• 山西省国家密码管理局
  • www.sxgmj.gov.cn
行业新闻

网络安全等级保护2.0中密码技术应用要求

发布日期:2019-09-10  来源:网络安全那些事儿

等级保护制度2.0国家标准的发布,是具有里程碑意义的一件大事,标志着国家网络安全等级保护工作步入新时代,对保障和促进国家信息化发展,提升国家网络安全保护能力,维护国家保护空间安全具有重要的意义。《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)在我国推行信息安全等级保护制度的过程中起到了非常重要的作用,其与《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)在总体结构方面相比的主要变化至少包括:

1)为适应网络安全法,配合落实网络安全等级保护制度,标准的名称由原来的《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》。

2)等级保护对象由原来的信息系统调整为基础信息网络、信息系统(含采用移动互联技术的系统)、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等。

3)将原来各个级别的安全要求分为安全通用要求和安全扩展要求,安全扩展要求包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求。安全通用要求是不管等级保护对象形态如何必须满足的要求;针对云计算、移动互联、物联网和工业控制系统提出的特殊要求称为安全扩展要求。

4)原来基本要求中各级技术要求的物理安全网络安全主机安全应用安全数据安全和备份与恢复修订为安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心;原各级管理要求的安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理,修订为安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理

5对密码技术要求进行了加强,主要包括:安全通信网络中通信传输要求使用加密技术,安全计算环境中身份鉴别、数据完整性、数据保密性使用密码技术,保证传输和存储的加密,安全建设管理和安全运维管理中包括安全测试报告应包含密码应用安全性测试相关内容等,安全通用要求中在4层面,7大类,11测评项都有密码相关要求,足以说明国家对密码技术的重视。按照《网络安全等级保护测评高风险判定指引(征求意见稿)》的内容,大部分都是高危风险,因此建议对密码给予更多的重视。

具体等级保护2.0中密码技术要求如下表所示。

                                                                 (中国赛宝实验室)

 

序号

测评类

测评项

测评指标

安全通用要求

1             

安全通信网络

通信传输

 

1、应采用校验技术或密码技术保证通信过程中数据的完整性;

2、应采用密码技术保证通信过程中数据的保密性。

2             

安全计算环境

身份鉴别

 

应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

3             

数据完整性

 

1、应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;

2、应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

4             

数据保密性

 

1、应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;

2、应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等

5             

安全建设管理

安全方案设计

 

应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码技术相关内容,并形成配套文件。

6             

产品采购和使用

 

应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。

应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。

7             

安全运维管理

密码管理

1、应遵循密码相关国家标准和行业标准;

2、应使用国家密码管理主管部门认证核准的密码技术和产品。

云计算安全扩展要求

8             

安全计算环境

镜像和快照保护

应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。

9             

数据完整性和保密性

1、   应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施。

2、   应支持云服务客户部署密钥管理解决方案,确保云服务客户自行实现数据的加解密过程。

移动互联安全扩展要求

10          

安全区域边界

访问控制

无线接入设备应开启接入认证功能,并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证。

11          

安全建设管理

移动应用软件采购

应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名。

12          

移动应用软件开发

应保证开发移动业务应用软件的签名证书合法性

物联网安全扩展要求

13          

安全计算环境

网关节点设备安全

授权用户应能够在设备使用过程中对关键密钥进行在线更新;

工业控制系统安全扩展要求

14          

安全通信网络

通信传输

在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。

15          

安全区域边界

拨号使用控制

拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认证、传输加密和范围控制等措施。

16          

无线使用控制

应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护。