框架概述
本标准从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面提出密码应用技术要求,保障信息系统的实体身份真实性、重要数据的机密性和完整性、操作行为的不可否认性;并从信息系统的管理制度、人员管理、建设运行和应急处置四个方面提出密码应用管理要求,为信息系统提供管理方面的密码应用安全保障。
密码应用技术要求维度
技术要求主要由机密性、完整性、真实性、不可否认性四个密码安全功能维度构成,具体保护对象或应用场景描述如下:
a)使用密码技术的加解密功能实现机密性,信息系统中保护的对象为:
1)身份鉴别信息;
2)密钥数据;
3) 传输的重要数据:
4) 信息系统应用中所有存储的重要数据
b)完整性技术要求保护对象使用基于对称密码算法或密码杂凑算法的消息鉴别码机制、基于公钥密码算法的数字签名机制等签码技术实现完整性,信息系统中保护的对象为:
1)身份鉴别信息;
2) 密钥数据:
3)日志记录;
4)访问控制信息;
5)重要信息资源安全标记;
6)重要可执行程序;
7)视频监控音像记录;
8)电子门禁系统进出记录;
9)传输的重要数据;
10) 信息系统应用中所有存储的重要数据
c)真实性技术要求应用场景
使用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码机制、基于公钥密码算法的数字签名机制等密码技术实现真实性,信息系统中应用场景为: