等保2.0密码技术应用分析.doc

1 等保2.0三级要求的通用要求 等保2.0三级从8.1.2安全通信网络、8.1.4安全计算环境、8.1.9安全建设管理、8.1.10安全运维管理四个域对密码技术与产品提出了要求，主要涉及以下八处密码技术： 8.1.2.2通信传输 a)应采用校验技术或密码技术保证通信过程中数据的完整性； b)应采用密码技术保证通信过程中数据的保密性。 8.1.4.1身份鉴别 d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。 8.1.4.7数据完整性 a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等； b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 8.1.4.8数据保密性 a)应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等； b)应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。 8.1.9.2安全方案设计 b)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计，设计内容应包含密码技术相关内容，并形成配套文件； 8.1.9.3产品采购和使用 b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求； 8.1.9.7测试验收 b)应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容。 8.1.10.9密码管理 b)应使用国家密码管理主管部门认证核准的密码技术和产品。 2等保2.0与0054标准中对密码技术的要求分析 将等保2.0中对密码技术与产品的要求，细化映射到《GM/T 0054-2018 信息系统密码应用基本要求》标准（简称“0054标准”）中对密码的技术要求，如下表所示： 1等保2.0与0054标准对数据完整性的密码技术要求分析 等保2.0在8.1.2安全通信网络、8.1.4安全计算环境中提出，可以采用密码技术来保证数据的完整性，其中主要保护的主体是8.1.2安全通信网络中通信数据、8.1.4安全计算环境中包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息。映射到0054标准中三级要求的物理与环境安全、网络与通信安全，设备与计算的安全中，主要保护的数据就是电子门禁系统进出记录、视频监控音像记录、通信中的数据、资源访问控制信息、重要信息资源敏感标记日志记录、访问控制策略/信息/重要信息资源敏感标记、重要数据、日志记录等数据。这些数据应采用密码技术进行保护，保证数据的完整性，主要的密码技术实现方式可采用消息鉴别码（MAC）或数字签名。 2等保2.0与0054标准对身份鉴别中的密码技术要求分析 等保2.0中在8.1.4安全计算环境中对身份鉴别中的密码技术提出要求，要求身份鉴别中至少要使用一种密码技术，模糊原来等保1.0中的物理与环境安全、网络与通信安全，设备与计算的安全、应用与数据安全的概念。0054标准继续沿用等保1.0，仍从物理与环境、设备与计算、网络与通信，设备与计算的安全、应用与数据安全，对信息系统中的网络设备以及用户的登录都做了详细的密码技术要求，从而保证四大层面上网络设备的边界接入、管理员、审计员、操作用户的身份的真实性。主要的密码技术实现方式可采用对称加密、动态口令、数字签名等。 3等保2.0与0054标准对数据保密性的密码技术要求分析 等保2.0中8.1.4安全计算环境对数据的保密性也提出了要求，映射到0054标准的网络与通信安全，设备与计算的安全、应用与数据安全三大层面中，即是对数据的机密性要求。即设备与计算中敏感信息数据字段或整个报文、网络与通信身份鉴别信息、应用与数据安全重要数据，都需要密码技术来保证机密性，主要的密码技术实现方式为加密。 4等保2.0与0054标准对不可否认性的密码技术要求分析 此外，0054标准中对不可否认性也要做了要求，主要保证的是网络和信息系统中所有需要无法否认行为，包括发送、接收、审批、创建、修改、删除、添加、配置等操作。主要的密码技术实现方式为数字签名等。 5等保2.0与0054标准对密码产品与服务的要求分析 等保2.0中对8.1.9.3产品采购、8.1.10.9密码管理中要求密码产品与服务的采购和使用符合国家密码管理主管部门的要求，0054标准的总体要求中对密码算法、密码技术、密码产品、密码服务都做出要求，具体如下： 密码算法信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。 密码技术信息系统中使用的密码技术应遵循密码相关国家标准和行业标准。 密码产品信息系统中使用的密码产品与密码模块应通过国家密码管理部门核准。 密码服务信息系统中使用的密码服务应通过国家密码管理部门许可。 以上要求可以看出，0054标准中要求信息系统密码应用中所使用的算法、技术、产品、服务也都需要遵循国家密码管理主管部门的要求。 6等保2.0与0054标准对密码方案及测评验收要求分析 等保2.0对密码方案及测评验收的要求，映射到0054标准的9.3实施中密码方案的规划、信息系统的建设、运行，如9.1.3等级保护第三级信息系统中要求： 信息系统规划阶段，责任单位应依据密码相关标准，制定密码应用方案，组织专家进行评审，评审意见作为项目规划立项的重要材料。 通过专家审定后的方案应作为建设、验收和测评的重要依据。 （注：专业文档是经验性极强的领域，无法思考和涵盖全面，素材和资料部分来自网络，供参考。可复制、编制，期待你的好评与关注）