1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 建筑/施工
  5. 水利工程
网站大量收购独家精品文档,联系QQ:2885784924

水利统一密码服务设计框架、第二级、第三级水利信息系统密码应用基本技术要求汇总表、密钥生存周期管理.docxVIP

水利统一密码服务设计框架、第二级、第三级水利信息系统密码应用基本技术要求汇总表、密钥生存周期管理.docx

    1. 1、本文档共5页,可阅读全部内容。
    2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    附录A

    (资料性)

    水利统一密码服务设计框架

    水利密码应用技术框架包含密码支撑服务和密码安全应用两部分,如图1所示。

    图1水利统一密码服务设计框架

    密码支撑服务为信息系统应用密码提供支撑,包括密码资源和密码服务。

    密码资源是实现密码运算、密钥管理等功能的设备、系统、模块等,主要包括证书认证系统、密钥管理系统、云服务器/服务器密码机、签名验签服务器、SSLVPN/IPSecVPN安全网关、身份认证网关、电子签章系统、时间戳服务器等密码产品组成。遵循以下要求:

    针对密码资源可构建物理密码资源和虚拟密码资源共同组成的水利密码计算资源;

    密码资源的最大服务范围应控制在独立安全可控的网络区域内;

    密码资源应能够根据业务需求进行弹性扩充,并进行统一监控调度和分配,应具有协同处理和容错能力,避免单元设备故障或失效影响;

    密码资源内采用的密码产品应具备商用密码产品认证证书。

    密码服务以接口形式提供密码功能,供信息系统调用,以实现各信息系统密码应用需求。包括密码支撑平台和密钥管理服务、数据加解密服务、完整性验证服务、签名验签服务、数字证书服务、统一身份认证服务、电子签章服务、时间戳服务等各项服务。遵循以下要求。

    宜建设密码支撑平台对密码资源进行统一管理,并以服务接口的方式提供密码服务功能;

    信息系统对密码服务时效性、稳定性要求特别高时,可直接调用相应密码资源提供密码服务功能;

    应建立水利行业统一信任体系下的数字证书基础设施,实现水利数字证书统一签发、统一分发、统一管理等;

    宜构建统一的密钥安全管理和级联加解密服务。

    密码安全保障依托密码支撑服务为信息系统需提供基于密码的安全应用保障,围绕主要包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面,实现信息系统的机密性、完整性、真实性、不可否认性保护。

    附录B

    (资料性)

    第二级、第三级水利信息系统密码应用基本技术要求汇总表

    技术指标

    第二级

    第三级

    主要应用范围或功能点

    技术要求

    物理和环境安全

    身份鉴别

    重要物理区域(中心机房、灾备机房、控制室等)出入人员

    电子门禁记录数据存储完整性

    重要物理区域门禁日志记录数据

    视频监控记录数据存储完整性

    重要物理区域视频音像记录数据

    网络和通信安全

    身份鉴别

    信息系统与外界交互的通信信道两端(客户端/浏览器到信息系统服务端之间、VPN客户端到VPN服务端之间、信息系统与外部系统之间等)的通信实体

    通信过程重要数据机密性

    通信信道中传输的重要数据

    通信数据完整性

    通信信道中传输的数据

    网络边界访问控制信息完整性

    防火墙、边界路由、VPN等网络边界设备的访问控制列表

    安全接入认证

    外部连接到内部的设备

    设备和计算安全

    身份鉴别

    登录设备(通用设备、网络及安全设备、密码设备、堡垒机等)的管理员

    远程管理通道安全

    运维管理终端与设备之间的管理通道

    访问控制信息完整性

    设备操作系统的系统权限访问控制信息、系统文件目录的访问控制信息、数据库中的数据访问控制信息、堡垒机的权限访问控制信息等

    重要信息资源安全标记完整性

    通用设备、网络及安全设备、密码设备、堡垒机等的重要信息资源安全标记

    日志完整性

    通用设备、网络及安全设备、密码设备、堡垒机等的日志

    重要可执行程序完整性和来源真实性

    通用设备、网络及安全设备、密码设备、堡垒机等的重要可执行程序

    应用和数据安全

    身份鉴别

    登录或访问应用系统的用户

    访问控制信息完整性

    应用系统中的访问控制信息

    重要信息资源安全标记完整性

    应用系统中重要信息资源的安全标记

    重要数据机密性

    应用系统中的身份鉴别信息、个人信息、日志信息、业务数据等重要数据

    重要数据完整性

    应用系统中的身份鉴别信息、个人信息、日志信息、业务数据等重要数据

    不可否认性

    应用系统中的关键操作

    附录C

    (资料性)

    密钥生存周期管理

    C.1概述

    密钥管理对于保证密钥全生存周期的安全性是至关重要的,可以保证密钥(除公钥外)不被非授权的访问、使用、泄露、篡改和替换,可以保证公钥不被非授权的篡改和替换。信息系统的应用和数据层面的密钥体系由业务系统根据密码应用需求在密码应用方案中明确,并在密码应用实施中落实。密钥管理包括密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等环节。以下给出各个环节的密钥管理建议供参考。

    C.2密钥产生

    密钥可以以随机产生、协商产生等不同的方式来产生。密钥在符合GB/T37092的密码产品中产生是十分必要的,产生的同时可在密码产品中记录密钥关联信息,包括密钥种类、长度、拥有者、使用起始时间、使用终止时间等。

    C.3密钥分发

    您可能关注的文档

    最近下载

    文档评论(0)

    雄霸天下 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >