密碼技術、密評、密碼技術應用要求
密碼技術應用的背景及現(xiàn)狀
數(shù)字時代,各領域都在積極推動數(shù)字經(jīng)濟的發(fā)展,與此同時,最大的掣肘就是數(shù)據(jù)安全,數(shù)據(jù)安全的重要性無與倫比,密碼技術作為數(shù)據(jù)安全的基礎支撐技術,已經(jīng)滲透到各行各業(yè),并面臨新的挑戰(zhàn),大量信息系統(tǒng)和敏感數(shù)據(jù)由于缺乏有效的密碼保護,造成數(shù)據(jù)泄露、篡改和身份仿冒事件頻發(fā),密碼技術被黑客濫用、密碼應用不合規(guī)、密碼算法安全性能低等問題需解決。
標準的意義與作用
為了更好的規(guī)范、指導各領域與行業(yè)信息系統(tǒng)密碼應用的規(guī)劃、建設、運行及測評工作,本標準明確了信息系統(tǒng)密碼應用技術框架,規(guī)定了信息系統(tǒng)第一級到第四級的密碼應用的基本要求;提出了物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全等密碼應用技術要求,有效保障信息系統(tǒng)的實體身份真實性 ,重要數(shù)據(jù)的機密性和完整性、操作行為的不可否認性;制定了管理制度、人員管理、建設運行、應急處置等密碼應用管理要求,為信息系統(tǒng)管理提供安全保障。是《中華人民共和國密碼法》出臺實施之后,開展商用密碼應用安全性評估工作的重要抓手。
關于“密評”和密評對象
商用密碼應用安全性評估:簡稱“密評”,是指對采用商用密碼技術、產(chǎn)品和服務集成建設的網(wǎng)絡和信息系統(tǒng)密碼應用的合規(guī)性、正確性、有效性進行評估。開展密評,是國家相關法律法規(guī)提出的明確要求,是網(wǎng)絡安全運營者的法定責任和義務。
密評對象:基礎信息網(wǎng)絡、涉及國計民生和基礎信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會服務的政務信息系統(tǒng),以及關鍵信息基礎設施、等保三級及以上的信息系統(tǒng)。
標準要點解讀
密碼應用技術要求
(1)機密性:通過加解密功能,對信息系統(tǒng)中的身份鑒別信息、密鑰數(shù)據(jù)以及其他重要的傳輸、存儲數(shù)據(jù)進行保護。
(2)完整性:通過消息鑒別碼機制和數(shù)字簽名機制,對信息系統(tǒng)中的身份鑒別和訪問控制信息、密鑰數(shù)據(jù)、重要傳輸、存儲數(shù)據(jù)、日志記錄、重要信息資源安全標記、重要可執(zhí)行程序、視頻監(jiān)控音像記錄和電子門禁系統(tǒng)進出記錄進行保護。
(3)真實性:通過動態(tài)口令機制,對信息系統(tǒng)中進入重要物理區(qū)域人員、應用系統(tǒng)用戶、登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶、通信雙方、網(wǎng)絡設備接入時進行身份鑒別,保證重要可執(zhí)行程序的來源真實性。
數(shù)字時代,各領域都在積極推動數(shù)字經(jīng)濟的發(fā)展,與此同時,最大的掣肘就是數(shù)據(jù)安全,數(shù)據(jù)安全的重要性無與倫比,密碼技術作為數(shù)據(jù)安全的基礎支撐技術,已經(jīng)滲透到各行各業(yè),并面臨新的挑戰(zhàn),大量信息系統(tǒng)和敏感數(shù)據(jù)由于缺乏有效的密碼保護,造成數(shù)據(jù)泄露、篡改和身份仿冒事件頻發(fā),密碼技術被黑客濫用、密碼應用不合規(guī)、密碼算法安全性能低等問題需解決。
標準的意義與作用
為了更好的規(guī)范、指導各領域與行業(yè)信息系統(tǒng)密碼應用的規(guī)劃、建設、運行及測評工作,本標準明確了信息系統(tǒng)密碼應用技術框架,規(guī)定了信息系統(tǒng)第一級到第四級的密碼應用的基本要求;提出了物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全等密碼應用技術要求,有效保障信息系統(tǒng)的實體身份真實性 ,重要數(shù)據(jù)的機密性和完整性、操作行為的不可否認性;制定了管理制度、人員管理、建設運行、應急處置等密碼應用管理要求,為信息系統(tǒng)管理提供安全保障。是《中華人民共和國密碼法》出臺實施之后,開展商用密碼應用安全性評估工作的重要抓手。
關于“密評”和密評對象
商用密碼應用安全性評估:簡稱“密評”,是指對采用商用密碼技術、產(chǎn)品和服務集成建設的網(wǎng)絡和信息系統(tǒng)密碼應用的合規(guī)性、正確性、有效性進行評估。開展密評,是國家相關法律法規(guī)提出的明確要求,是網(wǎng)絡安全運營者的法定責任和義務。
密評對象:基礎信息網(wǎng)絡、涉及國計民生和基礎信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會服務的政務信息系統(tǒng),以及關鍵信息基礎設施、等保三級及以上的信息系統(tǒng)。
標準要點解讀
密碼應用技術要求
(1)機密性:通過加解密功能,對信息系統(tǒng)中的身份鑒別信息、密鑰數(shù)據(jù)以及其他重要的傳輸、存儲數(shù)據(jù)進行保護。
(2)完整性:通過消息鑒別碼機制和數(shù)字簽名機制,對信息系統(tǒng)中的身份鑒別和訪問控制信息、密鑰數(shù)據(jù)、重要傳輸、存儲數(shù)據(jù)、日志記錄、重要信息資源安全標記、重要可執(zhí)行程序、視頻監(jiān)控音像記錄和電子門禁系統(tǒng)進出記錄進行保護。
(3)真實性:通過動態(tài)口令機制,對信息系統(tǒng)中進入重要物理區(qū)域人員、應用系統(tǒng)用戶、登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶、通信雙方、網(wǎng)絡設備接入時進行身份鑒別,保證重要可執(zhí)行程序的來源真實性。
(4)不可否認性:通過數(shù)字簽名機制,保證數(shù)據(jù)原發(fā)行為的不可否認性和數(shù)據(jù)接收行為的不可否認性。
基本要求:
該標準從物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全等四個方面提出了密碼應用技術要求,以及管理制度、人員管理、建設運行、應急處置等密碼應用管理要求。與GM/T0054-2018《信息系統(tǒng)密碼應用基本要求》相比,該標準結合近年來商用密碼應用與安全性評估工作實踐對部分內容進行了優(yōu)化,按照信息系統(tǒng)安全等級分別提出了相應的密碼應用要求。