自主可控、安全可靠、安全可控分别是什么

于 2025-05-11 19:56:39 发布
阅读量695 收藏 9
点赞数 28
文章标签: 安全 dubbo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44894601/article/details/147877945
版权

信创里面有几个热词,最近有朋友在后台留言问自主可控这个概念。今天就详细研究一下。因为我可能也理解有误,如有不对的地方,欢迎指正。

一.自主可控

1.字面含义

如果简单从字面去理解的话就是对信息技术产品具有自主权和可控性,我们很容易理解,如果没有自主权的话,就会很容易被限制或者被卡脖子,肯定就没有可控性。同样没有可控性,更谈不上自主权。

自主可控这个含义应用的范围比较广,涉及很多领域,比如说高端制造领域、粮食领域、能源领域都存在自主可控的问题,特别是在进出口领域。

像我国用的一些矿产和石油等,为了规避供应链威胁,肯定不只是从一两个国家采购,分散开才能规避这类的风险。

如果在这些领域具有自主可控性,就必须对产业链、供应链的关键环节具备较强的把控力。

从供应链安全的角度看的话,自主可控就是不被卡脖子。

2.来源于百度百科的定义

可控性是指对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统,是实现信息安全的五个安全目标之一。

而自主可控技术就是依靠自身研发设计,全面掌握产品核心技术,实现信息系统从硬件到软件的自主研发、生产、升级、维护的全程可控。简单地说就是核心技术、关键零部件、各类软件全都国产化,自己开发、自己制造,不受制于人。

3.倪光南院士的诠释

以下为倪光南院士对“自主可控”的一个解释,可更准确的理解“自主可控”的概念和重要性。

1.知识产权(包括标准)自主可控

2.能力自主可控

3.发展自主可控

4.供应链自主可控

5.具备"国产"资质

二.安全可控

安全可控我们就没必要自己去找资料了,因为已经有具体的标准了。

文件是《中文标准名称:信息安全技术 信息技术产品安全可控评价指标 第1部分:总则》。

其中明确定义安全可控是指的 "信息技术产品具备的保证其应用方数据支配权、产品控制权、产品选择权等不受损害的属性"

那么信息技术产品包括啥呢,它是这样定义的:是具有采集、存储、处理、传输、控制、交换、显示数据或信息功能的硬件、软件、系统和服务

所以综合来看,这其实已经包括信创的所有软硬件和服务了,更详细的内容感兴趣的可以自己去看。

如果不具备安全可控能力,那么面临风险主要是:

图片

安全可控保障的目标,就是规避以上风险:

图片

图片

图片

三.安全可靠

安全可靠目前在政府采购标准里面多次提及,后面估计在招标里面也会被越来越多的其他单位作为硬性指标。

图片

采购的话,对于核心产品,直接看中国信息安全测评中心、国家保密科技测评中心的安全可靠测评清单。

信息安全测评中心官网定义"通过对产品及其研发单位的核心技术、安全保障、持续发展等方面开展评估,评定产品的安全性和可持续性,实现对产品研发设计、生产制造、供应保障、售后维护等全生命周期安全可靠性的综合度量和客观评价"。安全可靠测评项也可以粗略的看出来评价指标:

图片

四.安全可信

"安全可信"这个术语主要在密码学领域中应用广泛。它的字面意思是用户可以信任产品或服务,相信它能够安全地处理数据、保护隐私,并且在使用过程中稳定可靠。

《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》(等保2.0),强调了可信计算技术的重要性,并在一至四级中新增了“可信验证”控制点。主要涵盖计算环境的可信性、网络的可信性以及接入的可信性。通过可信计算技术,验证系统中的应用和配置文件参数,以确保系统在安全可信的环境下运行。

国家密码管理局于2007年12月发布了《可信计算密码支撑平台功能与接口规范》(国密局公告第13号),这是我国可信计算领域的首个行业标准。经过10多年的发展,可信计算标准从TCM 1.0演进为全面覆盖TCM 2.0。

这些技术和标准的演进,为确保信息安全提供了坚实的技术支持,特别是在处理敏感数据和保护隐私方面发挥了重要作用。密标委制定了支持可信计算密码应用的机制、协议和接口的相关标准体系,感兴趣的可以翻一下:

《GM/T 0011-2012 可信计算 可信密码支撑平台功能与接口规范》;

《GM/T 0012-2020可信计算 可信密码模块接口规范》;

《GM/T 0013-2021可信计算 可信密码模块接口符合性测试规范》;

《GM/T 0058-2018 可信计算TCM服务模块接口规范》;

《GM/T 0079-2020 可信计算平台直接匿名证明规范》;

《GM/T 0082-2020可信密码模块保护轮廓》;

《GB/T 29829-2022 信息安全技术 可信计算密码支撑平台功能与接口规范》;

参考链接:

http://theory.people.com.cn/n1/2023/0814/c40531-40055868.html

https://baike.baidu.com/item/%E8%87%AA%E4%B8%BB%E5%8F%AF%E6%8E%A7/6974396

https://www.sohu.com/a/617605550_121022246

极创信息
关注
博客
信创软件的架构、设计、推进实施策略等参考
05-18 869
随着软硬件基础设施的推进和完善,各类信创生态的软件应用可能会成为新的热点。
博客
算法备案 | 算法备案必要性、算法类型、备案流程
05-18 803
在当今的数字化时代,算法已经广泛应用于各个行业,引起了监管部门的高度关注,因为算法产品可能会带来一些潜在的风险。为了规范互联网信息服务中的算法推荐活动,抵制诸如深度生成合成、算法歧视、“大数据杀熟”、诱导沉迷等不合理应用,各个国家都先后出台了一系列关于算法管理的法律法规。在我国,《数据安全法》、《个人信息保护法》、《互联网信息服务算法推荐管理规定》等法律法规明确对算法的使用和管理提出了要求。因此,企业必须进行算法备案,以履行法律法规所规定的义务。此外,算法备案有助于企业降低法律风险。
博客
如何获取软件安全检测报告
05-16 370
如果企业自身具备足够的安全专家,可组建专门的安全测试小组来执行测试任务。团队成员应具备丰富的软件安全知识和测试经验,能够熟练运用各种测试工具和技术。:借助市场上可用的安全扫描工具进行初步检测,如漏洞扫描工具、模糊测试工具等,以提高检测效率和准确性。但要注意,自动化工具的检测结果可能存在一定的误报和漏报,需结合人工审查进行验证和补充。:根据软件的特点、行业标准和最佳实践,制定全面的测试计划。计划应包括测试的目标、范围、策略、方法、时间安排等,确保测试过程有条不紊地进行。
博客
信创产品如何认证,招标和验收阶段的一些要求
05-15 732
有一些小伙伴可能遇到比较广泛的有两类场景:一类是针对产品厂商的,比如集成商或者代理商需要投标,招标文件中如果要求国产适配或者要求符合信创的技术路线,这时需要兼容性互认证书或者信创产品评估证书。还有就是验收阶段,特别是对于基础设施类项目,还需要信创符合性验收、性能、兼容性、可靠性、信创安全性验收。
博客
信创产品认证如何评测,信创认证评测生态、现状、标准
05-15 1152
评测通常是指对产品、系统、服务等进行系统的测试和评估,以确定其性能、功能、质量等方面是否符合特定的标准或要求,通过测试和评估来得出对产品或系统的具体评价。信创产品的评测现状目前国内信创评测对于确保信创产品的质量和性能至关重要,但目前国内在信创环境下的信息化系统质量评估方面缺乏统一的质量评估体系和测试工具,导致信创软件的评测标准不统一,评测内容和依据多为通用性标准,对特定行业技术应用场景的针对性不强。信创评测市场急需建立一套统一的评测标准,以推动信创产业的高质量发展。信创产品的评测对行业有什么作用?
博客
从信创产业链交易结构的转变,看信创厂商的突围路径
05-14 399
框架协议采购和批量采购等模式,使采购向少数大型供应商集中,头部企业凭借规模效应和技术整合能力获得更大市场份额,中小企业生存空间被挤压。:统一采购和批量采购使采购方议价能力增强,对产品价格、质量、服务等要求更具主导性,供应商需在满足采购方需求的同时,努力控制成本、提升效率,以维持利润空间。:如x省准备采用的模式,通过与供应商签订框架协议,约定一定时期内的采购事项和条件,便于批量采购和片区统一采购,提高采购效率和规模效应。关注县乡级市场及教育、医疗等细分行业,提供定制化产品和服务,避开与头部企业的正面竞争。
博客
信创领域的十大网络安全威胁有哪些
05-14 720
信创领域面临十大主流网络安全威胁,包括人员安全意识不足、供应链安全风险、高级持续性威胁(APT)攻击、数据安全与AI模型滥用、恶意软件与勒索病毒、云原生与云配置安全风险、新型攻击技术威胁、应用安全风险、运维管理薄弱环节以及老旧系统与遗留技术风险。这些威胁不仅涉及传统IT系统的共性问题,还因信创技术生态的独特性而面临特殊挑战。为应对这些威胁,需加强人员安全培训、建立供应链安全审查机制、采用代码签名验证、推动“安全左移”策略,并制定渐进式替代计划,优先修复高危漏洞并隔离老旧系统。
博客
勒索病毒科普及防御措施
05-13 631
有一些朋友觉得信创电脑大都是linux内核,所以基本上杜绝了各类病毒。其实这是一个很严重的认知错误。包括目前主流的勒索病毒软件和各类挖矿软件很多都有针对linux的版本,因为服务器基本上都稳定运行,所以根本不用担心稳定性等问题。目前主流的防护方式是杀毒软件,但是杀毒软件的缺陷就是,滞后于一些免杀技术。在服务器端,如果没有大量的频繁写入,场景足够单一的话,目前白名单方式的防护相对更加安全一些,因为能阻断勒索病毒的执行。
博客
案例分享 | 某公用事业单位攻防演练技术支持
05-13 777
在实战阶段,监控和处置团队面临着巨大的挑战,他们需要在海量的告警信息中进行筛选,既要确保不遗漏任何真正的威胁(不漏报),也要尽量减少错误的警报(少误报),以避免浪费宝贵的资源和精力。此时,防守单位的成员需依照先前的战前规划,执行全天候的值班制度,确保监控和响应工作的高效率和精准度,全力以赴与攻击模拟团队进行全方位的对抗。召开战前会议,一方面明确工作流程和团队分工,另一方面强化安全防护意识,确保在面对攻击者的多种手段时,防守人员在任何环节都不能放松警惕,防止攻击者利用防守人员的疏忽作为攻击的突破口。
博客
案例分享 | 某企业金融类App安全评估项目
05-13 890
本次金融类App的渗透测试不仅帮助客户发现并修复了多个严重漏洞,还通过一系列的安全建议,全面提升了App的整体安全性。通过对App客户端、服务端及小程序的安全检测,确保了交易的安全性、用户数据的保护以及整体应用的抗攻击能力,为客户提供了一个更加安全可靠的金融服务平台。
博客
渗透测试发现的漏洞,如何修复与预防
05-13 1138
以下是关于渗透测试中发现系统漏洞后的整改修复方法,从渗透测试常见漏洞、漏洞危害、如何修复漏洞以及如何有效预防四个方面进行详细说明。
博客
极创信息圆满完成某人工智能企业渗透测试项目
05-13 348
近日,极创信息成功实施了针对某人工智能企业的渗透测试技术服务。在此次服务中,我司以客户需求为中心、以价值创造为导向的管理理念,派遣了专业的安全服务团队。团队运用当前主流的攻击技术和工具,对客户的多个业务系统进行了模拟攻击测试,深入挖掘潜在的安全漏洞,并进行了系统的整理与分析。针对发现的每一个安全漏洞,团队提供了详尽的解决方案和改进建议。此次渗透测试服务不仅验证了客户的信息系统在当前安全防护措施下抵御外部入侵的能力,而且通过模拟攻击行为,有效地识别了系统中的安全弱点和脆弱环节。
博客
软件供应链安全 | 浅谈DAST、SAST、IAST、RASP、SCA等
05-13 988
以色列攻击黎巴嫩事件,特别是针对黎巴嫩真主党成员的通信设备爆炸事件,为软件供应链安全领域提供了深刻的启示。这次事件表明,通过供应链进行的攻击可以造成严重的物理损害和人员伤亡,这在以往的网络战中是较为罕见的。这种攻击方式的成功实施,凸显了在软硬件供应链中进行安全防护的重要性。
博客
信创适配、信创迁移、信创改造分别是什么?
05-13 703
信创改造着重在对系统进行深度优化与重构,适合无法直接迁移或适配的复杂场景。信创适配更强调系统兼容性调整,确保国产化环境中运行无误,适用于对系统影响较小的场景。信创迁移关注系统和数据的整体转移,适合需要快速转换至信创平台的系统。山东极创信息专注于信创咨询、信创认证咨询、网络安全服务等领域。
博客
信创安全 | 网络安全“两高一弱”是什么
05-13 163
网络安全是国家安全的一项基本内容,然而,随着网络技术的飞速发展,网络安全威胁也日益增多。下面请大家一起来学习了解一下其中的“两高一弱”问题及其应对措施。
博客
哪些行业需要过等保?等保2.0必须了解的40个问题
05-13 724
答:“等级保护2.0”或“等保2.0”是一个约定俗成的说法,指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019年12月1日,《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》正式实施为象征性标志。答:指经认定的专业第三方测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。
博客
常见网络安全服务分类大全(汇总版)
05-13 722
安全集成是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。它包括信息安全规划设计、信息安全产品部署实施、信息安全差距分析和测试等。应急响应通过制定应急计划,使得影响网络与信息系统安全的安全事件能够得到及时响应,并在安全事件发生后进行标识、记录、分类和处理,直到受影响的业务恢复正常运行攻防演练通过模拟真实攻击场景,提升企业的应急响应能力和安全防护水平安全培训通过培训提升企业员工的网络安全意识与技能,内容包括网络安全基础知识、法律法规解读、标准解读等。
博客
收藏 | 一文读透信创项目验收流程及重点
05-13 876
很多小伙伴关注信创类项目的验收环节,本文特此研究了部分标准规范。信创即信息技术应用创新,旨在实现信息技术领域的自主可控,保障国家信息安全,其核心是建立自主可控的信息技术底层架构和标准。信创项目验收是确保项目按照既定目标和标准完成的关键环节。本文重点解读自《信息技术应用创新项目验收规范》
博客
渗透测试与漏洞扫描的区别
05-13 783
在当今数字化时代,网络安全已成为企业和组织不可忽视的重要议题。随着网络攻击手段的不断演变和复杂化,如何确保信息系统的安全性成为了一个巨大的挑战。在这一背景下,渗透测试和漏洞扫描作为两种主要的网络安全评估手段,被广泛应用于各种安全测试和风险评估中。然而,尽管它们的目标都是为了发现和修复系统中的安全漏洞,但它们在多个方面存在着显著的差异。本文将从目的、方法、深度、时间成本、技术要求、报告和结果等多个维度,对渗透测试和漏洞扫描进行深入剖析和比较。
博客
做信创项目需要什么资质、信创产品认证标准
05-12 923
信创项目需要企业具备一些特定的资质和认证,以证明其合规性和专业性。:该认证可以证明企业已经建立了完善的信息安全管理体系,能够保障项目数据的安全性和保密性。:该认证可以证明企业具备完善的信息技术服务管理体系,能够提供高质量的信息化服务。:该认证可以证明企业的信息基础设施和应用程序已经达到了国家信息安全标准,能够保障项目数据的安全性和保密性。(CMMI):该认证可以证明企业具备高水平的软件研发能力和项目管理能力,能够提供高质量的软件产品和服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值