一、背景
密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。《密码法》的颁布实施,从法律层面为开展商用密码应用提供了根本遵循,《国家政务信息化项目建设管理办法》的颁布实施,进一步促进了商用密码的全面应用。
贯彻落实《密码法》关于信息系统密码应用的要求,结合《国家电子政务建设指导意见》,建设密码应用及密码应用与安全性评估体系,主动发现风险隐患及不合规处,明确密码应用加固点,全面支撑密码应用工作有序开展,有效保障国家密码应用战略执行。
二、密码与等保关系及合规检查指标体系
信息系统密码应用总体可分为总体要求、密码功能要求、密码技术应用要求(包括物理和环境、网络和通信安全、设备和计算安全、应用和数据安全)、秘钥管理要求及安全管理要求(包括制度、人员、实施与应急)。根据根据不同等保等级,密码应用有着不同要求。如网络和通信安全下二级(等保)要求包括:
- a)宜在通信前基于密码技术进行身份认证,使用密码技术的机密性和真实性功能来实现防截获、防假冒和防重用,保证传输过程中鉴别信息的机密性和网络设备实体身份的真实性;
- b)宜使用密码技术的完整性功能来保证网络边界和系统资源访问控制信息的完整性;
- c)宜采用密码技术保证通信过程中数据的完整性;
- d)宜采用密码技术保证通信过程中敏感信息数据字段或整个报文的机密性;
- e)宜采用符合GM/T 0028的二级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。
三级(等保)要求包括:
- a)应在通信前基于密码技术对通信双方进行身份认证,使用密码技术的机密性和真实性功能来实现防截获、防假冒和防重用,保证传输过程中鉴别信息的机密性和网络设备实体身份的真实性;
- b)应使用密码技术的完整性功能来保证网络边界和系统资源访问控制信息的完整性;
- c)应采用密码技术保证通信过程中数据的完整性;
- d)应采用密码技术保证通信过程中敏感信息数据字段或整个报文的机密性;
- e)应采用密码技术建立一条安全的信息传输通道,对网络中的安全设备或安全组件进行集中管理;
- f)宜采用符合GM/T 0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。
针对合规检查指标可参考GMT 0054-2018 《信息系统密码应用基本要求》。
最低0.47元/天 解锁文章
扫一扫
357
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
