等保2.0密碼技術(shù)應(yīng)用分析

1、1等保2.0三級(jí)要求的通用要求等保2.0三級(jí)從8.1.2安全通信網(wǎng)絡(luò)、8.1.4安全計(jì)算環(huán)境、8.1.9安全建設(shè)管理、1.1.1.1 全運(yùn)維管理四個(gè)域?qū)γ艽a技術(shù)與產(chǎn)品提出了要求，主要涉及以下八處密碼技術(shù)：1.1.1.2 通信傳輸a）應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性；b）應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的保密性。8.1.4.1 身份鑒別d）應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶(hù)進(jìn) 行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)。8.1.4.7 數(shù)據(jù)完整性a）應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)

2、務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重 要個(gè)人信息等；b）應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等。8.1.4.8 數(shù)據(jù)保密性a）應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等；b）應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等。8.1.9.2 安全方案設(shè)計(jì)b）應(yīng)根據(jù)保護(hù)對(duì)象的安全保護(hù)等級(jí)及與其他級(jí)別保護(hù)對(duì)象的關(guān)系進(jìn)行安全整體規(guī)劃和安全方案設(shè)計(jì)，設(shè)計(jì)內(nèi)容應(yīng)包含密碼技術(shù)相

3、關(guān)內(nèi)容，并形成配套文件；8.1.9.3 產(chǎn)品采購(gòu)和使用b）應(yīng)確保密碼產(chǎn)品與服務(wù)的采購(gòu)和使用符合國(guó)家密碼管理主管部門(mén)的要求；8.1.9.7 測(cè)試驗(yàn)收b）應(yīng)進(jìn)行上線前的安全性測(cè)試，并出具安全測(cè)試報(bào)告，安全測(cè)試報(bào)告應(yīng)包含密碼 應(yīng)用安全性測(cè)試相關(guān)內(nèi)容。8.1.10.9 密碼管理b）應(yīng)使用國(guó)家密碼管理主管部門(mén)認(rèn)證核準(zhǔn)的密碼技術(shù)和產(chǎn)品。2等保2.0與0054標(biāo)準(zhǔn)中對(duì)密碼技術(shù)的要求分析將等保2.0中對(duì)密碼技術(shù)與產(chǎn)品的要求，細(xì)化映射到GM/T 0054-2018 信息系 統(tǒng)密碼應(yīng)用基本要求標(biāo)準(zhǔn)（簡(jiǎn)稱(chēng) “0054標(biāo)準(zhǔn)”）中對(duì)密碼的技術(shù)要求，如下表 所示：四性機(jī)密性完整性真實(shí)性不可否認(rèn)性GWOO52O1X中具體要

4、求密碼技術(shù)密碼加密電子門(mén)禁系統(tǒng)進(jìn)出記錄重要物理區(qū)域人員身份鑒別消息鑒別碼( M AC )或數(shù) 字簽名對(duì)稱(chēng)加密、動(dòng) 態(tài)口令.數(shù)字簽名網(wǎng)絡(luò)和信息系統(tǒng)中所有需要無(wú)據(jù)認(rèn)行為,包 括發(fā)送、接收、審ML創(chuàng)建、修改、刪除、添 數(shù)字簽名 加、配皆等操作敏感信息數(shù)據(jù)字段竭個(gè)報(bào)文密碼加密網(wǎng)絡(luò) 與通 全通信過(guò)程中數(shù)據(jù)網(wǎng)絡(luò)邊界和系統(tǒng)資源訪問(wèn)控制信息消息鑒別碼(MAC )蛾字簽名設(shè)備不 可否 認(rèn) 性通信雙方身份認(rèn)證網(wǎng)絡(luò)和信息系統(tǒng)中所有需要無(wú)去否認(rèn)行為，包 括發(fā)送、剜I、審批 創(chuàng)建、修改，刪除、添加、配置轆作身份鑒別信息資源訪問(wèn)控制信息重要信息資源敏感標(biāo)記日志記錄重要程序或文件對(duì)稱(chēng)加密、動(dòng)態(tài)口令.數(shù)字簽名數(shù)字簽名等密碼加

5、密消息鑒別碼(MAC )竣 學(xué)經(jīng)名與計(jì) 算安全音錄用戶(hù)身份鑒刖對(duì)稱(chēng)加密“動(dòng)態(tài)口令、數(shù)字簽名不 可 否 認(rèn) 性數(shù)抻名等密碼加密訪問(wèn)控制策略倡息/重要信朦資源敏感標(biāo)記消息姮!）碼（網(wǎng)絡(luò)和信息系統(tǒng)中所有需要而去否認(rèn)行為，包 括發(fā)送、接收、審批創(chuàng)建、修改、刪除、添 加、配置等操作MAC ）同 字簽名重要數(shù)據(jù) 日志記錄登錄用戶(hù)身份鑒別對(duì)稱(chēng)加密、動(dòng) 態(tài)口令、數(shù)字簽名不 可否 認(rèn) 性網(wǎng)絡(luò)和信息系統(tǒng)中所有需要無(wú)法否認(rèn)行為，包括發(fā)送、接收、審批；創(chuàng)建、修改、刪除、添 加、配置等操作數(shù)字簽名等在密碼運(yùn)算和密鑰管理的實(shí)現(xiàn)上，推薦采用符合GM"制”的三級(jí)及以上密碼模塊或通過(guò)國(guó)家密碼管理部門(mén)核準(zhǔn)的硬件密碼產(chǎn)品

6、.1等保2.0與0054標(biāo)準(zhǔn)對(duì)數(shù)據(jù)完整性的密碼技術(shù)要求分析等保2.0在8.1.2安全通信網(wǎng)絡(luò)、8.1.4安全計(jì)算環(huán)境中提出，可以采用密碼技術(shù)來(lái)保證數(shù)據(jù)的完整性，其中主要保護(hù)的主體是8.1.2安全通信網(wǎng)絡(luò)中通信數(shù)據(jù)、8.1.4安全計(jì)算環(huán)境中包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息。映射到 0054標(biāo)準(zhǔn)中三級(jí)要求的物理與環(huán)境安全、網(wǎng)絡(luò)與通信安全，設(shè)備與計(jì)算的安全中，主要保護(hù)的數(shù)據(jù)就是 電子門(mén)禁系統(tǒng)進(jìn)出記錄、視頻監(jiān)控音像記錄、通信中的數(shù)據(jù)、資源訪問(wèn)控制信息、 重要信息資源敏感標(biāo)記日志記錄、訪問(wèn)控制策略 /信息/重要信息資源敏感標(biāo)記、 重要數(shù)據(jù)、日志記

7、錄等數(shù)據(jù)。這些數(shù)據(jù)應(yīng)采用密碼技術(shù)進(jìn)行保護(hù)， 保證數(shù)據(jù)的完 整性，主要的密碼技術(shù)實(shí)現(xiàn)方式可采用消息鑒別碼（ MAC）或數(shù)字簽名。2等保2.0與0054標(biāo)準(zhǔn)對(duì)身份鑒別中的密碼技術(shù)要求分析等保2.0中在8.1.4安全計(jì)算環(huán)境中對(duì)身份鑒別中的密碼技術(shù)提出要求，要求身份鑒別中至少要使用一種密碼技術(shù)， 模糊原來(lái)等保1.0中的物理與環(huán)境安全、網(wǎng) 絡(luò)與通信安全，設(shè)備與計(jì)算的安全、應(yīng)用與數(shù)據(jù)安全的概念。0054標(biāo)準(zhǔn)繼續(xù)沿用等保1.0,仍從物理與環(huán)境、設(shè)備與計(jì)算、網(wǎng)絡(luò)與通信，設(shè)備與計(jì)算的安全、 應(yīng)用與數(shù)據(jù)安全，對(duì)信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備以及用戶(hù)的登錄都做了詳細(xì)的密碼技 術(shù)要求，從而保證四大層面上網(wǎng)絡(luò)設(shè)備的邊界接入、管

8、理員、審計(jì)員、操作用戶(hù) 的身份的真實(shí)性。主要的密碼技術(shù)實(shí)現(xiàn)方式可采用對(duì)稱(chēng)加密、動(dòng)態(tài)口令、數(shù)字簽 夕箋中 03等保2.0與0054標(biāo)準(zhǔn)對(duì)數(shù)據(jù)保密性的密碼技術(shù)要求分析等保2.0中8.1.4安全計(jì)算環(huán)境對(duì)數(shù)據(jù)的保密性也提出了要求，映射到 0054標(biāo) 準(zhǔn)的網(wǎng)絡(luò)與通信安全，設(shè)備與計(jì)算的安全、應(yīng)用與數(shù)據(jù)安全三大層面中，即是對(duì) 數(shù)據(jù)的機(jī)密性要求。即設(shè)備與計(jì)算中敏感信息數(shù)據(jù)字段或整個(gè)報(bào)文、網(wǎng)絡(luò)與通信 身份鑒別信息、應(yīng)用與數(shù)據(jù)安全重要數(shù)據(jù)，都需要密碼技術(shù)來(lái)保證機(jī)密性，主要 的密碼技術(shù)實(shí)現(xiàn)方式為加密。4等保2.0與0054標(biāo)準(zhǔn)對(duì)不可否認(rèn)性的密碼技術(shù)要求分析此外，0054標(biāo)準(zhǔn)中對(duì)不可否認(rèn)性也要做了要求，主要保證的是

9、網(wǎng)絡(luò)和信息系統(tǒng) 中所有需要無(wú)法否認(rèn)行為，包括發(fā)送、接收、審批、創(chuàng)建、修改、刪除、添加、 配置等操作。主要的密碼技術(shù)實(shí)現(xiàn)方式為數(shù)字簽名等。5等保2.0與0054標(biāo)準(zhǔn)對(duì)密碼產(chǎn)品與服務(wù)的要求分析等保2.0中對(duì)8.1.9.3產(chǎn)品采購(gòu)、8.1.10.9密碼管理中要求密碼產(chǎn)品與服務(wù)的采 購(gòu)和使用符合國(guó)家密碼管理主管部門(mén)的要求， 0054標(biāo)準(zhǔn)的總體要求中對(duì)密碼算 法、密碼技術(shù)、密碼產(chǎn)品、密碼服務(wù)都做出要求，具體如下： 密碼算法信息系統(tǒng)中使用的密碼算法應(yīng)當(dāng)符合法律、 法規(guī)的規(guī)定和密碼相關(guān)國(guó)家 標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求。密碼技術(shù)信息系統(tǒng)中使用的密碼技術(shù)應(yīng)遵循密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。密碼產(chǎn)品信息系統(tǒng)中使用的密碼產(chǎn)品與密碼模塊應(yīng)通過(guò)國(guó)家密碼管理部門(mén)核準(zhǔn)。密碼服務(wù)信息系統(tǒng)中使用的密碼服務(wù)應(yīng)通過(guò)國(guó)家密碼管理部門(mén)許可。以上要求可以看出，0054標(biāo)準(zhǔn)中要求信息系統(tǒng)密碼應(yīng)用中所使用的算法、技術(shù)、 產(chǎn)品、服務(wù)也都需要遵循國(guó)家密碼管理主管部門(mén)的要求。6等保2.0與0054標(biāo)準(zhǔn)對(duì)密碼方案及測(cè)評(píng)驗(yàn)收要求分析等保2.0對(duì)密碼方案及測(cè)評(píng)驗(yàn)