被评为2012年度陕西省科学技术奖三等奖;合作申报的《云计算安全关键技术验证与攻防平台》项目,被评为2015年度陕西省科学技术奖二等奖;《陕西省互联网网站云防御及追踪平台》项目,荣获2018年度陕西省电子学会科学技术奖二等奖。连续承担了工信部《政府部门互联网安全接入试点研究》等多项课题研究,《高性能网络信息安全综合防御系统》项目、《网站应用安全监控服务平台》项目获得了省技术创新资金的支持。作为国家标准化管理委员会国家级试点单位、全国信息安全标准化技术委员会成员单位,筹建了陕西省信息安全标准化技术委员会,并担任秘书处单位;牵头承担《信息安全技术智慧城市网络安全评价方法》国家标准编制;参与了《信息安全技术数据交易服务安全要求》和《信息技术 安全技术 入侵检测和防御系统(IDPS)的选择、部署和操作》等10项国家标准制修订工作,其中两项国家标准GB/T 35280-2017《信息安全技术信息技术产品安全检测机构条件和行为准则》、GB/T 35284-2017《信息安全技术 网站身份和系统安全要求与评估方法》已由中国标准出版社出版发行,并于2018年7月1日实施;参与编制的《大数据安全标准化白皮书(2018版)》在全国信息安全标准化技术委员会第一次工作组“会议周”上正式发布;《陕西省地税系统信息安全风险测评案例》荣获信息安全国家标准优秀应用案例奖。四、主要平台:先后建成了以风险评估、工控安全、网站监控、源代码分析和攻防实操等主要业务为基础的九大技术平台,既独立运行,又互相依托,共享协同,为网络安全业务开展提供技术支撑环境。 1、陕西省互联网工业控制信息安全态势感知平台。以“多维感知、全域覆盖”为目标,集全域联网工控感知、在线监测、综合分析、威胁评估、态势呈现和通报预警于一体。通过实时监测和多元化态势感知,及时掌握我省工业控制系统安全态势,以及重点地区、重点企业工控系统安全状态,为我省工业控制系统信息安全工作开展提供决策依据和参考。2、网站应用安全监控服务平台。作为全方位安全监控和保障的综合性服务平台,对各级党政机关、重点行业网站,从可用性、安全事件、脆弱性,以及域名劫持、网页挂马、SQL注入漏洞、跨站脚本攻击漏洞等开展7*24小时安全监测。帮助用户了解网站安全运行状态,定期检测网站存在的安全漏洞,及时通报,提供安全建议,并跟踪验证。3、互联网云防御平台。作为目前国内唯一一款以大数据为基础的人工智能云防御平台,可为安全基础为零的网站提供安全防御支持。平台根据不同防护级别可为网站提供基础防御、云防御、专属防御、攻击溯源四个阶段的安全防护。基础防御可为用户抵挡来自互联网的所有应用层攻击;云防御可实现对网站的智能访问控制,并集结部署于互联网所有节点,为网站抵挡最大500G的流量攻击;专属防御可由平台作为网站替身,使所有攻击作用于平台之上;攻击溯源可对所有的攻击行为进行反向取证,并与黑客档案库联动分析得到详细结果。4、全省政府网站内容监测平台。包括网站诊断监测系统和错别字检测系统。网站诊断监测系统,可实现网站可用性实况、网站性能和网站错误检测,方便查询网站的健康诊断情况。网站错别字检测系统,可实现网站错别字、敏感词检测、定位和快照,方便查找及修改,提升网站内容安全。5、云计算安全关键技术验证与攻防平台。平台分为漏洞与攻击验证系统、网络靶场系统、攻防工具库、拒绝服务攻击系统、密网诱捕与分析系统五部分。可针对各种类型的常见漏洞、病毒,研究其特性;也可在用户授权的前提下,按照黑客的思路,模拟其行为,发现用户网站的安全问题,验证现有的防御手段是否有效。6、网络拓扑集合识别与网络边界勘验平台。作为整个网络空间组件库中的一个信息采集平台,可帮助用户了解其网络空间设备、网络终端及相互之间的连接关系的基本信息,主要包括管理信息库中的路由表、端口表、地址映射表和运行状态,并逐步获取实时的网络结构情况。7、源代码分析平台。根据目前部署的Fortify源代码检测系统和Checkmark源代码检测系统,两套系统互相印证,可帮助用户完成其程序的源代码审计工作。8、风险评估技术支撑平台。包括风险评估系统、知识库管理系统和日志管理系统三个子系统。主要功能包含脆弱性分析、威胁分析、风险分析等八个模块。有效地解决了风险评估实施难度大、历时长、准确性低等问题,减少人工测评中的主观因素,进一步提升风险评估工作效率及评估结果的客观性、准确性。9、陕西省社会公共服务卡管理平台。按照“数字陕西 智慧城市”的总体部署,以实现全省“一卡多用、一卡通用”为目标,以陕西省社会公共服务卡为依托,通过协调政府多部门行业应用,构建全省社会公共服务体系数据库,实现跨地区、跨行业社会公共服务体系的统一管控,为政府相关政策的制定及决策提供支持。五、前景展望:测评中心具有开展网络安全服务、用户放心的高素质团队,持有国家注册信息安全专业人员(CISP)资质的工程师,在技术团队中占比超过80%,共同践行“专业、效率、包容、共进”的团队理念。先后与中国信息安全认证中心、工信部一所、西安电子科技大学、知道创宇等签署了合作协议。同时与我省部分地市、省级部门签署了战略合作框架协议和工作协议,与中国信息安全测评中心、国家信息技术安全研究中心、兄弟省市测评中心、西安交通大学、网络安全厂商等建立了良好的合作关系,形成了优势互补、资源共享、合作共赢、共同发展的良好局面。随着自身能力建设的持续加强,网络安全服务质量和水平不断提升,测评中心以专业扎实的技能、优质周到的服务、科学严谨的态度,赢得了行业与客户的一致认可,为我省网络安全保障体系的建设和完善做出了重要贡献。展望未来,测评中心将以国际化的思维和视野,紧跟网络安全发展形势,不断提升网络安全服务水平,努力建设基础牢固、特色鲜明、权威公正、声誉良好、西北一流、国内领先的测评机构。以安全保发展,以发展促安全。强化网络安全保障,护航电子政务发展,切实保护公众利益,着力维护国家安全。
|
