官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
近日,全国信息安全标准化技术委员会发布了《信息安全技术 信息系统密码应用设计技术要求》(征求意见稿)(以下简称《征求意见稿》),面向社会公开征求意见。
《征求意见稿》提出了信息系统密码应用方案设计技术的建议,包括信息系统应用层设计指南、密码服务支撑设计指南、计算平台密码应用设计指南、密钥管理设计指南等方面;适用于信息系统建设方、密码技术应用方、密码技术服务方,为开展信息系统密码应用方案设计提供指导参考。
《征求意见稿》指出,密码应用设计是以信息系统的安全需求为基础,梳理对应的密码应用需求,如信息系统不存在对应的密码应用需求或存在其他替代性风险控制措施而不采用密码技术的,在密码应用方案设计时需要进行风险评估和论证。
信息系统责任单位根据信息系统的密码应用需求,设计使用密码技术来满足信息系统安全需求的业务处理机制和流程。在设计过程中,需要根据信息系统安全需求确定密码应用需求,设计密码技术方案,明确密码服务提供模式和计算平台的密码设计,此外还需要梳理信息系统使用的密钥并进行密钥安全管理设计。
信息系统密码应用技术设计完成后,需要进行安全与合规性分析,针对信息系统密码应用需求和GB/T 39786相关技术要求的满足情况进行自评价(符合或不适用);对于自查中不适用的项目,逐一说明其原因,并指出采用何种替代性风险控制措施来达到有效控制,在方案中梳理出密码产品和密码服务的使用情况,以供方案实施。
此外,《征求意见稿》提出信息系统密码应用方案设计主要包括以下内容:
1、密码应用方案模板设计:包括背景、系统概述、密码应用需求分析、设计目标及原则、技术方案、安全管理方案、实施保障方案等部分。
2、通用设计指南:包括信息系统密码应用方案设计中密码算法、密码技术、密码产品和密码服务的选取规则。
3、信息系统应用层设计:信息系统应用层设计依赖于具体的业务应用和安全需求,需要从业务应用情况入手,梳理信息系统的业务安全需求。结合安全风险需求(信息系统面临的安全风险分析过程可参考《信息安全技术 信息安全风险评估规范》(GB/T 20984)),利用密码技术处理具体业务在实际开展过程中存在的安全问题。
4、密码服务支撑设计:包括支撑中间件与密码设备/基础设施的设计。一是支撑中间件,设计密码功能、密码计算等密码服务的提供模式,同信息系统的集成与调用方式等;二是密码设备/基础设施,设计提供密码服务的密码设备、密码基础设施并确定其功能、性能需求及部署模式。密码服务支撑设计及与信息系统的集成方式可参考附录A。
5、计算平台密码应用设计:信息系统计算平台的密码应用设计,具体包含物理和环境、网络和通信、设备和计算三个层面,保障信息系统计算平台的物理环境、网络通信、设备管理等方面的安全。
6、密钥管理安全设计:主要包括信息系统应用层密钥管理设计,以及密码服务支撑、计算平台密码应用等内容的密钥管理设计。
参考来源:全国信息安全标准化技术委员会