GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求.pdf
- 文档部分内容预览:
本级要求包括: a)可采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; b) 可采用密码技术保证通信过程中数据的完整性: 可采用密码技术保证通信过程中重要数据的机密性; 可采用密码技术保证网络边界访问控制信息的完整性; e) 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格
本级要求包括: a)可采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; b)可采用密码技术保证系统资源访问控制信息的完整性; c)可采用密码技术保证日志记录的完整性; d 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格
本级要求包括: a)可采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; b)可采用密码技术保证信息系统应用的访问控制信息的完整性 c)可采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; d)可采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; e)可采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; f) 可采用密码技术保证信息系统应用的重要数据在存储过程中的完整性
本级要求包括: a)可采用密码技术对登录用户进行身份鉴别质量标准,保证应用系统用户身份的真实性; b)可采用密码技术保证信息系统应用的访问控制信息的完整性: c)可采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; d)可采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; e)可采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; f)可采用密码技术保证信息系统应用的重要数据在存储过程中的完整性
g)以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格
应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬 件及介质管理等制度; 应根据密码应用方案建立相应密钥管理规则
使用密码技术的信息系统应符合以下人员管理要求: )相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; b)应及时终止离岗人员的所有密码应用相关的访问权限、操作权限
本级要求包括: a)应依据密码相关标准和密码应用需求,制定密码应用方案; b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节,各环节密钥管理要 求参照附录B; 应按照密码应用方案实施建设; d)投入运行前可进行密码应用安全性评估
本级要求包括: a)应依据密码相关标准和密码应用需求,制定密码应用方案; b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节,各环节密钥管理要 求参照附录B: 应按照密码应用方案实施建设; d)投入运行前可进行密码应用安全性评估
本级要求为:可根据密码产品提供的安全策略,由用户自主处置密码应用安全事件
7第二级密码应用基本要求
本级要求包括: a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; b)可采用密码技术保证电子门禁系统进出记录数据的存储完整性; 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格; d)以上采用的密码产品,应达到GB/T37092一级及以上安全要求
a)宜采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; b)可采用密码技术保证通信过程中数据的完整性; c)宜采用密码技术保证通信过程中重要数据的机密性; d)可采用密码技术保证网络边界访问控制信息的完整性; e)以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格
)以上采用的密码产品,应达到GB/T37092一级及以上安全要求
本级要求包括: )宜采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; 6)可采用密码技术保证系统资源访问控制信息的完整性; )可采用密码技术保证日志记录的完整性: d)以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格: 以上采用的密码产品,应达到GB/T37092一级及以上安全要求
宜采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; b)可采用密码技术保证信息系统应用的访问控制信息的完整性; 宜采用密码技术保证信息系统应用的重要数据在传输过程中的机密性 宜采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; e) 宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; f 宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性 g 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格 以上采用的密码产品,应达到GB/T37092一级及以上安全要求
使用密码技术的信息系统应符合以下管理制度要求: 应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬 件及介质管理等制度; b 应根据密码应用方案建立相应密钥管理规则: 应对管理人员或操作人员执行的日常管理操作建立操作规程
使用密码技术的信息系统应符合以下人员管理要求: a)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; b)应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限; c 应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位 所需专业技能; d)应建立关键人员保密制度和调离制度,签订保密合同.承担保密义务
便用密码技术的信息系统应符合以下人员管理要求: a)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; b)应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限; c 应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位 所需专业技能; d)应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。
a)应依据密码相关标准和密码应用需求,制定密码应用方案; b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节,各环节密钥管理要 求参照附录B ) 应按照应用方案实施建设:
d)投入运行前宜进行密码应用安全性评估
处置措施结合实际情况及时处置
3第三级密码应用基本要
本级要求包括: 宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性: b) 宜采用密码技术保证电子门禁系统进出记录数据的存储完整性; C 宜采用密码技术保证视频监控音像记录数据的存储完整性; 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格: e 以上采用的密码产品,应达到GB/T37092二级及以上安全要求
本级水包括: 应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; b) 宜采用密码技术保证通信过程中数据的完整性: 应采用密码技术保证通信过程中重要数据的机密性; 1 宜采用密码技术保证网络边界访问控制信息的完整性: 可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格: 以上采用的密码产品,应达到GB/T37092二级及以上安全要求
应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; b) 远程管理设备时,应采用密码技术建立安全的信息传输通道; 宜采用密码技术保证系统资源访问控制信息的完整性: d 宜采用密码技术保证设备中的重要信息资源安全标记的完整性; e 宜采用密码技术保证日志记录的完整性; f)宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证; 8 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格; h 以上采用的密码产品,应达到GB/T37092二级及以上安全要求
本级要求包括: 应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的直实性
b)宜采用密码技术保证信息系统应用的访问控制信息的完整性; ) 宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性; d 应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性 e 应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; 宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; g)宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; h 在可能涉及法律责任认定的应用中,宜采用密码技术提供数据原发证据和数据接收证据,实现 数据原发行为的不可否认性和数据接收行为的不可否认性 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格: 以上采用的密码产品,应达到GB/T37092二级及以上安全要求
使用密码技术的信息系统应符合以下管理制度要求: 应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬 件及介质管理等制度; b)应根据密码应用方案建立相应密钥管理规则; 应对管理人员或操作人员执行的日常管理操作建立操作规程; d 应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,对存在不足 或需要改进之处进行修订; 应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制; f) 长执行记录并妥善保存
使用密码技术的信息系统应符合以下人员管理要求: 相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; b 应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限: 1)根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全 岗位; 2)对关键岗位建立多人共管机制; 3)密钥管理、密码安全审计、密码操作人员职责互相制药互相监督,其中密码安全审计员岗 位不可与密钥管理员、密码操作员兼任; 4)相关设备与系统的管理和使用账号不得多人共用。 ) 应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位 所需专业技能: d) 应定期对密码应用安全岗位人员进行考核; e) 应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务
a)应依据密码相关标准和密码应用需求,制定密码应用方案; b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节,各环节密钥管理要 求参照附录B; ) 应按照应用方案实施建设:
d)投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行; e)在运行过程中,应严格执行既定的密码应用安全管理制度,应定期开展密码应用安全性评估及 攻防对抗演习.并根据评估结果进行整改。
a 应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急 处置措施,结合实际情况及时处置; b) 事件发生后,应及时向信息系统主管部门进行报告; C 事件处置完成后,应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处 置情况,
a 应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急 处置措施,结合实际情况及时处置; 事件发生后,应及时向信息系统主管部门进行报告; 事件处置完成后,应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处 置情况,
9第四级密码应用基本要求
本级要求包括: a)应采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; b)应采用密码技术保证电子门禁系统进出记录数据的存储完整性; c)应采用密码技术保证视频监控音像记录数据的存储完整性; d 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格: e 以上采用的密码产品,应达到GB/T37092三级及以上安全要求
本级要求包括: a)应采用密码技术对通信实体进行双向身份鉴别,保证通信实体身份的真实性; b)应采用密码技术保证通信过程中数据的完整性; 应采用密码技术保证通信过程中重要数据的机密性: 1 应采用密码技术保证网络边界访问控制信息的完整性; e)宜采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入设备身份的真实性: 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格; g) 以上采用的密码产品,应达到GB/T37092三级及以上安全要求
应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; ) 远程管理设备时,应采用密码技术建立安全的信息传输通道; c)应采用密码技术保证系统资源访问控制信息的完整性; d)应采用密码技术保证设备中的重要信息资源安全标记的完整性; e)应采用密码技术保证日志记录的完整性: f)应采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证; 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经
商用密码认证机构认证合格; 以上采用的密码产品,应达到GB/T37092三级及以上安全要求,
本级要求包括: a) 应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; b) 应采用密码技术保证信息系统应用的访问控制信息的完整性; C) 应采用密码技术保证信息系统应用的重要信息资源安全标记的完整性; 应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性: e) 应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; f) 应采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; 8 应采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; 在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现 数据原发行为的不可否认性和数据接收行为的不可否认性; 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经 商用密码认证机构认证合格; 以上采用的密码产品.应达到GB/T37092三级及以上安全要求
使用密码技术的信息系统应符合以下管理制度要求: 应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬 件及介质管理等制度; b)应根据密码应用方案建立相应密钥管理规则; 应对管理人员或操作人员执行的日常管理操作建立操作规程: 1 应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,对存在不足 或需要改进之处进行修订; 应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制; 应具有密码应用操作规程的相关执行记录并妥善保存
使用密码技术的信息系统应符合以下人员管理要求: 相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; b 应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限: 1)根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全 岗位; 2 对关键岗位建立多人共管机制; 3) 密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密码安全审计员岗 位不可与密钥管理员、密码操作员兼任; 4 相关设备与系统的管理和使用账号不得多人共用: 5) 密钥管理员、密码安全审计员、密码操作员应由本机构的内部员工担任,并应在任前对其 进行背景调查。 C 应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位 所需专业技能:
d)应定期对密码应用安全岗位人员进行考核
本级要求包括: a)应依据密码相关标准和密码应用需求,制定密码应用方案; b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节,各环节密钥管理要 求参照附录B; 应按照应用方案实施建设: d) 投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行; 在运行过程中,应严格执行既定的密码应用安全管理制度,应定期开展密码应用安全性评估及 攻防对抗演习,并根据评估结果进行整改
a) 应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急 处置措施,结合实际情况及时处置; b) 事件发生后,应及时向信息系统主管部门及归属的密码管理部门进行报告; c) 事件处置完成后,应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处 置情况。
路基标准规范范本10第五级密码应用基本要求
附录A (资料性附录) 不同级别密码应用基本要求汇总列表 第一级一第四级密码应用基本要求,见表A.1,第五级略
表A.1第一级~第四级密码应用基本要求汇总列
密钥管理对于保证密钥全生存周期的安全性是至关重要的,可以保证密钥(除公钥外)不被非授权 访问、使用、泄露、修改和替换,可以保证公钥不被非授权的修改和替换。信息系统的应用和数据层面 为密钥体系由业务系统根据密码应用需求在密码应用方案中明确,并在密码应用实施中落实。密钥管 里包括密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等环节。以下给出各个环节的 钥管理建议供参考: a)密钥产生 密钥可以以随机产生、协商产生等不同的方式来产生。密钥在符合GB/T37092的密码产品 中产生是十分必要的,产生的同时可在密码产品中记录密钥关联信息,包括密钥种类、长度、拥 有者、使用起始时间、使用终止时间等。 b)密钥分发 密钥分发是密钥从一个密码产品传递到另一个密码产品的过程,分发时要注意抗截取、改 假冒等攻击,保证密钥的机密性、完整性以及分发者、接收者身份的真实性等。 c) 密钥存储 密钥不以明文方式存储在密码产品外部是十分必要的,并采取严格的安全防护措施,防止密钥 被非授权的访问或纂改。 公钥是例外,可以以明文方式在密码产品外存储、传递和使用,但有必要采取安全防护措施,防 止公钥被非授权篡改。 d 密钥使用 每个密钥一般只有单一的用途,明确用途并按用途正确使用是十分必要的。密钥使用环节需 要注意的安全问题是:使用密钥前获得授权、使用公钥证书前对其进行有效性验证、采用安全 措施防止密钥的泄露和替换等。另外,有必要为密钥设定更换周期,并采取有效措施保证密钥 更换时的安全性。 e)密钥更新 密钥更新发生在密钥超过使用期限、已泄露或存在泄露风险时,根据相应的更新策略进行 更新。 f 密钥归档 如果信息系统中有密钥归档需求,则根据实际安全需求采取有效的安全措施,保证归档密钥的 安全性和正确性。需要注意的是,归档密钥只能用于解密该密钥加密的历史信息或验证该密 钥签名的历史信息。如果执行密钥归档,则有必要生成审计信息,包括归档的密钥、归档的时 间等。 g 密钥撤销 密钥撤销一般针对公钥证书所对应的密钥。当证书到期后,密钥自然撤销;也可以按需进行密 钥撤销,撤销后的密钥不再具备使用效力。 h)密钥备份 对于需要备份的密钥,采用安全的备份机制对密钥进行备份是必要的,以确保备份密钥的机密 性和完整性,这与密钥存储的要求是一致的。密钥备份行为是审计涉及的范围,有必要生成审 计信息,包括备份的主体、备份的时间等
i 密钥恢复 可以支持用户密钥恢复和司法密钥恢复。密钥恢复行为是审计涉及的范围,有必要生成审计 信息,包括恢复的主体、恢复的时间等。 j 密钥销毁 密钥销毁要注意的是销毁过程的不可逆,即无法从销毁结果中恢复原密钥
密钥恢复 可以支持用户密钥恢复和司法密钥恢复。密钥恢复行为是审计涉及的范围,有必要生成审计 信息,包括恢复的主体、恢复的时间等。 J 密钥销毁 密钥销毁要注意的是销毁过程的不可逆,即无法从销毁结果中恢复原密钥
电缆标准规范范本239一2019信息安全技术网络安全等级保护基本
....- 相关专题: 信息安全