等保系统如何用密码,国家有标准了!
2018-10-19 09:51:00 来源:本站 浏览:2564

等保系统如何用密码,国家有标准了!


密码作为保护网络安全的必备手段,在等保方案的设计中必不可少。尤其是在等保三级系统中,很多人都听说必须用密码,但是具体说到密码应该用来干什么,密码产品的选用有哪些规定,就不甚明白了。

今年2月,密标委发布了《GM/T 0054-2018 信息系统密码应用基本要求》(简称国密0054标准),堪称等保工作者的密码应用宝典。让我们快来看看都有哪些规定值得特别关注的吧。

首先,以下几点总体要求是所有级别信息系统都应该遵循的:


✍密码算法:应符合国家法律法规及密码国标、行标要求。一般情况下就是用我国公开的SM2/3/4/9算法了。


✍密码产品:应通过国家密码管理部门核准。具体点,就是应该选用获得国家密码管理局颁发的型号证书的产品,型号产品列表可以在国家密码管理局网站上查询。


✍密码服务:应通过国家密码管理部门许可。一直以来CA认证机构应获得《电子认证服务使用密码许可证》。对于电子签名服务、云密码服务等新的密码服务也应获得许可。


另外,国密0054标准从“物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全”四个方面,提出了等级保护不同级别的密码技术应用要求、密钥管理和安全管理要求。


以下针对等保三级系统的要求做了整理归纳,其它级别的规定请参见标准原文。

☝密码技术应用要求

☝ 密钥管理

密钥安全是密码应用保障系统的基础和核心。等保三级信息系统对密钥全生命周期:包括密钥生成、存储、分发、导入、导出、使用、备份、恢复、归档、销毁过程中所使用的用于产生、存储密钥的密码模块标准、管理策略、要求等进行全方位、全环节的规定,以此保证密钥安全。

☝安全管理

等保三级信息系统主要围绕制度、人员、实施、应急等方面展开。其中,制度重点对密码安全管理制度制定、论证、发布环节作相关要求;人员重点对从事密码相关工作人员技能、考核、培训等环节作相关要求;实施重点对信息系统规划—建设—运行整个过程中各环节作相关要求;应急重点对事前预案、事中报告、事后处置全过程作相关要求。

甘公网安备 62010002000517号

陇ICP备15001871号-1

联系地址:甘肃省兰州市城关区南滨河东路58号

©版权所有 2011-2020 甘肃安信信息安全技术有限公司

Copyright © 2011-2020 Gansu Anxin information Safe Technology Ltd