规定内容
从通用要求、技术要求、管理要求三方面对密评系统做出要求。
其中技术要求分为物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个方面。
管理要求分为管理制度、人员管理、建设运行、应急处置四个方面。
法规适用对象
通用要求适用于第一至第五级密评系统,技术要求和管理要求适用于第一至第四级密评系统。
功能维度
技术要求,保障信息系统的实体身份真实性、重要数据的机密性和完整性、操作行为的不可否认性;
管理要求,保障信息系统的管理安全。
通用要求解读
[qzdypre]法规原文
第一级到第五级的信息系统应符合以下通用要求:
a)信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求;
b)信息系统中使用的密码技术应遵循密码相关国家标准和行业标准;
C)信息系统中使用的密码产品、密码服务应符合法律法规的相关要求。[/qzdypre]
信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求
包含:
1.对称算法 SM1(标准未公开,采用专用硬件加密芯片)
2.SM4、SM7(智能卡专用)
3.非对称算法 SM2
4.杂凑算法 SM3
5.标识算法 SM9
6.流加密算法 ZUC
信息系统中使用的密码技术应遵循密码相关国家标准和行业标准
包含:
1.随机数生成技术,保证密钥生成安全,采用真随机数发生器。
2.签名验证技术,保证信息的真实性、完整性、不可否认性。所用算法: SM2+SM3、SM9+SM3。
3.加解密技术,保证信息的机密性。所用算法:SM1、SM4、SM7。
4.消息鉴别码(MAC)技术,保证信息的完整性,所用算法:SM3+密钥。
信息系统中使用的密码产品、密码服务应符合法律法规的相关要求
使用的密码产品应通过商用密码产品认证,目前国家密码管理局已发布的产品名录包含28类产品(第一批22类+第二批6类)。
使用的密码服务或者机构应该获得国家密码局的相关标准或者认证。
未完待续
非特殊说明,本博所有文章均为博主原创。
如若转载,请注明出处:https://tenkms.cn/archives/482
共有 0 条评论