前段時(shí)間,我根據(jù)有關(guān)國家標(biāo)準(zhǔn)整理了一篇《網(wǎng)絡(luò)安全等級保護(hù):網(wǎng)絡(luò)安全等級保護(hù)基本技術(shù)》,在這篇文章里第7項(xiàng)談及了密碼技術(shù),這篇是根據(jù)有關(guān)資料整理,進(jìn)一步談等級保護(hù)中密碼技術(shù)。在《信息安全等級保護(hù)商用密碼技術(shù)要求》使用指南中,給出了等級保護(hù)中使用密碼技術(shù)需要考的幾點(diǎn)因素。
具體如下:
等級保護(hù)中使用密碼技術(shù)時(shí)應(yīng)考慮因素:
保護(hù)能力:應(yīng)達(dá)到給定信息安全保護(hù)等級的基本技術(shù)要求。
運(yùn)行環(huán)境:應(yīng)與所保護(hù)信息系統(tǒng)的運(yùn)行環(huán)境相適應(yīng),包括基礎(chǔ)設(shè)施、人員素質(zhì)等方面。
操作影響:應(yīng)最小化對信息系統(tǒng)既定操作的影響,包括流程、性能等方面。實(shí)施成本:應(yīng)平衡建設(shè)/運(yùn)行/維護(hù)成本和所獲得的效益。
整體協(xié)調(diào):應(yīng)從組織的信息安全系統(tǒng)的整體角度協(xié)調(diào)所集成的安全技術(shù)和產(chǎn)品,包括如果一個(gè)組織存在不同安全等級的信息系統(tǒng),當(dāng)較低級別的信息系統(tǒng)可以在不附加更多成本的情況下能夠直接利用且不影響為較高級別的信息系統(tǒng)所提供的安全機(jī)制時(shí),應(yīng)選擇共享較高級別的安全機(jī)制,而不必再另外建設(shè)較低級別的安全機(jī)制。
對信息系統(tǒng)實(shí)施等級保護(hù),需要大量采用密碼技術(shù),而且許多安全需求只有使用密碼技術(shù)才能得到滿足,因此如何科學(xué)合理地應(yīng)用密碼技術(shù)來滿足對信息系統(tǒng)的安全保護(hù)需求成為實(shí)施等級保護(hù)的關(guān)鍵工作內(nèi)容,直接影響信息安全等級保護(hù)的全面推進(jìn)。密碼技術(shù)作為一種特定的敏感技術(shù),要求科學(xué)合理的密碼系統(tǒng)設(shè)計(jì)和嚴(yán)謹(jǐn)規(guī)范的密碼系統(tǒng)集成,正確的使用非常關(guān)鍵。
首先,密碼技術(shù)具備非常強(qiáng)的優(yōu)勢,正因?yàn)榈燃壉Wo(hù)中很多安全選項(xiàng)都需要使用密碼技術(shù),密碼技術(shù)的重要性也就不言而喻了,我們在談及密碼技術(shù)時(shí)往往先考慮他的優(yōu)勢所在,下面我們摘錄密碼技術(shù)的優(yōu)勢,供大家一起參考!
密碼技術(shù)優(yōu)勢
堅(jiān)實(shí)的理論基礎(chǔ):數(shù)學(xué)是密碼技術(shù)的理論支撐,因而決定了其堅(jiān)實(shí)的理論基礎(chǔ)。
長久的實(shí)踐考驗(yàn):密碼技術(shù)具有悠久的歷史,是一門久經(jīng)實(shí)踐考驗(yàn)的技術(shù)。
經(jīng)濟(jì)的實(shí)現(xiàn)途徑:擅長計(jì)算的計(jì)算機(jī)系統(tǒng)為密碼技術(shù)提供了性價(jià)比最佳的實(shí)現(xiàn)平臺。
有效的運(yùn)行機(jī)制:嚴(yán)謹(jǐn)?shù)拿艽a運(yùn)行和管理體系為密碼技術(shù)作用的有效發(fā)揮提供了良好保證。
便捷的使用方法:簡潔的密碼使用接口為密碼使用者提供了極大的方便。
我們回歸密碼技術(shù),等級測評工作中對于涉及到身份的真實(shí)性、行為的抗抵賴、內(nèi)容的機(jī)密性和完整性等測評要求項(xiàng),密碼技術(shù)都可以直接或間接地提供支持。我們工作中常用的密碼技術(shù)主要包括加密、校驗(yàn)字符系統(tǒng)、消息鑒別碼、密碼校驗(yàn)函數(shù)、散列函數(shù)、數(shù)字簽名、動態(tài)口令、數(shù)字證書和可信時(shí)間戳等。密碼技術(shù)通過如下密碼服務(wù)來為安全要求項(xiàng)的實(shí)現(xiàn)提供支持:
機(jī)密性服務(wù):通過加密和解密數(shù)據(jù),防止數(shù)據(jù)的未授權(quán)泄露。數(shù)據(jù)包括存儲數(shù)據(jù)、傳輸數(shù)據(jù)和流量信息。
完整性服務(wù):通過檢測、通知、記錄和恢復(fù)數(shù)據(jù)修改,防止數(shù)據(jù)的未授權(quán)修改。數(shù)據(jù)修改包括改值/替換、插入、刪除/丟失、重復(fù)/復(fù)制、變序/錯(cuò)位等。
真實(shí)性服務(wù):通過標(biāo)識和鑒別活動主體的身份,防止身份的冒用和偽造。
抗抵賴服務(wù):通過提供行為證據(jù),防止活動主體否認(rèn)其行為。證據(jù)內(nèi)容包括行為主體、行為方式、行為內(nèi)容和行為時(shí)間等。
當(dāng)然,想要掌握或搞懂密碼技術(shù),也不是一件很容易的事情,不過作為網(wǎng)絡(luò)安全從業(yè)者至少需要在這方面有點(diǎn)基礎(chǔ)知識,以便配合或者參與項(xiàng)目過程中,大家有個(gè)共同的技術(shù)語言,這樣有助于我們自身開展工作也有助于甲方整體項(xiàng)目進(jìn)展。另外,如果對等級保護(hù)工作中,商用密碼使用基線情況進(jìn)行了解,則可以參考前兩天我整理的《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引思維導(dǎo)圖》,當(dāng)然也可以直接查閱《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》 這個(gè)文件。
后期,我將整理一下等級保護(hù)第三級要求相關(guān)密碼技術(shù)實(shí)現(xiàn),期待和大家一起探討學(xué)習(xí)。有些知識,亙古彌新,所以大的體系可能在重構(gòu),知識可能在更新,最終有些基礎(chǔ)性的概念或內(nèi)容還是不變的,無論泰拳還是拳擊抑或是太極拳,招式可以不一樣,動作可以不一樣,到人身上則還是身體加雙拳雙腳,一拳一腳開出去,只不過不同的人打出來的力道不同,打出來的技巧不同罷了。
舊話重提,再次聲明,本人粗鄙見解純屬班門弄斧,聊作引玉之用,期待方家批評指正,共同探討,共同解決彼此配合中存在的異議和問題。
