关于鼎铉
根据国家密码管理局《关于开展第三方商用密码检测机构培育试点工作的通知》(国密局字〔2016〕345号),为推进密码管理部门“放管服”改革,经中央领导同志批准、国家密码管理局同意及深圳市委市政府争取,2017年3月,深圳市坪山区成立了区属国有独资企业鼎铉商用密码测评技术(深圳)有限公司(下称“鼎铉公司”),以承接第三方商用密码产品检测机构培育试点工作。2018年12月,公司顺利取得《商用密码产品检测检测机构资质证书》,获批成为国家密码管理局授权的全国首家第三方商用密码产品检测机构。
公司建设了商用密码产品检测、安全测评(以商用密码应用安全性评估为主)等2支专业技术队伍。技术人员中,研究生占比近40%,骨干技术人才来自华为、联想、中国电力科学研究院、深信服等知名高科技企业或单位,在密码与网络信息安全领域有丰富的工作经验,且多人具备高级工程师、CISSP(信息系统安全认证专家)、CISP(注册信息安全专业人员)、CISAW(信息安全保障人员认证)和计算机技术与软件专业技术资格等证书,有效支撑公司各项业务的开展。
在国家密码管理局等各级密码主管部门以及深圳市委市政府、坪山区委区政府的领导与支持下,鼎铉公司聚焦并深入发力商用密码产品检测、商用密码应用安全性评估等两大主业,专业技术及服务质量得到了相关部门、行业及服务客户的高度认可,具有较高的行业知名度及影响力、号召力。目前商用密码产品检测业务客户涵盖全国20多个省市,商用密码应用安全性评估业务客户涵盖政务、教育、能源、医疗卫生等重要领域。
未来,鼎铉公司将进一步贯彻落实习近平总书记关于密码和国产化替代工作的重要批示指示精神,积极抢抓数字中国、密码强国建设战略机遇,全力以赴承担好国家交办的政治任务,以更严标准、更严作风继续深化密码关键核心技术攻关与服务质量提升,以更高水平、更高质量打造专业技术队伍,全面推进国产密码在全国各重要领域的合规、正确及有效应用,为推进深圳、广东、粤港澳乃至全国商用密码产业高质量发展、为建设世界一流密码强国贡献“鼎铉力量”。
检测、测评业务
1. 商用密码产品检测:每类商用密码产品都应当遵循对应的国密标准,有明确的技术要求和检测要求。 商用密码产品检测即对产品的国密标准、技术要求等进行检测,每类产品须由具备资格的机构检测认证合格后方可销售或者提供。当前,在市场上的全部28类商用密码产品中,鼎铉公司已具备21类产品的检测资质(其余7类正在培育扩项中),并具备了商用密码产品工厂检查资质。具体如下:
1) 智能密码钥匙
2) 智能IC卡
3) POS密码应用系统、ATM密码应用系统、多功能密码应用互联网终端
4) PCI-E密码卡/PCI密码卡
5) IPSec VPN 产品/安全网关
6) SSL VPN 产品/安全网关
7) 安全认证网关
8) 密码键盘
9) 金融数据密码机
10) 服务器密码机
11) 签名验签服务器
12) 时间戳服务器
13) 安全门禁系统
14) 动态令牌、动态令牌认证系统
15) 安全电子签章系统
16) 电子文件密码应用系统
17) 可信计算类密码支持平台
18)证书认证系统、证书认证密钥管理系统
19)对称密钥管理产品
20)安全芯片(资质培育中)
21) 电子标签芯片
22)其他密码模块
2.商用密码应用安全性评估:对采用商用密码技术、产品和服务集成建设的网络和信息系统的密码应用的合规性、正确性和有效性等进行评估。
2.1测评对象:涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位应当健全密码保障体系,实施商用密码应用安全性评估。重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。
2.2依据标准:
l《GB/T 39786-2021信息安全技术 信息系统密码应用基本要求》
l《GM/T 0115-2021信息系统密码应用测评要求》
l《GM/T 0116-2021信息系统密码应用测评过程指南》
l《信息系统密码应用高风险判定指引》
l《商用密码应用安全性评估量化评估规则》
2.3测评内容:从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面从第一级到第四级的密码应用技术是否满足要求,并从管理制度、人员管理、建设运行和应急处置密码应用管理四个方面从第一级到第四级的密码应用管理是否满足要求。
安全类测评与渗透
1.渗透测试:经过客户授权后,在不影响业务系统正常运行的条件下,渗透人员通过模拟黑客的思维和攻击手段,在黑客可能利用的位置,采取可控的方法、手段和工具,对某个特定业务系统进行主动分析和测试,发现和挖掘业务系统中存在的弱点、技术缺陷或漏洞,然后输出渗透测试报告,并提交给业务系统所有者,由业务系统所有者根据渗透人员提供的渗透测试报告,知悉业务系统中存在的安全隐患和问题并进行整改。
2.漏洞扫描:漏洞扫描服务(Vulnerability Scan Service)集Web应用系统漏洞扫描、操作系统漏洞扫描、数据库漏洞扫描等核心功能,提供全面、快速、精准的漏洞扫描,自动化帮助企业全方位掌握资产安全信息且持续挖掘互联网边界的安全风险。
3.代码审计:以发现应用程序编码过程中造成的安全漏洞为目的,通过代码静态分析工具,对已有的代码进行检测和分析,并对导致安全漏洞的错误代码进行定位和验证,提供加强软件安全和提高性能的方法和建议,从而从根源上解决信息系统的安全隐患。
4 .密码攻防演练:密码攻防演练的目的是为了“以攻促防”,通过“攻击”来检验企业或单位的密码应用安全性水平,通过攻防过程中暴露出的问题来提升企业或单位的密码应用安全性水平。通过找到密码应用的薄弱点,对暴露出的问题进行专项分析、归纳总结、核查整改,以此提升企业或单位的整体密码应用安全性水平。
通用应用软件检测
通用应用软件检测是对软件开发项目的结果进行评价,是软件交付使用前对项目进行评估、认定和总结的过程。通过通用应用软件测试,可以找出软件开发中潜在的缺陷并进行修复,保证软件产品可高质量地交付给用户使用,并帮助业主对项目进行验收。测试项包括10方面的检测,即:功能性、可靠性、性能效率、安全性、产品说明要求、用户文档集要求、兼容性、易用性、维护性与可移植性等。
定制类专业化服务
1渗透测试培训:基于自身深的攻防技术优势,为用户量身定制渗透测试服务,培训内容覆盖网络攻防基础、Web攻防、APP攻防、内网渗透、无线网络攻防、逆向、二进制、恶意代码等主流渗透测试技术。
2客户定制培训:基于鼎铉对密码技术、安全技术、合规咨询等领域的理解,为客户提供量身定制的安全培训服务。
3安全意识培训:将培训宣贯与广泛提升人员安全意识相结合,协助企业降低来自人员的信息安全风险,将安全意识融入企业文化。
4标准技术培训:针对主流的信息安全与密码领域相关的标准,进行深入的解读与分析,提升客户对标准的解读能力。
5 信息系统密评建设培训:针对信息系统密码应用开发需求,对物理与环境、设备与主机、通信与网络、应用与数据等进行密码应用设计培训。
合作领域
政务、金融、公安、医疗、教育、能源、基础信息网络、交通运输、航空航天、先进制造等。
