信息安全技術(shù)及其相關(guān)標(biāo)準(zhǔn)淺介

王韜

摘要隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展和廣泛應(yīng)用，計(jì)算機(jī)信息安全問題越來越受到關(guān)注。由此產(chǎn)生出很多信息安全技術(shù)，如密碼學(xué)、防病毒、防火墻、備份，以及近期熱門的漏洞掃描、入侵檢測(cè)等技術(shù)。那么，企業(yè)如何合理、有效地應(yīng)用這些信息安全技術(shù)來保護(hù)自身的信息資產(chǎn)呢？我國(guó)根據(jù)不同的信息安全技術(shù)制定并發(fā)布了相關(guān)的國(guó)家和行業(yè)標(biāo)準(zhǔn)，企業(yè)可以根據(jù)標(biāo)準(zhǔn)的要求來研發(fā)、應(yīng)用和管理，以達(dá)到其信息安全的目標(biāo)。下面，就部分信息安全技術(shù)及其相關(guān)標(biāo)準(zhǔn)作一個(gè)簡(jiǎn)單介紹，以饗讀者。

關(guān)鍵詞密碼學(xué)；信息安全；行業(yè)標(biāo)準(zhǔn)

1密碼學(xué)技術(shù)

密碼學(xué)是指“研究密碼與密碼活動(dòng)本質(zhì)和規(guī)律，指導(dǎo)密碼實(shí)踐科學(xué)，主要探索密碼編制、密碼破譯以及密碼管理的一般規(guī)律”。

目前，由國(guó)家密碼管理局發(fā)布的密碼學(xué)標(biāo)準(zhǔn)包括指導(dǎo)性文件1項(xiàng)和行業(yè)標(biāo)準(zhǔn)40多項(xiàng)。其中，指導(dǎo)性文件為GM/z 0001-2013《密碼術(shù)語》，是于2013年6月20日正式發(fā)布的。該指導(dǎo)性技術(shù)文件給出了商用密碼工程領(lǐng)域的基礎(chǔ)術(shù)語及其定義，適用于為密碼有關(guān)標(biāo)準(zhǔn)、指導(dǎo)性技術(shù)文件的編制提供指導(dǎo)，也可用于指導(dǎo)密碼技術(shù)和產(chǎn)品的論證、設(shè)計(jì)、生產(chǎn)、使用、檢測(cè)和評(píng)估等。行業(yè)標(biāo)準(zhǔn)包括GM/T 0001-2012《祖沖之序列密碼算法》等40多項(xiàng)，分別從對(duì)稱密鑰密碼技術(shù)（私鑰加密）和非對(duì)稱密鑰密碼技術(shù)（公鑰加密）方面提出相關(guān)要求。

同時(shí)，我國(guó)也相應(yīng)頒布了3項(xiàng)與密碼學(xué)技術(shù)相關(guān)的國(guó)家標(biāo)準(zhǔn)，包括：

GB/T 17964-2008《信息安全技術(shù)分組密碼算法的工作模式》，共描述了分組密碼算法的7種工作模式，從而用來規(guī)范分組密碼的應(yīng)用。

GB/T 25056-2010《信息安全技術(shù)證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》，對(duì)為公眾提供服務(wù)的數(shù)字證書認(rèn)證系統(tǒng)提出了相應(yīng)的規(guī)范，其規(guī)范的內(nèi)容包括設(shè)計(jì)、建設(shè)、檢測(cè)、運(yùn)行及管理等方面。

GB/T 29829-2013《信息安全技術(shù)可信計(jì)算密碼支撐平臺(tái)功能與接口規(guī)范》，描述了可信計(jì)算密碼支撐平臺(tái)功能原理與要求，用于其產(chǎn)品的研制、生產(chǎn)、測(cè)評(píng)和應(yīng)用開發(fā)等方面。

2防病毒技術(shù)

計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。隨著計(jì)算機(jī)病毒的出現(xiàn)，防病毒技術(shù)也應(yīng)運(yùn)而生。為了加強(qiáng)對(duì)計(jì)算機(jī)病毒的預(yù)防和治理，保護(hù)計(jì)算機(jī)信息系統(tǒng)安全，保障計(jì)算機(jī)的應(yīng)用與發(fā)展，根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》的規(guī)定，制定《計(jì)算機(jī)病毒防治管理辦法》（中華人民共和國(guó)公安部令第51號(hào)發(fā)部實(shí)施）。公安部公共信息網(wǎng)絡(luò)安全監(jiān)察部門主管全國(guó)的計(jì)算機(jī)病毒防治管理工作。

目前，我國(guó)正式頒布的與病毒防治相關(guān)的公共安全行業(yè)標(biāo)準(zhǔn)包括：

GA 243-2000《計(jì)算機(jī)病毒防治產(chǎn)品評(píng)級(jí)準(zhǔn)則》，它規(guī)定了計(jì)算機(jī)病毒防治產(chǎn)品的定義、參加檢測(cè)的要求以及檢驗(yàn)和評(píng)級(jí)的方法等內(nèi)容，適用于計(jì)算機(jī)病毒防治產(chǎn)品的測(cè)試和評(píng)級(jí)。

GA 849-2009《移動(dòng)終端病毒防治產(chǎn)品評(píng)級(jí)準(zhǔn)則》，它明確了移動(dòng)終端中相關(guān)病毒防治產(chǎn)品的要求和方法，包括提交受檢時(shí)的要求、測(cè)試指標(biāo)的要求和測(cè)試方法、以及測(cè)試報(bào)告的格式及其評(píng)級(jí)的方法等內(nèi)容。

3備份技術(shù)

在《計(jì)算機(jī)科學(xué)》雜志中，“備份”被這樣定義：“為應(yīng)付文件、數(shù)據(jù)丟失或損壞等可能出現(xiàn)的意外情況，將電子計(jì)算機(jī)存儲(chǔ)設(shè)備中的數(shù)據(jù)復(fù)制到磁帶等大容量存儲(chǔ)設(shè)備中。從而在原文中獨(dú)立出來單獨(dú)貯存的程序或文件副本。”

目前我國(guó)正式頒布的與備份相關(guān)的標(biāo)準(zhǔn)包括：

GB/T 20988-2007《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》，它明確了信息系統(tǒng)災(zāi)難恢復(fù)應(yīng)遵循的有關(guān)基本要求，對(duì)于信息系統(tǒng)災(zāi)難恢復(fù)的規(guī)劃、審批、實(shí)施和管理提出了適用性方法。

GB/T 30285-2013《信息安全技術(shù)災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維管理規(guī)范》，它闡述了災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維的管理過程。

GB/T 29765-2013《信息安全技術(shù)數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求與測(cè)試評(píng)價(jià)方法》和GB/T 29766-2013《信息安全技術(shù)網(wǎng)站數(shù)據(jù)恢復(fù)產(chǎn)品技術(shù)要求與測(cè)試評(píng)價(jià)方法》，分別規(guī)定了數(shù)據(jù)備份與恢復(fù)產(chǎn)品和互聯(lián)網(wǎng)網(wǎng)站數(shù)據(jù)恢復(fù)產(chǎn)品應(yīng)遵循的技術(shù)要求，以及可以采用的測(cè)試評(píng)價(jià)方法。

GB/T 31500-2015《信息安全技術(shù)存儲(chǔ)介質(zhì)數(shù)據(jù)恢復(fù)服務(wù)要求》，明確提出實(shí)施存儲(chǔ)介質(zhì)數(shù)據(jù)恢復(fù)服務(wù)所需的服務(wù)原則、服務(wù)條件、服務(wù)過程要求及管理要求。

4防火墻技術(shù)

防火墻是一個(gè)或一組在不同安全策略的網(wǎng)絡(luò)或安全域之間實(shí)施訪問控制的系統(tǒng)，其主要功能就是限制用戶對(duì)內(nèi)外網(wǎng)絡(luò)的訪問。

目前，我國(guó)正式頒布的與防火墻相關(guān)的國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，主要包括：

GB/T 20010-2005《信息安全技術(shù)包過濾防火墻評(píng)估準(zhǔn)則》，規(guī)定了對(duì)采用“傳輸控制協(xié)議/網(wǎng)間協(xié)議（TCP/IP）”的包過濾防火墻產(chǎn)品中，按照GBl78591999劃分的五個(gè)安全保護(hù)等級(jí)所需的不同評(píng)估內(nèi)容。

GB/T 20281-2015《信息安全技術(shù)防火墻安全技術(shù)要求和測(cè)試評(píng)價(jià)方法》，明確了防火墻安全技術(shù)要求、測(cè)試評(píng)價(jià)方法和安全等級(jí)劃分等相關(guān)的內(nèi)容。

CA/T 1177-2014《信息安全技術(shù)第二代防火墻安全技術(shù)要求》，它明確闡述了第二代防火墻產(chǎn)品中的安全功能要求、安全保證要求、性能要求、環(huán)境適應(yīng)性要求，以及安全等級(jí)劃分的有關(guān)內(nèi)容。

5漏洞掃描技術(shù)

安全漏洞是計(jì)算機(jī)信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過程中，有意或無意產(chǎn)生的缺陷。這些缺陷以不同形式存在于計(jì)算機(jī)信息系統(tǒng)的各個(gè)層次和環(huán)節(jié)之中，一旦被惡意主體所利用，就會(huì)對(duì)計(jì)算機(jī)信息系統(tǒng)的安全造成損害，從而影響計(jì)算機(jī)信息系統(tǒng)的正常運(yùn)行。

目前我國(guó)正式頒布的有關(guān)安全漏洞技術(shù)相關(guān)的國(guó)家標(biāo)準(zhǔn)，主要包括：

GB/T 28458-2012《信息安全技術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范》，它規(guī)定了計(jì)算機(jī)信息系統(tǒng)安全漏洞的標(biāo)識(shí)與描述規(guī)范。

GB/T 30276-2013《信息安全技術(shù)信息安全漏洞管理規(guī)范》，它明確規(guī)定了信息安全漏洞的管理要求，以及涉及安全漏洞的發(fā)現(xiàn)、利用、修復(fù)和公開等環(huán)節(jié)，主要應(yīng)用于用戶、廠商和相關(guān)組織進(jìn)行信息安全漏洞實(shí)施的管理工作。

GB/T 30279-2013《信息安全技術(shù)安全漏洞等級(jí)劃分指南》，它闡述了信息系統(tǒng)安全漏洞等級(jí)的劃分要素和危害程度級(jí)別的定義，適用于信息安全產(chǎn)品生產(chǎn)、技術(shù)研發(fā)、系統(tǒng)運(yùn)營(yíng)等單位在相關(guān)工作中參考。

GB/T 20278-2013《信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求》，它明確了網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的安全功能要求、自身安全要求和安全保證要求，并依據(jù)不同的安全技術(shù)要求對(duì)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品實(shí)施分級(jí)。

6入侵檢測(cè)技術(shù)

入侵檢測(cè)可以通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)，實(shí)施信息收集并分析，進(jìn)而從中發(fā)現(xiàn)和識(shí)別在網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為以及被攻擊的跡象。

目前，我國(guó)正式頒布的有關(guān)入侵檢測(cè)相關(guān)的國(guó)家標(biāo)準(zhǔn)，主要包括：

GB/T 20275-2013《信息安全技術(shù)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法》，它提出了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的技術(shù)要求和測(cè)試評(píng)價(jià)方法，主要應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)、開發(fā)、測(cè)試和評(píng)價(jià)。endprint