網(wǎng)絡安全等級保護:等級保護中的密碼技術(shù)

何威風
對信息系統(tǒng)實施等級保護,需要大量采用密碼技術(shù),而且許多安全需求只有使用密碼技術(shù)才能得到滿足,因此如何科學合理地應用密碼技術(shù)來滿足對信息系統(tǒng)的安全保護需求成為實施等級保護的關鍵工作內(nèi)容,直接影響信息安全等級保護的全面推進。

前段時間,我根據(jù)有關國家標準整理了一篇《網(wǎng)絡安全等級保護:網(wǎng)絡安全等級保護基本技術(shù)》,在這篇文章里第7項談及了密碼技術(shù),這篇是根據(jù)有關資料整理,進一步談等級保護中密碼技術(shù)。在《信息安全等級保護商用密碼技術(shù)要求》使用指南中,給出了等級保護中使用密碼技術(shù)需要考的幾點因素。

具體如下:

等級保護中使用密碼技術(shù)時應考慮因素:

保護能力:應達到給定信息安全保護等級的基本技術(shù)要求。

運行環(huán)境:應與所保護信息系統(tǒng)的運行環(huán)境相適應,包括基礎設施、人員素質(zhì)等方面。

操作影響:應最小化對信息系統(tǒng)既定操作的影響,包括流程、性能等方面。實施成本:應平衡建設/運行/維護成本和所獲得的效益。

整體協(xié)調(diào):應從組織的信息安全系統(tǒng)的整體角度協(xié)調(diào)所集成的安全技術(shù)和產(chǎn)品,包括如果一個組織存在不同安全等級的信息系統(tǒng),當較低級別的信息系統(tǒng)可以在不附加更多成本的情況下能夠直接利用且不影響為較高級別的信息系統(tǒng)所提供的安全機制時,應選擇共享較高級別的安全機制,而不必再另外建設較低級別的安全機制。

360截圖16450626515344.png

對信息系統(tǒng)實施等級保護,需要大量采用密碼技術(shù),而且許多安全需求只有使用密碼技術(shù)才能得到滿足,因此如何科學合理地應用密碼技術(shù)來滿足對信息系統(tǒng)的安全保護需求成為實施等級保護的關鍵工作內(nèi)容,直接影響信息安全等級保護的全面推進。密碼技術(shù)作為一種特定的敏感技術(shù),要求科學合理的密碼系統(tǒng)設計和嚴謹規(guī)范的密碼系統(tǒng)集成,正確的使用非常關鍵。

首先,密碼技術(shù)具備非常強的優(yōu)勢,正因為等級保護中很多安全選項都需要使用密碼技術(shù),密碼技術(shù)的重要性也就不言而喻了,我們在談及密碼技術(shù)時往往先考慮他的優(yōu)勢所在,下面我們摘錄密碼技術(shù)的優(yōu)勢,供大家一起參考!

密碼技術(shù)優(yōu)勢

堅實的理論基礎:數(shù)學是密碼技術(shù)的理論支撐,因而決定了其堅實的理論基礎。

長久的實踐考驗:密碼技術(shù)具有悠久的歷史,是一門久經(jīng)實踐考驗的技術(shù)。

經(jīng)濟的實現(xiàn)途徑:擅長計算的計算機系統(tǒng)為密碼技術(shù)提供了性價比最佳的實現(xiàn)平臺。

有效的運行機制:嚴謹?shù)拿艽a運行和管理體系為密碼技術(shù)作用的有效發(fā)揮提供了良好保證。

便捷的使用方法:簡潔的密碼使用接口為密碼使用者提供了極大的方便。

360截圖16450626515344.png

我們回歸密碼技術(shù),等級測評工作中對于涉及到身份的真實性、行為的抗抵賴、內(nèi)容的機密性和完整性等測評要求項,密碼技術(shù)都可以直接或間接地提供支持。我們工作中常用的密碼技術(shù)主要包括加密、校驗字符系統(tǒng)、消息鑒別碼、密碼校驗函數(shù)、散列函數(shù)、數(shù)字簽名、動態(tài)口令、數(shù)字證書和可信時間戳等。密碼技術(shù)通過如下密碼服務來為安全要求項的實現(xiàn)提供支持:

機密性服務:通過加密和解密數(shù)據(jù),防止數(shù)據(jù)的未授權(quán)泄露。數(shù)據(jù)包括存儲數(shù)據(jù)、傳輸數(shù)據(jù)和流量信息。

完整性服務:通過檢測、通知、記錄和恢復數(shù)據(jù)修改,防止數(shù)據(jù)的未授權(quán)修改。數(shù)據(jù)修改包括改值/替換、插入、刪除/丟失、重復/復制、變序/錯位等。

真實性服務:通過標識和鑒別活動主體的身份,防止身份的冒用和偽造。

抗抵賴服務:通過提供行為證據(jù),防止活動主體否認其行為。證據(jù)內(nèi)容包括行為主體、行為方式、行為內(nèi)容和行為時間等。

當然,想要掌握或搞懂密碼技術(shù),也不是一件很容易的事情,不過作為網(wǎng)絡安全從業(yè)者至少需要在這方面有點基礎知識,以便配合或者參與項目過程中,大家有個共同的技術(shù)語言,這樣有助于我們自身開展工作也有助于甲方整體項目進展。另外,如果對等級保護工作中,商用密碼使用基線情況進行了解,則可以參考前兩天我整理的《信息系統(tǒng)密碼應用高風險判定指引思維導圖》,當然也可以直接查閱《信息系統(tǒng)密碼應用高風險判定指引》這個文件。

后期,我將整理一下等級保護第三級要求相關密碼技術(shù)實現(xiàn),期待和大家一起探討學習。有些知識,亙古彌新,所以大的體系可能在重構(gòu),知識可能在更新,最終有些基礎性的概念或內(nèi)容還是不變的,無論泰拳還是拳擊抑或是太極拳,招式可以不一樣,動作可以不一樣,到人身上則還是身體加雙拳雙腳,一拳一腳開出去,只不過不同的人打出來的力道不同,打出來的技巧不同罷了。

舊話重提,再次聲明,本人粗鄙見解純屬班門弄斧,聊作引玉之用,期待方家批評指正,共同探討,共同解決彼此配合中存在的異議和問題。

參考文件:

《信息安全等級保護商用密碼技術(shù)要求》使用指南

《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論

本月熱門

精選文章

熱點資訊