商用密码应用安全体系构建方案(1).pdf

商用密码应用安全体系构建方案 商用密码应用安全体系构建方案 一、商用密码应用要求 一、商用密码应用要求 商用密码应用系统是指采用商用密码产品或者含有密 商用密码应用系统是指采用商用密码产品或者含有密 码技术的产品集成建设的，实现相关信息的机密性、完整性、 码技术的产品集成建设的，实现相关信息的机密性、完整性、 真实性、抗抵赖性等功能的应用系统。国家密码管理局于 真实性、抗抵赖性等功能的应用系统。国家密码管理局于 2018 年2 月8 日正式发布实施了中华人民共和国密码行业标 2018 年2 月8 日正式发布实施了中华人民共和国密码行业标 准 GM/T 0054-2018 《信息系统密码应用基本要求》，该标准 准 GM/T 0054-2018 《信息系统密码应用基本要求》，该标准 提出了总体要求、密码功能要求、密码技术应用要求、密钥 提出了总体要求、密码功能要求、密码技术应用要求、密钥 管理和安全管理共五个部分的内容。 管理和安全管理共五个部分的内容。 信息系统密码应用基本要求 信息系统密码应用基本要求 在总体要求中，提出了符合商用密码管理的相关规定， 在总体要求中，提出了符合商用密码管理的相关规定， 满足标准规范的相关要求，包括密码算法、密码技术、密码 满足标准规范的相关要求，包括密码算法、密码技术、密码 产品、密码服务。 产品、密码服务。 在密码功能要求中，规定了信息系统中需要使用密码技 在密码功能要求中，规定了信息系统中需要使用密码技 术保护的对象，包括机密性、完整性、真实性、不可否认性。 术保护的对象，包括机密性、完整性、真实性、不可否认性。 在密码技术应用要求中，规定了密码技术的应用要求，要求 在密码技术应用要求中，规定了密码技术的应用要求，要求 项依据等级增加和增强，包括物理和环境安全、网络和通信 项依据等级增加和增强，包括物理和环境安全、网络和通信 安全、设备和计算安全、应用和数据安全。 安全、设备和计算安全、应用和数据安全。 在密钥管理中，对密钥的全生命周期提出了要求，包括 在密钥管理中，对密钥的全生命周期提出了要求，包括 密钥生成、密钥存储、密钥分发、密钥导入与导出、密钥使 密钥生成、密钥存储、密钥分发、密钥导入与导出、密钥使 用、密钥备份与恢复、密钥归档、密钥销毁。 用、密钥备份与恢复、密钥归档、密钥销毁。 在安全管理中，规定了密码安全管理要求，包括制度、 在安全管理中，规定了密码安全管理要求，包括制度、 人员、实施、应急，其中实施分为规划、建设、运行。 人员、实施、应急，其中实施分为规划、建设、运行。 二、商用密码应用安全解决方案 二、商用密码应用安全解决方案 基于商用密码应用安全的发展方向，配合网络运营者安 基于商用密码应用安全的发展方向，配合网络运营者安 全需求与安全建设，我们提出了商用密码应用安全解决方 全需求与安全建设，我们提出了商用密码应用安全解决方 案，在 《中华人民共和国密码法》正式施行的新时代下为各 案，在 《中华人民共和国密码法》正式施行的新时代下为各 行业信息化发展提供借鉴与参考。 行业信息化发展提供借鉴与参考。 商用密码应用安全体系框架由密码安全能力支撑和密 商用密码应用安全体系框架由密码安全能力支撑和密 码安全服务支撑两部分组成。其中密码安全能力包含了密码 码安全服务支撑两部分组成。其中密码安全能力包含了密码 资源、密码支撑、密码服务、密码应用以及密码管理基础设 资源、密码支撑、密码服务、密码应用以及密码管理基础设 施。密码安全服务包含了技术要求、管理要求和密钥管理。 施。密码安全服务包含了技术要求、管理要求和密钥管理。 商用密码应用系统 商用密码应用系统 密码安全能力包含了密码资源、密码