联系人:邓女士
座机:010-59433750
手机:15801674634
邮 箱:dengshuang@secspace.com
地 址:北京市海淀区金码大厦B座2328
网络安全等级保护:密码知识基础
密码介绍
密码学是网络安全的一个重要方面,但专业人士在这一方面往往存在很大差距。大多数网络安全专业人士只知道特定认证考试的内容,例如国外 CompTIA Security+ 和 CISSP,国内CISP认证,都对密码知识进行考验。不幸的是,这种知识水平不足以让您做出重要的安全决策。本文的目标是为您提供足够的知识,以便能够提出好问题。也就是,需要大家系统性的学习一下密码学知识,以便更好的理解网络安全等级保护工作中的密码安全要求。
密码学知识是等级保护技术层面重要组成部分,在等级保护中,我们以第三级为例,有关密码技术和管理要求对应测评项要求如下:
技术层面:
安全通信网络
| 通信传输 |
| 本项要求包括: |
| a)应采用校验技术或密码技术保证通信过程中数据的完整性; |
| b)应采用密码技术保证通信过程中数据的保密性。 |
安全计算环境
| 身份鉴别 |
| 本项要求包括: |
| a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; |
| b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; |
| c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; |
| d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 |
| 数据完整性 |
| 本项要求包括: |
| a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; |
| b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 |
| 数据保密性 |
| 本项要求包括: |
| a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等; |
| b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。 |
管理层面:
安全建设管理
| 安全方案设计 |
| 本项要求包括: |
| a)应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; |
| b)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码技术相关内容,并形成配套文件; |
| c)应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。 |
| 产品采购和使用 |
| 本项要求包括: |
| a)应确保网络安全产品采购和使用符合国家的有关规定; |
| b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求; |
| c)应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。 |
| 测试验收 |
| 本项要求包括: |
| a)应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告; |
| b)应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。 |
安全运维管理
| 密码管理 |
| 本项要求包括: |
| a)应遵循密码相关国家标准和行业标准; |
| b)应使用国家密码管理主管部门认证核准的密码技术和产品。 |
等
发布者:付晓敏 点击数:239 发布时间:2023-12-25 17:23:38 更新时间:2023-12-25 17:23:38