等保四级密码技术应用要求在等保三级的基础上增加和修改了一些标准,因此本文将主要列举新增和修改的部分,以供参考。
等保三级密码技术应用要求: https://blog.csdn.net/weixin_44479940/article/details/111664959
技术要求
所有等保四级系统都应使用硬件密码产品实现密码运算和密钥管理,符合GM/T0028三级以上密码模块或通过国家密码管理部门核准
网络和通信安全
新增:应采用密码技术对连接到内部网络的设备进行身份认证,确保接入网络的设备真实可信
应用与数据安全
新增:不可否认性:在可能涉及法律责任人性的应用中,应采用密码技术提供数据原发证据和数据接收证据
密钥管理
密钥生成:应使用国密局批准的硬件物理噪声源产生随机数;应生成秘钥审计信息,包括种类,长度,拥有者信息,使用起止时间
密钥存储:应具有密钥泄露时的应急处理和响应措施
密钥导入与导出:应采用密钥分量的方式或专用设备;应保证系统密码服务不间断
安全管理
制度:在等保四级系统中,制度执行过程应留存相关执行记录。
人员:密码管理员,密码涩北操作人员应从本机构在编的正式员工中选拔,并进行背景调查