成都卫士通信息安全技术有限公司四川成都610000
摘要:在互联网快速发展的过程中,网络信息安全问题也开始涌现出来,网络信息安全控制技术也变得至关重要,可以确保网络信息安全传递,维护计算机用户的隐私安全和数据安全。在互联网技术快速发展的过程中,要合理有效的运用网络信息安全控制技术,才能确保网络信息安全,减少计算机用户一些不必要的经济损失。本文主要针对网络信息安全控制技术进行分析,以供参考。
关键词:网络信息;安全控制技术;商用密码;应用
1网络信息安全控制技术安全问题的现状?
当前,我国基础网络、重要信息系统和工业控制系统等关键信息基础设施多使用国外的技术和产品,据统计,我国芯片、操作系统等软硬件产品,以及通用协议和标准90%以上依赖进口,这些技术和产品的漏洞不可控,使得网络和系统更易受到攻击,面临着敏感信息泄露、系统停运等重大安全事件的安全风险。每年都有大量的信息泄露事件发生,例如2017年58同城全国简历泄露事件等,信息泄露事件每年的发生逐年增多,例如2017年就比2016年增加了10%的信息泄露事件。特别是中国的信息安全在以思科为代表的美国八大金刚(思科、IBM、Google、高通、英特尔、苹果、Oracle、微软)面前形同虚设。在绝大多数金融政府核心领域,这八家企业都占据了庞大的市场份额。作为全球第二大经济体,中国几乎是赤身裸体地站在已经武装到牙齿的美国八大金刚面前。
2商用密码的现状
商用密码,是指能够实现商用密码算法的加密、解密和认证等功能的技术。(包括密码算法编程技术和密码算法芯片、加密卡等的实现技术)。商用密码技术是商用密码的核心,国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。商用密码的应用领域十分广泛,主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。
自1999年中国发布《商用密码管理条例》对商用密码进行管理以来,截止2017年,中国已经出台了相关法规及条例等9个,国产商用密码算法6种,商用密码产品达1000多个品种,商用密码生产单位超过800家,相关从业人员达到10万以上。
3网络信息安全控制技术与商用密码的结合
3.1方案设计
在网络信息安全控制技术的方案设计中应考虑以重要数据全生命周期安全防护为目标,强调过程控制和范围保护。以密码技术为基础,密级标识为抓手,对重要数据进行分级、分类管控以强化应用为辅助,流程控制为纽带,对重要数据的使用、处理进行管控引入新技术、新平台,优化和改造现有等保安全防护架构,同时做到多场景、多层级、多类型重要数据处理终端的集中管控;移动办公、虚拟化桌面场景下重要数据的安全保护;各种非结构化数据集中化、流程化的安全管控。
我们通常以密码服务为基础采用加解密、签名验签技术,通过密级标识、证书认证、存储加密、传输加密来实现对计算环境和网络环境的安全保证,最终实现应用及数据的安全。以下举例说明:
3.2非结构化数据安全
我们可以将重要数据划分为普通商密和核心商密,需要针对普通商密、核心商密的产生、使用、流转、存储过程均提出不同强度的加密要求,因此采用密码技术对重要数据的全生命周期进行保护成为当然之选。充分利用现有密码设备或部署相应的密码服务基础设施可以从密级标识、认证授权、密码防护和审计追踪、多个维度,对重要数据的全过程安全管控提供密码服务支持,保障重要数据的保密性、完整性和不可抵赖性。尤其是电子文件密级标识为解决非结构化数据文件密级管理和使用管控提供了有力的抓手,使其它业务系统在使用或处理这些数据文件时,可以快速识别出其密级,按最小化原则控制其知悉范围,从而实现有效管控。
3.2结构化数据安全
对于原有业务应用因历史沿革,自身固有的传统缺陷、难以快速修正和弥补的现状,采用办公基础安全支撑平台对各办公业务应用进行安全加固可以很好的解决这个问题。通过安全支撑平台可以为应用提供统一的安全防护支撑,可与业务系统松耦合对接,为应用提供安全、管理、服务和审计功能。将电子文件密级标识传递到业务系统中,依据密级管理要求由业务系统进行电子文件管控;通过安全支撑平台可集成CA提供统一认证和授权服务,提供应用安全策略配置与日志采集服务,还可灵活调用密码设施对应用数据的传输和存储进行加密保护;安全支撑平台采用C/S架构,服务端作为提供基础安全服务的平台为应用提供后台支撑,客户端则作为接收端,接收平台下发的策略,结合服务端共同对各应用客户端进行安全防护。
在方案设计时应充分考虑发挥密码技术在信息防泄漏方面的特性,将密码设施所提供的加解密以及签名认证封装成标准化的密码服务,业务系统产生的明文文件,通过调用安全保障设施中的密码服务,对其进行加密和完整性保护,客户端获取到加密文件可以在受控环境中进行透明的访问和使用。对于拷贝、另存以及剪贴板等方式产生的其它文件同样加以控制,用户如果私自将重要数据电子文件传出到受控环境之外,将因为无法访问到相应的密码服务而显示成乱码或根本无法打开。另外在安全保障基础设施中还部署了电子文件密级标识系统,将密级标识封装成中间件服务,使得经过定密的文件在应用系统中可以被识别出密级,按照对应密级文件的管理要求进行流向的控制和范围的控制,实现了更具操作性的密件保护手段,结合终端认证、用户认证,更好的对重要数据电子文件进行安全管控。
3.3虚拟化安全
在虚拟化环境中,针对业务处理终端的使用场景多样化的问题,除了在网络和应用服务进行安全隔离保护的技术手段之外,对于处理各类业务的终端同样需要采用安全隔离和保护技术对终端进行管控。需要实现终端虚拟化桌面操作环境相互安全隔离,使同一单机上可以通过不同虚拟机访问不同安全区域中的业务数据,而不会导致高密低流的发生。在虚拟机安全层面,虚拟化终端支持一站式登录、双因子认证、网络接入管控、外设端口管控,虚拟机操作行为审计等安全防护功能;在网络层面采用虚拟机防火墙对虚拟机的网络访问进行管控和安全审计;服务端则对各虚拟机安全策略进行集中管理,对虚拟机镜像进行集中加密及完整性保护。从终端、网络及服务端三个角度,共同构建了一个高效、安全、可靠的终端操作环境。
4商用密码在典型行业中的应用?
4.1电力行业
根据《全国电力二次系统安全防护总体方案》?中的设计要求,在生产控制大区与广域网的纵向联接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。目前在全国的电网中都已经实现了纵向加密认证安全防护,在全国各行业中的商密应用位于前列,石油石化等行业也应该对本行业的重要工控系统采用类似的安全防护措施,防止外界的入侵。
4.2金融行业
金融行业关系到国计民生,2014年中国银联发布了《中国银联IC卡技术规范》和《中国银联银行卡联网联合技术规范》,在兼容最新国际通用技术标准的基础上支持国产密码(SM2/3/4),丰富了安全算法体系,促进了信息安全,自主可控水平实现提高。到2017年全国五大银行已经完成了商用密码配套的改造工作,在全国各级网点推广;目前其它全国性银行和各地方银行这几年也在进行商用密码改造,逐步进行设备替换,应用推广。与银行类似的还有保险、证券、期货等行业也需要逐步进行改造,采用商用密码技术对应用系统进行安全防护,从而提高系统安全性。
结束语:综上所述,在网络信息安全控制技术发展的过程中,要根据时代的发展需求,采用现有的已经成熟的手段对网络信息安全控制技术进行创新和改进,为不断变化的网络安全环境提供更好的网络信息安全控制技术,在实际的技术开发和研究过程中,要选择合适的研究方案,逐渐实现网络信息安全发展,推动网络信息的快速传递,商用密码将会是网络信息安全控制技术改进中的首选。?
参考文献:
[1]张选芳.Internet网络安全的信息过滤模型分析[J].电子科技学报,2004(3).?
[2]朱振方.基于退火遗传算法的自适应网络过滤系统研究与实现[D].山东师范大学,2009(5).