王韬
摘要随着计算机技术的飞速发展和广泛应用,计算机信息安全问题越来越受到关注。由此产生出很多信息安全技术,如密码学、防病毒、防火墙、备份,以及近期热门的漏洞扫描、入侵检测等技术。那么,企业如何合理、有效地应用这些信息安全技术来保护自身的信息资产呢?我国根据不同的信息安全技术制定并发布了相关的国家和行业标准,企业可以根据标准的要求来研发、应用和管理,以达到其信息安全的目标。下面,就部分信息安全技术及其相关标准作一个简单介绍,以飨读者。
关键词密码学;信息安全;行业标准
1密码学技术
密码学是指“研究密码与密码活动本质和规律,指导密码实践科学,主要探索密码编制、密码破译以及密码管理的一般规律”。
目前,由国家密码管理局发布的密码学标准包括指导性文件1项和行业标准40多项。其中,指导性文件为GM/z 0001-2013《密码术语》,是于2013年6月20日正式发布的。该指导性技术文件给出了商用密码工程领域的基础术语及其定义,适用于为密码有关标准、指导性技术文件的编制提供指导,也可用于指导密码技术和产品的论证、设计、生产、使用、检测和评估等。行业标准包括GM/T 0001-2012《祖冲之序列密码算法》等40多项,分别从对称密钥密码技术(私钥加密)和非对称密钥密码技术(公钥加密)方面提出相关要求。
同时,我国也相应颁布了3项与密码学技术相关的国家标准,包括:
GB/T 17964-2008《信息安全技术分组密码算法的工作模式》,共描述了分组密码算法的7种工作模式,从而用来规范分组密码的应用。
GB/T 25056-2010《信息安全技术证书认证系统密码及其相关安全技术规范》,对为公众提供服务的数字证书认证系统提出了相应的规范,其规范的内容包括设计、建设、检测、运行及管理等方面。
GB/T 29829-2013《信息安全技术可信计算密码支撑平台功能与接口规范》,描述了可信计算密码支撑平台功能原理与要求,用于其产品的研制、生产、测评和应用开发等方面。
2防病毒技术
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。随着计算机病毒的出现,防病毒技术也应运而生。为了加强对计算机病毒的预防和治理,保护计算机信息系统安全,保障计算机的应用与发展,根据《中华人民共和国计算机信息系统安全保护条例》的规定,制定《计算机病毒防治管理办法》(中华人民共和国公安部令第51号发部实施)。公安部公共信息网络安全监察部门主管全国的计算机病毒防治管理工作。
目前,我国正式颁布的与病毒防治相关的公共安全行业标准包括:
GA 243-2000《计算机病毒防治产品评级准则》,它规定了计算机病毒防治产品的定义、参加检测的要求以及检验和评级的方法等内容,适用于计算机病毒防治产品的测试和评级。
GA 849-2009《移动终端病毒防治产品评级准则》,它明确了移动终端中相关病毒防治产品的要求和方法,包括提交受检时的要求、测试指标的要求和测试方法、以及测试报告的格式及其评级的方法等内容。
3备份技术
在《计算机科学》杂志中,“备份”被这样定义:“为应付文件、数据丢失或损坏等可能出现的意外情况,将电子计算机存储设备中的数据复制到磁带等大容量存储设备中。从而在原文中独立出来单独贮存的程序或文件副本。”
目前我国正式颁布的与备份相关的标准包括:
GB/T 20988-2007《信息安全技术信息系统灾难恢复规范》,它明确了信息系统灾难恢复应遵循的有关基本要求,对于信息系统灾难恢复的规划、审批、实施和管理提出了适用性方法。
GB/T 30285-2013《信息安全技术灾难恢复中心建设与运维管理规范》,它阐述了灾难恢复中心建设与运维的管理过程。
GB/T 29765-2013《信息安全技术数据备份与恢复产品技术要求与测试评价方法》和GB/T 29766-2013《信息安全技术网站数据恢复产品技术要求与测试评价方法》,分别规定了数据备份与恢复产品和互联网网站数据恢复产品应遵循的技术要求,以及可以采用的测试评价方法。
GB/T 31500-2015《信息安全技术存储介质数据恢复服务要求》,明确提出实施存储介质数据恢复服务所需的服务原则、服务条件、服务过程要求及管理要求。
4防火墙技术
防火墙是一个或一组在不同安全策略的网络或安全域之间实施访问控制的系统,其主要功能就是限制用户对内外网络的访问。
目前,我国正式颁布的与防火墙相关的国家标准和行业标准,主要包括:
GB/T 20010-2005《信息安全技术包过滤防火墙评估准则》,规定了对采用“传输控制协议/网间协议(TCP/IP)”的包过滤防火墙产品中,按照GBl78591999划分的五个安全保护等级所需的不同评估内容。
GB/T 20281-2015《信息安全技术防火墙安全技术要求和测试评价方法》,明确了防火墙安全技术要求、测试评价方法和安全等级划分等相关的内容。
CA/T 1177-2014《信息安全技术第二代防火墙安全技术要求》,它明确阐述了第二代防火墙产品中的安全功能要求、安全保证要求、性能要求、环境适应性要求,以及安全等级划分的有关内容。
5漏洞扫描技术
安全漏洞是计算机信息系统在需求、設计、实现、配置、运行等过程中,有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对计算机信息系统的安全造成损害,从而影响计算机信息系统的正常运行。
目前我国正式颁布的有关安全漏洞技术相关的国家标准,主要包括:
GB/T 28458-2012《信息安全技术安全漏洞标识与描述规范》,它规定了计算机信息系统安全漏洞的标识与描述规范。
GB/T 30276-2013《信息安全技术信息安全漏洞管理规范》,它明确规定了信息安全漏洞的管理要求,以及涉及安全漏洞的发现、利用、修复和公开等环节,主要应用于用户、厂商和相关组织进行信息安全漏洞实施的管理工作。
GB/T 30279-2013《信息安全技术安全漏洞等级划分指南》,它阐述了信息系统安全漏洞等级的划分要素和危害程度级别的定义,适用于信息安全产品生产、技术研发、系统运营等单位在相关工作中参考。
GB/T 20278-2013《信息安全技术网络脆弱性扫描产品安全技术要求》,它明确了网络脆弱性扫描产品的安全功能要求、自身安全要求和安全保证要求,并依据不同的安全技术要求对网络脆弱性扫描产品实施分级。
6入侵检测技术
入侵检测可以通过对计算机网络或计算机系统中的若干关键点,实施信息收集并分析,进而从中发现和识别在网络或系统中是否存在违反安全策略的行为以及被攻击的迹象。
目前,我国正式颁布的有关入侵检测相关的国家标准,主要包括:
GB/T 20275-2013《信息安全技术网络入侵检测系统技术要求和测试评价方法》,它提出了网络入侵检测系统的技术要求和测试评价方法,主要应用于网络入侵检测系统的设计、开发、测试和评价。endprint