企业加密|文件加密|图纸加密-棱镜软件(济南)有限公司

深度解读丨《信息安全技术 信息系统密码应用基本要求》

分享到:

2021年3月,国家市场监督管理总局、国家标准化管理委员会正式发布《信息安全技术??信息系统密码应用基本要求》(GB/T 39786—2021),自2021年10月1日起实施。


密码技术应用的背景及现状数字时代,各领域都在积极推动数字经济的发展,与此同时,最大的掣肘就是数据安全,数据安全的重要性无与伦比,密码技术作为数据安全的基础支撑技术,已经渗透到各行各业,并面临新的挑战,大量信息系统和敏感数据由于缺乏有效的密码保护,造成数据泄露、篡改和身份仿冒事件频发,密码技术被黑客滥用、密码应用不合规、密码算法安全性能低等问题亟需解决。标准的意义与作用为了更好的规范、指导各领域与行业信息系统密码应用的规划、建设、运行及测评工作,本标准明确了信息系统密码应用技术框架,规定了信息系统第一级到第四级的密码应用的基本要求;提出了物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等密码应用技术要求,有效保障信息系统的实体身份真实性 ,重要数据的机密性和完整性、操作行为的不可否认性;制定了管理制度、人员管理、建设运行、应急处置等密码应用管理要求,为信息系统管理提供安全保障。是《中华人民共和国密码法》出台实施之后,开展商用密码应用安全性评估工作的重要抓手。关于“密评”和密评对象商用密码应用安全性评估:简称“密评”,是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。开展密评,是国家相关法律法规提出的明确要求,是网络安全运营者的法定责任和义务。密评对象:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、等保三级及以上的信息系统。标准要点解读密码应用技术要求(1)机密性:通过加解密功能,对信息系统中的身份鉴别信息、密钥数据以及其他重要的传输、存储数据进行保护。(2)完整性:通过消息鉴别码机制和数字签名机制,对信息系统中的身份鉴别和访问控制信息、密钥数据、重要传输、存储数据、日志记录、重要信息资源安全标记、重要可执行程序、视频监控音像记录和电子门禁系统进出记录进行保护。(3)真实性:通过动态口令机制,对信息系统中进入重要物理区域人员、应用系统用户、登录操作系统和数据库系统的用户、通信双方、网络设备接入时进行身份鉴别,保证重要可执行程序的来源真实性。(4)不可否认性:通过数字签名机制,保证数据原发行为的不可否认性和数据接收行为的不可否认性。基本要求信息系统密码应用基本要求划分为四个等级,密码保障能力逐级增强,相应级别的密码保障技术能力及管理能力如下:(其中“可”表示可以,“宜”表示推荐、建议,“应”表示要求、应该。)※ 物理和环境安全:


※ 网络和通信安全:


※ 设备和计算安全:


※ 应用和数据安全:


※ 管理制度:


※ 人员管理:


※ 建设运行:


※ 应急处置:

上一篇:互联网去何处?乌镇峰会首倡 “数字文明”,加码数据安全
下一篇:非法获取计算机信息系统数据罪-加密技术在计算机信息数据安全防范的应用