欢迎您来到北京密安
欢迎您来到北京密安
当前位置: 首页 > 了解我们 > 文章发表 > 信息和网络安全(二)

信息和网络安全(二)

韩永飞 北京密安网络技术股份有限公司


    Bruce Schneier在《Secrets and Lies : Digital Security in a Networked World》回顾了信息安全技术、产品和策略的实用性和局限性,并且站在较高的层次上俯视了信息和网络安全的全貌。他指出:安全问题实际上是人的问题。

    他的观点并没有排斥信息安全技术和产品的重要性,只是强调了人的因素在信息安全领域里所起的作用比其它领域要重要一些。

    人在信息安全领域中的作用可以体现在法律和法规的制定、安全战略和策略的制定、安全管理和评测、安全技术的创新和产品的研发等等。

    在信息安全领域里,战略的制定同一个国家的国情和经济实力是密切相关的。中国的国情是:IT行业的产值在我国的国民经济总产值中的比例仍然是发展中国家水平;IT行业的基础设施基本是外购的;信息安全产业起步晚,人才缺乏;对信息安全的管理仍然处在探索中。总体概括讲:中国在信息安全中处于弱势。

    处于弱势的国家在信息安全的定位上应该是防御,但是中国的特殊地位又要求中国的信息安全仅仅防御是不够的。积极防御应该是中国的信息安全国策。以防御为主,以攻击为辅,在防御中有攻击,以攻击补充和强化防御。

    为了实现积极防御的方针,为了体现人在信息安全中的核心作用,制定相应的法律法规是必需的而且是必要的。法律的制定需要较长的过程和较复杂的手续。法规的制定要相对快一些和简单一些。

    法规的制定应该是在充分考虑国家的根本利益和政府要求基础上同国际接轨。这是全球信息安全格局的要求,也是保护国家根本利益和实现对外开放的要求。

    信息和网络安全的着眼点不仅是对外防御,同时也是对内防御。2000年美国计算机安全学会/联邦调查局大范围的网络攻击调查报告如下:11%的机构遭受过财政欺骗;17%的机构网络数据被破坏;26%的机构被窃取私人信息;25%的机构遭受外来系统渗透;27%的机构遭受拒绝服务;71%的机构都有过内部人员未授权访问的记录;79%的机构员工滥用互联网;85%的机构遭受病毒困扰。

    西方发达国家和国际性组织已经制定一些信息安全标准,可以供作参考。

    他们的标准主要覆盖下面的领域:

1. 加密标准

    如过去一直合作的DES、DSA和较新AES和IEEE P 1363这些标准定义了加密的算法,加密的步骤和基本数学要求。目标是将公开数据转换为保密数据,在存储载体和公用网或专用网上使用,实现数据的隐私性和已授权人员的可读性。数据的安全性有相应的等级,加密算法也存在相应的等级。

2. 安全管理标准

    它阐述的是安全策略、安全制度、安全守则和安全操作。如ISO/IEC17799的目的是"为信息安全管理提供建议",供那些在其机构中负有安全责任的人使用。它旨在为一个机构提供用来制定安全标准,实施有效的安全管理时的通用要素,并使跨机构的交易得以互信。

3. 安全协议标准

    协议是一个有序的过程,协议的安全漏洞可以使认证和加密的作用前功尽弃。常用的安全协议有IP的安全协议IPsec,可移动通讯的安全协议WTLS、SSL和HTTP合成的S-HTTP等。

4. 安全防护标准

    它的内容包括防入侵、防病毒、防辐射、防干扰和物理隔离。也包括存取访问、远程调用、用户下载等方面。

5. 身份认证标准

    身份认证是信息和网络安全的首关,它也同访问授权和访问权限相连。身份认证还包括数字签名标准、指纹标准、眼睛识别标准等等。

6. 数据验证标准

    包括数据保密压缩、数字签名、数据正确性和完整性的验证。

7. 安全评价标准

    如TCSEC、ITSEC、FC和CC、SSE-CMM、ISO7498-2。

8. 安全审认标准

    包括对涉及安全事件的记录、日志和审计,对攻击和违规事件的探测、记录、收集和控制。

    信息安全的标准具有自己的特殊性。它们中的一些变化的比较快。这同信息安全本身的特征有关。信息安全中的防御和攻击是矛与盾的关系,盾的坚固可以引来更锐利的矛。比如PKCSI的第一版本就已被攻击,ISO9796的第一部分也已被攻击。

    主要的国际信息安全标准和西方国家的标准有:

ISO国际标准

    ISO8372(64位密码工作模式),ISO996(可恢复信息的数字签名),ISO9797(信息认证),ISO9798(事件认证),ISO1014888(杂凑函数),ISO11770(密钥管理),ISO13888(不可否认),ISO14888(有附件的签名),ISO7498(安全结构),ISO9594(认证框架,X.509),ISO17799(信息安全管理操作规范)。

IEEE标准

    IEEE P1363给出了公开密钥算法和数字签字算法的标准,包括MQV、RN和ECDSA、ECDH和RSA等。

美国标准局标准

    ANSI。从x3.92起包括了一些行业(如金融)的信息安全标准和通用信息安全标准。如密码算法标准、签名认证、证书中心和密钥托管等等。

FIPS标准

    其中有信息安全等级标准,对密码算法标准和杂凑函数的标准。

NISI标准

    如AES、SP800等。

Internet标准和RFC

    著名的IKE和IPsec都在RFC系列之中,还有电子邮件,网络认证和密码标准,也包括了TLS标准和其它的安全协议标准。由于Internet的普及,该类标准在产业界影响较大。

行业标准。

    WAP中的WTLS、RSA和ECC;金融系统中的ECDSA和平DES;GSM中的A3、A5和A8;兰芽行业的SAFER128+和MR流密码算法;WEP中的RC4;SET、VCEPS等。

RSA公司的标准PKCS

    PKCS是公钥密钥和数字签字的实施标准,其中常用的有PKCS1,PKCS2,PKCS5,PKCS6,PKCS7,    PKCS8,PKCS9,PKCS10,PKCS11等。它们是PKI技术的一部分。


    在信息安全的总体构想下,设立信息安全法和制定信息安全法规是一条必由之路。如果没有总体构想,那么法律和法规的相关性和互补性就不是很好,就会留有"空白"地带。

    家的利益需要信息安全的法律和法规,市场的兴起也需要,行业的生产和研究也同样需要。

    法律和法规的存在将使信息安全的研究、开发产业化,使管理更规范化。使政府对信息安全的管理和调控更加规范化。使市场竞争规范化。可以避免现在PKI的重复建设和百家竞争,有利于遏制信息安全的一哄而起,也有利于在信息安全领域?quot;打假"。

    信息安全标准既要注重历史发展的痕迹,又要包含当前的各种研究结果,还要具有相应的前瞻性。

    信息安全的着眼点已从单机移向了网络,又从网络移向了互联网和无线通讯网。在互联网和无线通讯网需要整体安全解决方案的今天,三网合一、多媒体也在呼唤着信息安全。信息安全标准的制定理应在此大环境下进行。

    人在信息安全中的核心作用有两个支撑点,一是创造性,二是规范性。尤其在群体发挥作用的时候更是如此。信息安全的管理标准就是规范群体作用的规范性。

    BS7799和ISO/IEC17799就是讨论下列主题:

  •     建立机构的安全策略

  •     机构的安全基础设施

  •     资产分类和控制

  •     人员安全

  •     物理与环境安全

  •     通讯与操作管理

  •     访问控制

  •     系统开发和维护

  •     业务连续性管理

  •     遵循性

  •     它是一个管理标准,包括的是信息安全中的非技术内容,如策略的制定、流程的规划、人员的守则和行政管理。

        信息安全的管理标准的有效实施,可以避免内部的许多漏洞,也可以避免许多未授权访问和滥用,有力的保证信息的保密性、完整性和可用性。在信息安全管理标准的实施中,人的安全意识是起重要作用的,有了良好的安全意识,就可以自觉地遵守标准。在安全的历史上,人们往往是付出了沉重的代价之后才唤起一些安全意识,但有时已经是亡羊补牢。9.11事件之后,美国政府才加强机场的安全检查措施。如果他们做得早一些,损失会小一些,投入也会小一些。

        互联网的特点之一是它的无国界性,用户可以方便的从一个国家的网络系统进入到另一个国家的网络系统。不需要护照,不需要签证,也没有海关,没有边防站。这就给信息安全的法律和规范提出了新的要求,如何得到国际上的认同,如何在保证自己利益的前提下同国际接轨。

        信息和网络的特点决定了信息安全的法律和法规及管理的特殊性。美国、俄罗斯和西欧一些国家已  经有了信息安全的大法。许多国家也在积极的制定。他们的工作为我们提供了参考的蓝本。

        对于所有的国际信息安全标准和发达国家的标准,我们应该以求实求真的态度去评估在形成全面准确认识的基础上,在中国信息安全总体构想下,制定和建立中国的系列信息安全标准。

    摘自《网络安全技术与应用》    

    2002年第三期  

    欢迎您来到北京密安

    地址:北京市海淀区上地信息路华成大厦            电话:正在变更            邮编:100085

    E-Mail:intrust@onets.com.cn        网址:http://www.onets.com.cn         传真:正在变更

    Copyright@2013北京密安网络技术股份有限公司    京ICP备17034799号