等保密码关键技术应用分析.docVIP

1 等保2.0三级要求通用要求 等保2.0三级从8.1.2安全通信网络、8.1.4安全计算环境、8.1.9安全建设管理、8.1.10安全运维管理四个域对密码技术和产品提出了要求，关键包含以下八处密码技术： 8.1.2.2通信传输 a)应采取校验技术或密码技术确保通信过程中数据完整性； b)应采取密码技术确保通信过程中数据保密性。 8.1.4.1身份判别 d)应采取口令、密码技术、生物技术等两种或两种以上组合判别技术对用户进行身份判别，且其中一个判别技术最少应使用密码技术来实现。 8.1.4.7数据完整性 a)应采取校验技术或密码技术确保关键数据在传输过程中完整性，包含但不限于判别数据、关键业务数据、关键审计数据、关键配置数据、关键视频数据和关键个人信息等； b)应采取校验技术或密码技术确保关键数据在存放过程中完整性，包含但不限于判别数据、关键业务数据、关键审计数据、关键配置数据、关键视频数据和关键个人信息等。 8.1.4.8数据保密性 a)应采取密码技术确保关键数据在传输过程中保密性，包含但不限于判别数据、关键业务数据和关键个人信息等； b)应采取密码技术确保关键数据在存放过程中保密性，包含但不限于判别数据、关键业务数据和关键个人信息等。 8.1.9.2安全方案设计 b)应依据保护对象安全保护等级及和其它等级保护对象关系进行安全整体计划和安全方案设计，设计内容应包含密码技术相关内容，并形成配套文件； 8.1.9.3产品采购和使用 b)应确保密码产品和服务采购和使用符合国家密码管理主管部门要求； 8.1.9.7测试验收 b)应进行上线前安全性测试，并出具安全测试汇报，安全测试汇报应包含密码应用安全性测试相关内容。 8.1.10.9密码管理 b)应使用国家密码管理主管部门认证核准密码技术和产品。 2等保2.0和0054标准中对密码技术要求分析 将等保2.0中对密码技术和产品要求，细化映射到《GM/T 0054- 信息系统密码应用基础要求》标准（简称“0054标准”）中对密码技术要求，以下表所表示： 1等保2.0和0054标准对数据完整性密码技术要求分析 等保2.0在8.1.2安全通信网络、8.1.4安全计算环境中提出，能够采取密码技术来确保数据完整性，其中关键保护主体是8.1.2安全通信网络中通信数据、8.1.4安全计算环境中包含但不限于判别数据、关键业务数据、关键审计数据、关键配置数据、关键视频数据和关键个人信息。映射到0054标准中三级要求物理和环境安全、网络和通信安全，设备和计算安全中，关键保护数据就是电子门禁系统进出统计、视频监控音像统计、通信中数据、资源访问控制信息、关键信息资源敏感标识日志统计、访问控制策略/信息/关键信息资源敏感标识、关键数据、日志统计等数据。这些数据应采取密码技术进行保护，确保数据完整性，关键密码技术实现方法可采取消息判别码（MAC）或数字署名。 2等保2.0和0054标准对身份判别中密码技术要求分析 等保2.0中在8.1.4安全计算环境中对身份判别中密码技术提出要求，要求身份判别中最少要使用一个密码技术，模糊原来等保1.0中物理和环境安全、网络和通信安全，设备和计算安全、应用和数据安全概念。0054标准继续沿用等保1.0，仍从物理和环境、设备和计算、网络和通信，设备和计算安全、应用和数据安全，对信息系统中网络设备和用户登录全部做了具体密码技术要求，从而确保四大层面上网络设备边界接入、管理员、审计员、操作用户身份真实性。关键密码技术实现方法可采取对称加密、动态口令、数字署名等。 3等保2.0和0054标准对数据保密性密码技术要求分析 等保2.0中8.1.4安全计算环境对数据保密性也提出了要求，映射到0054标准网络和通信安全，设备和计算安全、应用和数据安全三大层面中，即是对数据机密性要求。即设备和计算中敏感信息数据字段或整个报文、网络和通信身份判别信息、应用和数据安全关键数据，全部需要密码技术来确保机密性，关键密码技术实现方法为加密。 4等保2.0和0054标准对不可否认性密码技术要求分析 另外，0054标准中对不可否认性也要做了要求，关键确保是网络和信息系统中全部需要无法否认行为，包含发送、接收、审批、创建、修改、删除、添加、配置等操作。关键密码技术实现方法为数字署名等。 5等保2.0和0054标准对密码产品和服务要求分析 等保2.0中对8.1.9.3产品采购、8.1.10.9密码管理中要求密码产品和服务采购和使用符合国家密码管理主管部门要求，0054标准总体要求中对密码算法、密码技术、密码产品、密码服务全部做出要求，具体以下： 密码算法信息系统中使用密码算法应该符正当律、法规要求和密码相关国家标准、行业标准相关要求。 密码技术信息系统中使用密码技术应遵照密码相关国家标准和行业标准。 密码产品信