信息化觀察網(wǎng)

前段時(shí)間，我根據(jù)有關(guān)國(guó)家標(biāo)準(zhǔn)整理了一篇《網(wǎng)絡(luò)安全等級(jí)保護(hù)：網(wǎng)絡(luò)安全等級(jí)保護(hù)基本技術(shù)》，在這篇文章里第7項(xiàng)談及了密碼技術(shù)，這篇是根據(jù)有關(guān)資料整理，進(jìn)一步談等級(jí)保護(hù)中密碼技術(shù)。在《信息安全等級(jí)保護(hù)商用密碼技術(shù)要求》使用指南中，給出了等級(jí)保護(hù)中使用密碼技術(shù)需要考的幾點(diǎn)因素。

具體如下：

等級(jí)保護(hù)中使用密碼技術(shù)時(shí)應(yīng)考慮因素：

保護(hù)能力：應(yīng)達(dá)到給定信息安全保護(hù)等級(jí)的基本技術(shù)要求。

運(yùn)行環(huán)境：應(yīng)與所保護(hù)信息系統(tǒng)的運(yùn)行環(huán)境相適應(yīng)，包括基礎(chǔ)設(shè)施、人員素質(zhì)等方面。

操作影響：應(yīng)最小化對(duì)信息系統(tǒng)既定操作的影響，包括流程、性能等方面。實(shí)施成本：應(yīng)平衡建設(shè)/運(yùn)行/維護(hù)成本和所獲得的效益。

整體協(xié)調(diào)：應(yīng)從組織的信息安全系統(tǒng)的整體角度協(xié)調(diào)所集成的安全技術(shù)和產(chǎn)品，包括如果一個(gè)組織存在不同安全等級(jí)的信息系統(tǒng)，當(dāng)較低級(jí)別的信息系統(tǒng)可以在不附加更多成本的情況下能夠直接利用且不影響為較高級(jí)別的信息系統(tǒng)所提供的安全機(jī)制時(shí)，應(yīng)選擇共享較高級(jí)別的安全機(jī)制，而不必再另外建設(shè)較低級(jí)別的安全機(jī)制。

對(duì)信息系統(tǒng)實(shí)施等級(jí)保護(hù)，需要大量采用密碼技術(shù)，而且許多安全需求只有使用密碼技術(shù)才能得到滿足，因此如何科學(xué)合理地應(yīng)用密碼技術(shù)來(lái)滿足對(duì)信息系統(tǒng)的安全保護(hù)需求成為實(shí)施等級(jí)保護(hù)的關(guān)鍵工作內(nèi)容，直接影響信息安全等級(jí)保護(hù)的全面推進(jìn)。密碼技術(shù)作為一種特定的敏感技術(shù)，要求科學(xué)合理的密碼系統(tǒng)設(shè)計(jì)和嚴(yán)謹(jǐn)規(guī)范的密碼系統(tǒng)集成，正確的使用非常關(guān)鍵。

首先，密碼技術(shù)具備非常強(qiáng)的優(yōu)勢(shì)，正因?yàn)榈燃?jí)保護(hù)中很多安全選項(xiàng)都需要使用密碼技術(shù)，密碼技術(shù)的重要性也就不言而喻了，我們?cè)谡劶懊艽a技術(shù)時(shí)往往先考慮他的優(yōu)勢(shì)所在，下面我們摘錄密碼技術(shù)的優(yōu)勢(shì)，供大家一起參考！

密碼技術(shù)優(yōu)勢(shì)

堅(jiān)實(shí)的理論基礎(chǔ)：數(shù)學(xué)是密碼技術(shù)的理論支撐，因而決定了其堅(jiān)實(shí)的理論基礎(chǔ)。

長(zhǎng)久的實(shí)踐考驗(yàn)：密碼技術(shù)具有悠久的歷史，是一門久經(jīng)實(shí)踐考驗(yàn)的技術(shù)。

經(jīng)濟(jì)的實(shí)現(xiàn)途徑：擅長(zhǎng)計(jì)算的計(jì)算機(jī)系統(tǒng)為密碼技術(shù)提供了性價(jià)比最佳的實(shí)現(xiàn)平臺(tái)。

有效的運(yùn)行機(jī)制：嚴(yán)謹(jǐn)?shù)拿艽a運(yùn)行和管理體系為密碼技術(shù)作用的有效發(fā)揮提供了良好保證。

便捷的使用方法：簡(jiǎn)潔的密碼使用接口為密碼使用者提供了極大的方便。

我們回歸密碼技術(shù)，等級(jí)測(cè)評(píng)工作中對(duì)于涉及到身份的真實(shí)性、行為的抗抵賴、內(nèi)容的機(jī)密性和完整性等測(cè)評(píng)要求項(xiàng)，密碼技術(shù)都可以直接或間接地提供支持。我們工作中常用的密碼技術(shù)主要包括加密、校驗(yàn)字符系統(tǒng)、消息鑒別碼、密碼校驗(yàn)函數(shù)、散列函數(shù)、數(shù)字簽名、動(dòng)態(tài)口令、數(shù)字證書和可信時(shí)間戳等。密碼技術(shù)通過如下密碼服務(wù)來(lái)為安全要求項(xiàng)的實(shí)現(xiàn)提供支持：

機(jī)密性服務(wù)：通過加密和解密數(shù)據(jù)，防止數(shù)據(jù)的未授權(quán)泄露。數(shù)據(jù)包括存儲(chǔ)數(shù)據(jù)、傳輸數(shù)據(jù)和流量信息。

完整性服務(wù)：通過檢測(cè)、通知、記錄和恢復(fù)數(shù)據(jù)修改，防止數(shù)據(jù)的未授權(quán)修改。數(shù)據(jù)修改包括改值/替換、插入、刪除/丟失、重復(fù)/復(fù)制、變序/錯(cuò)位等。

真實(shí)性服務(wù)：通過標(biāo)識(shí)和鑒別活動(dòng)主體的身份，防止身份的冒用和偽造。

抗抵賴服務(wù)：通過提供行為證據(jù)，防止活動(dòng)主體否認(rèn)其行為。證據(jù)內(nèi)容包括行為主體、行為方式、行為內(nèi)容和行為時(shí)間等。

當(dāng)然，想要掌握或搞懂密碼技術(shù)，也不是一件很容易的事情，不過作為網(wǎng)絡(luò)安全從業(yè)者至少需要在這方面有點(diǎn)基礎(chǔ)知識(shí)，以便配合或者參與項(xiàng)目過程中，大家有個(gè)共同的技術(shù)語(yǔ)言，這樣有助于我們自身開展工作也有助于甲方整體項(xiàng)目進(jìn)展。另外，如果對(duì)等級(jí)保護(hù)工作中，商用密碼使用基線情況進(jìn)行了解，則可以參考前兩天我整理的《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引思維導(dǎo)圖》，當(dāng)然也可以直接查閱《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》這個(gè)文件。

后期，我將整理一下等級(jí)保護(hù)第三級(jí)要求相關(guān)密碼技術(shù)實(shí)現(xiàn)，期待和大家一起探討學(xué)習(xí)。有些知識(shí)，亙古彌新，所以大的體系可能在重構(gòu)，知識(shí)可能在更新，最終有些基礎(chǔ)性的概念或內(nèi)容還是不變的，無(wú)論泰拳還是拳擊抑或是太極拳，招式可以不一樣，動(dòng)作可以不一樣，到人身上則還是身體加雙拳雙腳，一拳一腳開出去，只不過不同的人打出來(lái)的力道不同，打出來(lái)的技巧不同罷了。

舊話重提，再次聲明，本人粗鄙見解純屬班門弄斧，聊作引玉之用，期待方家批評(píng)指正，共同探討，共同解決彼此配合中存在的異議和問題。

參考文件：

《信息安全等級(jí)保護(hù)商用密碼技術(shù)要求》使用指南

《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》