信息系统密码应用方案模板（GBT 43207-2023版本）

最新推荐文章于 2024-06-13 16:08:24 发布

游鲦亭长

最新推荐文章于 2024-06-13 16:08:24 发布

阅读量3.6k

点赞数 17

分类专栏： # 密评实践 # 密码应用安全性评估文章标签：安全密码测评

本文链接：https://blog.csdn.net/ryanzzzzz/article/details/137073430

版权

本文详细阐述了信息系统建设中的密码应用规划，从系统概述、计算平台、业务应用、密码需求分析到安全目标、设计原则，涉及物理环境安全、网络通信安全等多方面，同时强调了合规性分析和实施保障措施，为信息安全提供了全面的指导。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1 背景

明确系统的建设规划，国家有关法律法规要求，与规划有关的前期情况描述和项目实施的必要性，以及信息系统相关的其他情况说明。

2 系统概述

2.1 基本情况

系统基本情况包括系统名称、系统责任主体单位情况（名称、地址、所属密码管理部门和单位类型等）、系统上线运行时间、系统该用户情况（使用单位、使用人员和使用场景等）、是否为关键信息基础设施、等级保护定级和备案情况、网络安全等级测评情况以及密码应用安全性评估情况等。

2.2 计算平台现状

如果密码应用方案包括计算平台密码应用方案设计，则包括以下具体描述。

a）物理环境：包括机房或重要场所地点、系统部署位置、内外部环境和管理责任主体。

b）网络环境：包括网络框架、网络边界划分、内外部数据交互情况、设备组成及实现功能、所采取的安全防护措施，并给出系统网络拓扑图。

c）计算环境：包括系统软硬件构成（如服务器、用户终端、网络设备、存储设备、安全防护设备、密码设备等硬件资源和操作系统、数据库系统、应用中间件等软件资源）。

如果密码应用方案不包括计算平台密码应用方案设计，则描述计算平台的场所地点和密码应用安全性评估情况。

2.3 业务应用现状

业务应用现状包括以下具体描述。

a）业务应用的基本情况，包括承载的业务情况和责任主体等。

b）承载的业务情况，包括系统承载的业务应用、业务功能和关键数据类型等。

c）对于多个子应用的信息系统，对每个子应用分别描述。

2.4 密码应用现状

信息系统部署密码设施设备的基本情况，责任主体和密码支撑情况（如密码中间件的部署情况和密码功能的提供模式）等。

2.5 密码应用管理现状

管理要求包括信息系统管理制度、人员管理、建设运行和应急处置等。

3 密码应用需求分析

结合信息系统现状和GB/T 39786中对不同等级的信息系统提出的密码应用基本要求，对密码应用方案设计的计算平台、业务应用、管理制度、人员管理、建设运行和应急处置进行安全风险分析，确定风险控制措施、密码应用基本需求分析和密码应用特殊需求分析。通过风险控制措施缓解信息系统存在的高风险。

4 安全目标及设计原则

4.1 安全目标

提出密码应用方案所涉及对象的密码应用安全目标。

4.2 设计原则和依据

提出密码应用方案的设计原则，遵循的政策法规和相关标准。

5 密码应用设计

5.1 密码应用技术框架

包括密码应用技术框架图及框架说明。密码应用技术框架包括计算平台、密码支撑平台和业务应用密码应用框架等，综合描述各平台、系统之间的关系，清晰展现密码应用整体技术框架。

5.2 计算平台密码应用方案

5.2.1 物理和环境安全

按照GB/T 39786中物理和环境安全对应等级的密码应用基本要求和实际环境的具体需求，对信息系统所在的机房等重要区域、电子门禁记录数据和视频监控记录数据进行密码应用设计，包括选择的密码技术和标准、采用的密码设备、密码设备的部署位置和方式、密码设备的使用和管理等内容。

5.2.2 网络和通信安全

按照GB/T 39786中网络和通信安全对应等级的密码应用基本要求和实际环境的具体需求，对需要密码保护的每一条通信信道进行密码应用设计，包括选择的密码技术和标准、采用的密码设备、密码设备的部署位置和方式、密码设备的使用和管理等内容。需要接入认证的设备，根据具体情况选择使用的密码技术，确定在设备端和认证端部署的密码设备和部署位置，给出密码设备的使用和管理内容。