安全資訊

密碼技術(shù)應用的背景及現狀

數字時(shí)代，各領(lǐng)域都在積極推動(dòng)數字經(jīng)濟的發(fā)展，與此同時(shí)，最大的掣肘就是數據安全，數據安全的重要性無(wú)與倫比，密碼技術(shù)作為數據安全的基礎支撐技術(shù)，已經(jīng)滲透到各行各業(yè)，并面臨新的挑戰，大量信息系統和敏感數據由于缺乏有效的密碼保護，造成數據泄露、篡改和身份仿冒事件頻發(fā)，密碼技術(shù)被黑客濫用、密碼應用不合規、密碼算法安全性能低等問(wèn)題需解決。

標準的意義與作用

為了更好的規范、指導各領(lǐng)域與行業(yè)信息系統密碼應用的規劃、建設、運行及測評工作，本標準明確了信息系統密碼應用技術(shù)框架，規定了信息系統第一級到第四級的密碼應用的基本要求；提出了物理和環(huán)境安全、網(wǎng)絡(luò )和通信安全、設備和計算安全、應用和數據安全等密碼應用技術(shù)要求，有效保障信息系統的實(shí)體身份真實(shí)性 ，重要數據的機密性和完整性、操作行為的不可否認性；制定了管理制度、人員管理、建設運行、應急處置等密碼應用管理要求，為信息系統管理提供安全保障。是《中華人民共和國密碼法》出臺實(shí)施之后，開(kāi)展商用密碼應用安全性評估工作的重要抓手。

關(guān)于“密評”和密評對象

商用密碼應用安全性評估：簡(jiǎn)稱(chēng)“密評”，是指對采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設的網(wǎng)絡(luò )和信息系統密碼應用的合規性、正確性、有效性進(jìn)行評估。開(kāi)展密評，是國家相關(guān)法律法規提出的明確要求，是網(wǎng)絡(luò )安全運營(yíng)者的法定責任和義務(wù)。

密評對象：基礎信息網(wǎng)絡(luò )、涉及國計民生和基礎信息資源的重要信息系統、重要工業(yè)控制系統、面向社會(huì )服務(wù)的政務(wù)信息系統，以及關(guān)鍵信息基礎設施、等保三級及以上的信息系統。

標準要點(diǎn)解讀

密碼應用技術(shù)要求

（1）機密性：通過(guò)加解密功能，對信息系統中的身份鑒別信息、密鑰數據以及其他重要的傳輸、存儲數據進(jìn)行保護。

（2）完整性：通過(guò)消息鑒別碼機制和數字簽名機制，對信息系統中的身份鑒別和訪(fǎng)問(wèn)控制信息、密鑰數據、重要傳輸、存儲數據、日志記錄、重要信息資源安全標記、重要可執行程序、視頻監控音像記錄和電子門(mén)禁系統進(jìn)出記錄進(jìn)行保護。

（3）真實(shí)性：通過(guò)動(dòng)態(tài)口令機制，對信息系統中進(jìn)入重要物理區域人員、應用系統用戶(hù)、登錄操作系統和數據庫系統的用戶(hù)、通信雙方、網(wǎng)絡(luò )設備接入時(shí)進(jìn)行身份鑒別，保證重要可執行程序的來(lái)源真實(shí)性。

（4）不可否認性：通過(guò)數字簽名機制，保證數據原發(fā)行為的不可否認性和數據接收行為的不可否認性。

基本要求：

  該標準從物理和環(huán)境安全、網(wǎng)絡(luò )和通信安全、設備和計算安全、應用和數據安全等四個(gè)方面提出了密碼應用技術(shù)要求,以及管理制度、人員管理、建設運行、應急處置等密碼應用管理要求。與GM/T0054-2018《信息系統密碼應用基本要求》相比,該標準結合近年來(lái)商用密碼應用與安全性評估工作實(shí)踐對部分內容進(jìn)行了優(yōu)化,按照信息系統安全等級分別提出了相應的密碼應用要求。