密码作为保护网络安全的必备手段,在等保方案的设计中必不可少。尤其是在等保三级系统中,很多人都听说必须用密码,但是具体说到密码应该用来干什么,密码产品的选用有哪些规定,就不甚明白了。
今年2月,密标委发布了《GM/T 0054-2018 信息系统密码应用基本要求》(简称国密0054标准),堪称等保工作者的密码应用宝典。让dafabe888手机版登录快来看看都有哪些规定值得特别关注的吧。
首先,以下几点总体要求是所有级别信息系统都应该遵循的:
?密码算法:应符合国家法律法规及密码国标、行标要求。一般情况下就是用dafabe888手机版登录国公开的SM2/3/4/9算法了。
?密码产品:应通过国家密码管理部门核准。具体点,就是应该选用获得国家密码管理局颁发的型号证书的产品,型号产品列表可以在国家密码管理局网站上查询。
?密码服务:应通过国家密码管理部门许可。一直以来CA认证机构应获得《电子认证服务使用密码许可证》。对于电子签名服务、云密码服务等新的密码服务也应获得许可。
另外,国密0054标准从“物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全”四个方面,提出了等级保护不同级别的密码技术应用要求、密钥管理和安全管理要求。
以下针对等保三级系统的要求做了整理归纳,其它级别的规定请参见标准原文。
?密码技术应用要求
??密钥管理
密钥安全是密码应用保障系统的基础和核心。等保三级信息系统对密钥全生命周期:包括密钥生成、存储、分发、导入、导出、使用、备份、恢复、归档、销毁过程中所使用的用于产生、存储密钥的密码模块标准、管理策略、要求等进行全方位、全环节的规定,以此保证密钥安全。
?安全管理
等保三级信息系统主要围绕制度、人员、实施、应急等方面展开。其中,制度重点对密码安全管理制度制定、论证、发布环节作相关要求;人员重点对从事密码相关工作人员技能、考核、培训等环节作相关要求;实施重点对信息系统规划—建设—运行整个过程中各环节作相关要求;应急重点对事前预案、事中报告、事后处置全过程作相关要求。