经历风雨,终见彩虹——卫士通公司通过CMMI认证

2009年12月28日下午，卫士通五0一会议室里传出热烈的掌声，美围SEI授权的资深CMMI主任评估师刘海笑先生，在卫士通CMMI最终评估会上宣布卫士通公司通过了CMMIL3评估，并颁发了证书。

法规遵从与安全管理融合——卫士通诠释企业信息安全发展要素

面对即将上市或已经上市公司的财务欺诈事件,美国于2002年签发了关于规范上市公司财务监管等方面的法律,即萨班斯法案(SOX)。萨班斯法案从根本上改变了企业的经营环境和法律环境,其目的在于通过加强内部控制。

抗侧信道攻击的安全有效椭圆加密算法

为防御椭圆曲线密码系统的侧信道攻击,针对椭圆曲线密码系统的侧信道攻击主要集中在对标量乘运算的攻击,提出了基于Width-w NAF的改进算法RWNAF(refined Width-wNAF)和FWNAF(fractional Width-w NAF),通过Masking技术隐藏密码算法的真实能量消耗信息,能有效地防御SPA、DPA、RPA与ZPA攻击;通过对密钥d的奇偶性分析,对预计算表进行优化,减少了存储需求和计算开销。FWNAF进一步利用碎片窗口技术,提高了存储资源的利用效率,同时也减少了由于系统资源急剧变化而引发的系统计算性能的抖动现象。

密码芯片侧信道攻击仿真环境的设计与实现

侧信道攻击是一种强有力的物理安全分析方法,密码芯片侧信道攻击的安全评估一般都是在生产后期进行的,但生产后期进行侧信道攻击安全评估具有费时、容易出错及费用高昂等缺陷。为了提高效率,有必要在设计阶段进行侧信道攻击安全评估,这需相应的侧信道仿真工具支持。针对侧信道攻击需要相应的侧信道仿真工具支持的特点,提出一种侧信道攻击仿真环境的设计方案。该方案采用软硬件协同设计的思想,通过泄露仿真机制和安全分析策略相分离的方法,用构件技术来建立侧信道攻击的仿真环境,能在密码芯片的设计阶段对侧信道攻击进行仿真分析。与现有的PINPAS仿真环境相比,该环境具有灵活、高效的特点。

基于互信息博弈的侧信道攻击安全风险评估

侧信道攻击的攻防过程可以视为互信息博弈过程,博弈的双方分别为密码设备设计者(防御方)和攻击者。防御方的博弈目标是通过制定相关的防御策略,减少由侧信道泄漏所引发的局部风险和全局风险;对攻击方而言,其博弈目标正好与之相反。从制定安全策略、降低安全风险的角度出发,将互信息博弈理论引入密码芯片设计者(防御方)和攻击者的决策过程,考察攻防策略的选择对安全风险的影响,并结合互信息的量化方法,给出了Nash均衡条件下攻防双方的优化策略选择方法及Nash均衡下攻防双方的互信息收益。

抗侧信道攻击的椭圆曲线密码算法

椭圆曲线密码系统具有较高的安全性和有效的计算性,非常适合于资源受限的嵌入式移动环境。侧信道攻击是一种强有力的密码攻击方法,利用密码芯片在运算过程中泄露的信息对芯片的密码算法进行攻击。针对侧信道攻击椭圆曲线密码系统主要集中在对标量乘运算的攻击,提出一种基于RWNAF(Refined Width-w NAF)的改进算法FWNAF(Fractional Width-w NAF)算法。该算法利用碎片窗口技术,进一步提高存储资源的利用效率,同时也减少由于系统资源急剧变化而引发的系统计算性能的"抖动现象"。

层次化的侧信道攻击风险量化评估模型

随着攻击的多元化发展,在多种泄露条件下,密码芯片的安全风险评估问题以及优化的攻防策略选择问题成为目前研究盲点。针对多种泄露,从信息泄露的角度出发,利用信息熵对密码芯片的信息进行量化,并将互信息作为安全风险的衡量指标,提出了一种基于层次化的风险评估模型。该模型采用"自下而上,先局部后整体"的分析方法,将不同类型的泄露和攻击方法进行划分,并将互信息作为泄露风险的量化指标,通过模糊综合分析方法对安全风险进行有效的评估。

侧信道攻击仿真平台的设计与实现方法

针对侧信道攻击需要相应的侧信道仿真工具支持的特点,提出一种侧信道攻击仿真环境的设计方案,并侧重分析了该仿真平台的实现技术。该平台将侧信道泄露的仿真实现和分析实现相分离,采用构件技术对其进行封装,具有较强的灵活性。不同的侧信道泄漏信息以及攻击策略都能以构件的形式加入到平台中,使得测试人员可以根据测试需求灵活地选择测试数据和分析策略。在案例分析中,以分组长度为64比特的DES密码算法为测试对象,分别给出真实环境下测量出的功耗曲线和使用仿真平台所得到的功耗曲线。

基于生物密钥系统的能量攻击分析

为评估生物密钥系统在侧信道攻击下的安全性能，在分析生物密钥系统结构和特点的基础上，将用户的击键生物特征和秘密共享方案相结合，设计一个基于击键的安全生物密钥系统，并通过差分能量攻击技术测量安全生物密钥系统的功耗泄漏。仿真分析表明，攻击者借助少量的功耗泄露就可以破解生物密钥系统的信息。

基于互信息博弈的侧信道攻击风险评估模型

将互信息博弈理论引入密码芯片设计者(防御方)和攻击者的决策过程,建立一种互信息博弈的风险量化评估模型。考察攻防策略的选择对安全风险的影响,并结合互信息的量化方法,给出Nash均衡条件下攻防双方的优化策略选择方法及互信息收益。通过案例分析,验证了该策略的有效性。

关于笛卡尔积码的广义Hamming重量的分析

在文献[1 0 ] 中 ,由旧码C1 、C2 构造了一类新码C1 C2 ———笛卡尔积码。本文根据文献[1 ]中提出的广义Hamming重量的定义 ,分析了笛卡尔积码与旧码C1 、C2 的广义Hamming重量的关系 。

专业品质为中小企业成长护航——卫士通发布首款企业级内网安全产品“酷·安”主机监控审计系统

近日,国内信息安全专家型企业卫士通公司发布了首款企业级内网安全产品—＂酷·安＂主机监控审计系统。该款新品是继＂睿·安＂安全接入网关之后,卫士通公司发力中小企业市场的重要举措。

企业文化动态调节模型

定义企业文化 ,描述企业文化形成的过程 ,通过企业文化凝聚和环境响应模式ETS的描述 ,提出企业文化动态调节模型 ,说明企业文化动态调节所要达到的三个目的以及企业文化动态调节的四个过程 。

高科技企业人才盘点实践

在过去十年里,高科技行业进入快速变革时期,许多企业以数倍规模在扩张,但往往发现真正需要人的时候无人可用。通过人才盘点可以对组织结构和人才进行系统管理,盘点出关键岗位人才,确保企业有正确的结构和出色的人才,以落实业务战略,推动企业形成人才驱动型组织。

自主可控战略下信息安全产业发展壮大的思考

回顾2014年，中国发生了很多值得回顾的信息安全事件，如WindowsXP停止提供技术支持服务，还有OpenSSL代码的“心脏滴血”漏洞，再就是某电视台播控平台被攻击造成的恶劣影响。除此之外，我们经常使用的公共场所WIFI，会把个人隐私通过公共平台泄露出去。如今这个世界上可以说没有一个人是绝对安全的，有人戏称：当在网络空间中只有两种人，一种是知道自己被黑了，一种是不知道自己被黑了。

等保专家卫士通铸政府信息安全新长城

1．政府行业等保政策情况今年以来，国家和企业信息安全事件时有发生，给我国国家安全、企业安全和个人安全构成了极大的威胁，并造成了巨额经济损失。正因如此，加强基础信息网络和重要领域信息系统的安全等级保护已经变得刻不容缓。