其他分享
首页 > 其他分享> > 等保三级密码技术应用要求 GM/T 0054-2018

等保三级密码技术应用要求 GM/T 0054-2018

作者:互联网

技术要求

物理和环境安全
在这里插入图片描述
1.真实性:物理访问控制的身份鉴别信息,重要区域进入人员身份
2.完整性:电子门禁系统进出记录
3.完整性:视频监控音像记录
4.使用硬件密码产品实现密码运算和密钥管理,符合GM/T0028三级以上密码模块或通过国家密码管理部门核准

网络与通信安全
在这里插入图片描述
1.机密性+真实性:通信双方进行身份认证,防截获,防假冒,防重用,保证传输过程中的鉴别信息的机密性,网络设备实体身份的真实性
2.完整性:网络边界和系统资源访问控制信息
3.完整性:通信过程中的数据
4.机密性:通信过程中的敏感数据信息字段或整个报文
5.建立安全信息传输通道,集中管理安全设备、组件
6.使用硬件密码产品实现密码运算和密钥管理,符合GM/T0028三级以上密码模块或通过国家密码管理部门核准

设备和计算安全
在这里插入图片描述
1.对登陆的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度且定期更换
2.机密性:远程管理是实现鉴别信息防窃听
3.完整性:系统资源访问控制信息
4.完整性:重要资源信息敏感标记
5.可信计算技术:系统到应用的信任链保护重要程序或文件完整性
6.完整性:日志记录
7.使用硬件密码产品实现密码运算和密钥管理,符合GM/T0028三级以上密码模块或通过国家密码管理部门核准

应用和数据安全
在这里插入图片描述
1.真实性:应用系统用户身份——对登陆的用户进行身份标识和鉴别,实现身份鉴别信息的防截获防假冒和防重用
2.完整性:业务应用系统访问控制策略,数据库表访问控制信息,重要信息资源敏感标记
3.机密性:传输中的鉴别数据,重要业务数据和重要用户信息
4.机密性:存储中的鉴别数据,重要业务数据和重要用户信息
5.完整性:传输中的鉴别数据,重要业务数据,重要审计数据,重要配置数据,重要视频数据和重要用户信息
6.完整性:存储中的鉴别数据,重要业务数据,重要审计数据,重要配置数据,重要视频数据和重要用户信息和中药可执行程序
7.完整性:日志记录
8.安全控制:重要应用程序的加载和卸载
9.使用硬件密码产品实现密码运算和密钥管理,符合GM/T0028三级以上密码模块或通过国家密码管理部门核准

密钥管理

信息系统密钥管理应包括对密钥的生成,存储,分发,导入,导出,使用,备份,恢复,归档与销毁等环节进行管理和策略制定的全过程。

1.生成:
密钥生成使用的随机数应符合GM/T0005要求,密钥应在符合GM/T0028的密码模块内部产生,不得以明文方式出现在密码模块外;
应具备检查和剔除弱密钥的能力。
随机数必须在硬件物理噪声源中产生以保证随机性

2.存储:
密钥应加密存储,并采取严格的安全防护措施,防止密钥被非法获取;
密钥加密密钥应存储在符合GM/T0028的二级及以上密码模块中。

3.分发:
应采取身份鉴别、数据完整性、数据机密性等安全措施,能抗截取、假冒、篡改、重放等攻击

4.导入与导出:
应采取安全措施,防止密钥导入导出时被非法获取或篡改,并保证密钥的正确性***存疑***

5.使用:
密钥应明确用途,并按正确用途使用;
使用公钥密码体系之前应验证公钥;
应有安全措施防止迷药的泄露和替换;
密钥泄露时,应停止使用,病启动相应的应急处理和响应措施;
按照要求定期更换密钥,并保证密钥更换时的安全性

6.备份与恢复
应制定明确的密钥备份策略,采用安全可靠的秘钥备份恢复机制;
备份或恢复时要记录,并生成审计信息,包括备份或恢复的主体、时间等

7.归档
采取有效的安全措施保证归档密钥的安全性和正确性
归档密钥只能用于解密该秘钥加密的历史信息或验证该秘钥签名的历史信息;
记录并生成审计信息
归档密钥进行数据备份并保护

8.销毁
应具有在紧急情况下销毁密钥的措施***如何定义紧急情况?***

安全管理

制度
在这里插入图片描述
1.密码安全管理制度及操作规范:包括密码建设,运维,人员,设备,密钥等
2.定期重审修订上文的不足之处
3.明确相关管理制度发布流程

人员
在这里插入图片描述
1.了解并遵守密码相关法律法规
2.正确使用密码产品
3.建立岗位责任制度,明确职责和权限
4.建立培训制度,对密码和密钥管理人员专门培训
5.建立关键岗位人员保密制度和调离制度,签订保密合同

实施

在这里插入图片描述
1.规划:
信息系统规划阶段,责任单位应依据密码相关标准,制定密码应用方案,组织专家进行评审,评审意见作为项目规划立项的重要材料。
通过专家审定后的方案应作为建设,验收和测评的重要依据。
2.建设:
应按照国家相关标准制定实施方案,至少包含:信息系统概述,安全需求分析,密码系统设计方案,密码产品清单(资质,功能,性能列表,生产单位),密码系统安全管理与维护策略,密码系统实施计划等。
应选用经过国家密码管理部门核准的密码产品、许可的密码服务。
3.运行:
运行前:经密评机构评估通过后方可正式运行
运行后:每年开展密码应用安全性评估并进行整改;重大安全隐患需停止系统运行,整改通过后再投入运行

应急
在这里插入图片描述
1.制定应急预案,做好应急资源准备
2.事件发生后应及时向信息系统的上级主管部门进行报告
3.处置完成后,应及时向同级 的密码主管部门报告事件发生情况及处置情况

标签:重要,0054,密码,完整性,密钥,GM,机密性,2018
来源: https://blog.csdn.net/weixin_44479940/article/details/111664959