发表于 2019-04-26 18:00:34 股吧网页版
我国信息安全“国家漏洞库”正式投入运行

?原文引用:

  1.10月18日,中国信息安全测评中心在北京宣布,我国信息安全“国家漏洞库”正式投入运行,并对外开展漏洞分析与风险评估服务。这是中国信息安全测评中心主任吴世忠宣布我国信息安全“国家漏洞库”正式投入运行。

  2.目前,西方发达国家均高度重视信息安全漏洞的管理及控制工作,纷纷投入力量建立自己的“国家漏洞库”,美国更是将信息安全漏洞管理作为几届政府信息安全战略的重要内容,建立了开放灵活的漏洞收集、发布等管理机制,经营着全球最大的漏洞库。欧盟也于近年投入巨资,启动了以构建国家漏洞库为核心的“信息安全盾牌计划”。

  3.利用“国家漏洞库”的数据资源和软件源代码等方面的独特优势,中国信息安全测评中心同期开展了国产信息安全产品“自主原创证明”测评业务,在信息安全领域落实国家自主创新政策,扶持民族信息安全产业发展,确保国家信息安全实现自主可控的目标。18日启明星辰、东软、绿盟、天融信等4家骨干企业的产品首批获得国产信息安全产品“自主原创证明”,20余家提交安全漏洞的组织和个人同时获得中国“国家漏洞库”“信息安全漏洞提交证明”。

  要点解析:

  1.从1995年开始,IETF着手研究制定了一套用于保护IP通信的IP安全(IP Security,IPSec)协议。IPSec是IPv6的一个组成部分,也是IPv4的一个可选扩展协议。IPSec提供了两种安全机制:认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动。加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被他人截获而失密。IPSec的认证包头(Authentication Header,AH)协议定义了认证的应用方法,封装安全负载(Encapsulating Security Payload,ESP)协议定义了加密和可选认证的应用方法。在实际进行IP通信时,可以根据安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务,不过,AH提供的认证服务要强于ESP。

  2.网络攻击者已熟悉了防火墙、入侵检测系统等安全部件执行的传统访问控制策略,相对应的外部渗透技术已非常成熟,防火墙、入侵检测、漏洞扫描和防病毒技术,其工作特性属于滞后防范,不能及时有效的跟踪和防范新的入侵模式(如早年的冲击波、震荡波,到近期的熊猫烧香、Viking病毒、AV、磁碟机、机器狗病毒等等)。网络攻击者及病毒制造者正是通过计算机操作系统存在的漏洞实现了有效入侵并盗取和霸占了用户的重要信息与资源。给用户造成了重大的损失!更为危险的是,目前我国计算机操作系统基本依赖于国外的技术和产品,这种系统为他人所控并在此基础上建立的安全体系犹如“构建在沙滩上的城堡” 。

  3.我们不禁又要问:我的操作系统安全吗?答案显而易见。以目前最广泛使用的Windows操作系统为例,Windows采用的是自主访问控制机制,一权独大的系统管理员是所有资源的控制者,可任意支配系统中的资源。谁获得了系统管理员的权限,谁就拥有的这个系统的支配权,这样的权利分配方式本身就存在严重的安全隐患。如何限制操作系统管理员的权力,是我们现在迫切需要解决的问题。

  因此提高操作系统的安全等级的目的就在于:限制操作系统管理员的权力。在自主访问控制的基础上增加强制访问控制,并由专门设置的系统安全员统一管理计算机信息系统中与强制访问控制有关的事件和信息。系统的常规管理、与安全有关的管理以及审计管理,分别由系统管理员、系统安全员和系统审计员来承担,按最小授权原则分别授予其职责范围内的权限,在三者之间形成相互制约的关系,进而实现对系统正常运行及重要资源的保护,这是解决当前信息系统安全的一个重要的手段。

  我们知道,目前国内广泛使用的Windows操作系统其安全等级均未达到三级标准,这使我国的信息安全建设一直处于被动局面。难道我们真的就无可奈何、束手无策了吗? 答案是否定的!

  4.两会指出建立我国信息安全产业发展政策。

  个人观点:

  我国信息安全产业当前处在领域扩展、产品换代、服务升级、规模做大、投资多元、规范管理、人员急速增长和提高素质等建立现代企业制度的重要发展时期。因此,我们根据中国的信息化的实际,把国际上通常关注的完整性、保密性、可用性和抗抵赖性安全特性,扩大到包括可信性、完整性、保密性、可用性、有效性、连续性、抗危害性和抗抵赖性等更加全面的信息化安全特性,以适应这种多关注的时代新要求。

  2.如同现实社会中不仅有安全防护体系和社会执法体系,还需要监管体系一样,在网络世界中,同样需要建立可信的网络监管体系来实现各行业、各领域网络化和信息化的业务、办公、服务等方面的违规、违约、违法以及危害行为的监管。监管工作信息化是我国监管现代化的重要工作,涉及到财政、银行、证券、保险、税务、工商、海关、电信、电力、交通、物流、安全生产和政府公众服务国家的许多重要领域。监管现代化是我国电子政务的最重要和最急迫的工作之一。

  3.建议,在监管部门要成立信息化风险的监管科技司或者监管司。对于这些问题,相关部门依然认识不够,虽然有的监管部门在原信息中心体制内,成立了IT监管处,显然这种工作力度与我国监管信息化和信息化监管体系的建立的要求差距还很远。

郑重声明:用户在财富号/股吧/博客社区发表的所有信息(包括但不限于文字、视频、音频、数据及图表)仅仅代表个人观点,与本网站立场无关,不对您构成任何投资建议,据此操作风险自担。请勿相信代客理财、免费荐股和炒股培训等宣传内容,远离非法证券活动。请勿添加发言用户的手机号码、公众号、微博、微信及QQ等信息,谨防上当受骗!
郑重声明:用户在社区发表的所有资料、言论等仅仅代表个人观点,与本网站立场无关,不对您构成任何投资建议。用户应基于自己的独立判断,自行决定证券投资并承担相应风险。《东方财富社区管理规定》