信息安全管理之《密码管理》篇

作者:课课家教育更新于： 2019-03-14 18:59:29

      随着信息和信息安全的发展，为了对信息系统加以严格管理和妥善维护，因而推出了信息安全管理这一理念，主要是为了保护信息系统的硬件、软件及相关数据，使之不因为偶然或恶意的侵犯而遭受破坏、更改和泄露:保证信息系统中信息的机密性、完整性和可用性。在这里，本课程主要讲的是信息安全管理下细分出来的一个理念——密码管理。

      在当今网络化、信息化的时代，密码技术的运用已经深入到各行各业以及人们的日常生活的各个方面。小到智能电话卡、银行信用卡，大到电子商务、电子政务，从个人到公司，从组织到政府，无一例外地越来越依赖密码技术所提供的保护。

      密码在信息安全领域中的应用将会不断拓宽，信息安全对密码的依赖也会越来越大。为了保护计算机和信息系统中的敏感信息，有选择地采取技术上的和相关程序上的安全防护措施是各组织在信息安全管理体系中的迫切需求。使用基于密码机制的安全系统来保护敏感信息是行之有效的方法。被保护信息的机密性和完整性等安全特性由相应密码模块的功能来实现。因此，将密码模块置于信息安全系统中以及相应的密码管理就显得尤为重要。

　　1、商用密码的应用及密码算法

　　(1)商用密码的应用

　　商用密码的定义为：首先，明确了商用密码是用于"不涉及国家秘密内容的信息"领域，即非涉密信息领域；其次，指明了商用密码的作用，是实现非涉密信息的加密保护和安全认证等具体应用;最后，定义将商用密码归结为商用密码技术和商用密码产品，也就是说，商用密码是商用密码技术和离用密码产品的总称。

　　商用密码的应用领域非常广泛，主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。比如:商用密码可用于企业内部的各类敏感信息的传输加密、存储加密，防止非法第三方获取信息内容:也可用于各种安全认证、网上银行、数字签名等。

　　(2)密码算法

　　国家密码管理局公布的"无线局域网产品须使用的系列密码算法"包括:

　　·密钥协商算法：ECDH；

　　·签名算法：ECDSA；

　　·杂凑算法：SHA-256；

　　·对称密码算法：SMS4；

　　·随机数生成算法：自行选择。

　　其中， ECDH和ECDSA密码算法须采用国家密码管理局指定的楠圆曲线和参数。

　　这是国内官方公布的第一个商用密码算法系列。经过曲折和艰难的历程，我国商用密码终于掀开了神秘的面纱。虽然公布的算法仅是指定给无线局域网产品使用的算法，但是它的公布在某种意义上代表了商用密码发展方向，将开辟我国密码管理的新航道。

　　有了公开的密码算法，密码和信息安全产品的使用者可以不再担心由于产品的互操作性和可替代性差引起的另类安全问题:密码研究者可以有更加令人兴奋、更具现实意义和更具挑战性的研究课题;密码和信息安全产品的研制者将有统一的标准和规范可以依循，可以将更多的精力放在产品技术和服务质量的竞争上。此外，有了我国自己的普适性(指的是适用于高、中、低端软硬平台)的密码标准，密码使用者将不再面临不得不违背管理部门的要求而使用国外密码算法的尴尬。

　　2、密码技术

　　密码是一门科学，作为运用于军事和政治斗争的一种技术，有着悠久的历史。过去密码的研制、生产、使用和管理都是在封闭的环境下进行的。1970年代以来，随着计算机、通信和信息技术的发展，密码领域也发生了新的变化。密码应用范围自益扩大，社会对密码的需求更加迫切，密码研究领域不断拓宽，密码研究也从专业机构走向社会和民间，密码技术得到了空前的发展。

　　关于密码技术涉及的国家利益问题，各个国家的政策不尽相同。由于密码技术作为商品的特殊性，在美匾，政府凭借其信息技术的优势，通过出口信息安全和密码产品来达到控制、获取别国信息的目的，并且在不同的时期适时的调整其密码管理政策。而我国的商用密码管理原则，在中共中央办公厅1996年27号文中，明确了我国发展和管理商用密码实行"统一领导，集中管理，定点研制，专控经营，满足使用"的20字方针。

　　小编结语：

　　通过学习本课程，大家是否掀开了密码管理的神秘面纱?如果是，那么大家一起来学习一下密码管理甚至是密码学的知识吧!更多的知识学习尽在课课家教育在线课程学习。