要符合密码法的要求，网络安全等级保护的四个技术层面该如何做？.pdfVIP

要符合密码法的要求，网络安全等级保护的四个技术层面该如何做？--第1页 要符合密码法的要求，⽹络安全等级保护的四个技术层⾯该如何做？ 《中华⼈民共和国密码法》将密码分为核⼼密码、普通密码、商⽤密码三类，分别实⾏管理。其中核⼼密码、普通密码 ⽤于保护国家秘密信息，⾪属于国家秘密；商⽤密码⽤于保护不属于国家秘密的信息；公民、法⼈、其他组织可以依法 使⽤商⽤密码保护⽹络与信息安全。 《⽹络安全法》中规定，务必采取数据分类、重要数据备份、加密等措施维护⽹络运⾏安全。 等级保护2.0规定，涉及⽹络及传输的国家秘密信息应依法采⽤密码保护，第三级以上⽹络应当采⽤密码保护，并使⽤ 国家密码管理部门认可的密码技术、产品和服务等。 此外，国家密码管理局于2018年2⽉8 ⽇发布的《信息系统密码应⽤基本要求》明确提出，等保⼆级及以上信息系统要 求应采⽤符合《GM/T0028-2014密码模块安全要求》中相应等级密码模块，或通过国家密码管理部门核准的硬件密码产 品以实现密码的运算和密钥管理等。 不仅如此，商⽤密码产品的质量与安全性直接关系到国家安全和社会公共利益。该制度与《⽹络安全法》规定的⽹络关 键设备与⽹络安全专⽤产品强制性检测认证制度是衔接⼀致的。因此，强制性认证制度仅适⽤于使⽤⽹络关键设备和⽹ 络安全专⽤产品的商⽤密码服务等。⽽商⽤密码服务主要包含了密码保障系统集成、运营、监理等。 密码安全性评估以GM/T0054标准为主要依据 当前，我国密码安全性评估主要依据是《GM⁄T 0054-2018 信息系统密码应⽤基本要求》，其对信息系统的规划、建 设、运⾏三个阶段的密码应⽤情况安全性评估进⾏了详细的规定，主要集中在密码算法、密码技术、密码产品和密码服 务四个⽅⾯。 接下来，我们把从安全视⾓看到的等级保护系统的技术结构做⼀个简要的介绍。GM/T0054的密码应⽤要求就是其中⼀ 个，主要借鉴了等保2.0的体系架构来提出相应的密码应⽤要求。 “密码技术应⽤要求”，标准中分为四个层⾯提出要求，每个层⾯都是先说总则，然后针对等保⼀级、等保⼆级、等保三 级、等保四级信息系统分别提出要求。 从图中可以看出，0054沿⽤了等级保护V2.0标准中的四层结构，也就是说是从信息系统的物理和环境安全、⽹络和通 信安全、设备和计算安全、应⽤和数据安全共四个层⾯来提出信息系统中应该如何⽤密码的要求。 具体到每⼀层的要求是什么样的，⼀般来说采⽤哪些⼿段能符合相关要求呢？据0054原⽂，整理了⼏张⼩图，供⼤家参 考。需要说明的是，图中橙⾊部分均从标准原⽂中针对等保三级系统的要求中提炼出来，⽽绿⾊部分的“典型产品”⾮标 准内容，仅为个⼈理解，这些产品类别均从商密办⽹站公布的型号产品类别中选出。 当然，并不是上述各层密码类产品都需要在等保三级信息系统中去部署，具体⽅案需要根据实际情况进⾏设计，设计内 容在各个信息系统的“密码应⽤⽅案”中进⾏明确。 密码进⾏分类管理需主动进⾏密码安全评估 本次密码法发布对于⾮涉密的企事业单位来说，最⼤的影响就是必须要主动进⾏“密码安全性评估”。根据《密码法》要 求，商⽤密码产品及服务使⽤⽅应按照国家密码管理局有关规定，对商⽤密码产品、密码服务、密码技术进⾏安全性以 及合规性认证。⽽对关键信息基础设施，应采⽤商⽤密码进⾏保护，并进⾏密码安全性评估，同时与关键信息基础设施 安全检测评估、⽹络安全等级测评制度密码相关要求相衔接。 要符合密码法的要求，网络安全等级保护的四个技术层面该如何做？--第1页