等保的4个技术层面怎样才能符合密码法相关要求 (密码法技术标准)
等保的4个技术层面怎样才能符合密码法相关要求 (密码法技术标准)
《中华人民共和国密码法》将密码分为核心密码、普通密码、商用密码三类,分别实行管理。其中核心密码、普通密码用于保护国家秘密信息,隶属于国家秘密;商用密码用于保护不属于国家秘密的信息;公民、法人、其他组织可以依法使用商用密码保护网络与信息安全。
《网络安全法》中规定,务必采取数据分类、重要数据备份、加密等措施维护网络运行安全。
等级保护2.0规定,涉及网络及传输的国家秘密信息应依法采用密码保护,第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务等。
此外,国家密码管理局于2018年2月8日发布的《信息系统密码应用基本要求》明确提出,等保二级及以上信息系统要求应采用符合《GM/T0028-2014密码模块安全要求》中相应等级密码模块,或通过国家密码管理部门核准的硬件密码产品以实现密码的运算和密钥管理等。
不仅如此,商用密码产品的质量与安全性直接关系到国家安全和社会公共利益。该制度与《网络安全法》规定的网络关键设备与网络安全专用产品强制性检测认证制度是衔接一致的。因此,强制性认证制度仅适用于使用网络关键设备和网络安全专用产品的商用密码服务等。而商用密码服务主要包含了密码保障系统集成、运营、监理等。
密码安全性评估以GM/T0054标准为主要依据
当前,我国密码安全性评估主要依据是《GM∕T 0054-2018 信息系统密码应用基本要求》,其对信息系统的规划、建设、运行三个阶段的密码应用情况安全性评估进行了详细的规定,主要集中在密码算法、密码技术、密码产品和密码服务四个方面。
接下来,我们把从安全视角看到的等级保护系统的技术结构做一个简要的介绍。GM/T0054的密码应用要求就是其中一个,主要借鉴了等保2.0的体系架构来提出相应的密码应用要求。
“密码技术应用要求”,标准中分为四个层面提出要求,每个层面都是先说总则,然后针对等保一级、等保二级、等保三级、等保四级信息系统分别提出要求。
从图中可以看出,0054沿用了等级保护V2.0标准中的四层结构,也就是说是从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全共四个层面来提出信息系统中应该如何用密码的要求。
具体到每一层的要求是什么样的,一般来说采用哪些手段能符合相关要求呢?据0054原文,整理了几张小图,供大家参考。需要说明的是,图中橙色部分均从标准原文中针对 等保三级 系统的要求中提炼出来,而绿色部分的“典型产品”非标准内容,仅为个人理解,这些产品类别均从商密办网站公布的型号产品类别中选出。
当然,并不是上述各层密码类产品都需要在等保三级信息系统中去部署,具体方案需要根据实际情况进行设计,设计内容在各个信息系统的“密码应用方案”中进行明确。
密码进行分类管理 需主动进行密码安全评估
本次密码法发布对于非涉密的企事业单位来说,最大的影响就是必须要主动进行“密码安全性评估”。根据《密码法》要求,商用密码产品及服务使用方应按照国家密码管理局有关规定,对商用密码产品、密码服务、密码技术进行安全性以及合规性认证。而对关键信息基础设施,应采用商用密码进行保护,并进行密码安全性评估,同时与关键信息基础设施安全检测评估、网络安全等级测评制度密码相关要求相衔接。
国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。
《中华人民共和国密码》第二十二条 国家建立和完善商用密码标准体系。
国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。
国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
第二十三条 国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。
国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
第二十四条 商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。
国家鼓励商 用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。
《中华人民共和国密码法》规定国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。
《中华人民共和国密码法》 第二十二条 国家建立和完善商用密码标准体系。
国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。
国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
第二十四条 商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。
国家鼓励商 用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。
第二十三条 国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。
国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
《中华人民共和国密码法》旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。十三届全国人大常委会第十四次会议表决通过密码法,于2020年1月1日起施行。
密码法是总体国家安全观框架下,国家安全法律体系的重要组成部分,其颁布实施将极大提升密码工作的科学化、规范化、法治化水平,有力促进密码技术进步、产业发展和规范应用,切实维护国家安全、社会公共利益以及公民、法人和其他组织的合法权益,同时也将为密码部门提高“三服务”能力提供坚实的法治保障。
扩展资料
密码是我们党和国家的“命门”、“命脉”,是国家重要战略资源。密码工作是党和国家的一项特殊重要工作,直接关系国家政治安全、经济安全、国防安全和信息安全,在我国革命、建设、改革各个历史时期,都发挥了不可替代的重要作用。进入新时代,密码工作面临着许多新的机遇和挑战,担负着更加繁重的保障和管理任务,制定一部密码领域综合性、基础性法律十分必要。
在核心密码、普通密码方面,深入贯彻总体国家安全观,将现行有效的基本制度、特殊管理政策及保障措施法治化;在商用密码方面,充分体现职能转变和“放管服”改革要求,明确公民、法人和其他组织均可依法使用。
参考资料来源:百度百科—中华人民共和国密码法
参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。
根据《中华人民共和国密码法》第二十三条规定,国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
《密码法》第二十二条还规定,国家建立和完善商用密码标准体系。国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
扩展资料:
我国对密码实行分类管理。密码分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。
核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
商用密码则是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。商用密码技术是商用密码的核心,是信息化时代社会团体、组织、企事业单位和个人用于保护自身权益的重要工具。
国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。
参考资料来源:百度百科—中华人民共和国密码法
参考资料来源:百度百科—商用密码
