《2022信息安全技术 信息系统密码应用基本要求.docx》由会员分享,可在线阅读,更多相关《2022信息安全技术 信息系统密码应用基本要求.docx(19页珍藏版)》请在优知文库上搜索。
1、信息安全技术信息系统密码应用基本要求目次前言V2规范性引用文件13术语和定义14信息系统密码应用技术框架2411框架概述2412密码应用技术要求维度2413密码应用管理要求维度34.2密码应用基本要求等级描述35通用要求,.一.一.46第一级密码应用基木要求46.1物理和环境安全46.2网络和通信安全46.3设备和计算安全46.4应用和数据安全46.5管理制度56.6人员管理56.7建设运行56.8应急处置57第.级密码应用基本要求5工1物理和环境安全5-2网络和通信安全57.3设备和计算安全67.4应用和数据安全67.5管理制度6二6人员管理67.7建设运行67,8应急处置,.1.,.78第
2、三锻密码应用基本要求78,1物理和环境安全78.2网络和通信安全7民3设备和计算安全78.4应用和数据安全78.5管理制度88.6人员管理88,7建设运行88.8应急处置99第四级密码应用基本要求99.1物理和环境安全99.2网络和通信安全99.3设备和计算安全9TII9.4应用和数据安全109.5管理制度109.6人员管理109,7建设运行119.8应急处置11W第五级密码应用基本要求11附录A(资料性附录)密钥生命周期管理12附录B(资料性附录)不同级别密码应用技术要求汇总列表14信息安全技术信息系统密码应用基本要求1范围本标准规定了信息系统第一级到第四级的密码应用的基本要求,从信息系统的
3、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级的密码应用技术要求,并从管理制度、人员管理、建设运行和应急处置四个方面提出了第级到第四级的密码应用管理要求。本标准适用于指导、规范信息系统密码应用的规划、建设、运行及测评。在本标准的基础之上,各领域与行业可结合本领域与行业的密码应用需求来指导、规范信息系统密码应用。注:第五级密码应用基本要求只在本标准中描述通用要求。2规范性引用文件下列文件对于木文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件,凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T2506
4、9-XXXX信息安全技术术语GB/T37092信息安全技术密码模块安全要求3术语和定义GB/T25069-XXXX界定的以及下列术语和定义适用于本文件,为了便于使用,以下重复列出了GB/T25069XXXX中的一些术语和定义。3.13,1机密性confidentiality保证信息不被泄露给非授权的个人、进程等实体的性质。3.23.2数据完整性dataintegrity数据没有遭受以非授权方式所作的篡改或破坏的性质。3.33.3真实性authenticity确保主体或资源的身份正是所声称的特性。真实性适用于用户、进程、系统和信息之类的实体。3.43.4不可否认性non-repudiation证
5、明一个已经发生的操作行为无法否认的性质。3.53.5加密encipherment/encryption对数据进行密码变换以产生密文的过程。3.63,密钥key控制密码算法运算的关键信息或参数。3.73.7密钥管理keymanagement根据安全策略,对密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等密钥全生命周期的管理。注:密密生命周期过程参见附录A.3.83.8身份鉴别/实体鉴别authentication/entityauthentication确认一个实体所声称身份的过程。3.93.9消息鉴别码messageauthenticationcode(MAC)基于时间、事件
6、等方式动态生成的一次性口令。3.103.10动态口令authenticityOne-time-password:dynamicpassword基于时间、事件等方式动态生成的一次性口令。3.113.11访问控制accesscontrol按照特定策略,允许或拒绝用户对资源访问的一种机制。4概述4.1信息系统密码应用技术框架4.1.1框架概述本标准从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面提出密码应用技术要求,保障信息系统的实体身份真实性、重要数据的机密性和完整性、操作行为的不可否认性;对密码应用安全管理提出耍求,为信息系统提供管理方面的密码应用安全保障4.1
7、.2密码应用技术要求维度技术要求主要由机密性、完整性、真实性、不可否认性四个密码安全功能维度构成,具体保护对象或应用场景描述如下:a)机密性技术要求保护对象用密码的加解密功能实现机密性,信息系统中保护的对象为:1)身份鉴别信息:2)密钥数据:3)传输的重要数据、敏感信息或通信报文:4)信息系统应用中所有存储的重要数据和敏感信息。a)完整性技术要求保护对象使用消息鉴别码,或数字签名等密码技术实现完整性,信息系统中保护的对象为:1)身份鉴别信息;2)密钥数据:3)日志记录:4)访问控制信息;5)重要信息资源安全标记;6)重要可执行程序;7)视频监控吾像记录;8)电子门禁系统进出记录;9)传输的重要
8、数据、敏感信息或通信报文;10)信息系统应用中所有存储的重要数据和敏感信息。b)真实性技术要求应用场景使用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别(MAC)机制、基于公钥密码算法的数字签名机制等密码技术实现真实性,信息系统中应用场景为:1)进入重要物理区域人员的身份鉴别;2)通信双方的身份鉴别;3)网络设备接入时的身份鉴别;4)重要可执行程序的来源真实性保证:5)登录操作系统和数据库系统的用户身份鉴别;6)应用系统的用户身份鉴别。c)不可否认性技术要求保护对象利用密码技术来保证数据原发行为的不可否认性和数据接收行为的不可否认性。4.1.3密码应用管理要求维度管理要求由制度建设、人
9、员管理、建设运行、应急处置等四个密码安全管理维度构成,具体如下:a)密码应用安全管理相关流程制度的制定、发布、修订的规范性:b)密码相关安全人员的密码安全意识以及关键密码安全岗位员工的密码安全能力的培养,人员工作流程要求等;c)建设运行过程中密码应用安全要求及方案落地执行的一致性和有效性保证;d)处理密码应用安全相关的应急突发事件的能力要求。4.2密码应用基本要求等级描述本标准对信息系统密码应用划分为自低向高的五个等级,根据GB/T22239的等级保护对像应具备的基本安全保护能力要求,本标准提出密码保障能力逐级增强的要求,用一、二、三、四、五表示。信息系统管理者可.按照业务实际情况选择相应级别
10、的密码保障技术能力及管理能力,各等级描述如下:一第一级,是信息系统密码应用安全要求等级的最低等级,要求信息系统符合通用要求和最低限度的管理要求,并鼓励使用密码保障信息系统安全;第二级,是在第一级要求的基础上,增加操作规程、人员上岗培训与考核、应急预案等管理要求,并要求优先选择使用密码保障信息系统安全;一第三级,是在第二级要求的基础上,增加对真实性、机密性的技术要求以及全部的管理要求;-第四级,是在第三级要求的基础上,增加对完整性、不可否认性的技术要求:第五级(略)。本标准所要求的不同级别密码应用基本要求简表参见附录B,5通用要求第-级到第五级的信息系统应符合以下通用要求:4信息系统中使用的密码
11、算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求:B信息系统中使用的密码技术应遵循密码相关国家标准和行业标准;a信息系统中使用的密码产品、密码服务应符合法律法规的相关要求。6第一级密码应用基本要求6.1物理和环境安全本级要求包括:a)可采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性:b)可采用密码技术来保证电子门禁系统进出记录数据的存储完整性;c)以上如采用密码服务,应符合法律法规的相关要求并经商用密码认证机构认证合格。6.2网络和通信安全本级要求包括:b)可采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性;c)可采用密码技术保证通信过程中数据的
12、完整性;d)可采用密码技术保证通信过程中敏感信息或通信报文的机密性:e)可采用密码技术来保证网络边界访问控制信息的完整性;f)以上如采用密码服务,应符合法律法规的相关要求并经商用密码认证机构认证合格。6.3设备和计算安全本级要求包括:a)可采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性;b)可采用密码技术来保证系统资源访问控制信息的完整性;c)可采用密码技术来保证日志记录的完整性;d)以上如采用密码服务,应符合法律法规的相关要求并经商用密码认证机构认证合格。6.4应用和数据安全本级要求包括:a)可采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性:b)可采用密码技
13、术保证信息系统应用的访问控制信息的完整性:c)可采用密码技术保证信息系统应用的重要数据在传输过程中的机密性;d)可采用密码技术保证信息系统应用的重要数据在存储过程中的机密性;e)可采用密码技术保证信息系统应用的重要数据在传输过程中的完整性;f)可采用密码技术保证信息系统应用的重要数据在存储过程中的完整性:g)以上如采用密码服务,应符合法律法规的相关要求并经商用密码认证机构认证合格。6.5管理制度使用密码技术的信息系统应符合以下管理制度要求:a)应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度;b)应根据密码应用方案建立相应密钥管理规则。6.
14、6人员管理使用密码技术的信息系统应符合以下人员管理要求:a)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度;b)应及时终止离岗人员的所有密码应用相关的访问权限、操作权限。6.7建设运行本级要求包括:a)应依据密码相关标准和密码应用需求,制定密码应用方案;b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生命周期环节,各环节安全管理可参照附录A:c)应按照应用方案,制定实施方案;d)投入运行前可进行密码应用安全性评估。6.8应急处置本级要求为:根据密码产品提供的安全策略,由用户自主处置密码应用安全事件。7第二级密码应用基本要求7.1物理和环境安全本级要求包括:a)宜采用密码技术进行物理访问身份鉴别,保证进入重要区域人员身份的真实性;b)可采用密码技术保证电子门禁系统进出记录数据的存储完整性;C)以上如采用密码服务,应符合法律法规的相关要求并经商用密码认证机构认证合格:d)以上采用的密码产品,应达到GB/T37092一级及以上安全要求。7.2网络和通信安全本级要求包括:a)宜采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性:b)可采用密码技术保证通信过程中数据的完整性;C)宜采用密码技术保证通信过程中的敏感信息或通信报文的机密性:d)可采用密码技术来保证网络边界访问控制信息的完整性;
免费区 