等保系統如何用密碼,國家有標準了!
密碼作為保護網絡安全的必備手段,在等保方案的設計中必不可少。尤其是在等保三級系統中,很多人都聽說必須用密碼,但是具體說到密碼應該用來干什么,密碼產品的選用有哪些規定,就不甚明白了。
今年2月,密標委發布了《GM/T 0054-2018 信息系統密碼應用基本要求》(簡稱國密0054標準),堪稱等保工作者的密碼應用寶典。讓我們快來看看都有哪些規定值得特別關注的吧。
首先,以下幾點總體要求是所有級別信息系統都應該遵循的:
?密碼算法:應符合國家法律法規及密碼國標、行標要求。一般情況下就是用我國公開的SM2/3/4/9算法了。
?密碼產品:應通過國家密碼管理部門核準。具體點,就是應該選用獲得國家密碼管理局頒發的型號證書的產品,型號產品列表可以在國家密碼管理局網站上查詢。
?密碼服務:應通過國家密碼管理部門許可。一直以來CA認證機構應獲得《電子認證服務使用密碼許可證》。對于電子簽名服務、云密碼服務等新的密碼服務也應獲得許可。
另外,國密0054標準從“物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全”四個方面,提出了等級保護不同級別的密碼技術應用要求、密鑰管理和安全管理要求。
以下針對等保三級系統的要求做了整理歸納,其它級別的規定請參見標準原文。
?密碼技術應用要求
? 密鑰管理
密鑰安全是密碼應用保障系統的基礎和核心。等保三級信息系統對密鑰全生命周期:包括密鑰生成、存儲、分發、導入、導出、使用、備份、恢復、歸檔、銷毀過程中所使用的用于產生、存儲密鑰的密碼模塊標準、管理策略、要求等進行全方位、全環節的規定,以此保證密鑰安全。
?安全管理
等保三級信息系統主要圍繞制度、人員、實施、應急等方面展開。其中,制度重點對密碼安全管理制度制定、論證、發布環節作相關要求;人員重點對從事密碼相關工作人員技能、考核、培訓等環節作相關要求;實施重點對信息系統規劃—建設—運行整個過程中各環節作相關要求;應急重點對事前預案、事中報告、事后處置全過程作相關要求。
