认证证书

认证证书（精选十篇）

认证证书 篇1

电力系统远程拨号应用非常广泛, 如能量管理系统 (EMS) 、相角测量系统、电能计量系统实时和准实时系统的远程维护, 以及调度生产管理系统厂站操作票应用、电厂数据传输等。基于广域网组成部分之一的公共交换电话网 (PSTN) 和电力内网的拨号通信, 客观上存在一定的安全风险。广域网上用户复杂, 黑客、间谍、病毒等非常猖獗, 对电力控制系统的数据传输安全性、可靠性、实时性等影响较大, 中国电力数据网络必须对广域网用户授权管理, 并进行边界安全设备部署防护[1,2]。虽然电力系统对这些安全问题已开始逐步重视, 但还没有完善细致的远程拨号安全解决方案。因此, 本文针对电力远程拨号可能存在的所有安全问题进行了详细分析, 并对此进行电力安全拨号认证系统的系统部署、逻辑设计、功能框架结构设计等, 以实现完善的电力远程拨号应用的安全防护。

1 传统远程拨号系统安全性分析

长久以来, 传统远程拨号系统的结构都是采用拨号服务器进行远程拨号接入, 并使用基于挑战握手身份验证协议 (CHAP) /微软挑战握手身份验证协议 (MS-CHAP) 的身份验证方式[3], 电力系统Ⅰ区EMS/广域测量系统 (WAMS) 等的远程拨号维护应用的部署如图1所示。

传统的电力系统拨号应用接入方式存在很多安全隐患:

1) 拨号客户端主机安全性。在用户名、口令正确的前提下, 任何客户端主机都可进行拨号连接, 包括未及时安装、升级系统补丁、防火墙软件、防病毒软件的主机。这些主机存在一定安全风险, 可能作为黑客进攻的跳板。

2) CHAP/MS-CHAP身份认证机制的局限性。目前拨号系统大多基于CHAP/MS-CHAP, 通过单向哈希算法等进行用户身份鉴别, 但协议本身存在重大安全缺陷, 如易受字典攻击、重放攻击[3]等。更突出的问题是, 在拨号系统实际运行中, 口令的强度、安全性、授权使用难以保证, 大多数口令易猜测获取, 并长久不变;为使用方便, 共用账户登录现象非常普遍, 难以进行有效的身份鉴别, 而通过建立多账户管理并定期修改口令, 虽可提高安全性, 但由于拨号客户端较多, 造成管理复杂、成本较高。

3) 拨号过程数据安全传输问题。在拨号过程中, 大量业务数据包括敏感数据都经由PSTN明文传输, 无任何保密措施, 很容易被窃听和篡改。

4) 网络层协议访问控制问题。受系统软件限制、管理成本等影响, 对用户拨号访问基本没有协议、地址、端口等访问控制, 或控制粒度较粗, 用户通过认证后经交换机基本可访问所有内网主机。

5) 应用层协议访问控制问题。几乎所有拨号系统对用户拨号访问都没有应用层协议访问控制, 对常见应用协议, 如Telnet、rlogin、文件传输协议 (FTP) 、超文本传输协议 (HTTP) 、远程桌面协议 (RDP) 等没有安全监控、过滤, 用户可执行任何命令操作。

6) 用户行为安全审计问题。大多数拨号系统无安全审计或仅有网络层审计, 对于上述第2、第4和第5个问题, 目前大多数电力拨号系统安全审计粒度较粗, 无法对用户具体操作行为审计, 更无法追究用户真正身份。

以上的安全问题相互联系, 反映了目前的拨号系统在安全架构设计方面存在着重大缺陷, 本文将结合电力系统实际情况, 引入一些关键技术进行电力安全拨号认证系统的安全架构设计来解决上述问题。

2 电力安全拨号认证系统设计

2.1 系统结构设计

电力安全拨号认证系统主要由客户端系统和服务器端系统组成。如图2所示。

1) 客户端

拨号客户端通过内置数字证书智能卡进行本地身份验证, 并部署专用安全拨号软件进行与服务器端的认证交互。

2) 电力系统主站

部署内置电力加密卡的安全拨号认证网关。电力加密卡用于存放密钥及数字证书。拨号网关硬件结构采用Motorola 公司PowerPC处理器架构及嵌入式Linux安全操作系统内核, 以确保系统整体抗攻击性和高性能。

通过客户端和拨号网关自身持有的数字证书进行双方强身份验证, 建立安全加密隧道进行安全保密通信。在安全隧道中, 通过客户端安全拨号软件和服务器端的安全认证接入软件进行可信认证接入和细粒度的访问控制及安全审计。

2.2 基于数字证书的身份认证机制

为克服传统用户名口令验证机制缺陷, 考虑结合数字证书的身份验证方式, 采用智能卡、电力加密卡作为密钥存储和硬件运算介质。

2.2.1 公钥基础设施与数字证书系统

公钥基础设施[4,5] (PKI) 是用非对称密码算法原理和技术实现并提供安全服务的具有通用性的安全基础设施。用户可利用PKI平台提供的安全服务进行安全通信。使用基于公钥技术平台的用户建立安全通信信任机制的基础是:网络间进行的任何需要提供安全服务的通信都是建立在公钥的基础上的, 而与公钥匹配的私钥只掌握于合法通信实体本身。数字证书为一个用户身份和公钥的结合, 这种结合是证书权威认证机构[4,5] (CA) 进行授权的, 它是PKI的核心组成部分, 是数字证书的签发机构。通过CA这一PKI应用中权威、可信任、公正的机构的签名授权以及对子CA授权形成的证书信任链, 可唯一识别一个实体的身份并用于信息加解密、签名认证等。

目前电力系统普遍部署了基于PKI体系的CA系统, 用于对电力生产及管理系统与数据网上的用户、关键网络设备、服务器提供数字证书服务。文献[6]就提出了一种基于PKI的变电站自动化系统访问安全管理的实现和应用结构。

2.2.2 基于数字证书的身份验证

系统实际通信前, 客户端和拨号网关都必须申请数字证书。客户端智能卡证书由管理员直接调用硬件生成并置入, 私钥由片上操作系统[7]保护, 不能出卡。拨号网关调用硬件加密单元, 生成符合公钥加密第10项标准[4,5] (PKCS#10) 格式的证书请求文件, 由管理员将此请求文件提交CA进行签发。拨号网关私钥由加密芯片保护, 双方申请都必须经过有关管理部门严格审核。

数字证书标准域信息主要含颁发者、被颁发者, 含具体单位、部门、姓名等, 以及有效时间、公开密钥值、CA签名算法、授权签名 (表明权威性) 等。扩展域信息表明对该证书的密钥使用权限 (数字签名、密钥协商等) , 以限制密钥使用范围。

2.2.3 数字证书的硬件载体

客户端数字证书存储介质为智能卡。智能卡[7]是具有复杂安全体系和片上操作系统的智能卡片, 具有高度安全性, 通过特殊硬、软件设计使密钥产生、证书等文件存放达到很高安全级别, 广泛应用于网银、税控等, 是双因素认证[5,7]的最普遍形式, 即只有同时拥有智能卡硬件和掌握个人识别码 (PIN) [7]的人才具有证书使用权限, 安全性很高, 目前主流接口形式为USB。

同时, 服务器端拨号网关的密钥及证书等加密存储于内嵌电力专用加密芯片的电力加密卡安全存储区内, 密钥和证书等均受专用加密算法加密保护存放。加密芯片和加密卡均经过国家保密局审批, 具有高度的安全性。

2.3 软件体系结构设计

2.3.1 软件体系设计及组成

电力安全拨号认证系统功能框架如图3所示。

客户端安全拨号软件主要包括Modem通信模块、智能卡认证模块、客户端扫描模块、数据通信模块等。服务器端安全接入软件主要包括Modem通信模块、证书认证模块、访控与授权模块及规则配置、安全审计模块等。双方交互的主要过程如下:

1) 管理员终端通过配置接口设置系统安全策略, 对内网资源、用户组、用户、访问权限等设置, 对客户端接入标准, 如操作系统及内核、补丁版本、防火墙类型及开启状态、防病毒软件类型及开启状态、防病毒软件病毒库版本和风险服务及端口等进行定制, 保存于安全策略数据库中。

2) 客户端软件及拨号网关侧同时配置正确的CA证书链[4,5]和黑名单 (CRL) [4,5]列表, 以进行后续证书双验证。

3) 两侧建立Modem通信信道连接, 通过智能卡及数字证书认证模块等进行双方证书互验, 双方必须通过以下认证步骤。①拨号客户端插入智能卡PIN码初验身份, 3次PIN码错误将锁死, 必须重新提交直属电力CA进行重新签发, 以确保禁止非法用户尝试;②证书链合法性验证:按照由下而上方式尝试搜寻并依序验证1级CA、2级CA、3级CA等证书链的签名是否合法, 能否顺利验签待验证书合法性;③数字证书解析及有效性验证:按照X.509数字证书标准解析相关字段, 检查待验证书颁发者信息是否和直属CA证书一致, 验证证书归属地、主题、组织、组织机构、密钥详细用途等字段的有效性等;④时效性验证:双方检查各自系统协调世界时间 (UTC) 时钟, 并根据过程2中取得的起、止时间校验双方证书时效性, 超过有效期的证书不能用于身份验证及后续密钥协商等过程;⑤CRL验证:根据证书吊销列表, 通过证书序列号等搜索匹配待验证书, 如已作废, 则待验证书非法。

4) 两侧数据加解密及通信模块调用硬件算法如RSA, 3DES, AES, SHA1等按照IPSec (IP security protocol) 或其他协议进行IKE (internet key exchange protocol) 密钥协商[4,5,8], 建立基于对称算法的加密隧道, 对后续通信全程加密、签名认证。原始IP报文经过加密、签名后可以消除报文传输过程中被窃听、被篡改的风险, 而且动态密钥协商模块定时协商、更换加密密钥, 增加了黑客破解、攻击的难度, 有效地保证了数据的完整性、保密性、不可抵赖性。

5) 对不同类型客户端, 依据预定义接入标准, 由客户端扫描模块进行系统动态安全检查 (一般定时周期为30 s～60 s) , 及时判断客户端主机系统当前的健康状态并传递给服务器端进行仲裁, 对存在安全风险的主机如未及时升级系统补丁、防病毒库版本太低、存在风险端口服务等情况均进行警告并拒绝接入。

6) 拨号网关系统模块依靠通信总线进行消息通信, 依据全局策略进行安全控制。Modem通信模块进行拨入号码、物理端口限制;数据包过滤模块、访控与授权模块通过用户层接口和内核报文重组模块通信, 对报文的协议、端口、地址进行过滤, 阻止畸形、碎片的攻击以及其他非法报文通过, 并进行详细的日志记录。

7) 除进行上述网络层控制外, 通过应用协议过滤模块, 可同时对接入用户越权、危险动作进行过滤, 如针对telnet协议命令shutdown、kill、rm等进行正则表达式匹配过滤, 确保可能的操作不会危及内网主机安全, 并通过Syslog日志系统进行日志审计。

8) 所有模块日志信息包括非法报文丢弃信息、攻击信息和会话通信信息 (包括真实用户身份、连接建立与终止时间、分配IP、通信持续时间、数据流量、通信协议、地址、端口、操作命令及参数) 等都通过Syslog日志接口发送给安全审计模块进行详细记录审计, 并在重大事件发生时通过硬件接口进行声光报警。管理员对远程拨号访问发生的全部事件一目了然, 便于事后追查和修补漏洞。

2.3.2 系统技术特点

与电力传统拨号系统相比, 该系统具有以下显著特点:

1) 身份验证强度高。客户端和拨号网关双方通过数字证书体系的数字证书及硬件密码算法进行彼此身份验证, 验证强度高、安全性好, 并且管理简捷、安全, 管理成本低。

2) 可信安全接入与有效访问控制。客户端和服务器端分别部署专用安全软件进行安全扫描、加密隧道协商、数据加密签名、数据过滤、安全监控、网络及应用层访问控制、安全审计等, 既保证了通信过程中数据的保密性、完整性、不可抵赖性, 又可进行细粒度访问控制, 并可对用户具体操作进行详细审计;对客户端主机安全性进行的监控和评估, 避免了风险接入可能对内网造成的侵害。

3) 系统可扩展性好。凡是符合ISO 7816[7]、微软CSP (cryptographic service provider) [4,5,7]标准的智能卡都可以作为客户端数字证书载体。针对电力用户需求, 可定制开发新的应用协议过滤模块, 以进行细粒度访问控制及用户行为安全审计。

4) 密码运算安全、高速。客户端和服务器端的安全软件底层基于硬件智能卡、电力专用加密芯片进行硬件算法运算, 加密保护通信过程的全部数据, 全部运算在硬件中进行, 安全性、稳定性、实时性高。实测RSA非对称算法可实现1 024 bit公钥运算2 000次/s、私钥运算800次/s。

5) 实际通信速率良好。文献[9]提出了一种用于发电竞价信息的加密系统开发方法, 直接调用RSA非对称算法加密, 而RSA非对称算法速度较慢[8], 其系统运算开销比3DES等对称算法大, 不适合长时间、大数据量数据加密传送。而本系统通过动态协商的对称密钥加密, 既保证数据报文保密传送, 又在拨号网络的低速通道中加快了系统传输速度。拨号过程实测加密通信速率平均为上行27.4 kbit/s (下行30 kbit/s) 和56 kbit/s Modem正常明文平均通信速率上行33.6 kbit/s (下行40 kbit/s) 比较下降了18.45% (25%) , 根据用户现场对ANSI类Telnet/SSH的命令行终端、WTS (windows terminal service) 等远程桌面类图形界面终端的测试, 操作响应时间在可接受范围内, 可进行正常的远程维护和数据传输。

3 结语

本文设计的电力安全拨号认证系统, 针对传统拨号应用中存在的安全问题, 通过采用多种安全技术, 如基于数字证书验证、安全扫描、隧道加密、网络层和应用层访控技术、细粒度安全审计技术等, 进行了新的系统结构及软件体系设计, 较大地增强了电力远程拨号应用的安全性及防护能力。

目前, 该系统的软、硬件设备已广泛应用于全国各级电力调度中心和电厂、变电站等, 对电力远程拨号应用的安全防护起到了重要作用, 对落实《电力二次系统安全防护总体方案》的有关规定有重大的现实意义, 并有力地保障了电力系统安全监控、生产的进行。

参考文献

[1]辛耀中, 胡红升, 卢长燕, 等.中国电力数据网络建设和运行中应注意的四个关系.电力系统自动化, 1998, 22 (1) :1-5.XI N Yaozhong, HU Hongshen, LU Changyan, et al.The fourrelationships having to be considered in the construction andoperation of China electric power data network.Automation ofElectric Power Systems, 1998, 22 (1) :1-5.

[2]辛耀中.电力信息化几个问题的探讨.电力信息化, 2003, 1 (3) :20-23.XI N Yaozhong.Discussion on electric power informationtechnology.Electric Power Information Technology, 2003, 1 (3) :20-23.

[3]李焕洲, 林宏刚, 戴宗坤, 等.MS-CHAP鉴别协议安全性分析.四川大学学报:工程科学版, 2005, 37 (6) :12-15.LI Huanzhou, LI N Honggang, DAI Zongkun, et al.Analysison the security of MS-CHAP.Journal of Sichuan University:Engineering Science Edition, 2005, 37 (6) :12-15.

[4]NASH A, DUANE W, JOSEPHC, et al.PKI:i mplementingand managing E-security.New York, NY, USA:Osborne/McGraw-Hill, 2001.

[5]ADAMS C, LLOYD S.Understanding PKI:concepts, standards, and deployment considerations.2nd ed.UpperSaddle River, NJ, USA:Addison-Wesley Pub Co, 2002.

[6]段斌, 刘念, 王健, 等.基于PKI/PMI的变电站自动化系统访问安全管理.电力系统自动化, 2005, 29 (23) :58-63.DUAN Bin, LI U Nian, WANG Jian, et al.Access security ofsubstation automation systems based on PKI/PMI.Automationof Electric Power Systems, 2005, 29 (23) :58-63.

[7]李祥.智能卡研发技术与工程实践.北京:人民邮电出版社, 2003.

[8]STALLI NGS W.密码编码学与网络安全.孟庆树, 王丽娜, 傅建明, 等译.北京:电子工业出版社, 2006.

职业资格认证证书 篇2

三级

四级

五级按照中华人民共和国职业分类大典，质检行业国家职业资格主要包括： 计量、检验人员职业19个，职业等级分为：

初级(国家五级)、中级(国家四级)、高级(国家三级)、技师(国家二级)、高级技师(国家一级)。

一、计量人员国家职业资格包括：

从事计量器具的计量检定、检查、检测、电测、测量、校准、校验、维修、修理、以及检斤、计斤、司磅的人员。

本类包括下列职业：

1、长度计量工(员)：从事长度量具、光学测量仪器等长度计量器具的计量检定、检查、校准、调整、修理及测量的人员。

从事的工作主要包括：(1)检定长度量具、光学测量仪器等长度计量器具的示值或标称值；(2)检查长度计量器具的外观；(3)使用较高等级的长度计量器具校准较低等级的长度计量器具；(4)调整长度计量器具的可调部件，使其达到规定的指标；(5)修理、研磨或更换长度计量器具的零部件；(6)使用长度计量器具测量物件的尺寸、形状、位置等；(7)记录、计算、判定计量检定数据；(8)协助主检人员完成检验报告；(9)检查、维护仪器设备；(10)负责检定室卫生、安全工作。

2、热工计量工(员)：从事热工仪表、计量泵、温度计、流量计、压力真空计等热工计量器具的计量检定、检测、检查、校准、调整及修理的人员。

从事的工作主要包括：(1)检定、检测热工仪表、计量泵、温度计、流量计、压力真空计等热工计量器具的示值或标称值；(2)检查热工计量器具的外观；(3)使用较高等级的热工计量器具校准较低等级的热工计量器具；(4)调整热工计量器具的可调部件使其达到规定的指标；(5)修理或更换热工计量器具的零部件；(6)记录、计算、判定计量检定数据；(7)协助主检人员完成检验报告；(8)检查、维护仪器设备；(9)负责检定室卫生、安全工作。

3、衡器计量工(员)：从事天平、砝码、磅秤等计量衡器、器具计量检定、检查、校准、调整、修理以及检斤、计斤、司磅的人员。

从事的工作主要包括：(1)检定天平、砝码、磅秤、计量衡器等器具的示值或标称值；(2)检查衡器计量器具的外观；(3)使用高等级的衡器计量器具校准较低等级的衡器计量器具；(4)调整衡器计量器具的可调部件使其达到规定的指标；(5)修理或更换衡器计量器具的零部件；(6)使用衡器计量器具计量物件的质量；(7)记录、计算、判定计量检定数据；(8)协助主检人员完成检验报告；(9)检查、维护仪器设备；(10)负责检定室卫生、安全工作。

4、硬度测力计量工(员)：从事硬度计、测力仪器、测力传感器、材料试验机等硬度测力计量器具的计量检定、检查、校准、调整、修理及的人员。

从事的工作主要包括：(1)检定硬度计、测力仪器、测力传感器、材料试验机等硬度测力计量器具的示值或标称值；(2)检查硬度测力计量器具的外观；(3)使用较高等级的硬度测力计量器具校准较低等级的硬度测力计量器具；(4)调整硬度测力计量器具的可调部件，使其达到规定的指标；(5)修理或更换硬度测力计量器具的零部件；(6)记录、计算、判定计量检定数据；(7)协助主检人员完成检验报告；(9)检查、维护仪器设备；(10)负责检定室卫生、安全工作。

5、容量计量工(员)：从事计量罐、储液槽、船舶计量舱、金属及玻璃器等容量计量器具的计量检定、检查、校准、调整及修理的人员。

从事的工作主要包括：(1)检定计量罐、储液槽、船舶计量舱、金属及玻璃量器等容量计量器具的示值或标称值；(2)检查容量计量器具的外观；(3)使用较高等级的容量计量器具校准较低等级的容量计量器具；(4)调整容量计量器具的可调部件使其达到规定的指标；(5)修理或更换长度计量器具的零部件；(6)记录、计算、判定计量检定数据；(7)协助主检人员完成检验报告；(8)检查、维护仪器设备；(9)负责检定室卫生、安全工作。

6、电器计量工(员)：从事电流、电压、电阻、电功率、电能、电信号、脉冲、衰减、电磁、磁通、磁感应、磁性材料、时间频率、有线电、无线电等电器计量器具的计量检定、检查、电测、校准、校验、调整及修理的人员。

从事的工作主要包括：(1)检定电流、电压、电阻、电功率、电能、电信号、脉冲、衰减、电磁、磁通、磁感应、磁性材料、时间频率、有线电、无线电等电器计量器具的示值或标称值；(2)检查电器计量器具的外观；(3)使用较高等级的电器计量器具校准较低等级的电器计量器具；(4)调整电器计量器具的可调部件使其达到规定的指标；(5)修理或更换电器计量器具的零部件；(6)记录、计算、判定计量检定数据；(7)协助主检人员完成检验报告；(8)检查、维护仪器设备；(9)负责检定室卫生、安全工作。

7、化学计量工(员)：从事化工仪表、分析仪器等化学计量器具的计量检定、检查、校准、调整、维修及修理的人员。

从事的工作主要包括：(1)检定化工仪表、分析仪器等化学计量器具的示值或标称值；(2)检查化学计量器具的外观；(3)使用较高等级的化学计量器具校准较低等级的化学计量器具；(4)调整化学计量器具的可调部件使其达到规定的指标；(5)修理或更换化学计量器具的零部件；(6)记录、计算、判定计量检定数据；(7)协助主检人员完成检验报告；(8)检查、维护仪器设备；(9)负责检定室卫生、安全工作。

8、声学计量工(员)：从事声强、声压、声功率、听力、水声等声学计量器具的计量检定、检查、校准、调整及修理的人员。

从事的工作主要包括：(1)检定声强、声压、声功率、听力、水声等声学计量器具的示值或标称值；(2)检查声学计量器具的外观；(3)使用较高等级的声学计量器具校准较低等级的声学计量器具；(4)调整声学计量器具的可调部件使其达到规定的指标；(5)修理或更换声学计量器具的零部件；(6)记录、计算、判定计量检定数据；(7)协助主检人员完成检验报告；(8)检查、维护仪器设备；(9)负责检验定卫生、安全工作。

9、光学计量工(员)：从事光辐射、光度、色度等光学计量器具的计量检定、检查、校准、调整及修理的人员。

从事的工作主要包括：(1)检定光辐射、光度、色度等光学计量器具的示值或标称值；(2)检查光学计量器具的外观；(3)使用较高等级的光学计量器具校准较低等级的光学计量器具；(4)调整光学计量器具的可调部件使其达到规定的指标；(5)修理或更换光学计量器具的零部件；(6)记录、计算、判定计量检定数据；(7)协助主检人员完成检验报告；(8)检查、维护仪器设备；(9)负责检定室卫生、安全工作。

10、电离辐射工(员)：从事测量电离辐射剂量、放射性活度的计量器具的计量检定、检查、校准、调整及修理的人员。

从事的工作主要包括：(1)检定测量电离辐射剂量、放射性活度的计量器具的示值或标称值；(2)检查电离辐射计量器具的外观；(3)使用较高等级的电离辐射计量器具校准较低等级的电离辐射计量器具；(4)调整电离辐射计量器具的可调部件使其达到规定的指标；(5)修理或更换电离辐射计量器具的零部件；(6)记录、计算、判定计量检定数据；(7)协助主检人员完成检验报告；(8)检查、维护仪器设备；(9)负责检定室卫生、安全工作。

二、检验人员(质检、化验)国家职业资格包括：从事产品或商品的成品、半成品、原材料、在制品、中间产品、外购件及包装材料质量的检验、检测、检查、鉴定、测试、测定、装试、装校、实验、试验、化验、抽验、抽查、验收、验配、分类、分级、分析、分测、探伤、鉴别、监督、监测等工作的人员。

1、化学检验工(员)：包括从事矿物、试剂、溶剂、染料、水泥、气体、焦化、农药、水处理等岗位，用抽样检查方式对化工品进行化学分析检验的人员(使用化学分析仪器和理化仪器等设备，对成品、半成品、原材料及中间过程进行检验、检测、化验、监测、分析的人员)。

从事的工作主要包括：(1)采集样品；(2)配制标准溶液和化学试剂；(3)进行外观视检；(4)使用理化仪器等设备，测试样品的理化性质；(5)使用化学分析和仪器分析方法，对样品进行组分含量测定；(6)记录、计算、判定化验数据；(7)协助主检人员完成检验报告；(8)检查、调试、维护仪器设备；(9)处理检验过程中的故障；(10)负责检验室卫生、安全工作。

2、材料成分检验工(员)：包括从事金属、硅酸盐类、矿物等岗位，用抽样检查方式对金属、非金属材料成分进行分析检验的人员(使用分析仪器和设备，对成品、半成品、原材料的成分进行检验、检测、化验、分析、监督的人员)。

从事的工作主要包括：(1)采集样品；(2)配制标准溶液和分析试剂；(3)调试分析仪器设备；(4)使用分析仪器对样品进行化学分析、比色分析、气相分析、极谱分析、色谱分析、光谱分析、质谱分析、原子吸收分光光度分析及核磁共振分析等，测定样品成分含量；(5)记录、计算、判定分析检验数据；(6)协助主检人员完成检验报告；(7)检查、维护仪器设备；(8)负责检验室卫生、安全工作。

3、材料物理性能检验工(员)：包括从事金属、高分子等材料等岗位，用抽样检查方式对金属、高分子等材料的力学性能进行测检验、检查、测试、实验、实验的人员(使用材料检验仪器设备，对金属、非金属、高分子等材料的成品、半成品、原材料的物理、力学和机械性能进行检验、检查、测试、实验、试验的人员)。

从事的工作主要包括：(1)采集样品；(2)进行样品的预处理；(3)使用量具、仪器或通过视检、检查材料的外观；(4)使用材料检验仪器设备，测试材料的拉力、扭力、冲力、弯曲、疲劳、硬度、导电等物理、化学和机械性能；(5)使用金相显微镜检验材料的金相组织；(6)记录、计算、判定测试检验数据；(7)协助主检人员完成检验报告；(8)检查、维护仪器设备；(9)负责检验室卫生、安全工作。

4、产品环境适应性能检验工(员)：包括从事温度、湿度、振动、冲击、盐雾及霉菌等岗位，用抽样检查方式对产品的环境适应性能进行测试检验的人员(从事仪器仪表等产品的机械、生物、化学、气候及电磁等环境适应性能检验、试验的人员)。

从事的工作主要包括：(1)制定产品环境适应性能检验方案；(2)检查试品初始状态；(3)使用气候环境试验设备进行高温、低温、温度变化、恒定湿热、交变湿热试验；(4)使用机械环境试验设备进行震动、冲击、跌落试验；(5)进行电磁干扰试验等；(6)使用生物、化学环境试验设备进行霉菌、盐雾、二氧化硫环境试验；(7)记录、计算、判定检验数据；(8)协助主检人员完成检验报告；(9)检查、维护仪器设备；(10)负责检验室卫生、安全工作。

5、产品可靠性能检验工(员)：包括从事寿命、平均无故障时间等岗位，用抽样检查方式对产品的可靠性能进行测试检验的人员(使用仪器仪表，对产品、元器件等的寿命、平均无故障时间和可靠性能等进行测试检验的人员)。

从事的工作主要包括：(1)参与制定可靠性能检验方案；(2)检查、维护试验设备、仪器及试验室条件；(3)抽取试验样品；(4)进行样品预检；(5)试验中的首次性能进行检测、中间性能检测或监测；(6)进行失效时的处理；(7)进行试验结束后的检测；(8)记录试验中的有关数据；(9)进行数据统计处理；(10)协助主检人员出具检验报告。

6、产品安全性能检验工(员)：包括从事介电强度、绝缘电阻及漏电电流等岗位，用抽样检查方式对产品的安全性能进行测试检验的人员(从事机电等产品的电气安全性能、易燃安全性能、机械安全性能、化学毒性安全性能检验、检查的人员)。从事的工作主要包括：(1)检查试品外观和标志；(2)使用仪器设备或通过视检、检验试品的结构；(3)检验试品的电气安全性能；(4)检验试品的耐热、耐漏电起痕等易燃安全性能；(5)检验试品的稳定性、机械强度等机械安全性能；(6)检验化学毒性安全性能；(7)记录、计算、判定检验数据；(8)协助主检人员完成检验报告；(9)检查、维护仪器设备；(10)负责检验室卫生、安全工作。

7、食品检验工(员)：包括从事粮油及制品、糕点糖果、乳及乳制品、白酒果酒黄酒、啤酒、饮料、罐头、肉蛋及制品、调味品酱货腌制品、茶叶、食品添加剂及食品内包装材料等岗位，用抽样检查方式对各类食品的成分及卫生、毒性等指标进行测试检验的人员。

从事的工作主要包括：(1)采集样品；(2)配制标准溶液；(3)使用培养箱、显微镜等仪器设备检验样品的微生物含量；(4)检验样品的微量金属元素、微量非金属元素及理化指标；(5)记录、计算、判定检验数据；(6)协助主检人员完成检验报告；(7)检查、维护仪器设备；(8)负责检验室卫生、安全工作。

8、纺织纤维检验工(员)：包括从事棉、毛、麻、茧(丝)和化学纤维等岗位，用抽样检查方式对纺织纤维、用仪器或感官进行物理性能、分等定级检验的人员(对棉、毛、麻、茧(丝)和化纤等针纺织品原辅料纤维进行检验、验配、分类、分级、分析的人员)。

从事的工作主要包括：(1)抽取样品；(2)使用仪器或通过视检，检验纤维的长度、细度、成熟度培养箱、显微镜等仪器设备检验样品的微生物含量；(3)使用纤度仪、公量仪检验纤度丝的强伸力；(4)进行选茧、纤维分类分级、定等、验配及物理性能检验；(5)记录、计算、判定检验数据；(6)协助主检人员完成检验报告；(7)检查、维护仪器设备；(8)负责检验室卫生、安全工作。

9、贵金属首饰钻石宝玉石检验员：包括从事贵金属首饰、摆件、纪念章(卡)等饰品、钻石原料、半成品、成品等、各类宝玉石等岗位，用抽样或全数检查方式对金银铂等贵金属加工的饰品的质量(贵金属含量、重量及外观)、钻石的真伪和加工质量及品质分级、宝石(玉石、珍珠)饰品的种类和加工效果进行检验、鉴别的人员。

从事的工作主要包括：(1)检验贵金属首饰、钻石、宝玉石的元素含量及物理性质；(2)鉴别真伪；(3)进行品质分级；(4)检验半成品的切磨质量；(5)检验原料加工、镶嵌、连接组合成饰品的外观、质量等；(6)安全使用有毒试剂；(7)记录、计算、判定检验数据；(8)协助主检人员完成检验报告；(9)检查、维护仪器设备；(10)负责检验室卫生、安全工作。

三、申报条件：

——初级(具备下列条件之一者)(1)经本职业初级正规培训达规定标准学时数，并取得毕(结)业证书。(2)在本职业连续见习工作2年以上。

——中级(具备下列条件之一者)(1)取得本职业初级职业资格证书后，连续从事本职业3年以上，经本职业中级正规培训达规定标准学时数，并取得毕(结)业证书。(2)取得本职业初级职业资格证书后，连续从事本职业工作4年以上。(3)连续从事本职业工作5年以上。(4)取得经劳动保障行政部门审核认定的，以中级技能为培训目标的中等以上职业学校本职业毕业证书。

——高级(具备下列条件之一者)(1)取得本职业中级职业资格证书后，连续从事本职业工作3年以上，经本职业高级正规培训达规定标准学时数，并取得毕(结)业证书。(2)取得本职业中级职业资格证书后，连续从事本职业工作5年以上。(3)取得经劳动保障行政部门审核认定的，以高级技能为培养目标的高等职业学校本职业毕业证书。(4)取得本职业中级职业资格证书的大专本专业或相关专业毕业生，连续从事本职业工作2年以上。

——技师(具备下列条件之一者)(1)取得本职业高级职业资格证书后，连续从事本职业工作5年以上，经本职业技师正规培训达规定标准学时数，并取得毕(结)业证书。(2)取得本职业高级职业资格证书后，连续从事本职业工作6年以上。(3)取得本职业高级职业资格证书的高级技工学校本专业毕业生，连续从事本职业工作2年以上。(4)取得本职业高级职业资格证书的大学本科本专业或相关专业毕业生，并从事本职业工作1年以上。

教育部公布7证书不能获认证等 篇3

中国教育部近日在教育涉外监管信息网公布了经过合法批准的四百多家本科中外合作办学名单。这些中外合作办学都是本科以上层次的中外合作办学机构或项目。这是2004年国务院《中外合作办学条例》颁布实施以来，教育部首次全面系统公布经批准的中外合作办学信息。

此外，根据教育部留学服务中心公布的国外学历学位认证范围，有七种证书不能获得认证。这七种国外学历学位认证的证书包括：参加外语培训或攻读其他非正规课程(如短期进修)所获得的结业证书，进修人员、访问学者的研究经历证明和博士后研究证明，国(境)外高等院校或其他高等教育机构颁发的预科证明，通过函授、远程教育及网络教育等非面授学习方式获得的国(境)外学历学位证书或高等教育文凭等。(吴晶)

加拿大工科专业受学子青睐

一直以来，在选择加拿大留学专业时，商科和工科专业最受中国学子关注。特别是2010年上半年以来，选择加拿大工科专业的学子越来越多，专家预测全年同比增幅将达到25％以上。

留学专家介绍，之所以很多学子选择加拿大工科专业，主要是因为目前加拿大工科专业的教育水平都达到了国际领先水平。加拿大不但是世界上国土面积第二大的国家，自然资源丰富，而且其矿业、森林业、石油和天然气、水力发电和核电力产业都非常发达，与此相应，加拿大大学在这些专业的教学和科研方面比较领先，相关工科专业较为吃香。

留学专家提示广大学子，作为出国留学的重要组成部分，留学选择专业务必慎重，国外学校专业众多，挑选起来不要盲目跟风，应多听取专业机构和专家的意见，不但要从自身情况和兴趣出发，还应关注所学专业未来就业前景，这样才能最大保证在出国留学深造过程中时间、体力、财力的投资成果。(乐嘉)

法国降低语言门槛吸引中国学子

法国高等教育和研究部长瓦莱丽·佩克雷斯女士近日在北京表示，法国将从今年9月起推出包括降低语言门槛等一系列优惠措施，以吸引更多中国学生前往法国留学。

法国一向以其高质量的教育水平及高额奖学金制度，广受中国学子青睐。但由于法语教学在中国境内有限，中国学生在法语学习上多有不便，给有意赴法留学生造成一定压力。为此，法国政府希望通过推行新政，降低对中国学子的语言要求，以吸引中国生源。

瓦莱丽·佩克雷斯女士说，新政出台后，法国留学将更加注重学生的学习计划和就业计划，而不是死卡语言关。此前赴法留学必须先过语言关，在国内学够500学时才有资格申请法国留学签证，或者先去法国学习一年语言，之后才允许考虑学术及研究方向。法国教育部考虑将语言教育直接纳入学生的学业当中，法律、经济、文学等文科类留学生，可以不用先学语言，而是在学业过程中设置语言课程。同时，通过增加英语授课等方式，帮助学生顺利完成法国学业。此外，法国政府将创造更多条件，推动更多学生来法国就读硕士和博士。

据悉，这一系列措施将于今年9月起正式实行。由于法国的新学年是从10月开始，预计2010年赴法留学生将成为留学新政的第一批受益者。(兴和)

英语言学校测试成绩重获使馆认可

7月9日，英国高等法院裁决英国政府关于“海外学生必须具备相当的英语能力，才能申请英国学生签证”的规定无效，英国语言学校出具的英语成绩重新赢回了申请签证的资格。

留学专家介绍说，过去，许多英国学校(包括语言学校)使用自行编制的内部英语测试来评估学生的英语水平。凭这些内部英语测试的成绩，学生不用参加雅思考试就可以申请签证。但在今年3月，英国政府宣布海外学生必须具备相当的英文能力，才能取得赴英国的学生签证，前往英国学习语言，并称将于今年6月出台更多政策统一的英语语言测试，只有通过该测试才能申请学生签证，以确保英语测试成绩的准确性和有效性。

留学专家进一步解释说，以上措施原本是作为控制非法移民政策的一个组成部分推出的，但是当局对赴英留学生英文能力的过高要求，必然威胁到英国语言学校，使它们遭受巨额经济损失甚至关闭。所以，英国国内440家语言学校的代言机构——英国英语协会向法院提出诉讼，指责这项规定“既不公正，也无道理”，英国高等法院最终裁决其胜诉。

新上台的联合政府表示，他们将重新评估为赴英留学生发放签证的条件。英国英语协会称，法院的裁决至少挽救了三千多个工作机会以及近六亿英镑的海外收入。同时这一裁决也为有意赴英留学的学生扭转了先前政策收紧、语言要求过高的不利局面，为海外学子创造了更多的接受英国高等教育的机会。(黄英)

中国学生赴意留学总量快速增长

近年来，意大利已经逐渐发展为中国学生欧洲留学的首选国家。专家预测，随着意大利留学市场对中国的开放，意大利留学政策的完善，2010年赴意大利留学深造的中国学生总量将继续保持快速增长。

留学专家介绍说，之所以做出这样的预期，首先是因为意大利政府为鼓励中国学生赴意深造，推出了一系列利好举措。多个重量级的留学合作项目为中国学生留学意大利铺平了道路。2005年意大利政府和中国政府官方留学合作项目即“马可波罗”计划开始实施，该计划是近十年意大利在中国规模最大的一次招生计划，每年赴意留学人数从几十人增加至几千人；2006年中意文化年，中意两国政府共同签署了《中意两国政府留学备忘录》：2009年4月意大利政府针对中国艺术类学生推行“图兰朵”计划……这些重要举措，都为中国学生赴意留学创造了更为有利的条件，使更多中国学子选择赴意深造。

其次，作为近代文明思想的诞生地，意大利是世界公认的文化强国，显赫一时的古罗马帝国、世界遗产之一庞贝古城、闻名于世的比萨斜塔、文艺复兴的发祥地佛罗伦萨、风光旖旎的水城威尼斯、被誉为世界第八大奇迹的古罗马竞技场，无不吸引着各国学子赴意深造。

留学专家介绍说，意大利还是世界上少数大学教育免学费的留学国家，读正课的国际生不但可以免除学费，而且还能享受和意大利学生同等的免费医疗等福利。同时，意大利拥有众多优秀院校和热门专业供中国学子选择，米兰大学、米兰理工大学、罗马大学、博洛尼亚大学、佛罗伦萨美术学院等世界名校以及建筑、设计、经济、机械、绘画和音乐等专业都深受中国学生青睐，而且这些学校和专业的申请要求并不苛刻，中国学生通常只需380分以上的高考成绩即可申请，这无疑使很多高考成绩并不理想的同学也能梦想成真，成功赴意留学。(江河)

瑞典对非欧盟国际生收取申请费

瑞典教育部将对申请瑞典2011年秋季入学课程的非欧盟国际学生收取900瑞典克郎的申请费。

对申请瑞典2011年秋季入学课程的非欧盟国际学生来说，无论申请几所学校或者几个专业，申请费统一为900瑞典克朗，由瑞典高等教育招生办公室统一收取，申请材料也统一寄往瑞典高等教育招生办公室。可以使用信

用卡在网上支付申请费，对无法网上支付的，也可通过银行支付。

留学专家介绍说，瑞典教育部早在今年2月就宣布，将从2011年秋季入学开始正式向非欧盟国家的留学生征收学费和申请费。而目前瑞典留学申请费用的确定，也意味着瑞典留学学费标准也即将公布。虽然对非欧盟国际学生的学费标准尚未制定，不同学校和专业的学费标准也不同，专家预测，学费应在12万18万瑞典克朗之问。作为世界上最富裕的国家，瑞典向国外学生收取费用的举动，并非只是从经济方面考虑，瑞典教育部希望通过此举改变现有高等教育输出方式。多年来，瑞典通过免除学费成功吸引了大量优秀留学生赴瑞深造，但同时也使自身的高等教育系统成为了廉价和免费的代名词。为了重塑瑞典高等教育品牌，瑞典希望通过收取学费，以及大幅增加奖学金力度等举措，吸引全球更多优秀生源，为瑞典各大学带来更多优秀血液，使瑞典大学能加快国际化演变的进程，跻身世界顶尖名校之林。(博博)

澳洲高校加大奖学金发放力度

为吸引更多的中国学子赴澳深造，澳洲多所高校不约而同地加大了奖学金发放力度，或推出了全新的奖学金项目。

据不完全统计，2010年澳大利亚八大名校中的悉尼大学、墨尔本大学、莫纳什大学、澳洲国立大学都推出了针对国际生的奖学金项目。留学专家介绍说，其中，墨尔本大学已向来自世界各国的近三百名国际学生提供了本科阶段的奖学金2010年还将提供包括文学学士、商学学士、音乐学士、生物医学学士、环境学学士、理学学士课程的20个国际生的奖学金名额，其中一半享受到50％学费减免，另一半可享受100％学费减免，该项奖学金涵盖整个课程长度。而莫纳什大学的IT学院也为国际学生提供专项奖学金，奖学金将在所有国际学生中按成绩高低统一进行评估甄选；奖学金金额为每年3000澳元。

此外，还有一些澳洲学校专门针对中国地区的学生提供了专项奖学金项目，比如澳洲的泰勒学院，该学院承办了澳洲三所八大名校的预科项目，分别是悉尼大学、莫纳什大学和西澳大学，2010年起，凡是申请去泰勒学院读高中的中国学生，都可享受学费的25％减免。

专家指出，虽然澳洲多所大学都推出了面对中国学生的奖学金项目，但由于近年来赴澳留学的中国学生总量在不断增长，因此澳洲奖学金名额依然十分有限，国内学子可在专业留学机构或专家的建议下提升申请技巧，从而提高成功率。(芳菲)

马来西亚将在年内与中国政府签订学历互认协议

马来西亚驻华大使馆教育参赞说，今年马来西亚和中国政府将考虑签订互相承认学位、学历的有关协议。这对已经和即将前往马来西亚留学的学生来说将是重大利好。

据悉，马来西亚高等教育以国家公立为主体，公立大学与私立高等院校并存。目前，马来西亚现有公立大学20所，近年来公立大学开始对国外自费留学生开放招生，中国留学生人数呈现逐年增长的趋势。马来西亚私立高等院校众多，以英文为教学媒介语，兼招本国学生和外国留学生。私立院校大多引进英国、澳大利亚等国高等教育课程，开设学分转移和双联课程的教育模式，少数外国高等院校在马来西亚设立的分校亦属私立性质。马来西亚私立高等院校课程质量由国家学术鉴定局(MQA)监督审查，各私立院校通过国家学术鉴定局认证的课程可浏览MQA网站查询。(于冬雪)

大专生如何留学美国

美国是世界上教育资源最发达的国家，全美共有四千多所受认证的高等院校。近年来，有关美国留学的信息很丰富，但绝大部分资讯还是集中在本科与研究生申请上，针对大专生的留学方案少之又少。究其原因，大家都觉得美国留学相较于其他国家成本更高，而且入学门槛非一般人可及，殊不知选对学校选对方案，美国留学亦可平易近人。

与留学其他国家相比，美国留学所需的费用更加多样化，从年学费生活费总和约20000美元(折合人民币不到14万元)的州立大学到50000美元(折合人民币约35万元)的部分私立大学，各种预算都能找到合适的留学方案。此外，美国是世界上提供奖学金最多的国家，种类繁多的奖学金加上大学所提供的各种财政资助及带薪实习机会大幅降低了学生的负担。

美国认可中国大专所修的学分，且与本科修习的学分基本一视同仁，从某种程度上讲，这对国内大专生无疑是个好消息。完成一个美国的本科学位大概需要128个学分左右，而国内大专修的学分可通过对方学校认证后免修。至于转学分的多少，要根据专科生在国内学习的课程和申读美国专业课程重合度的多少以及质量来决定了。一般而言，中国专科生升读美国本科至少可以转29个学分以上(即1年)，有不少学生可以转60个学分即2年，极个别学校只需要一年到一年半即可完成本科学位。

除了以上提到的专升本方案以外，美国也不乏有学校可以为学生提供专升硕的桥梁课程。这样的课程，一般对之前所修习的学分与美国课程的相关度要求很高。如三年制商科大专毕业生有大约在95个学分左右的学生可以申请萨基诺谷州立大学的MBA桥梁课程研究生。该校商学院有AACSB认证(只有顶级商学院才拥有)，且年总费用不到23000美元，性价比极高。(严峻嵘)

申请海外MBA要避免4个误区

中国学生在申请国际商学院的时候存在一些问题，在观念上有几个误区——

误区一：国内名校对接国外名校

新加坡国立大学商学院的招生代表表示，中国很多名校的毕业生最喜欢申请顶级的哈佛、麻省理工、沃顿等知名的商学院，好像只有那些世界名校才能与其身份匹配，其实不然。

误区二：担心学费太高不敢申请

一听说读MBA，很多想读的人就会产生一个概念，就是自己必须攒足够的钱才有底气，因为读MBA的确是个高消费。一位从伯克利商学院毕业的吴小姐告诉记者，其实如果你成功申请了美国的商学院。可以不发愁你的读书费用，因为世界上的很多银行都提供MBA的助学贷款，给你发offer的学校越有名气，你在银行贷款越容易通过审批。而在2006年成功申请了美国芝加哥大学的陈先生表示，他就选择了用银行贷款读书，而把自己的资金投到了国内股市。

误区三：选商学院眼睛只盯排名

很多中国人选择商学院的时候，自己喜欢问“你们排名多少?”实际上，选择商学院不能只盯排名，而且目前有关商学院排名的调查都不是绝对的权威。在选择商学院的时候，应该强调根据自己未来希望加盟的行业、专业，自己读完后希望工作的地点作为主要的判断依据。

误区四：GMT成绩必须非常优秀

好的英语成绩是必要的，那是你能力的象征之一，但不是绝对的，一个在日本一桥大学国际商学院毕业的人士告诉记者，各种国际商学院在录取的时候并不是绝对要求外语能力，只要你能听懂，能正常的使用就可以。记者了解到，BeBeyond在2006年的统计显示，经过他们MBA Workshop指导成功申请美国顶尖MBA的人，有

63％的人GMAT成绩低于720分，有9％的人甚至低于660分。

留学要量体裁衣

1.美国

留学政策从2010年3月1日起，中国申请赴美留学的学生签证，将正式启用DS160表格，取代现在用的DS156、DS157、DS158三种表格。DS160新表格将在网上完成填写和提交。学生填表时务必要保存填写内容，否则下次打开该系统后还要重新再填，造成麻烦。表格顺利提交后将生成确认页面，形成条形码页面，学生要打印携带此页面前往使馆或领事馆申请签证。

另外，今年对中国学生签证不设定上限，要提早进行面试预约。同时要注意四点：一是学生身份证明：二是保证金证明；三是跟签证官对话时要自然些，讲汉语或英语视情况灵活选择：四是要讲明自己选择某所大学的原因。

申请条件高中学历达到TOEFL500分以上或IELTS5.5分以上，可直接申请就读美国大学本科：没有语言成绩，或语言成绩不足，可选择申请语言+专业双录取.另一种方式：语言+2年专科(SBCC)+2年本科(UCSB)。

留学费用：美国私立大学每年的学费约为25000～30000美元不等，按中等水平27500美元推算，约折算成23万元人民币。研究生阶段学费较本科阶段有所增加，一些专业学院，如商学院、法学院、医学院等学费较为昂贵，每年学费在28000～35000美元之间不等，按中等水平31500美元推算，约折算成31万元人民币。此外，平均算来，在美国读书一年的生活费约9万元人民币。

热门专业及就业前景：

规划学：在美国，学生毕业后绝大多数可以到政府工作，或者进入专业的规划事务所，起薪比较可观，并且个人声望提升的空间很大。

药剂学在国内似乎有点冷门，在美国却是大热的专业，目前平均年薪已达到近十万美元，且未来10年内都将是炙手可热的职业，根据美国药学院联合会的数据，截

至2020年美国将面临15万的药剂师缺口。

精算学：通过精算专业考试即可成为精算师，任职于政府、银行和保险公司等机构，平均年薪近八万美元。

注册会计：这一领域回国后就业的竞争优势更强，尤其是外资企业和跨国公司比较倾向于选择有国际执业资格证书的人才，薪酬水平也更高。

2.英国

留学政策：从2010年的2月起，电子录取信联机数据库将开始实施，学生也将会被要求提供28天资金证明，另外申请材料审理周期也将延长。中国学生去英留学不再需要收取英国院校录取通知书，仅凭电子通知书编号就能办理签证。

费用上，新签证政策还规定，只承认现金存款，投资类存款(国债、股票、基金、分红保险等)不再被认可。对于资金担保数额，移民法也确立了新的标准，不再根据学校建议费用来计算。

申请条件：高一、高二、高三在学，可分别插班就读当地FORM5、FORM6、FORM7年级：高中毕业生，可申请大学预科课程。

留学费用：文科类(包括商业、会计及法律)每年6200～8000英镑，理科类8000～10000英镑，临床医学、牙科及兽医学15000～22000英镑(注：最新人民币汇率中间价，1英镑约合10.19元人民币)。本科课程，需60万元人民币或以上的资金担保。生活费方面，在英国不同的地区读书有一定差别。

热门专业及就业前景：

会计，英国会计专业应届大学毕业生平均年薪可达4.5万美元。在国内，财会专业的“海归”也具有较大的就业优势。

环保工程：既能解决技术问题又懂得国际商业操作规则的复合型工程师，身价不断看涨。

3.澳大利亚

留学政策：澳政府正在继续实施一项基金计划——投入510万澳元(约合人民币3040万元)，进一步加强澳大利亚国际教育产业。这笔钱可以在需要情况下注入海外学生教育服务保障基金。据了解，该基金建于2000年，由政府拨款100万澳元启动。

申请条件：高一、高二在校生可直接插班入读澳洲高中。高二以上，IELTS5分以上，可就读澳洲八大名校预科+本科，但有可能需加配套语言课程；高三毕业，IELTS5分可攻读快捷课程，通常三年本科毕业；高考达到一定要求(通常是2本A线)的高中毕业生有机会直入某些大学一年级课程。

留学费用：学费因城市而定，最低担保金一年16万元人民币左右(含生活费和学费)。医疗保健费每年350～380澳元。大学生活费8000～15000澳元／年。

热门专业及就业前景：

工程：一直是稳居澳大利亚技术移民职业评估60分的职业。

护理：全世界包括澳大利亚，护理工作都是紧缺和报酬很高的职业。在近年澳大利亚移民局公布的“移民紧缺行业清单”中，护士行业始终位列其中。

翻译：澳大利亚是一个移民和多元文化的国家。在经济、商业、教育和交流中对翻译和口译的需求量很大。

4.法国

留学政策申请到法国留学的学生递交预签证材料时，必须提供一份由教育部学位与研究生教育发展中心出具的《认证报告》(英文版)复印件，并要求赴法留学的中国学生，必须在国内参加500小时的法语学习，且要参加法国使馆的TEF或者TCF的考试。

申请条件：申请者应具有中国大学的录取证明并附全国统一高考的成绩单或是大学本／专科的在读或毕业证明。

留学费用：法国公立大学专业课程免学费，工商管理学院的个别课程除外，中国学生可享受法国政府的住房及交通补助，生活费1年大概4至6万元。

热门专业及就业前景：

生物制药及医学，法国医学专业独立于一般的专业，自己有独特的体系，高淘汰率，漫长的学习时间造就了法国每年毕业的医学院的学生寥寥无几，从医后收入相当可观。

农业：法国是世界上农产品出口最多的国家，麦浪滚滚，大型农业机械在土地上耕耘是法国田园最常见的景象。法国在农业方向上卓有建树。

基于数字证书认证机制的应用 篇4

现代电脑技术不断发展, 信息技术也在迅速革新。由于信息的应用方式多样, 内容丰富, 如邮件往来、信息传递、公告发布、资源共享等, 网络信息应用已经成为人们工作生活的一部分。信息化、数字化已然成为方便、快捷、高效的代名词。由此带来的黑客袭击、电脑病毒、文件失窃等问题也随之水涨船高, 信息安全问题也受到越来越严重的考验, 特别是银行财务等单位, 信息、数据的安全、可靠、完整更是不可忽视的重大课题[1]。数字证书的认证也成为为是被用户身份的重要手段, 其在兼顾网络信息安全的前提下, 特有的认证流程和特点, 在网络生活中越来越多的被采用。

1 数字证书认证主体

数字证书是在网络中进行信息交换、商务活动及其他网络活动的个人、企业或代理服务器表明身份的一系列数据, 以电子文档的形式出现。每个数字证书的内容均包含了用户的相关信息, 包括用户的真实身份、公开密钥、及数字证书的认证机构的数字签名, 其加密技术对数字证书的主体信息内容、用户所交流的信息、活动记录、用户特有的网络资源进行保护, 并验证用户签名的真实性, 即使受到黑客强力攻击, 账户的密码被破译, 也能够保证信息不泄露及数据不被篡改。保证用户信息及活动过程中绝对与相对的安全。因此, 对其进行认证的机构必须是具具有权威性, 并保证公平、公正值得信任的第三方 (CA) , 这需要国家相关部门经过严格的考核、评定, 才能取得资历。现在国家已经予以30家认证机构颁发资历证书[2]。

2 认证流程

2.1 拆封证书

证书的拆封是双方互相证明的过程。认证机构CA所持有的公钥须破解用户实体证书中的“发行者的数字签名”, 双方的证书交换后, 均需拆封, 是否拆封即能证明公钥是否正确, 认证方拆封证书够即会产生另一个公钥, 该公钥则为客户的公钥。也因此证明实体证书的发行机构具有较高的权威, 真实性有保障, 可信度高。

2.2 验证证书链

证书链可以层层追寻到认证机构CA的根。想要证明发行实体证书的机构书否属于可信高的权威机构, 必须满足以下两个条件:1) 每一层连接的证书不论实体证书或最终追寻到的根证书都需是有效证书;2) 每一层证书必须有相对应的可信度较高的权威发行认证机构。

2.3 序列号验证

实体证书中有一组序列号, 该序列号是否与发行机构根证书的序列号相同, 即可证明证书的真实性。

2.4 有效期验证

各种证书在存在有效期, 仔细检查证书的是否处于有效期内, 可以保证信息活动的安全性。

2.5 证书作废止列表查询

证书在某些特殊情况下会被认证发行机构作废、注销, 如证书私钥被破译, 核实用户证书是否属于无效作废证书, 该信息会在吊销信息中公示。因此, 需仔细核查用户证书是否属于作废注销证书。

3 实际应用

3.1 电子政务

随着信息技术和网络科技的蓬勃发展, 政府办事机构的办公平台也逐渐由实体窗口发展到网络平台。许多原来十分繁琐的办事手续如审批、注册、纳税、各种申请等, 现在通过网络平台也可以直接解决, 大大减少了人员奔波的时间与成本, 提高了政府单位办事效率。另外, 我国政府政务中, 有资金流动或无资金流动且需要身份验证的许多行业如制造业、商业、公共建设、医疗、保险、教育事业、税务海关、行政机构等, 都有各自一套的办事流程, 各种信息的处理、交流、保存, 甚至各个管理人员事务、办事人员之间的工作内容都有保密制度。数字证书在电子政务中的作用表现为可以识别用户身份[3]。其加密技术能够保障信息或各种文件在传输过程中的良好保密性, 防止泄露, 使政务工作更加安全, 很好的强化权限控制力。其程序的流程明确, 能够减少上下级管理人员及各个办事人员之间办理事务的失误, 解决人们实际生活中的种种麻烦与问题, 提高政务工作人员办事效率, 保持政府形象。

3.2 电子商务

从概念上来说, 电子商务是一个笼统而抽象的说法, 实际上, 其实质主要表现在三种活动上, 即支付手段、交易平台和物流系统。其中最重要的运用即是支付手段。随着淘宝往等各类购物网站的业务拓展, 网上购物也已经成为时尚风潮。人们对于理财的概念越来越清晰, 网上证券交易等等, 这写都是推动电子商务支付手段不断发展的主要推手, 有关于资金流动的业务, 安全系数是所有用户都最为关心的话题[4]。数字证书则可以为其提供安全保障, 其身份认证功能, 保障用户的交易实体化, 在交易过程中以其传输信息的安全性、不可否认性、信息数据的完整及可靠性, 成为网上商务活动的安全砝码。

3.3 信息化办公

普通工作人员在工作过程中也可以用到数字证书。办公人员的工作内容大致包括交流信息、收发文件、共享资源、管理财务等[5]。数字证书的强力加密功能在核心信息保护上表现出很高的优越性, 若工作单位电脑被黑客袭击、同行窃取资料或不法分子盗窃信息等情况, 及时电脑密码被破译, 也不至于丢失核心信息或重要财务数据, 造成重大损失。在员工的管理上, 由于数字证书的身份识别系统, 使各个员工各司其职, 降低了工作失误的发生率, 工作效率大为提高, 节约了人力资源。故而也不会出现权限越级现象, 够很好的达到信息保密、有效管理、限制权限等各项工作要求。

参考文献

[1]赵琳, 黄玉文.网络化系统中权限控制技术研究[J].科技信息, 2010 (22) :599.

[2]李刚.计算机网络安全隐患与应急响应技术[J].软件, 2012 (5) :131-133.

[3]陈嘉, 周飞翔, 孙长军, 赵金哲.基于数字证书认证的访问控制研究[J].数据通讯, 2012 (5) :25-27.

电子签名认证证书服务协议 篇5

东方中讯数字证书服务协议

东方中讯数字证书认证有限公司（以下简称EZCA）是依法设立的权威、公正的第三方电子认证服务机构及电子政务电子认证服务机构，为订户提供数字证书相关的电子认证服务。为了明确各方权利和义务，EZCA根据《东方中讯数字证书认证有限公司电子认证业务规则》、《东方中讯数字证书认证有限公司电子政务电子认证业务规则》（以下简称《电子认证业务规划》），就数字证书的申请和使用，制定以下协议条款，以资共同遵守。

一、数字证书订户（包括订户本人和/或其授权代理人）在申请数字证书时，应提供真实、完整和准确的信息及证明材料。如因故意或过失未向EZCA或业务受理单位提供真实、完整和准确的信息，导致EZCA签发证书错误，订户应承担由此造成的相关各方损失。

二、EZCA负责及时受理各证书业务受理单位提交的证书申请业务请求，通过EZCA自有的数字证书认证系统及时为通过审核的订户签发证书。如果由于设备或网络故障而导致签发数字证书错误、延迟、中断或者无法签发，EZCA不承担任何赔偿责任。

三、EZCA签发的数字证书必须用于《电子认证业务规则》和《证书策略》规定的用途，不能用于《电子认证业务规则》和《证书策略》规定外的其他任何用途，EZCA不承担因数字证书用于其他用途而产生的法律责任。

四、EZCA认定：所有使用数字证书在网上交易和网上作业中的活动均为证书订户所为。

五、证书订户应妥善保管EZCA签发的数字证书私钥存储介质及其保护口令，不得交付或告之他人。证书订户因丢失、转让、转借或其他故意、过失等行为而产生的一切责任均由证书订户自行负责。

六、证书订户必须保证数字证书私钥的安全，EZCA不承担因证书订户的私钥保存出现问题而产生的所有法律责任。

七、EZCA承诺，在现有的技术条件下，由EZCA签发的数字证书不会被伪造、篡改。如果发生数字证书被篡改、伪造，经确认确属EZCA责任，EZCA承担赔偿责任。赔偿方法参照《电子认证业务规则》。

八、EZCA有权要求证书订户及时更新数字证书。证书订户在收到更新通知时，应在规定的期限内到注册机构更新证书，若逾期证书订户没有更新证书，所引起的后果由证书订户承担。

九、数字证书的有效期自证书签发之日起计算。如证书订户仍需继续使用数字证书，必须在数字证书到期前一个月内向EZCA提出数字证书更新请求。否则，证书到期将自动失效。

十、如果发生数字证书私钥泄露或丢失、证书中的相关信息发生重大变更、或订户不希望继续使用数字证书的情况，证书订户应当立即告知EZCA并申请吊销证书。EZCA接到吊销申请后，在24小时内吊销证书订户的数字证书。证书订户应当对证书吊销之前所有的数字证书使用行为负责。

十一、对于下列情形之一，EZCA有权主动吊销所签发的证书：

证书的更新费用未按规定及时缴纳；

证书订户不能履行相关法律、法规和协议所规定的责任和义务；

证书订户申请时，提供不真实材料；

证书已被盗用、伪造、篡改或出现证书的安全性得不到保障的其它情况；

十二、EZCA不对由于不可抗力事件（含政府行为）而导致暂停或终止全部或部分证书服务承担任何责任。

十三、本协议书如有修订而涉及证书订户的权利、义务时，EZCA将通过网站http://进行公告。证书订户应当于公告发布之日起十五日内，向EZCA提出申请。如果逾期没有提出异议，则视为同意接受修订后的协议。

十四、订户应经常浏览EZCA网站，并仔细阅读《电子认证业务规则》的各项规定。其它未尽事宜，以《电子认证业务规则》相关规定为准。

认证证书 篇6

UL全球高级副总裁、亚太区总裁费杰琛先生表示:“UL一直致力于为全球消费者使用的创新类产品提供安全解决方案,平衡车便是其中一例。通过UL2272认证意味着平衡车的电路系统安全性能符合电路与防火安全的认证要求。这份基于第三方独立检测机构的评估将帮助纳恩博这样的平衡车制造企业证明其自身产品对严苛安全标准的合规性。此外,消费者们能够更加放心得购买该产品,零售商们也能自信的采购经UL认证的平衡车产品,并将UL 2272标准贯彻到自己的采购政策中。”他强调,以前UL更多的是帮助中国企业把安全的产品传递到世界各地,随着中国制造从成本向质量的转变升级,UL将为中国的消费者获得安全优质的产品提供更多服务。

纳恩博公司首席运营官赵忠玮女士在讲话中表示,“纳恩博十分荣幸能凭借其生产的平衡车型号N3M320获得UL 2272安全认证,这意味着纳恩博生产的平衡车符合UL对平衡车安全性能的标准要求。纳恩博自创立以来一直将产品质量和安全放在首位。此次纳恩博获颁UL认证,将为消费者提供电气安全保障并建立一个安全有保障的购买环境,让更多人能享受到平衡车为生活带来的乐趣和改变。”

据美国消费品安全委员会报告称,2015年12月到2016年2月,美国有52起与平衡车有关的起火事件发生,直接导致的经济损失约200万美元。美国消费品安全委员会(简称CPSC)在2016年初对其国内平衡车市场开始整顿,要求针对所有平衡车制造商、进口商和零售商在美国本土所生产、进口、销售的平衡车必须符合现行适用的非强制性安全标准,包括UL2272涵盖的所有标准要求。

认证证书 篇7

随着物联网建设的加快,物联网的安全问题必然成为制约物联网全面发展的重要因素。在物联网发展的高级阶段,由于物联网场景中的实体均具有一定的感知、计算和执行能力,广泛存在的这些感知设备将会对国家基础、社会和个人信息安全构成新的威胁。我国也将在物联网的安全领域展开探索和研究。十二五”国家科技计划信息技术领域2013年度备选项目征集指南,第4.1款,征集项目:“研究物联网感知层安全体系、轻量级加密技术和认证机制,……;研究感知层节点鉴别,……”。因此,建设安全的物联网就变得尤为迫切。

物联网安全系统的建设主要包括设备认证、数据完整性验证、数据机密性等安全机制的构建,这些安全机制必须贯穿物联网整个层次结构,包括感知层、网络层和应用层。由于物联网中设备感知节点大都部署在无人监控的环境,与传统的互联网相比,具有能力脆弱、资源受限等特点,使得物联网的安全问题具有特殊性,所以在解决物联网安全问题时候,必须根据物联网本身的特点设计相关的安全机制,尤其是在处理能力上,在保证安全的基础上,处理的效率一定要保证。

传统的基于PKI/CA证书的身份认证、数字签名、数据保密等机制存在计算复杂、对感知节点安全模块运算能力要求高、存储空间大以及处理速度慢的问题,本文提出的基于微证书的物联网安全协议,主要基于对称密码算法和芯片技术,能够提高感知设备的认证速度,解决大规模传感器设备的安全认证、数据完整性验证和加解密问题,从而建设高效、安全的物联网密码认证系统。

1 微证书简介

1.1 微证书的定义

本系统中,微证书主要是指在物联网中执行安全协议,包括认证、完整性验证或数字加密的过程中使用到的小证书,主要的特点在于占用的存储空间小,运行速度快,安全性能高。

(1)存储空间小:物联网终端感知设备的最大特点就是处理能力弱,存储空间小,这必然要求微证书的首要特点是占用的空间资源要少,本系统中只需要使用几十字节的微证书就可以实现快速的认证、完整性验证及数据加解密。

(2)运行速度快:微证书在进行认证、完整性验证以及加解密过程中,均使用对称密码算法体制,而对称密码算法的最大特点就是速度快,效率高。

(3)安全性高:高安全性主要体现在以下两个方面,a.采用芯片级安全协议,安全协议在芯片中运行受到芯片的保护,保证物联网安全系统各环节的安全;b.采用组合对称密钥技术,实现微证书一次一变。

1.2 微证书的种类

本系统中微证书包括微认证证书、微数字签名证书以及微加密证书。微认证证书用于物联网中对传感设备的身份认证,包括服务器对感知设备的身份进行确认以及感知设备对服务器身份的确认;微签名证书主要是对传输或存储的数据执行完整性验证,确保数据是完整的,未被篡改的;微加密证书主要保障数据信息在物联网传输过程中的安全性,实现数据密文形式传输。

1.2.1 微认证证书

微认证证书包括消息头,设备ID,时间戳,随机数以及认证口令。消息头用于标识微证书的用途,使用字符‘A’表示;设备ID唯一标识该传感器终端,3字节表示,表示的范围为1~224-1个传感器终端;时间戳表示终端此次认证的时间,使用7个字节来表示,分别是年(2个字节)月(1个字节)日(1个字节)时(1个字节)分(1个字节)秒(1个字节),比如20121220153020表示2012年12月20日15时30分20秒;随机数和时间戳一起作为微认证证书产生的控制参数,用8个字节表示;认证口令为微认证证书中的关键部分,微认证证书的动态性主要体现在认证口令的一次一变上。微认证证书16进制表示的示例示例如图1。

1.2.2 微签名证书

微签名证书是由消息头,设备ID,时间戳,随机数以及数据的数字签名值组成。消息头由字符‘V’表示。设备ID,时间戳以及随机数和微认证证书含义相同,唯一区别的是最后一项数字签名,是指明文数据的签名值,本系统中使用SHA-1摘要算法以及SM1国密对称算法加密得到。微签名证书的16进制示例如图2。

微签名证书和微认证证书一样,也是动态证书,时间戳和随机数每次都是不同的,而且即使传入的待签名数据相同,由于数字签名值每次也都是不同的,因此微签名证书也是一次一变的。

1.2.3 微加密证书

微加密证书是在加密传输传感器采集的数据时使用,可以确保数据传输的的保密性,微加密证书只包括加密消息头‘E’,设备ID,时间戳以及随机数。数据的密文可以附在微加密证书的后面。微加密证书使用国密对称密码算法SM1对数据进行加密,微加密证书的16进制示例如图3。

2 构系统架构

基于微证书的物联网安全系统由传感器终端(传感器上配备的安全芯片)、数据中心(业务服务器上面部署的安全系统模块)、认证中心(包括认证/签名服务器,加解密服务器以及密钥管理服务器等)组成(如图4所示)。

2.1 传感器终端

传感器终端上配备安全芯片,安全芯片中灌有安全协议,包括认证协议、完整性验证协议以及加密传输协议。当传感器向数据中心发送异常警告信息或定时连接信息时,首先传感器终端会根据安全芯片调用相应的安全协议接口,生成传感器的微证书,然后将微证书和相关数据,包括签名数据或加密数据提交到物联网的数据中心。安全芯片内产生的微证书实时改变,有效提高传感设备认证、签名及加密的安全性。

传感器终端也可以接受服务器端定期发送的软件升级、日常工作等命令,感知设备只有在确认了服务器的身份后才能执行相关的命令,同时这些命令数据也有可能需要加密或者签名,这就需要服务器端产生自己的微证书,包括微认证证书,微签名证书和微加密证书,并将微证书和数据一起发送到传感器终端,供传感器终端进行验证。图5为微证书的执行流程图。

2.2 数据中心

数据中心以安全模块形式部署在实际的物联网应用服务器中,负责传感器终端数据和认证中心数据的转发。数据中心接收到传感器设备发送的数据后,转发给认证中心。同时,数据中心也接受认证中心发送的数据,并将其转发给传感器终端。如图5所示。

2.3 认证中心

认证中心有一个或多个认证一体机组成,每个认证一体机上部署有加密卡芯片,所有的密钥相关的关键性操作都在加密卡中进行。认证中心在接受到数据中心转发的数据后,会调用相关的安全协议对传感器设备的微证书进行验证,并将结果返回给数据中心。

3 微证书管理

在物联网安全系统中,微证书是实时的,动态的,并且是一次一变的。微证书的产生在芯片中进行,每次使用完即失效。微证书的具体生命周期包括初始化,产生,执行,消亡等几个阶段。

3.1 微证书的产生

微证书是一种动态证书,所以微证书的生命周期很短暂。在安全芯片收到上层传感器的认证或签名,加解密请求后,实时动态产生微证书。在每个物联网终端的安全芯片中,都灌有用于产生微证书的密钥基,在执行安全协议时,传感器终端的安全芯片会根据实时控制参数,包括随机数和时间戳,利用组合对称密钥算法对密钥基进行运算,产生微证书。

3.2 微证书的执行

微证书在产生后,需要服务器端进行验证,验证过程和微证书的产生过程基本一致,在认证中心服务器端预先存储所有的终端的密钥基,该密钥基以密文形式存储在数据库中,认证中心在对终端设备的微证书进行验证时,需要根据传感器终端发送的微证书的控制参数生成该微证书的副本,并对两个微证书进行比较,从而完成验证过程。在认证中心,所有密钥相关的关键操作也都在加密卡硬件芯片中执行,确保安全性。

3.3 微证书的消亡

在认证中心,微证书完成验证过程后,即在身份认证过程中,通过微证书确定了传感器终端的身份后,在签名验证过程和数据加解密过程中,通过微证书获取了相关的签名密钥和解密密钥后,微证书即失去了效用。微证书是一次一变的,安全性极高,即使被黑客截取,也影响不了系统的安全,正常运行。

4 系统性能分析

(1)速度快

基于微证书的物联网安全系统采用了运算速度更快的对称密码算法,与目前普遍采用的非对称密码相比大大提高了认证速率和数字签名效率,并且采用了组合密钥生成算法,解决了对称密钥的分发和管理难题,降低了密钥更新维护成本。

(2)安全性高

本系统采用的是符合国家密码管理局安全标准的密码硬件设备和SM1算法,SM1算法固化在硬件IP核内,其算法不公开;微认证证书、微签名证书和微加密证书都是一次一变。身份认证、数据签名以及数据加解密协议的核心部分均在芯片中进行,保证了身份认证、签名验证以及数据加解密过程的安全可靠,确保了系统的安全性。

(3)可靠性

本方案充分利用现有的成熟技术和设备,采用通过国家密码管理局技术鉴定的安全产品作为主要硬件加解密设备,加解密算法采用通过国家密码管理局批准的对称密码算法(SM1算法),运行安全可靠。

(4)可操作性

使用方便,只需要在终端设备中嵌入安全芯片,通过连接数据中心,由数据中心决定任务的进一步处理流向,在认证服务器中执行身份认证、签名验证操作或者解密操作即可,不增加使用复杂度,不需要组织专门的应用培训。同时,认证和签名过程所需的必要设备信息及认证签名参数保存在一个与应用系统数据库记录的序列号字段(设备的设备号等)相关联的一对多主外键关系子表中,不影响原有应用系统结构和关系数据库结构,可有效保证原有应用系统的正常运行。

5 结论

本文提出了基于微证书的物联网密码系统,采用微证书实现物联网传感器设备的认证、签名及数据加解密过程。微证书主要采用对称密码算法、组合密钥技术以及芯片技术来构建物联网安全系统的基本安全协议,不仅提高了物联网传感器设备的认证、签名以及加解密速度,而且提高了整个物联网的安全性能。经过测试,基于微证书的物联网安全系统的认证并发量可达60000次/分钟,签名验证并发量可达50000次/分钟,完全可满足大规模的物联网传感器设备认证。

摘要：针对物联网环境中传感节点运算能力弱,存储空间有限的特点,本文研究和设计了基于微证书的物联网密码认证系统,通过使用微证书技术来提高系统的认证,数据完整性验证以及加解密数据的速度和安全性。基于微证书的密码认证系统,主要采用组合对称密钥技术和安全芯片技术,实现微证书的一次一变的动态特征以及硬件芯片的安全存储,可以满足大规模的感知设备认证、签名以及加解密等物联网安全需求,提高物联网的安全性能。

关键词：物联网,微证书,组合对称密钥技术,安全芯片

参考文献

[1]郭莉,严波,沈延.物联网安全系统架构研究[J].信息安全与通信保密.2010.

[2]Xiangyi Hu,Guifen Zhao,A CSK-based Solution for PersonAuthentication,The Seventh Wuhan International Conferenceon E-Business:Unlocking the Full Potential of GlobalTechnology.2008.

[3]LiPing Du,Ying Li,GuiFen Zhao,The Design andImplementation of Accelerated Authentication System forMobile Platform,2010 international Conference on Information,Networkong and Automation.2010.

[4]刘件,侯毅.物联网时代的信息安全防护研究[J].微计算机应用.2011.

[5]武传坤.物联网安全架构初探[J].中国科学院院刊.2010.

认证证书 篇8

近日, 江苏同力建材集团有限公司荣获《中国环境标志产品认证证书》, 成为盐城市混凝土生产行业首家、江苏省首批取得该认证证书的企业。

预拌混凝土产品认证, 是依据环保部颁布的《环境标志产品技术要求预拌混凝土》标准和国家有关法律、法规、规范要求, 由环保部授权的全国唯一认证中心———中环联合 (北京) 认证中心对产品生产条件、保障措施、管理要求、行为要求、质量要求、安全要求、卫生要求、组织环境合规性、预拌混凝土生命周期环境影响评价等多方面进行审核, 建立企业产品清单及有害物质排序清单, 落实环境标志产品保障措施, 对产品及原辅材料的多项指标进行产品抽检验证, 并对生产厂区及各部门的现场进行审查, 最终经环保部专家终审, 抽检样品合格, 才能颁发证书。

2006年起, 环境标志产品认证结果被财政部政府采购中心所采信, 为中国政府实施绿色采购制度提供支持, 财政部与环境保护部已经共同发布了十二期环境标志产品政府清单。预拌混凝土产品的认证近2年才允许申请。取得证书企业, 说明其产品达到“安全、健康、环保”的要求, 企业既可以提高社会形象, 也可以纳入政府采购, 提高市场竞争力。截止到2015年4月, 全国约有40余家预拌混凝土生产企业通过了环境标志产品认证, 并获得了“中国环境标志产品”的证书及使用权。

认证证书 篇9

一、CA证书在基层央行应用的现状及前景

2006年1月份, 基层央行货币金银管理信息系统正式开始应用CA认证技术。该系统采用的是以USB硬件作为载体的CA认证模式, 每个操作员使用各自的CA证书盘, 根据证书盘赋予的操作权限进行业务操作。CA认证技术对登录货币金银管理信息系统的每一个用户都能有效地进行身份确认, 确定其操作权限, 对货币金银业务操作的规范化和风险防范发挥了重要作用。人民银行规定, 支票影像及其捆绑信息, 必须经过数字签名, 以确保信息的完整性、安全性和不可抵赖性。数字签名 (PKI) 的使用与货币金银部门的CA证书有所不同, 它采用的是一种内嵌式的方式, 在支票影像系统投入使用时就由各支行在指定网站上下载数字签名 (PKI) 软件进行安装, 与支票影像系统同步运行。

就当前的技术手段、基层央行条件而言, CA证书作为标识信息系统使用者合法身份的技术手段和保障信息系统应用安全的关键措施, CA证书具有资金投入少、运用操作简单、推广便利等诸多优势, 无疑是基层央行保障内部安全、加强内部控制的首选。

CA证书在基层央行的运用尚处于初级阶段, 其主要功用尚不被大多数央行员工所熟悉, 目前也只在少数业务系统的操作中得到使用。因此, 加强对有关CA证书运用、管理的经验总结和探索、完善相关制度办法已成当务之急。

二、CA证书在基层央行应用中存在的问题

(一) 员工安全意识淡薄。

一方面, 员工对计算机信息安全缺乏足够认识。基层央行因为机构小、人头熟, 计算机信息安全没有得到大多数员工的普遍关注。另一方面, 由于CA证书在基层人行应用处于初期阶段, 员工对其强大功能了解不深, 未对其重要性予以足够的重视, 部分员工甚至将之简单理解为是“用户密码”, 甚至觉得每次登录系统都要使用证书盘是“增加麻烦”。若CA证书盘丢失或损坏还需承担责任, 因此在主观上存在排斥心理。

(二) 规章制度建设相对滞后。

一是CA证书管理制度建设相对滞后, 不能适应业务工作发展。虽然人总行制定了《中国人民银行内联网数字证书认证应用管理办法 (试行) 》, 但此制度内容一直未转发至基层行, 各省会中支也未制订相应实施细则。目前基层行对CA证书管理执行的只是《货币金银管理信息系统管理规定》 (以下简称《管理规定》) 。二是相关规定得不到认真执行。例如《管理规定》中规定“人民银行各分支机构科技部门负责本单位及辖内货金系统客户端日常维护、网络通信保障和系统个人数字证书盘的管理”, 而实际操作中CA证书盘由省会中支科技部门直接发放至基层支行业务使用部门, 作为负责证书盘管理的基层支行科技部门对CA证书发放数量、部门和人员的具体情况不了解, 这样势必造成管理上的漏洞。

(三) 证书运行, 维护体系尚不健全。

一是由于业务系统和CA认证体系开发使用不同步, 导致系统存在缺陷。以货币金银管理信息系统为例, 在实际操作中我们发现, 货币金银管理信息系统使用证书盘认证注册登录运行后, 拔出证书盘后系统仍能够正常操作运行。二是岗位交接或权限更改时手续较为复杂, 容易产生“业务脱节”。按目前的管理体制, CA证书盘的申领、发放、启用、冻结等均需先向省会中支科技部门提出申请, 然后由用户本人持相关证件到省会中支领取。这样一来, 基层支行用户若岗位变动后从申请到取得的时间需15至20日, 期间业务办理将产生脱节, 影响基层支行业务工作开展。

(四) 证书管理相关硬件达不到要求。

一是CA证书盘未设置密码最长留存期, 与使用证书盘提高系统安全性的初衷不相符。二是密码设置不符合复杂性要求。《管理规定》中规定:“个人身份数字证书盘持有人应设置12位以上、非连续、非重复字符的个人身份数字证书盘启动密码”, 部分用户为方便记忆选择一些有意义的数字作为密码, 而未考虑密码设置应具备的复杂性要求, 无形中降低了CA证书盘的安全性。三是目前使用的所有证书盘外形一致, 没有显著差别标志, 仅仅在CA证书盘的纸质标签上注明用户姓名, 使用过程中经长期触摸字迹已经模糊, 不易区分, 极易混淆不同权限证书盘, 导致越权操作存在严重的安全隐患。四是由于CA证书盘材质特殊, 必须配备防静电、防磁化、防紫外线的保管设施加以保管, 而目前这一要求在基层行难以实现。

三、对CA证书在基层央行应用的建议

(一) 加强教育培训, 矫正员工思想认识。

CA证书逐步应用到基层央行各项工作中, 与央行日常稳健运行密不可分, 信息安全问题也必将提上基层央行议事日程。因此, 要大力组织相关教育培训和案例分析, 努力增强员工关注信息安全、防范计算机案件事故的思想意识。同时, 科技部门应组织开展好CA证书等计算机信息安全知识教育和技能培训, 帮助员工认识CA证书强大功能, 提高具体应用水平, 切实增强全员信息安全风险防范的实际操作能力。

(二) 健全规章制度, 强化日常跟踪督查。

要在总行《内联网数字证书认证应用管理办法 (试行) 》的总体框架上, 紧密结合基层行工作实际, 加紧制订完善具体的CA证书管理制度、操作细则, 涵盖CA证书的日常申领、使用、管理、保管等各个方面, 保证规范、安全和有序。要修订完善科技部门与职能部门应用CA证书协作管理办法, 明确分工, 落实责任, 为CA证书的运用营造良好内部环境。要积极开展对CA证书的应用评估, 及时总结经验成效, 改进不足, 夯实证书应用的基础。同时, 要切实强化对CA证书等计算机信息安全管理措施执行的日常监督, 切实强化规章制度约束力。

(三) 改进证书运行, 提高证书使用效果。

一是建议对现有软件进行必要的修改, 参照加密狗编译源程序的方式, 杜绝脱证运行。二是建立与CA证书使用相适应的维护体系。

(四) 严密证书管理, 完善相关硬件配置。

一是在应用软件中增加强制密码定期修改和强制密码复杂性模块, 并适当缩短密码位数。二是运用色标管理或证书外观颜色与外形形状作为CA证书权限识别标志, 做到各类权限证书一目了然, 彻底杜绝越权操作存在, 消除安全隐患。三是针对CA证书使用范围广、涉及人员多以及对静电、紫外线、磁敏感的特点, 配备必要的CA证书保管机具, 提高证书保管的安全性。四是科学选择证书存储介质。

参考文献

[1]梅云红.数字证书与网络安全[J].计算机与网络, 2005.

认证证书 篇10

一、基层央行CA证书使用和管理存在的问题

(一) CA证书管理制度须进一步细化

CA证书管理制度建设不完善, 不能更好地适应业务工作发展。虽然人总行制定了《中国人民银行内网电子认证证书管理办法》, 对CA证书的发放、撤销、冻结以及制作等进行了规定, 但基层央行未制定相应实施细则, 未对CA证书在日常业务工作中管理、使用、保管等方面进行明确规定, 极易造成基层业务部门在日常工作中对CA证书的管理认为“自己的事自己管”, 没有统一的管理机制, 事后对责任认定和追究上难以界定, 导致CA管理工作中存在管理职责不清等问题。

(二) CA证书安全使用意识淡薄

由于CA证书在基层央行的应用时间不长, 且仅供个别业务系统使用, 使用并不广泛, 在日常安全管理工作的检查和落实方面容易被忽视, 在CA证书的管理上存在重使用轻管理的现象。个别不再使用CA证书的操作人员在离岗、轮岗时, 往往疏忽对CA证书的管理, 造成岗位变动, 未办理撤销或冻结手续, 易引发风险隐患。甚至个别人员由于长期不使用CA证书, 在检查时才发现自己领用过CA证书, 存在CA证书丢失的情况。

(三) CA证书过期未及时申请更新

目前人民银行内网CA证书有效期为3年, 为不影响正常业务, CA证书责任人应于证书到期日前30天至60天提交证书更新申请。但个别CA证书责任人不及时查看证书有效期, 未按要求提前申请证书更新, 导致证书过期而无法登录系统, 给业务工作的开展带来了不利影响。

(四) CA证书使用管理职责不明确

从实际情况来看, 一般由基层央行业务主管部门统一在省会中支办理CA证书申领、更新等相关手续, 并将CA证书领用、更新等其他情况进行统一登记, 建立CA证书管理台账, 进行统一管理。但由于部分CA证书责任人调离原岗位, 在新岗位仍继续使用, 在原业务主管部门和新业务主管部门未办理相关清退或新入手续, 新业务主管部门对CA证书领用情况不了解, 加大了统一管理的难度, 导致管理职责不明确, 交接管理不到位情况的发生。

(五) CA证书监督检查存在脱节

目前, 除ACS系统CA证书由基层行科技部门进行注册发放外, 其他业务系统CA证书均由省会中支科技部门直接发放至基层行业务主管部门。基层行科技部门对本单位CA证书发放数量、部门和人员的具体情况不了解, 必然造成管理上的漏洞, 导致基层行在信息安全检查中, 对于CA证书使用等情况, 难以开展有效、全面、细致的检查。

二、相关建议

(一) 强化教育培训, 提高思想认识

建议总行进一步加强对CA证书使用、管理方面的培训, 提高相关管理人员和责任人对CA证书重要性的认识, 使其熟悉CA证书的申请、发放、撤销、更新等相关流程, 特别是加强对新申领CA证书人员的教育培训, 熟悉对CA证书的使用操作, 切实履行“谁使用、谁负责”的职责, 妥善保管CA证书, 避免证书丢失或损坏。

(二) 完善规章制度, 明确各方责任

建议上级行根据《中国人民银行内网电子认证证书管理办法》, 紧密结合工作实际, 制定CA证书使用管理实施细则, 涵盖CA证书的申请、使用、撤销、保管、检查以及日常管理等方面内容, 规范日常业务工作中对CA证书的操作和使用, 设置CA证书管理员岗位, 明确业务主管部门、业务使用部门以及责任人的职责, 以促进CA证书管理的科学化、制度化、规范化。

(三) 加强日常管理, 确保安全使用

建议基层央行要严格落实制度, CA证书业务主管部门和业务使用部门要进一步加强对CA证书的日常使用管理, 确保CA证书使用和管理安全。一是对即将到期的证书, 及时督促CA证书责任人提前申请办理证书更新手续, 防止因证书过期失效无法进行业务操作, 影响业务的正常开展。二是按照“一人 (系统) 一证”的原则, 加强对离岗责任人的证书管理, 证书责任人离岗时, 先办理CA证书撤销手续后, 方可办理调离手续;对于在新岗位仍需使用CA证书的人员, 可重新申请领用新证书。三是对CA证书责任人相关信息发生变化时, 例如由一代身份证号码变更为二代身份证号码, 要及时办理CA证书更新手续, 以免实际情况与CA证书信息不一致。

(四) 优化工作流程, 强化管理职能

建议今后可参照ACS系统CA证书发放模式, 进一步优化CA证书管理工作流程, 由基层行科技部门进行注册发放、管理CA证书, 一方面有利于基层行掌握CA证书发放、使用情况, 全面、有效开展检查;另一方面由于基层行科技部门能够及时全面掌握CA证书责任人发生变化的情况, 便于做好CA证书的日常使用管理。

(五) 加大检查力度, 排查风险隐患