本标准提供了信息系统安全运维管理体系的指导和建议,PKI作为提供信息安全服务的公共基础设施

2018年9月,全国信息安全标准化技术委员会归口的17项国家标准正式发布。这些国家标准将在2019年4月1日起正式实施。清单如下:

今年9月,第六届全国网络安全等级保护技术大会在南京召开,这是《网络安全法》出台后首次召开的全国网络安全等级保护技术大会,本次大会旨在构建国家网络安全等级保护制度体系。PKI作为提供信息安全服务的公共基础设施,从技术上解决了网上身份认证、数据机密性、信息完整性和抗抵赖等安全问题,为等级保护制度下的相关信息系统和关键信息基础设施提供可靠安全保障。

  1. GB/T 36618-2018 《信息安全技术 金融信息服务安全规范》

图片 1

内容概述:该标准规定了金融信息服务提供商提供金融信息服务时的基本原则、服务过程要求、技术要求和管理要求。其中,技术要求部分主要涵盖基础设施安全、软件安全、网络安全、数据安全、运行安全、容灾和恢复六个方面。

什么是等级保护制度?

信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。目前已出台的《信息安全等级保护实施指南》、《信息安全等级保护测评过程指南》,将全国的信息系统(包括网络系统),按照重要性和受破坏后的危害性分成5个安全保护等级(从第一级到第五级逐级增高)。

图片 2

图片 3

《信息系统等级保护安全设计技术要求》对不同等级的信息系统提出了不同安全通信设计技术要求。第一级只需采用常规校验机制验证数据传输的完整性;第二级及以上需要采用密码技术保护数据传输的完整性及保密性;第三级及以上需要采用密码技术确保网络可信接入。

图片 4

  1. GB/T 36619-2018 《信息安全技术 政务和公益机构域名命名规范》

SSL证书如何应用于等保安全通信设计

作为提供信息安全服务的公共基础设施,PKI是目前公认的保障网络社会安全的最佳体系。它是基于公钥理论和技术建立起来的安全体系,从技术上解决网上身份认证、数据机密性、信息完整性和抗抵赖等安全问题。基于PKI技术的SSL证书产品,通过SSL/TLS协议的加密认证机制,建立安全的网络连接并校验通信方的真实身份,实现网络传输的保密性、完整性,确保通信双方身份可信。

内容概述:该标准主要针对由于命名不规范,使得政务和公益机构网站公众识别度不高,再加上一些虚假网站恶意利用造成负面影响等问题,对政务和公益机构域名的命名规范做出可依据的规范说明,包含基本规则、中文规则、英文规则等。

(1)网络通信加密及完整性校验

SSL(Secure Sockets Layer,安全套接层),及其继任者 TLS(Transport Layer
Security,传输层安全)是为网络通信提供安全性及数据完整性的一种安全协议。SSL/TLS协议的基本思路是结合公钥加密和对称加密技术,通过对称加密技术加密每一次会话,通过一对唯一匹配的私钥和公钥加解密会话密钥,确保通信双方都能安全便捷地知道加密此次会话所使用的会话密钥。此外,结合公钥技术和散列算法,SSL/TLS协议还具有校验机制,通过数据摘要的数字签名验证数据完整性,一旦数据被篡改,通信双方都能立刻发现。

  1. GB/T 36626-2018 《信息安全技术 信息系统安全运维管理指南》

(2)网络通信身份认证

SSL/TLS证书遵循SSL/TLS协议,由权威CA机构验证服务器身份后签发,确保服务器身份真实可信;客户端证书由权威CA机构验证客户端身份后签发,确保客户端身份真实可信。SSL/TLS协议支持通信双方进行双向身份认证,确认通信方身份后才能建立通信连接,确保数据安全传输给正确的通信方,防止身份仿冒。

目前很多电子政务网站涉及大量公民隐私数据,是黑客重点攻击的对象,黑客利用流量劫持、数据篡改、钓鱼仿冒等非法手段,可能获取到大量公民社保、医疗、房产等敏感信息。等级测评在第二级以上的信息系统或网站,都应该采用SSL/TLS证书达到安全通信设计的技术要求,确保数据完整性、保密性及通信双方身份的真实性。沃通SSL证书支持所有浏览器和移动终端,支持Java和老设备;提供全线SSL证书产品,支持通配符证书和多域名证书,满足多域名、多服务器、负载均衡等不同应用场景;沃通官方服务支持团队提供从售前到售后的全流程服务,可助力等级保护制度下的相关信息系统和网站实现安全通信连接和网络身份可信验证。

内容引言:本标准提供了信息系统安全运维管理体系的指导和建议,给出了安全运维策略、安全运维组织的管理、安全运维规则和安全运维支撑系统等方面相关活动的目的、要求和实施指南。本标准可用于指导各组织信息系统安全运维管理体系的建立和运行。

等级保护进入2.0时代

在第六届全国网络安全等级保护技术大会上,公安部网络安全保卫局总工程师郭启全强调,网络安全等级保护制度进入2.0时代,网络安全等级保护制度将从云计算、物联网、工控系统、移动互联、大数据安全五个方面进行安全规范要求,相应的标准体系有待升级扩充,以应对新形势下的安全挑战。据悉,我国拟出台《网络安全等级保护基本要求》、《网络安全等级保护安全设计技术要求》、《网络安全等级保护测评要求》等网络安全等级保护管理规范和技术标准。

沃通CA是获得工信部许可的电子认证服务机构,专注PKI技术相关产品的技术研究和应用,持续提供全球信任的数字证书产品及专业的技术服务,紧跟等级保护2.0时代的升级标准,保障等级保护制度下相关信息系统及国家关键信息基础设施的网络通信安全与可信。

沃通原创文章,转载请注明出处

图片 5

  1. GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》

内容引言:网络安全等级保护测评过程包括测评准备活动、方案编制活动、现场测评活动、报告编制活动四个基本测评活动。本标准为方案编制活动、现场测评活动中涉及的测评技术选择与实施过程提供指导。

网络安全等级保护相关的测评标准主要有GB/T 22239、GB/T 28448和GB/T
28449等。其中GB/T 22239是网络安全等级保护测评的基础性标准,GB/T
28448针对GB/T 22239中的要求,提出了不同网络安全等级的测评要求;GB/T
28449主要规定了网络安全等级保护测评工作的测评过程,本标准与GB/T
28448和GB/T 28449的区别在于:GB/T
28448主要描述了针对各级等级保护对象单元测评的具体测评要求和测评流程,GB/T
28449则主要对网络安全等级保护测评的活动、工作任务以及每项任务的输入/输出产品等提出指导性建议,不涉及测评中具体的测试方法和技术。本标准对网络安全等级保护测评中的相关测评技术进行明确的分类和定义,系统地归纳并阐述测评的技术方法,概述技术性安全测试和评估的要素,重点关注具体技术的实现功能、原则等,并提出建议供使用,因此本标准在应用于网络安全等级保护测评时可作为对GB/T
28448和GB/T 28449的补充。

GB/T 36630《信息安全技术 信息技术产品安全可控评价指标》包含以下五部分:

5.GB/T 36630.1-2018 《信息安全技术 信息技术产品安全可控评价指标
第1部分:总则》

内容引言:随着信息技术应用的日益深入,信息技术产品设计实现的复杂度不断提升,设计的生命周期环节越来越多,人为设置的后门、不可控的产品供应链、不能持续的产品服务、未经授权的数据收集和使用等潜在的不可控因素不断增多,严重损害应用方的权益,甚至可能危害国家安全和公共利益。

依据《中华人民共和国网络安全法》网络产品和服务安全审查办法》等要求,为提高信息技术产品安全可控水平,防范网络安全风险,维护国家和公共安全,进而满足信息技术产品应用方安全可控需求,增强应用方信心,推动信息技术产业健康、快速发展,特制定GB/T
36630。

6.GB/T 36630.2-2018 《信息安全技术 信息技术产品安全可控评价指标
第2部分:中央处理器》

7.GB/T 36630.3-2018 《信息安全技术 信息技术产品安全可控评价指标
第3部分:操作系统》

8.GB/T 36630.4-2018 《信息安全技术 信息技术产品安全可控评价指标
第4部分:办公套件》

9.GB/T 36630.5-2018 《信息安全技术 信息技术产品安全可控评价指标
第5部分:通用计算机》

  1. GB/T 36631-2018 《信息安全技术 时间戳策略和时间戳业务操作规则》

内容引言:随着信息技术的发展,越来越多的传统应用被网络应用所代替,如电子商务、数字出版等网络应用,传统的记录时间方式再互联网环境下已不适用于证明时间是否发生在某一时刻,引发对可信第三方时间戳服务的需求。为此,国内多家证书认证机构及专业公司陆续开展了时间戳相关的业务服务,为电子取证、版权服务、电子商务等业务提供权威的、可信赖的、公正的第三方的时间戳服务。2003年,《电子签名法》颁布,为时间戳业务服务的进一步发展提供了法律保障。

为规范时间戳业务发展,本标准针对第三方时间戳服务机构,在时间戳策略、时间戳业务操作规则等应包含的时间戳标识、时间戳管理、时间戳关联方的责任与义务等内容进行规范。本标准在制定过程中参考了国内外的相关规范,结合我国时间戳服务、应用的特点进行了调整和扩充。

适用范围:时间戳机构编制时间戳策略和时间戳业务操作规则等活动。

11.GB/T 36633-2018 《信息安全技术 网络用户身份鉴别技术指南》

内容摘要:该标准给出了网络环境下用户身份鉴别的主要过程和常见鉴别技术存在的威胁,并规定了抵御威胁的方法。适用于网络环境下用户身份鉴别系统的设计、开发与测试。

网络用户身份鉴别的一般过程包括:注册和发放过程、提交和验证以及断言过程。该标准对鉴别过程的威胁和抵御威胁的策略进行相关规定。

12.GB/T 36635-2018 《信息安全技术 网络安全监测基本要求与实施指南》

适用范围:本标准规定了网络安全监测的基本要求,给出了网络安全监测框架和实施指南。本标准适用于系统或网络安全监测的实施,网络安全监测产品的设计开发,网络安全监测服务的提供等。

图片 6

13.GB/T 36639-2018 《信息安全技术 可信计算规范 服务器可信支撑平台》

适用范围:本标准规定了服务器可信支撑平台的功能和安全性要求,并描述了服务器可信支撑平台的组成结构。

本标准适用于可信计算体系下服务器可信支撑平台的设计、生产、集成、管理和测试。

图片 7

  1. GB/T 36644-2018 《信息安全技术 数字签名应用安全证明获取方法》

内容引言:参与数字签名生成或验证的实体取决于过程的真实性,该真实性可以通过获取私钥拥有属性的安全证明、公钥有效性的安全证明、数字签名的生成时间来保证。本标准旨在规定一套数字签名应用安全证明获取方法,用以规范数字签名应用安全证明过程,主要应用于需要提供数字签名生成过程安全性和对签名生成时间有明确要求的签名应用场景。

适用范围:需要提供数字签名生成过程安全性和对签名生成时间有明确要求的签名应用场景。

You may also like...

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关文章

网站地图xml地图