【赛迪网讯】12月1日,由国产服务器厂商牵头起草的我国首部服务器安全标准正式实施。这部标准究竟要解决什么问题?对利益相关方将产生哪些影响?又会带来哪些长远的变革?
近年来,在网络和信息安全领域,DDoS(分布式拒绝服务攻击)日益成为最显著的攻击方式,其涉及范围之广和攻击程度之深都是空前的。通常情况下,黑客会在这种攻击中首先控制一台根服务器,进而以这台服务器为据点,控制子服务器作为新的根服务器……如此衍生形成大批量的服务器和终端机器,从而实施大规模的安全攻击,而一旦这种攻击事件爆发,对源头的追溯将是非常棘手的一个难题。
据国家计算机网络安全应急技术处理协调中心发布的报告显示,仅2007年上半年,就发现了8361个境外控制服务器对我国内地的主机实施控制。
在严峻考验的现实之下,12月1日,由国家标准化管理委员会和国家质量监督检验检疫总局联合颁布并开始实施的国标GB/T21028-2007《信息安全技术·服务器安全技术要求》便愈加受到关注。作为我国信息安全战略部署的重要组成部分,它的到来究竟意味着什么?
系统地权衡服务器安全
记者了解到,该国标是我国第一个服务器安全标准,既填补了国内在服务器安全技术领域的空白,也是落实国家信息安全等级保护制度的重要执行文件。该标准体系由国产服务器厂商浪潮牵头制定,联想、曙光也同为体系起草的重要成员。
据浪潮派出的标准主要起草人刘刚介绍,我国的信息安全体系呈金字塔结构,塔尖是《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)和《关于信息安全等级保护工作的实施意见》(公通字[2007]66号)等确定了“等级保护安全体系”这个发展方向的文件和法规;塔基则是根据等级保护安全体系建立的安全技术规范体系,把塔尖的政策法规变成可供执行的技术规范。据了解,此次实施的服务器安全标准规定了服务器所需的安全技术要求,从服务器安全保护等级划分的角度,对设计、生产、制造、选配和使用相关安全等级服务器提出了通用安全技术要求。它的生效和实施,使服务器安全从此有章可循。
在这个标准当中,服务器不再仅仅是个硬件概念,更是一个信息系统,而且是一个软、硬件结合的信息系统。具体而言,它以操作系统和硬件系统为基础,担负着对信息和数据存储、传输、处理和发布的重要任务。因此,这个意义上的服务器既是网络信息的载体,又是信息交换的媒介,这也就是为什么几乎所有网络攻击都直接或间接针对服务器的原因。
刘刚表示,在该标准出台前,我国对服务器安全技术的要求基本上只体现在操作系统、数据库管理系统等单一层面上,没有对整个服务器系统安全性从内在联系上形成统一认识。据悉,在国外,美国、加拿大等国家的分级安全保护制度推进得较早,我国在1999年制定GB 17859-1999 《计算机信息系统安全保护等级划分准则》就曾参考过美国TCSec标准。但刘刚认为,国外大多也只在操作系统、数据库管理系统、应用系统等几个层面单独形成了相关标准和规范,作为对外提供应用服务的整个服务器系统却没有标准和规范,而中国则在这方面走在了世界前列。
谁会受到影响
从信息安全的分级制度来看,《信息安全等级保护管理办法》(公通字[2006]7号)明确规定,信息系统的安全保护等级分为五级,从第一级往上依次为:自主保护级、指导保护级、监督保护级、强制保护级及专控保护级。其中,从第三级开始,信息系统的安全保护等级就适用于涉及国家安全、社会秩序和公共利益的重要信息系统及核心子系统。
此次服务器安全等级的实施,直接影响到的用户就是与国家经济安全直接相关的三级及三级以上的用户单位,如银行、税务、海关等。当然,该服务器安全国标对生产厂商、使用单位和测评机构都具有一定的约束和规范能力。该标准一旦得到贯彻与落实,最终将提高服务器系统的抗攻击能力,从而实现对服务器系统的保护。
由于安全分级是承建单位自己根据指导文件建设,并经公安机关指定的专门测评机构进行评定的,因此服务器安全国标的出台将使这些用户的采购行为逐渐发生变化。为了建设三级以上的信息安全系统,承建单位不仅要按照单项采购的安全标准来选购网络设备,比如操作系统、服务器硬件、防火墙等,还要最终按照出台的服务器安全国标来检验整个系统的安全性。这就将过去割裂的点连成了有机整体,形成了全方位的安全评估。而对于一般企业来说,这个标准出台也同样为它们提供了一整套信息系统安全的评估参考,只是更多是指导性意见,企业采购依然有着充分的自主权,它们可以按照自己所需的安全等级量体裁衣。
1
2
下一页>>
