English/英文

【等保资讯】等保的4个技术层面怎样才能符合密码法相关要求?
2019-10-31
[摘要] 《网络安全法》中规定,务必采取数据分类、重要数据备份、加密等措施维护网络运行安全。
《中华人民共和国密码法》将密码分为核心密码、普通密码、商用密码三类,分别实行管理。其中核心密码、普通密码用于保护国家秘密信息,隶属于国家秘密;商用密码用于保护不属于国家秘密的信息;公民、法人、其他组织可以依法使用商用密码保护网络与信息安全。
 
 

《网络安全法》中规定,务必采取数据分类、重要数据备份、加密等措施维护网络运行安全。

 

等级保护2.0规定,涉及网络及传输的国家秘密信息应依法采用密码保护,第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务等。

 

此外,国家密码管理局于2018年2月8日发布的《信息系统密码应用基本要求》明确提出,等保二级及以上信息系统要求应采用符合《GM/T0028-2014密码模块安全要求》中相应等级密码模块,或通过国家密码管理部门核准的硬件密码产品以实现密码的运算和密钥管理等。

 

不仅如此,商用密码产品的质量与安全性直接关系到国家安全和社会公共利益。该制度与《网络安全法》规定的网络关键设备与网络安全专用产品强制性检测认证制度是衔接一致的。因此,强制性认证制度仅适用于使用网络关键设备和网络安全专用产品的商用密码服务等。而商用密码服务主要包含了密码保障系统集成、运营、监理等。

 

密码安全性评估以GM/T0054标准为主要依据

当前,我国密码安全性评估主要依据是《GM∕T 0054-2018 信息系统密码应用基本要求》,其对信息系统的规划、建设、运行三个阶段的密码应用情况安全性评估进行了详细的规定,主要集中在密码算法、密码技术、密码产品和密码服务四个方面。

 

接下来,我们把从安全视角看到的等级保护系统的技术结构做一个简要的介绍。GM/T0054的密码应用要求就是其中一个,主要借鉴了等保2.0的体系架构来提出相应的密码应用要求。
 

 

“密码技术应用要求”,标准中分为四个层面提出要求,每个层面都是先说总则,然后针对等保一级、等保二级、等保三级、等保四级信息系统分别提出要求。

 

从图中可以看出,0054沿用了等级保护V2.0标准中的四层结构,也就是说是从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全共四个层面来提出信息系统中应该如何用密码的要求。

 

具体到每一层的要求是什么样的,一般来说采用哪些手段能符合相关要求呢?据0054原文,整理了几张小图,供大家参考。需要说明的是,图中橙色部分均从标准原文中针对等保三级系统的要求中提炼出来,而绿色部分的“典型产品”非标准内容,仅为个人理解,这些产品类别均从商密办网站公布的型号产品类别中选出。




当然,并不是上述各层密码类产品都需要在等保三级信息系统中去部署,具体方案需要根据实际情况进行设计,设计内容在各个信息系统的“密码应用方案”中进行明确。

 

密码进行分类管理 需主动进行密码安全评估

本次密码法发布对于非涉密的企事业单位来说,最大的影响就是必须要主动进行“密码安全性评估”。根据《密码法》要求,商用密码产品及服务使用方应按照国家密码管理局有关规定,对商用密码产品、密码服务、密码技术进行安全性以及合规性认证。而对关键信息基础设施,应采用商用密码进行保护,并进行密码安全性评估,同时与关键信息基础设施安全检测评估、网络安全等级测评制度密码相关要求相衔接。

 

本文来源网络