本方案从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面进行密码应用技术设计,以实现保障信息系统的实体身份真实性、重要数据的机密性和完整性、操作行为的不可否认性;
并从信息系统的管理制度、人员管理、建设运行和应急处置四个方面提出密码应用管理方案,为信息系统提供管理方面的密码应用安全保障。
本技术方案设计主要由机密性、完整性、真实性、不可否认性四个密码安全功能维度构成,具体保护对象或应用场景描述如下:
a) 机密性技术要求保护对象方案
使用密码技术的加解密功能实现机密性,信息系统中保护的对象为:
1) 身份鉴别信息;
2) 密钥数据;
3) 传输的重要数据;
4)信息系统应用中所有存储的重要数据。
b) 完整性技术要求保护对象方案
使用基于对称密码算法或密码杂凑算法的消息鉴别码机制、基于公钥密码算法的数字签名机制等密码技术实现完整性,信息系统中保护的对象包括:
1) 身份鉴别信息;
2) 密钥数据;
3) 日志记录;
4) 访问控制信息;
5) 重要信息资源安全标记;
6) 重要可执行程序;
7) 视频监控音像记录;
8)电子门禁系统进出记录;
9) 传输的重要数据;
10) 信息系统应用中所有存储的重要数据。
c) 真实性技术要求应用场景
使用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码机制、基于公钥密码算法的数字签名机制等密码技术实现真实性,信息系统中应用场景为:
1) 进入重要物理区域人员的身份鉴别;
2) 通信双方的身份鉴别;
3) 网络设备接入时的身份鉴别;
4) 重要可执行程序的来源、真实性保证;
5) 登录操作系统和数据库系统的用户身份鉴别;
6) 应用系统的用户身份鉴别。
d) 不可否认性技术要求保护对象
使用基于公钥密码算法的数字签名机制等密码技术来保证数据原发行为的不可否认性和数据接收行为的不可否认性。
管理要求由管理制度、人员管理、建设运行、应急处置等四个密码应用管理维度构成,具体如下:
a) 密码应用安全管理相关流程制度的制定、发布、修订的规范性要求;
b) 密码相关安全人员的密码安全意识以及关键密码安全岗位员工的密码安全能力的培养,人员工作流程要求等;
c) 建设运行过程中密码应用安全要求及方案落地执行的一致性和有效性要求;
d) 处理密码应用安全相关的应急突发事件的能力要求。
管理制度
使用密码技术的信息系统应符合以下管理制度要求:
a) 应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度;
b) 应根据密码应用方案建立相应密钥管理规则;
c) 应对管理人员或操作人员执行的日常管理操作建立操作规程。
使用密码技术的信息系统应符合以下人员管理要求:
a) 相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度;
b) 应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限;
c) 应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能;
d) 应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。
本级要求包括:
a) 应依据密码相关标准和密码应用需求,制定密码应用方案;
b) 应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节。
c) 应按照应用方案实施建设;
d) 投入运行前宜进行密码应用安全性评估。
7.8 应急处置
本级要求为:应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,按照应急处置措施结合实际情况及时处置。
设备名录
主机监控与审计系统 | 用于对计算机的主要操作行为进行审计。产品包含管理端软件和客户端程序。主要功能包括: | 1 | 套 |
身份鉴别系统 | 用于对登录计算机操作系统的用户进行身份鉴别。产品包含管理端软件,客户端程序和用户USB KEY。主要功能包括: | 1 | 套 |
安全电子签章 | 产品包含管理端软件、客户端组件和用户USB KEY。主要功能包括:1.客户端软件安装在涉密专用服务器上,用于制作电子印章和查看日志。2.客户端组件安装在涉密专用计算机上,用于对电子文档加盖电子印章。3.用户USB KEY用于存储用户身份信息和电子印章,并可用于签章时的身份鉴别。 | 1 | 套 |
云服务器密码机 | 为信息安全传输系统提供高性能的数据加/解密服务,又可以作为主机数据安全存储系统、身份认证系统以及对称、非对称密钥管理系统的主要密码设备和核心构件,支持SM1/SM2/SM3/SM4/SM9及ZUC国密算法,可为用户解决敏感信息机密性、完整性、有效性和不可抵赖等安全性问题。 | 2 | 台 |
数字证书认证系统 | 统基于PKI关键技术,实现了用户注册、审核,密钥产生、分发,证书制证、签发、发布、下载、查询等一系列完整的证书中心服务功能,使应用系统能方便的使用加密和数字签名技术,从而保证网络信息传输的机密性、真实性、完整性和不可否认性,为应用和用户建立起一个安全的网络运行环境。 | 1 | 套 |
SSL VPN | 支持证书认证、用户名+口令、AD域、短信、机器码等多认证因子自由组合和细粒度控制 | 1 | 台 |
页面更新:2024-03-08
本站资料均由网友自行发布提供,仅用于学习交流。如有版权问题,请与我联系,QQ:4156828
© CopyRight 2020-2024 All Rights Reserved. Powered By 71396.com 闽ICP备11008920号-4
闽公网安备35020302034903号