国内信息安全认证(整理2篇)
国内信息安全认证范文篇1
关键词:信息安全;策略;加密;防火墙
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)36-2911-02
TheDiscussionofInformationSecurityStrategyandPreventionTechnology
JIANGHao
(DepartmentofInformationScienceandTechnology,JiujiangUniversity,Jiujiang332005,China)
Abstract:Withtherapiddevelopmentofnetworktechnologyanddeepapplication,theinformationsecurityisincreasinglyemerged,whichmoreandmoreareconcerned.Intheagewhichinformationnetworkisuniversalgeneral,theinformationsecurityandinformationindustryarecloselyrelated.Thispaperanalyzesthecurrentstateofinformationsecurity,summarizesthecurrentstrategyofinformationsecurity,commentsthesefactorsuchasdataencrypt,invasivecheck,firewalltechnologyetc,anddiscusseshowtomakeahigherlevelofinformationsecurity.
Keywords:informationsecurity;strategy;encrypt;firewall
1引言
迅速发展的Internet给人们的生活、工作带来了巨大的改变,网络应用的推广与深入使信息安全技术得到了空前的发展。在网络给人们带来巨大的便利的同时,也带来了许多不容忽视的问题,它为网络信息系统中的不法分子提供了更加广阔的平台,使得犯罪活动更加隐蔽、空间更加宽广、手段更加高明,给社会的安定与稳定带来了不良影响。它的安全问题及其对经济发展,国家安全和稳定的影响,正日益突出显现出来,受到了越来越多人的关注。
全球信息化进程的不断加速,国内外信息产业领域对信息安全的关注与日俱增,尤其在信息网络化如此普及的年代,信息安全与信息产业息息相关。如果一个国家不能保证网络信息在采集、存储、传输和认证等方面的安全,就不可能获得信息化的效率和效益,其社会经济生活也难以健康有序地进行,国家安全更无法保障。因此,网络与信息安全保护已成为迫切需要解决的问题。
2信息安全现状及分析
报告显示,截至今年第一季度,我国互联网上网人数达到1.44亿,而黑客网站高达20多万个,即便每台计算机的使用率不到10%,每天有关安全的攻击次数也大得惊人[1]。国家计算机网络信息安全管理中心有关人士指出,网络与信息安全已成为我国互联网健康发展必须面对的严重问题。计算机犯罪对全球造成了前所未有的新威胁,我国自1986年深圳发生第一起计算机犯罪案件以来,计算机犯罪呈直线上升趋势,犯罪手段也日趋技术化、多样化,犯罪领域也不断扩展,许多传统犯罪形式在互联网上都能找到影子,而且其危害性已远远超过传统犯罪。
在网络日益普及的情况下,信息安全问题已经成为了必须解决的系统性问题,需要成系统、成体系地加以解决。在国家层面上,国信办2005年2号文,即《国家信息安全战略报告》提到了信息化建设怎么样去建立长效机制的问题。2006年5月,经过政治局常委讨论通过的《2006-2023年国家信息化发展战略》,将建设国家信息安全保障体系再次作为非常重要的战略提出来,文件中再次强调了安全保障体系建设的相关内容。
在此大环境下,在企业方面,很多企业的领导对安全问题重视,管理层也比较严格,防病毒、防火墙、入侵检测等常规的系统安全和防范机制也都采用了,但是深层隐患还是比较多、内控机制还是比较脆弱、高危漏洞还是在大量存在。在许多单位的计算机网络中,对信息安全域的划分和有效的控制还需要进一步探索,有的企业安全域划分很不合理,从而造成控制的机制不够科学;有的企业对自身系统的风险自评估能力很弱,灾难恢复的机制也并不到位。当前企业信息化发展很快,我们必须设法防范其中的一些隐患,因为它们不爆发则已,一旦爆发的话,就会影响到企业的生存和发展。
众多的不安全因素,都有可能给网络信息系统带来巨大的威胁,造成数据和信息的泄密和丢失,甚至是网络系统的瘫痪。信息安全威胁涉及到许多方面,目前信息安全所面临的主要潜在威胁有以下几个方面:信息泄密、信息篡改、传输非法信息流、网络资源的错误使用和非法使用网络资源[2]。
3信息安全策略及防范技术
3.1安全策略
网络所带来的诸多不安全因素,使得网络使用者不得不采取相应的对策来对重要的信息内容进行安全保护。为了堵塞安全漏洞和提供安全的通信服务,必须运用一定的策略来对网络进行安全建设,这已为广大网络开发商和网络用户所共识[3]。现今信息安全策略主要有以下几种:
1)身份验证和访问控制
身份验证和访问控制策略,包括决定什么权限的用户能够访问什么安全级别的信息,以及作出这一判断的一组规则和应用于该规则的验证机制[4]。通常的验证机制有:口令、令牌/智能卡(通常具有微处理器),或者生物特征(如:指纹,虹膜等)。另外,公共密钥基础设施(PKI)也能够充当身份验证的角色。PKI以数字证书和数字签名技术为基础。因而能够确定信息发送者的身份,至少能够确认信息在传输的过程中是否被篡改。
2)安全传输
网络安全协议和标准(如:SSL,SET,IPSEC等)是保证信息安全传输的一个重要手段。这些协议和标准使得通过网络传输的数据更加难以非法解析,从而使攻击者难以对截获的消息作有效的分析[5]。另外,作为传统的安全技术,数据加密在安全传输中也有着举足轻重地位,利用上述协议实现的数据传输通常是以加密的形式进行的。数据加密技术最有效的方式就是使通过网络传输的数据对于攻击者来说是不可读的。加密算法通常分为两类:对称密钥算法和非对称密钥算法。所谓对称密钥算法就是加密解密都使用相同的密钥,非对称密钥算法就是加密解密使用不同的密钥。非常著名的PGP公钥加密以及RSA加密方法都是非对称加密算法。
3)网络入侵检测和保护
虚拟专用网(VPN),防火墙(Firewall)和入侵检测系统(TDS)也是最常用的网络安全措施。VPN允许在不同地方的用户通过公共网络设施共享安全的网络连接:防火墙是内网和外网的隔离带,它能够检测私有网络的出入数据。防火墙能够阻止入侵者进入内网,同时也能修改从内网发送的数据;TDS通常包括两个部分:监视和报告工具,它能够发现潜在的入侵者及其使用的入侵手段。这些信息又可以用作修补系统漏洞,增强网络安全的参考。
4)内容过滤和隐私保护
杀毒软件是普遍使用和广为人知的内容过滤类型软件。这种类型的软件能够扫描每一封电子邮件及所带的附件。因为这些邮件或附件中可能带有恶意的脚本或程序,并用以接管计算机中正常运行的软件从而达到窃取数据或破坏计算机的目的。一些软件还能够检查邮件中的字符信息,并删除其中可疑的字符串和图片信息,甚至整个邮件。还有其它一些类型的内容过滤软件,例如垃圾邮件过滤器。这类软件能够过滤某些可疑邮件,并把他们转发或退还给邮件发送者。许多公司、教育机构或者家庭都安装了URL过滤器,用以禁止网页浏览器访问一些被认为不安全或者不适合的网站。
3.2身份认证技术
身份认证在网络安全中占据十分重要的位置。身份认证是安全系统中的第一道防线,如图1所示,用户在访问安全系统之前,首先经过身份认证系统识别身份,然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安全管理员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为,同时入侵检测系统实时或非实时地是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统提供的“信息”,即用户的身份。可见身份认证技术是安全系统中的基础设施,是最基本的安全服务,其它的安全服务都依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。
3.3数据加密技术
加密是实现信息存储和传输保密性的一种重要手段。信息加密的方法有对称密钥加密和非对称密钥加密,两种方法各有所长,可以结合使用,互补长短。对称密钥加密,加密解密速度快、算法易实现、安全性好,缺点是密钥长度短、密码空间小、“穷举”方式进攻的代价小。非对称密钥加密,容易实现密钥管理,便于数字签名,缺点是算法较复杂,加密解密花费时间长。加密技术中的另一重要的问题是密钥管理,主要考虑密钥设置协议、密钥分配、密钥保护、密钥产生及进入等方面的问题。
3.4防火墙技术
众所周知,防火墙是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与互联网络之间,或者与其它网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙的安全技术包括包过滤技术、网络地址转换――NAT(NetworkAddressTranslator)技术等。
图1安全系统逻辑结构
3.5入侵检测技术
入侵检测系统(IntrusionDetectionSystem简称IDS)是从多种计算机系统及网络系统中收集信息,再通过这此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
4结束语
信息安全是一项长期性的复杂的系统工程,不是单一的产品和技术可以完全解决的。这是因为信息安全包含多个层面,既有层次上的划分,也有防范目标上的差别。信息系统的安全单靠某一个设备、某一项技术是不能彻底解决的,因此需要系统性地解决问题,需要通过贯穿整个信息安全系统生命周期的安全服务来解决信息系统的安全问题。要提升信息安全的水平,制定适当完备的信息安全策略是前提,高水平的信息安全技术是保证。
参考文献:
[1]刘晓华.网络信息安全及其防范技术探讨[J].科技广场,2007(5):98-100.
[2]周国强,陆炜,曾庆凯.信息安全评估模型的研究与实现[J].计算机应用与软件,2007,24(11):5-8.
[3]李雪梅,王健敏.工业系统信息安全管理体系的构建[J].微计算机信息,2007(3):63-64.
国内信息安全认证范文篇2
周学锋:你好。随着国防现代化进程的加快,中国人民正以前所未有的力度开展信息化建设。为适应形势需要,加强我军高技术条件下信息安全保密工作,1999年3月,保密委员会向全军发出通知,通告信息安全测评认证中心成立。同年6月,四总部及地方有关部门领导出席了中心成立大会。
2001年2月7日,经中央军委批准,总参谋部、总政治部、总后勤部、总装备部联合颁发的《中国人民计算机信息系统安全保密规定》指出:“中国人民信息安全测评认证中心负责军队计算机信息系统安全技术和产品的测评认证工作”,“用于军队计算机信息系统安全保密防护与检测的硬件、软件和系统,必须经中国人民信息安全测评认证中心测评认证”,进一步明确了中心在军队信息安全保障体系中的重要地位和职责。
中心目前开展的测评认证的产品主要有:防火墙、入侵检测、漏洞扫描分析、网络隔离、非法外联监控、安全管理审计、安全管理授权、数字签名、数据备份与恢复、数据安全保护、视频干扰器、移动电话干扰器、CA认证、病毒防护、网络安全设备、数据库安全、操作系统安全、存储介质安全产品、安全计算机、低辐射信息产品、屏蔽机柜、屏蔽室、暗室、屏蔽材料等二十几类,涵盖了信息安全主要领域。
经过严格检测和评审,截至2007年4月,已有来自全国各地的研制单位送检的近600个产品通过了中心测评认证,这些产品基本覆盖了当前信息安全保密的重要技术领域。
记者:作为军队的信息安全测评认证中心,中心主要职责是什么?
周学锋:作为全军唯一的信息安全测评认证机构,中心负责军队计算机信息系统安全技术和产品的测评认证工作,其主要职责包括:对军队采用的计算机信息系统安全技术进行评估;对进入军队系统的信息设备、信息安全保密防护产品的安全保密性能及质量进行检测、评估和认证;向军队推荐符合安全保密要求的信息安全保密防护和检测产品;为军队用户提供信息安全保密技术咨询。
为便于军队用户选购合格的信息安全产品,中心定期向全军《中国人民信息安全认证产品目录》。从2002年6月开始,中心率先对信息安全保密产品测评实行等级认证,在认证报告和认证证书上标明认证产品安全保护等级。不仅树立了中心在国内的领先形象,而且为军队用户选购产品提供了明确的指导意见,受到了研发单位的重视和军队用户的欢迎。
记者:测试环境是开展产品检测工作的基础,是产品检测业务的平台保证。中心在测试环境上有什么特殊要求?有哪些完备的测试服务器机群及相关工具?
周学锋:中心依托军队专业技术力量,建立了完备的测试环境,拥有先进的检测手段。先后研制了投资额达1500万元的网络系统和网络产品安全性测试系统、军队计算机信息系统安全检测评估系统等型号项目,总资产近亿元。中心不仅可以对信息安全系统进行物理、网络、系统、应用、管理等五个方面的常规检测,还可进行各种深度测试。中心在电磁泄漏发射检测、网络渗透性测试、加密强度测试、无线网络安全测试、BIOS安全检测等深度测试方面,在国内具有综合技术优势,是确保网络信息安全系统测试验收质量的重要保障。
记者:质量是规范产品行为的重要依据,尤其对于军队来说,在产品质量特别是信息安全层面上要求是非常严格的,中心在质量管理制度和监督体系有哪些措施?贯彻和建设有什么举措?
周学锋:中心严格执行国家和军队信息安全相关法规和技术标准,本着“科学、公正、严谨、高效”原则,全面落实“严标准、严规范、严认证、严管理、严作风”的要求开展测评认证工作。通过8年发展,中心已建立了比较严格的质量管理制度和监督体系,从产品审查、检测、认证等方面严格把关,对不符合军队要求的信息安全产品坚决不予受理,对不达标的产品坚决不予通过,对认证产品的等级严格评估审查,确保通过认证的产品切实达标。各实验室以规范产品检测程序,完善检测规范,提升测试人员的测试水平和综合测试能力为重点,严把“检测关”。为保证测评认证的质量和权威性,中心还成立了由军内10余名不同专业的专家组成的认证小组,对测评认证工作进行监督和指导,通过专家认证会对产品的受理、检测过程和结果进行审查,确定产品认证等级,对信息安全产品测评认证进行最后技术把关。
中心制定了一系列规章,如《中国人民信息安全测评认证管理办法》、《信息安全产品分类指南》、《信息安全产品测试评估指南》、《信息安全产品等级划分整理指南》、《信息安全产品测试评估术语表》、《测试室管理规定》、《产品测试操作规程》等规章制度和各类信息安全防护产品等级划分方法的技术要求及测试评估方案。从管理到责任、从规程到细则都有详细规定,确保测评认证质量,对军队用户负责,维护申请单位利益。
记者:检测技术和人才是密不可分的,中心在专业技术队伍建设方面有哪些特殊优势?
周学锋:中心是中国计算机学会计算机安全专业委员会成员单位和中国计算机学会信息保密专业委员会成员单位。中心下设测评认证专家委员会、办公室、业务联络室、技术标准室、档案资料室、计算机网络安全检测实验室、电磁防护检测实验室、数据安全保护检测实验室等部门。中心有一支由国家信息化咨询委员会委员、全国信息安全标准化技术委员会委员、中国信息协会信息安全专业委员会副主任委员、中国计算机学会计算机安全专业委员会副主任委员、全国电子测量仪器标准化技术委员会委员等国内知名专家组成的国内一流的技术队伍,技术队伍中具有正、副研究员和高级工程师职称的占46%,具有博士、硕士学位的占51%。中心具有完备的测试环境和先进的检测技术,与军队和地方多家科研机构建立协作关系。
中心编制或参与编制了军队信息系统安全保密规定、军队计算机信息网络国际联网管理暂行规定、军队计算机信息系统安全保密防护要求及检测评估方法、军队电磁屏蔽室技术要求和检验方法、军队计算机病毒防治规范等法规标准二十多部,编制了涉及信息安全主要领域的多类信息安全产品测试技术规范,为提高我军技术安全保密工作正规化水平做出了重要贡献。此外还参与了《国家信息化发展战略》(2006-2023年)、《关于开展信息安全风险评估工作意见》、《信息安全风险管理指南》、《信息安全风险评估指南》等法规标准的草拟工作,积极为国家信息安全献计献策。
记者:中心取得了哪些卓有成效的成绩及未来发展规划是怎样的?
