前段时间,我根据有关国家标准整理了一篇《网络安全等级保护:网络安全等级保护基本技术》,在这篇文章里第7项谈及了密码技术,这篇是根据有关资料整理,进一步谈等级保护中密码技术。在《信息安全等级保护商用密码技术要求》使用指南中,给出了等级保护中使用密码技术需要考的几点因素。
具体如下:
保护能力:应达到给定信息安全保护等级的基本技术要求。运行环境:应与所保护信息系统的运行环境相适应,包括基础设施、人员素质等方面。操作影响:应最小化对信息系统既定操作的影响,包括流程、性能等方面。实施成本:应平衡建设/运行/维护成本和所获得的效益。整体协调:应从组织的信息安全系统的整体角度协调所集成的安全技术和产品,包括如果一个组织存在不同安全等级的信息系统,当较低级别的信息系统可以在不附加更多成本的情况下能够直接利用且不影响为较高级别的信息系统所提供的安全机制时,应选择共享较高级别的安全机制,而不必再另外建设较低级别的安全机制。
对信息系统实施等级保护,需要大量采用密码技术,而且许多安全需求只有使用密码技术才能得到满足,因此如何科学合理地应用密码技术来满足对信息系统的安全保护需求成为实施等级保护的关键工作内容,直接影响信息安全等级保护的全面推进。密码技术作为一种特定的敏感技术,要求科学合理的密码系统设计和严谨规范的密码系统集成,正确的使用非常关键。
首先,密码技术具备非常强的优势,正因为等级保护中很多安全选项都需要使用密码技术,密码技术的重要性也就不言而喻了,我们在谈及密码技术时往往先考虑他的优势所在,下面我们摘录密码技术的优势,供大家一起参考!坚实的理论基础:数学是密码技术的理论支撑,因而决定了其坚实的理论基础。长久的实践考验:密码技术具有悠久的历史,是一门久经实践考验的技术。经济的实现途径:擅长计算的计算机系统为密码技术提供了性价比最佳的实现平台。有效的运行机制:严谨的密码运行和管理体系为密码技术作用的有效发挥提供了良好保证。
便捷的使用方法:简洁的密码使用接口为密码使用者提供了极大的方便。
我们回归密码技术,等级测评工作中对于涉及到身份的真实性、行为的抗抵赖、内容的机密性和完整性等测评要求项,密码技术都可以直接或间接地提供支持。我们工作中常用的密码技术主要包括加密、校验字符系统、消息鉴别码、密码校验函数、散列函数、数字签名、动态口令、数字证书和可信时间戳等。密码技术通过如下密码服务来为安全要求项的实现提供支持:机密性服务:通过加密和解密数据,防止数据的未授权泄露。数据包括存储数据、传输数据和流量信息。完整性服务:通过检测、通知、记录和恢复数据修改,防止数据的未授权修改。数据修改包括改值/替换、插入、删除/丢失、重复/复制、变序/错位等。真实性服务:通过标识和鉴别活动主体的身份,防止身份的冒用和伪造。
抗抵赖服务:通过提供行为证据,防止活动主体否认其行为。证据内容包括行为主体、行为方式、行为内容和行为时间等。
当然,想要掌握或搞懂密码技术,也不是一件很容易的事情,不过作为网络安全从业者至少需要在这方面有点基础知识,以便配合或者参与项目过程中,大家有个共同的技术语言,这样有助于我们自身开展工作也有助于甲方整体项目进展。另外,如果对等级保护工作中,商用密码使用基线情况进行了解,则可以参考前两天我整理的《信息系统密码应用高风险判定指引思维导图》,当然也可以直接查阅《信息系统密码应用高风险判定指引》 这个文件。
后期,我将整理一下等级保护第三级要相关密码技术实现,期待和大家一起探讨学习。有些知识,亘古弥新,所以大的体系可能在重构,知识可能在更新,最终有些基础性的概念或内容还是不变的,无论泰拳还是拳击抑或是太极拳,招式可以不一样,动作可以不一样,到人身上则还是身体加双拳双脚,一拳一脚开出去,只不过不同的人打出来的力道不同,打出来的技巧不同罢了。
旧话重提,再次声明,本人粗鄙见解纯属班门弄斧,聊作引玉之用,期待方家批评指正,共同探讨,共同解决彼此配合中存在的异议和问题。
《信息安全等级保护商用密码技术要求》使用指南
《信息安全技术 网络安全等级保护基本要求》
