等保2.0密码技术应用分析.pdf

1 等保 2.0 三级要求的通用要求 等保 2.0 三级从 8.1.2 安全通信网络、 8.1.4 安全计算环境、 8.1.9 安全建设管理、 8.1.10 安全运维管理四个域对密码技术与产品提出了要求， 主要涉及以下八处密 码技术： 8.1.2.2 通信传输 a)应采用校验技术或密码技术保证通信过程中数据的完整性； b)应采用密码技术保证通信过程中数据的必威体育官网网址性。 8.1.4.1 身份鉴别 d)应采用口令、 密码技术、 生物技术等两种或两种以上组合的鉴别技术对用户进 行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。 8.1.4.7 数据完整性 a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性， 包括但不限 于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重 要个人信息等； b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性， 包括但不限 于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重 要个人信息等。 8.1.4.8 数据必威体育官网网址性 a)应采用密码技术保证重要数据在传输过程中的必威体育官网网址性，包括但不限于鉴别数 据、重要业务数据和重要个人信息等； b)应采用密码技术保证重要数据在存储过程中的必威体育官网网址性，包括但不限于鉴别数 据、重要业务数据和重要个人信息等。 8.1.9.2 安全方案设计 精选文档 b)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体 规划和安全方案设计，设计内容应包含密码技术相关内容，并形成配套文件； 8.1.9.3 产品采购和使用 b)应确必威体育官网网址码产品与服务的采购和使用符合国家密码管理主管部门的要求； 8.1.9.7 测试验收 b)应进行上线前的安全性测试， 并出具安全测试报告， 安全测试报告应包含密码 应用安全性测试相关内容。 8.1.10.9 密码管理 b)应使用国家密码管理主管部门认证核准的密码技术和产品。 2 等保 2.0 与 0054 标准中对密码技术的要 求分析 将等保 2.0 中对密码技术与产品的要求， 细化映射到 《GM/T 0054-2018 信息系 统密码应用基本要求》标准（简称 “0054标准 ”）中对密码的技术要求，如下表 所示： — 2 精选文档 — 3 精选文档 — 4 精选文档 1 等保 2.0 与 0054 标准对数据完整性的密码技术要求分析 等保 2.0 在 8.1.2 安全通信网络、 8.1.4 安全计算环境中提出， 可以采用密码技术 来保证数据的完整性，其中主要保护的主体是 8.1.2 安全通信网络中通信数据、 8.1.4 安全计算环境中包括但不限于鉴别数据、重要业务数据、重要审计数据、 重要配置数据、重要视频数据和重要个人信息。映射到 0054 标准中三级要求的 —