等保2.0密碼技術應用分析

1、1等保2.0三級要求的通用要求等保2.0三級從8.1.2安全通信網絡、8.1.4安全計算環(huán)境、8.1.9安全建設管理、1.1.1.1 全運維管理四個域對密碼技術與產品提出了要求，主要涉及以下八處密碼技術：1.1.1.2 通信傳輸a）應采用校驗技術或密碼技術保證通信過程中數(shù)據(jù)的完整性；b）應采用密碼技術保證通信過程中數(shù)據(jù)的保密性。8.1.4.1 身份鑒別d）應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進 行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現(xiàn)。8.1.4.7 數(shù)據(jù)完整性a）應采用校驗技術或密碼技術保證重要數(shù)據(jù)在傳輸過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)

2、務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重 要個人信息等；b）應采用校驗技術或密碼技術保證重要數(shù)據(jù)在存儲過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。8.1.4.8 數(shù)據(jù)保密性a）應采用密碼技術保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等；b）應采用密碼技術保證重要數(shù)據(jù)在存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等。8.1.9.2 安全方案設計b）應根據(jù)保護對象的安全保護等級及與其他級別保護對象的關系進行安全整體規(guī)劃和安全方案設計，設計內容應包含密碼技術相

3、關內容，并形成配套文件；8.1.9.3 產品采購和使用b）應確保密碼產品與服務的采購和使用符合國家密碼管理主管部門的要求；8.1.9.7 測試驗收b）應進行上線前的安全性測試，并出具安全測試報告，安全測試報告應包含密碼 應用安全性測試相關內容。8.1.10.9 密碼管理b）應使用國家密碼管理主管部門認證核準的密碼技術和產品。2等保2.0與0054標準中對密碼技術的要求分析將等保2.0中對密碼技術與產品的要求，細化映射到GM/T 0054-2018 信息系 統(tǒng)密碼應用基本要求標準（簡稱 “0054標準”）中對密碼的技術要求，如下表 所示：四性機密性完整性真實性不可否認性GWOO52O1X中具體要

4、求密碼技術密碼加密電子門禁系統(tǒng)進出記錄重要物理區(qū)域人員身份鑒別消息鑒別碼( M AC )或數(shù) 字簽名對稱加密、動 態(tài)口令.數(shù)字簽名網絡和信息系統(tǒng)中所有需要無據(jù)認行為,包 括發(fā)送、接收、審ML創(chuàng)建、修改、刪除、添 數(shù)字簽名 加、配皆等操作敏感信息數(shù)據(jù)字段竭個報文密碼加密網絡 與通 全通信過程中數(shù)據(jù)網絡邊界和系統(tǒng)資源訪問控制信息消息鑒別碼(MAC )蛾字簽名設備不 可否 認 性通信雙方身份認證網絡和信息系統(tǒng)中所有需要無去否認行為，包 括發(fā)送、剜I、審批 創(chuàng)建、修改，刪除、添加、配置轆作身份鑒別信息資源訪問控制信息重要信息資源敏感標記日志記錄重要程序或文件對稱加密、動態(tài)口令.數(shù)字簽名數(shù)字簽名等密碼加

5、密消息鑒別碼(MAC )竣 學經名與計 算安全音錄用戶身份鑒刖對稱加密“動態(tài)口令、數(shù)字簽名不 可 否 認 性數(shù)抻名等密碼加密訪問控制策略倡息/重要信朦資源敏感標記消息姮!）碼（網絡和信息系統(tǒng)中所有需要而去否認行為，包 括發(fā)送、接收、審批創(chuàng)建、修改、刪除、添 加、配置等操作MAC ）同 字簽名重要數(shù)據(jù) 日志記錄登錄用戶身份鑒別對稱加密、動 態(tài)口令、數(shù)字簽名不 可否 認 性網絡和信息系統(tǒng)中所有需要無法否認行為，包括發(fā)送、接收、審批；創(chuàng)建、修改、刪除、添 加、配置等操作數(shù)字簽名等在密碼運算和密鑰管理的實現(xiàn)上，推薦采用符合GM"制”的三級及以上密碼模塊或通過國家密碼管理部門核準的硬件密碼產品

6、.1等保2.0與0054標準對數(shù)據(jù)完整性的密碼技術要求分析等保2.0在8.1.2安全通信網絡、8.1.4安全計算環(huán)境中提出，可以采用密碼技術來保證數(shù)據(jù)的完整性，其中主要保護的主體是8.1.2安全通信網絡中通信數(shù)據(jù)、8.1.4安全計算環(huán)境中包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息。映射到 0054標準中三級要求的物理與環(huán)境安全、網絡與通信安全，設備與計算的安全中，主要保護的數(shù)據(jù)就是 電子門禁系統(tǒng)進出記錄、視頻監(jiān)控音像記錄、通信中的數(shù)據(jù)、資源訪問控制信息、 重要信息資源敏感標記日志記錄、訪問控制策略 /信息/重要信息資源敏感標記、 重要數(shù)據(jù)、日志記

7、錄等數(shù)據(jù)。這些數(shù)據(jù)應采用密碼技術進行保護， 保證數(shù)據(jù)的完 整性，主要的密碼技術實現(xiàn)方式可采用消息鑒別碼（ MAC）或數(shù)字簽名。2等保2.0與0054標準對身份鑒別中的密碼技術要求分析等保2.0中在8.1.4安全計算環(huán)境中對身份鑒別中的密碼技術提出要求，要求身份鑒別中至少要使用一種密碼技術， 模糊原來等保1.0中的物理與環(huán)境安全、網 絡與通信安全，設備與計算的安全、應用與數(shù)據(jù)安全的概念。0054標準繼續(xù)沿用等保1.0,仍從物理與環(huán)境、設備與計算、網絡與通信，設備與計算的安全、 應用與數(shù)據(jù)安全，對信息系統(tǒng)中的網絡設備以及用戶的登錄都做了詳細的密碼技 術要求，從而保證四大層面上網絡設備的邊界接入、管

8、理員、審計員、操作用戶 的身份的真實性。主要的密碼技術實現(xiàn)方式可采用對稱加密、動態(tài)口令、數(shù)字簽 夕箋中 03等保2.0與0054標準對數(shù)據(jù)保密性的密碼技術要求分析等保2.0中8.1.4安全計算環(huán)境對數(shù)據(jù)的保密性也提出了要求，映射到 0054標 準的網絡與通信安全，設備與計算的安全、應用與數(shù)據(jù)安全三大層面中，即是對 數(shù)據(jù)的機密性要求。即設備與計算中敏感信息數(shù)據(jù)字段或整個報文、網絡與通信 身份鑒別信息、應用與數(shù)據(jù)安全重要數(shù)據(jù)，都需要密碼技術來保證機密性，主要 的密碼技術實現(xiàn)方式為加密。4等保2.0與0054標準對不可否認性的密碼技術要求分析此外，0054標準中對不可否認性也要做了要求，主要保證的是

9、網絡和信息系統(tǒng) 中所有需要無法否認行為，包括發(fā)送、接收、審批、創(chuàng)建、修改、刪除、添加、 配置等操作。主要的密碼技術實現(xiàn)方式為數(shù)字簽名等。5等保2.0與0054標準對密碼產品與服務的要求分析等保2.0中對8.1.9.3產品采購、8.1.10.9密碼管理中要求密碼產品與服務的采 購和使用符合國家密碼管理主管部門的要求， 0054標準的總體要求中對密碼算 法、密碼技術、密碼產品、密碼服務都做出要求，具體如下： 密碼算法信息系統(tǒng)中使用的密碼算法應當符合法律、 法規(guī)的規(guī)定和密碼相關國家 標準、行業(yè)標準的有關要求。密碼技術信息系統(tǒng)中使用的密碼技術應遵循密碼相關國家標準和行業(yè)標準。密碼產品信息系統(tǒng)中使用的密碼產品與密碼模塊應通過國家密碼管理部門核準。密碼服務信息系統(tǒng)中使用的密碼服務應通過國家密碼管理部門許可。以上要求可以看出，0054標準中要求信息系統(tǒng)密碼應用中所使用的算法、技術、 產品、服務也都需要遵循國家密碼管理主管部門的要求。6等保2.0與0054標準對密碼方案及測評驗收要求分析等保2.0對密碼方案及測評驗