关于标准39786的小总结
39786从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面提出密码应用技术要求,保障信息系统的实体身份真实性、重要数据的机密性和完整性、操作行为的不可否认性;并从信息系统的管理制度、人员管理、建设运行和应急处置四个方面提出密码应用管理要求,为信息系统提供管理方面的密码应用安全保障。密钥管理部分放入附录B,没有放在正文中给出。39786中“密码服务”成为行业技术要求的必选项,全为应。参考39786的小总结
通用要求(第一到第五级)
密码算法:应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求
密码技术:应遵循密码相关国家标准和行业标准
密码产品、密码服务:应符合法律法规的相关要求
密码安全功能维度
1、机密性(密码技术的加解密功能)
- 身份鉴别信息
- 密钥数据
- 传输的重要数据
- 信息系统应用中所有存储的重要数据
2、完整性(基于对称密码算法或密码杂凑算法的信息鉴别机制、基于公钥密码算法的数字签名机制等密码技术)
- 身份鉴别
- 密钥数据
- 日志记录
- 访问控制信息
- 重要信息资源安全标记
- 重要可执行程序
- 视频监控音像记录
- 电子门禁系统进出记录
- 传输的重要数据
- 信息系统应用中所有存储的重要数据
3、真实性(动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码机制、基于公钥密码算法的数字签名机制等密码技术)
- 进入重要物理区域人员的身份鉴别
- 通信双方的身份鉴别
- 网络设备接入时的身份鉴别
- 重要可执行程序的来源真实性保证
- 登录操作系统和数据库系统的用户身份鉴别
- 应用系统的用户身份鉴别
4、不可否认性(基于公钥密码算法的数字签名机制等密码技术来保证数据原发行为的不可否认性和数据接收行为的不可否认性)
密码应用技术要求
1、物理和环境安全
-
第一级(最低,符合通用要求,最低限度的管理要求,鼓励使用密码保障信息系统安全)
- 可:物理访问身份鉴别(人员真实性)
- 可:电子门禁进出记录数据的存储完整性
- 应:密码服务符合法律法规的相关要求,依法接受检测认证,经商用密码认证机构认证合格的
- 无:密码产品
-
第二级(增加操作规程、人员上岗培训考核、应急预案等管理要求,优选选择)
- 宜:物理访问身份鉴别
- 可:电子门禁进出记录数据的存储完整性
- 应&#x