網(wǎng)絡(luò)安全等級(jí)保護(hù):等級(jí)保護(hù)中的密碼技術(shù)
在《信息安全等級(jí)保護(hù)商用密碼技術(shù)要求》使用指南中,給出了等級(jí)保護(hù)中使用密碼技術(shù)需要考的幾點(diǎn)因素。
具體如下:
等級(jí)保護(hù)中使用密碼技術(shù)時(shí)應(yīng)考慮因素:
保護(hù)能力:應(yīng)達(dá)到給定信息安全保護(hù)等級(jí)的基本技術(shù)要求。
運(yùn)行環(huán)境:應(yīng)與所保護(hù)信息系統(tǒng)的運(yùn)行環(huán)境相適應(yīng),包括基礎(chǔ)設(shè)施、人員素質(zhì)等方面。
操作影響:應(yīng)最小化對(duì)信息系統(tǒng)既定操作的影響,包括流程、性能等方面。實(shí)施成本:應(yīng)平衡建設(shè)/運(yùn)行/維護(hù)成本和所獲得的效益。
整體協(xié)調(diào):應(yīng)從組織的信息安全系統(tǒng)的整體角度協(xié)調(diào)所集成的安全技術(shù)和產(chǎn)品,包括如果一個(gè)組織存在不同安全等級(jí)的信息系統(tǒng),當(dāng)較低級(jí)別的信息系統(tǒng)可以在不附加更多成本的情況下能夠直接利用且不影響為較高級(jí)別的信息系統(tǒng)所提供的安全機(jī)制時(shí),應(yīng)選擇共享較高級(jí)別的安全機(jī)制,而不必再另外建設(shè)較低級(jí)別的安全機(jī)制。
對(duì)信息系統(tǒng)實(shí)施等級(jí)保護(hù),需要大量采用密碼技術(shù),而且許多安全需求只有使用密碼技術(shù)才能得到滿足,因此如何科學(xué)合理地應(yīng)用密碼技術(shù)來(lái)滿足對(duì)信息系統(tǒng)的安全保護(hù)需求成為實(shí)施等級(jí)保護(hù)的關(guān)鍵工作內(nèi)容,直接影響信息安全等級(jí)保護(hù)的全面推進(jìn)。密碼技術(shù)作為一種特定的敏感技術(shù),要求科學(xué)合理的密碼系統(tǒng)設(shè)計(jì)和嚴(yán)謹(jǐn)規(guī)范的密碼系統(tǒng)集成,正確的使用非常關(guān)鍵。
首先,密碼技術(shù)具備非常強(qiáng)的優(yōu)勢(shì),正因?yàn)榈燃?jí)保護(hù)中很多安全選項(xiàng)都需要使用密碼技術(shù),密碼技術(shù)的重要性也就不言而喻了,我們?cè)谡劶懊艽a技術(shù)時(shí)往往先考慮他的優(yōu)勢(shì)所在,下面我們摘錄密碼技術(shù)的優(yōu)勢(shì),供大家一起參考!
密碼技術(shù)優(yōu)勢(shì)
堅(jiān)實(shí)的理論基礎(chǔ):數(shù)學(xué)是密碼技術(shù)的理論支撐,因而決定了其堅(jiān)實(shí)的理論基礎(chǔ)。
長(zhǎng)久的實(shí)踐考驗(yàn):密碼技術(shù)具有悠久的歷史,是一門久經(jīng)實(shí)踐考驗(yàn)的技術(shù)。
經(jīng)濟(jì)的實(shí)現(xiàn)途徑:擅長(zhǎng)計(jì)算的計(jì)算機(jī)系統(tǒng)為密碼技術(shù)提供了性價(jià)比最佳的實(shí)現(xiàn)平臺(tái)。
有效的運(yùn)行機(jī)制:嚴(yán)謹(jǐn)?shù)拿艽a運(yùn)行和管理體系為密碼技術(shù)作用的有效發(fā)揮提供了良好保證。
便捷的使用方法:簡(jiǎn)潔的密碼使用接口為密碼使用者提供了極大的方便。
我們回歸密碼技術(shù),等級(jí)測(cè)評(píng)工作中對(duì)于涉及到身份的真實(shí)性、行為的抗抵賴、內(nèi)容的機(jī)密性和完整性等測(cè)評(píng)要求項(xiàng),密碼技術(shù)都可以直接或間接地提供支持。我們工作中常用的密碼技術(shù)主要包括加密、校驗(yàn)字符系統(tǒng)、消息鑒別碼、密碼校驗(yàn)函數(shù)、散列函數(shù)、數(shù)字簽名、動(dòng)態(tài)口令、數(shù)字證書和可信時(shí)間戳等。密碼技術(shù)通過(guò)如下密碼服務(wù)來(lái)為安全要求項(xiàng)的實(shí)現(xiàn)提供支持:
機(jī)密性服務(wù):通過(guò)加密和解密數(shù)據(jù),防止數(shù)據(jù)的未授權(quán)泄露。數(shù)據(jù)包括存儲(chǔ)數(shù)據(jù)、傳輸數(shù)據(jù)和流量信息。
完整性服務(wù):通過(guò)檢測(cè)、通知、記錄和恢復(fù)數(shù)據(jù)修改,防止數(shù)據(jù)的未授權(quán)修改。數(shù)據(jù)修改包括改值/替換、插入、刪除/丟失、重復(fù)/復(fù)制、變序/錯(cuò)位等。
真實(shí)性服務(wù):通過(guò)標(biāo)識(shí)和鑒別活動(dòng)主體的身份,防止身份的冒用和偽造。
抗抵賴服務(wù):通過(guò)提供行為證據(jù),防止活動(dòng)主體否認(rèn)其行為。證據(jù)內(nèi)容包括行為主體、行為方式、行為內(nèi)容和行為時(shí)間等。
當(dāng)然,想要掌握或搞懂密碼技術(shù),也不是一件很容易的事情,不過(guò)作為網(wǎng)絡(luò)安全從業(yè)者至少需要在這方面有點(diǎn)基礎(chǔ)知識(shí),以便配合或者參與項(xiàng)目過(guò)程中,大家有個(gè)共同的技術(shù)語(yǔ)言,這樣有助于我們自身開展工作也有助于甲方整體項(xiàng)目進(jìn)展。另外,如果對(duì)等級(jí)保護(hù)工作中,商用密碼使用基線情況進(jìn)行了解,則可以參考前兩天我整理的《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引思維導(dǎo)圖》,當(dāng)然也可以直接查閱《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》 這個(gè)文件。